面向行為的內(nèi)網(wǎng)空間安全態(tài)勢建模與分析

朱承，繆嘉嘉，毛捍東

（1. 國防科學技術(shù)大學信息系統(tǒng)工程重點實驗室，湖南 長沙410073；2. 解放軍理工大學指揮信息系統(tǒng)學院，江蘇 南京210007；3. 北京普世時代科技有限公司，北京 100083）

面向行為的內(nèi)網(wǎng)空間安全態(tài)勢建模與分析

朱承1，繆嘉嘉2，毛捍東3

（1. 國防科學技術(shù)大學信息系統(tǒng)工程重點實驗室，湖南 長沙410073；2. 解放軍理工大學指揮信息系統(tǒng)學院，江蘇 南京210007；3. 北京普世時代科技有限公司，北京 100083）

依據(jù)態(tài)勢的一般理論，結(jié)合內(nèi)網(wǎng)安全的特點，將內(nèi)網(wǎng)空間劃分為物理域、信息域、社會域，提出了面向行為的內(nèi)網(wǎng)安全態(tài)勢——PMDV模型。該模型抽象出內(nèi)網(wǎng)空間物理域和信息域中人（P）、機（M）、數(shù)據(jù)（D）、虛擬實體（V）等4類行為主體，各類主體及其交互定義態(tài)勢中的核心要素——行為，為面向行為的內(nèi)網(wǎng)空間安全態(tài)勢構(gòu)建提供了依據(jù)。在此基礎上，進一步給出了面向行為的內(nèi)網(wǎng)空間安全態(tài)勢分析平臺的結(jié)構(gòu)設計及其實現(xiàn)途徑。

網(wǎng)絡空間；內(nèi)網(wǎng)；安全；態(tài)勢；行為

與此同時，信息技術(shù)的飛速發(fā)展和越來越廣泛的應用使組織內(nèi)部的網(wǎng)絡和信息系統(tǒng)每天都在快速產(chǎn)生大量的機器數(shù)據(jù)。大型企業(yè)的信息系統(tǒng)每天產(chǎn)生的日志事件數(shù)量可以達到100億到1 000億條［2］，中小規(guī)模的組織或企業(yè)內(nèi)部產(chǎn)生的機器數(shù)據(jù)也達到可觀的規(guī)模。這些數(shù)據(jù)記錄了組織內(nèi)部用戶各類活動和交互的完整行為，具有海量、高速、多樣、低價值密度等明顯的大數(shù)據(jù)特點，有巨大的分析和利用價值。如何有效利用這些數(shù)據(jù)成為新時期需要面對和解決的問題。

面對網(wǎng)絡安全中的新形勢、新問題，除了更嚴格的加密和更細粒度的認證與授權(quán)外［3］，數(shù)據(jù)驅(qū)動的動態(tài)綜合安全理念已成為網(wǎng)絡安全解決思路的趨勢和潮流［2,4］，基于大數(shù)據(jù)、行為分析的新型智能化安全管理工具大量涌現(xiàn)［5～7］。內(nèi)網(wǎng)安全管理需要依靠對海量數(shù)據(jù)的深度挖掘與機器學習，高效、準確地發(fā)現(xiàn)異常、危險行為，才能有效地應對高級可持續(xù)性威脅（APT， advanced persistent threat）和來自內(nèi)部人員的威脅，實現(xiàn)由“被動”到“主動”的信息安全防護。因此，如何針對內(nèi)網(wǎng)特點和行為分析的需求，構(gòu)建內(nèi)網(wǎng)空間安全態(tài)勢模型，是個重要的問題。

2 面向行為的內(nèi)網(wǎng)空間安全態(tài)勢模型

2.1 內(nèi)網(wǎng)空間

為了刻畫人類生存的信息環(huán)境或信息空間，人們創(chuàng)造了 Cyberspace 一詞。2008年，美國“54號國家安全總統(tǒng)令”對Cyberspace的定義為［8］：Cyberspace 是信息環(huán)境中的一個整體域，由獨立且互相依存的信息基礎設施和網(wǎng)絡組成，包括互聯(lián)網(wǎng)、電信網(wǎng)、計算機系統(tǒng)、嵌入式處理器和控制器系統(tǒng)。Cyberspace對應的中文名稱有多種，如網(wǎng)絡空間、網(wǎng)電空間、賽博空間等，本文采用網(wǎng)絡空間這一名稱。網(wǎng)絡空間已成為由計算機、網(wǎng)絡構(gòu)成的信息社會的代名詞。

本文的內(nèi)網(wǎng)空間是指一個組織內(nèi)部的網(wǎng)絡空間。與網(wǎng)絡空間相比，內(nèi)網(wǎng)空間的特點主要體現(xiàn)在以下3個方面。

1） 內(nèi)網(wǎng)有對應的組織結(jié)構(gòu)以及相對明確的物理邊界。

2） 內(nèi)網(wǎng)，特別是有保密需要的內(nèi)網(wǎng)，往往存在多套不同密級網(wǎng)絡。多個網(wǎng)絡之間物理隔離或者通過安全交換設備（單向）連接。

