随着云计算、大数据、人工智能给人类社会与生活带来极大变革,网络环境和数据利用日趋复杂,催生了严峻的安全问题与挑战,安全成为了信息时代的核心命题,传统的管理思路,如“重建设、轻管理”、一成不变的安全策略等,都难以适应安全形势瞬息万变的新时代,如何智能调整安全策略,自动识别新型网络威胁,是当下应对网络问题的难点和痛点。

随着网络环境的动态化、多样化、快速化,传统体系难以应对复杂的安全形势,安全态势感知系统因具有全局感知、评估和预测的能力,从而备受关注。但是目前存在有感知无行动、无法识别新型威胁等缺点,急需提出一种响应式安全态势感知平台架构,在传统安全态势感知的基础上与统一数据管理和决策支持相结合,解决感知和行动一体化建设的问题,同时提出一种基于生成式技术的预测方法。

研究现状

态势感知在提高网络的监控能力、应急响应能力和预测安全发展趋势等方面都具有重要的意义。它融合所有信息实时评估网络状况,为安全决策提供依据,将风险和损失降到最低。一般来说,安全态势感知按功能分为要素提取、评估和预测三个方面。

在要素提取方面,态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。国外的学者一般通过提取某种角度的态势要素来评估安全态势,但存在很难获取全面信息的问题;国内的学者一般综合考虑网络各方面的信息,比如充分使用大数据技术,从多个角度分层次描述安全态势,但较少考虑指标体系中各因素之间的关联性。

在态势评估方面,研究者们摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状况,以获得安全态势的综合评估。目前用于安全态势评估的算法大致分为以下几类:逻辑关系法、数学模型法、概率统计法和推理规则法。其中逻辑关系不能解释系统中存在的不确定性,概率统计容易造成计算量爆炸问题,影响态势评估的实时性,推理规则在输入条件冲突时,方法的准确性会受到严重的影响。

在态势预测方面,安全态势的预测是指根据安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。由于威胁的随机性和不确定性,安全态势变化是一个复杂的非线性过程,限制了传统预测模型的使用。目前,安全态势预测一般采用支持向量机、时间序列预测法、机器学习等方法。支持向量机属于有监督机制算法,难以解决非线性问题;时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是很理想;机器学习算法主要依靠经验风险最小化原则,容易导致泛化能力下降且模型结构难以确定的问题,但随着深度学习理论的突破,取得的效果逐渐显著,是目前安全态势预测的研究热点。

缺陷分析

传统的安全态势感知主要针对单一网络环境,在设计上仅对网络行为进行数据收集和分析。随着网络规模的不断扩大,相应的指标体系应运而生,但指标不全面,精准性与实时性方面时常存在缺陷。大数据技术提升了感知能力,深度学习加强了预测分析能力,安全态势感知系统具备了实际应用能力,这都依赖于大量的历史数据和关联数据。网络形势瞬息万变,靠先验知识难以精准应对碎片化、超长潜伏期的威胁行为,尤其对于新型威胁的识别存在较大困难,如何能做到先发制胜,是安全的终极难题。

响应式安全态势感知平台

平台架构

响应式安全态势感知平台是以复杂网络环境为研究背景,将统一数据管理、态势感知、态势评估、智能预测和决策支持等紧密结合,利用大数据技术的大量、高速、多样、价值、真实性的特征,利用深度学习技术的无监督、可泛化、自主学习的优势,实现安全态势感知、评估和决策一体化系统。可以实时监控网络状态,保证安全性能,并自动调整策略应对潜在的安全威胁,实现响应式系统能力。响应式安全态势感知平台技术架构如下图所示。

功能研究

响应式安全态势感知平台分为统一数据管理系统、态势感知系统、态势评估系统、智能预测系统、决策支持系统五个子系统。

(1)统一数据管理系统

有效解决数据多来源、多格式、多标准的问题,避免信息孤岛,构建统一的数据资源池,实现全方位的数据共享和利用,为整体平台和其他子系统的数据生产和流向奠定基础。

(2)态势感知系统

统筹其他子系统协作分工的核心子系统。第一,利用大数据技术对各类型的数据进行采集,实时统一转储到统一数据管理系统;第二,启动智能预测系统进行安全威胁分析,得出安全威胁系数;第三,根据安全威胁系数的级别和类别,更新态势评估系统的安全类别聚类中心和聚类范围,当安全威胁系数触发规则,启动决策支持系统,对安全策略进行变更,实现灵活机动的自适应功能,具备响应式的基本特征。

(3)态势评估系统

态势评估系统是对态势感知的数据进行评估,得出安全级别划分和安全分类聚类,通常用概率或权重来表示。在级别划分上采用有监督机制,人工制定安全级别和对应的威胁程度;在安全分类上采用无监督机制,利用聚类的方法进行动态调整。