3） 物理空間是內(nèi)網(wǎng)安全中的重要方面。

參考網(wǎng)絡空間的定義并結(jié)合內(nèi)網(wǎng)特點，本文將內(nèi)網(wǎng)空間劃分為以下3個域。

1） 物理域

物理域由內(nèi)網(wǎng)對應的物理邊界中的人、機器設備等實體構(gòu)成，是內(nèi)網(wǎng)中物理實體所存在的物理空間。

2） 信息域

信息域是信息獲取、傳輸、加工、處理、存儲、顯示和共享的空間，是內(nèi)網(wǎng)中信息駐留、流動、被加工、被使用的“生態(tài)環(huán)境”。

3） 社會域

社會域包括內(nèi)網(wǎng)所對應組織中的組織結(jié)構(gòu)、交互關系、業(yè)務關系等。

內(nèi)網(wǎng)空間域?qū)哟文Ｐ腿鐖D1所示。

圖1 內(nèi)網(wǎng)空間域?qū)哟文Ｐ?/p>

2.2 PMDV態(tài)勢模型

網(wǎng)絡空間安全［8］包括以下幾個方面。

1） 設備安全：信息系統(tǒng)的設備安全是信息系統(tǒng)安全的物質(zhì)基礎。

2） 數(shù)據(jù)安全：確保數(shù)據(jù)免受未授權(quán)的泄露、篡改和毀壞。

3） 內(nèi)容安全：指信息內(nèi)容在政治、法律、道德層次上的要求，如政治健康、符合法律等。

4） 行為安全：行為的過程和結(jié)果不能危害數(shù)據(jù)的完整性，當行為的過程出現(xiàn)偏離預期時，能夠發(fā)現(xiàn)、控制或糾正。

由內(nèi)網(wǎng)的特點可知，內(nèi)網(wǎng)空間安全的核心是數(shù)據(jù)安全，數(shù)據(jù)安全實現(xiàn)的支撐是行為安全。

“態(tài)勢”一詞來源于作戰(zhàn)指揮，是指揮控制的核心要素，與決策密切相關。態(tài)勢指狀態(tài)與形勢，包括人或事表現(xiàn)出的形態(tài)、環(huán)境或事物的發(fā)展狀況和情形等［9］。

安全態(tài)勢建模對于安全至關重要。已有的網(wǎng)絡空間安全態(tài)勢建模的研究，借鑒了態(tài)勢感知的一般理論，對于態(tài)勢本身的建模，則主要從靜態(tài)合規(guī)性檢查、漏洞評估等角度研究態(tài)勢評估的指標體系。例如，文獻［10，11］從信息資產(chǎn)、脆弱性指數(shù)、威脅性指數(shù)、風險程度等方面歸納了安全態(tài)勢指標體系。但是，這一類基于指標的安全態(tài)勢建模方法缺乏動態(tài)角度的行為刻畫，對于理解網(wǎng)絡空間中的實體及其交互關系缺乏指導意義。在內(nèi)部威脅的研究中，不少文獻從概念、過程建模等角度提出了相應的模型。例如，文獻［12］提出內(nèi)部威脅的形式化定義和分類，文獻［13］提出內(nèi)部人在事件觸發(fā)下的惡意行為過程模型。這些模型主要面向概念理解和過程解釋，不涉及態(tài)勢要素本身的建模與抽象。有些研究給出了與行為相關的態(tài)勢要素，如文獻［14］從文件訪問記錄、USB設備使用記錄等方面給出內(nèi)部人與安全相關的行為要素，但缺乏建模的整體依據(jù)和框架。針對以上問題，本文從動態(tài)行為分析的角度，提出內(nèi)網(wǎng)安全態(tài)勢建模框架，為安全態(tài)勢的抽象提供依據(jù)。

在態(tài)勢模型中，態(tài)勢元素被抽象為環(huán)境、實體、事件、組及行為5個方面［15］。在一定環(huán)境中存在的某事物（實體），當其性質(zhì)或狀態(tài)發(fā)生改變時，就產(chǎn)生了事件。每個實體所發(fā)生的事件在時間和空間上都存在某種聯(lián)系，多個實體和事件按照某種關系組合在一起構(gòu)成組。在特定環(huán)境中，組或單個實體會產(chǎn)生某種行為，態(tài)勢則被建模為這一過程的描述。因此，態(tài)勢2個最活躍的元素是實體和行為。

要建立面向行為分析的態(tài)勢模型，首先要明確行為的主體?；诘?.1節(jié)中對內(nèi)網(wǎng)空間的域劃分，本文通過抽象物理域、信息域中的實體類型，將內(nèi)網(wǎng)行為主體分為以下4類，簡稱PMDV。

1） 人（P）

人是內(nèi)網(wǎng)中最關鍵的行為主體。這類實體包括個人、特征人群、組織等。

2） 機（M）

機指內(nèi)網(wǎng)中的各類機器設備，包括主機、服務器、交換機、網(wǎng)絡設備、移動載體等硬件設備。

3） 數(shù)據(jù)（D）

數(shù)據(jù)指內(nèi)網(wǎng)中的各類數(shù)據(jù)，是防泄密的核心對象。如用戶數(shù)據(jù)（文本、圖片、視頻）、系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)等。