(4)智能预测系统

采用机器学习中深度学习方法不断训练匹配规则,通过足够量的训练数据,提升预测匹配度,输入数据为统一标准后的网络行为链,输出数据为发生安全威胁的概率。

(5)响应式决策支持系统

以自主防护为目的,采用决策支持系统的架构,辅以专家系统和关联规则等技术,根据系统决策的量化结果,自动触发应急预案,通过细化的组合指令向安全设备发出系统级命令,启动或关闭预定策略,以达到自动化响应式的效果。

识别新型威胁的生成对抗网络模型

生成式网络是一种深度学习模型,能够自我博弈,且具备高检测精度和低时间消耗的识别模型,是近年来复杂分布上无监督学习最具前景的方法之一。本文将依托安全行为数据特征,构建一种基于生成式网络的解决思路,起到提前预测的效果。

数据空间是安全行为所在的空间,是所有访问日志、行为日志等数据构成的集合。数据空间就是一些网络安全行为的集合,也称为网络安全行为空间。在网络安全行为空间里,每一个网络安全行为都是这个空间里的点。将这些特殊的点记做数据点,为了有效表达,关键特征必须包括时间、级别、次数、协议、源IP、目标IP、动作、事件描述等要素,而由数据空间中的数据点构成的具有关联关系的序列数据簇,并且能产生安全威胁和后果。

生成式网络是源于博弈论中的零和博弈的一种生成式模型,主要由一个生成器(Generator) 和一个判别器(Discriminator) 组成,如图2所示。从某个概率分布P中采样随机变量Z,作为生成器G的输入,经过G的转换,输出伪数据G(Z)。同时将一个证实的网络威胁数据X称为真实数据。判别器D以G(Z) 或X为输入,计算某一个输入是否为真实数据,并得出概率,能有效区分输入数据是来自于真实数据还是生成数据。

生成网络

生成网络的职责是把随机点变成与数据集相似的数据。这些随机点是从一个潜在空间中随机抽取的。生成网络是一个可以实现“点到点变换”的函数,它把潜在空间中的点变成网络威胁空间中的点。生成网络生成的点叫做生成点。通过生成网络,潜在空间中的分布可以变换为网络威胁空间中的分布。

真实网络威胁在网络空间中的分布情况是非常复杂的,简单的函数很难把这些随机的点恰好都变到真实网络行为链所在的位置,所以实践中通常要利用深度神经网络,其强大的表达能力使得生成完整行为链成为可能,但仍有可能因生成网络的随意设定而得到一些毫无意义的网络行为链,所以设定训练目标,可以通过减小与目标的差距而优化网络。

在训练生成网络过程中,先固定生成网络,训练判别网络。首先生成一定数量的随机点,并利用生成网络将这些随机点变为网络行为链,再找一定数量的真实网络行为链,与生成网络行为链组成一个二分类的数据集。分类的目标就是分辨网络行为链是生成的还是真实的,在这个小数据集上可以训练一个判别网络,从而赋予其区分真实网络行为链和生成网络行为链的能力。

判别网络

判别网络的任务是判断一个网络行为链究竟是来自真实数据还是由生成网络所生成。在训练判别网络的过程中,通过不断输入两类不同的网络行为链并为两类行为标注不同的数值以提高它的辨别能力,通常输入真实网络行为链标注数值为1,若输入的是当前生成网络生成的网络行为链标注数值为0。当判别网络认为两种可能都有时,则会输出网络行为链是真实数据的概率。判别网络的输出结果用一个数值来指示空间中的一个点来自真实数据的可能性。

判别网络也会给生成网络提出如何提高判别输出概率的反馈信息。生成网络利用得到的反馈信息来调整网络的参数,使得生成出来的作品能在判别网络中获得更高的分数,经过一定量的训练,生成网络就可以输出更接近真实网络行为链的生成行为链。

验证结果

数据集总共由500万条记录构成,含有一个10%的训练子集和测试子集,训练集中共出现了22个威胁类型,而剩下的17种只在测试集中出现,本试验在训练集数据9 000次迭代后,开始启用测试集,针对17种新型威胁的识别概率0.7以上的是15种,行为链构建70%时的提前识别率为5种,其中识别概率最高的是DOS威胁分类下的mailbomb威胁子类,数值为93.75%,最早被识别的是R2L威胁分类下的snmpgetattack子类,提前识别率为72%,这对于瞬息万变的网络形势而言,仍需进一步根据数据源分布情况进行深化研究,具体思路为对损失函数和优化器进行综合改进的同时,对生成式网络的结构进行改进,增加其反馈机制,改进循环策略,提升收敛速度。

结论

根据安全态势感知的现状,并针对现有缺陷,分析提出了一种新的系统设计思路,在传统态势感知三大功能基础上,提出决策支持和统一数据管理的创新思路,使得安全态势感知具备响应式布局,能够对安全威胁进行最快的阻断和应急反应。同时提出一种基于生成式的网络智能预测模型,可以根据行为片段预测完整行为链,变被动为主动,显著提升应对网络威胁的能力。

内容节选自《信息技术与网络安全》2019年第八期论文,作者蔡元萃,杜红艳,王欣,内容有删改

声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。