4） 虛擬實體（V）

虛擬實體指網(wǎng)絡空間中的各類虛擬實體，如各類系統(tǒng)進程、服務進程、惡意進程（病毒、木馬）等。

在PMDV中，人、機屬于物理域的實體；數(shù)據(jù)、虛擬實體則屬于信息域的實體。PMDV行為主體如圖2所示。

圖2 內(nèi)網(wǎng)空間行為主體

圖3 內(nèi)網(wǎng)空間安全態(tài)勢元素及關系

根據(jù)態(tài)勢模型中對環(huán)境、實體、事件、組及行為等態(tài)勢元素的抽象，本文構(gòu)建面向行為的PMDV內(nèi)網(wǎng)空間安全態(tài)勢模型，如圖3所示。其中，行為主體以及對應的行為由PMDV 4類主體及其相互之間的交互關系定義：PMDV中某一類型的實體或者多類實體形成的組在網(wǎng)絡運行環(huán)境中的活動構(gòu)成了內(nèi)網(wǎng)空間中的行為，網(wǎng)絡運行環(huán)境指網(wǎng)絡拓撲、參數(shù)等網(wǎng)絡運行狀態(tài)。

PMDV模型提供了內(nèi)網(wǎng)空間安全態(tài)勢中行為建模的依據(jù)。圖4給出了PMDV模型中實體及兩兩交互所定義的行為示例（由于不區(qū)分交互關系中的序，圖4中PMDV交互矩陣為對稱陣，左下角矩陣留空），其中，“/”表示無交互實體。

圖4 PMDV模型中各類實體及兩兩交互所定義的行為示例

3 面向行為的內(nèi)網(wǎng)安全態(tài)勢生成與分析平臺

面向行為的態(tài)勢生成與分析必須基于行為相關數(shù)據(jù)，并依托相應的技術(shù)平臺。數(shù)據(jù)的多源異構(gòu)性、規(guī)模以及分析需求決定了采用大數(shù)據(jù)技術(shù)構(gòu)建分析平臺的合理性，即以大數(shù)據(jù)技術(shù)為支撐，構(gòu)建態(tài)勢生成和分析平臺，實現(xiàn)行為數(shù)據(jù)采集、存儲、關聯(lián)與融合；安全態(tài)勢的感知和可視化；基于機器學習、數(shù)據(jù)挖掘等技術(shù)實現(xiàn)智能化安全態(tài)勢分析能力；實現(xiàn)行為畫像和異常檢測，為發(fā)現(xiàn)未知危險、APT攻擊、內(nèi)部人員的惡意行為等提供基礎。

態(tài)勢生成與分析平臺分為采集層、存儲與集成層、生成與分析層、展現(xiàn)與交互層，架構(gòu)如圖5所示。

1） 采集層

采集層從內(nèi)網(wǎng)空間采集與安全態(tài)勢相關的海量異構(gòu)數(shù)據(jù)，主要分為2大類型數(shù)據(jù)。一類為內(nèi)網(wǎng)中各類實體及其行為相關數(shù)據(jù)，以海量、高速、異構(gòu)為特征，數(shù)據(jù)源主要包括終端/服務器日志、業(yè)務系統(tǒng)日志、網(wǎng)絡流日志、跨網(wǎng)交換日志、門禁、監(jiān)控視頻等；另一類為網(wǎng)絡基礎環(huán)境數(shù)據(jù)，包括網(wǎng)絡拓撲信息、配置信息、漏洞信息、用戶目錄等。在線數(shù)據(jù)采集可使用LogStash［16］等數(shù)據(jù)采集系統(tǒng)，實現(xiàn)對數(shù)據(jù)的采集和預處理。對于隔離網(wǎng)絡中的數(shù)據(jù)源，可采用離線方式進行批量導入。

2） 存儲與集成層

存儲與集成層基于大數(shù)據(jù)技術(shù)實現(xiàn)對采集數(shù)據(jù)的預處理和存儲。采集的各類數(shù)據(jù)，先進入消息中間件（如Kafka［17］），以解決數(shù)據(jù)的緩存和容錯問題。數(shù)據(jù)存儲系統(tǒng)從消息中間件獲取采集數(shù)據(jù)進行存儲，并綜合利用各類NoSQL技術(shù)［18］提供的高擴展性實現(xiàn)海量數(shù)據(jù)的存儲和管理。例如，日志等半結(jié)構(gòu)化信息可以使用Elastic Search［16］等分布式文檔數(shù)據(jù)庫進行存儲，實現(xiàn)字段解析和全文檢索；圖像、視頻等非結(jié)構(gòu)化數(shù)據(jù)可基于HDF［19］分布式文件系統(tǒng)進行存儲和管理。數(shù)據(jù)集成可采用Hive［20］等數(shù)據(jù)引擎，實現(xiàn)對多源數(shù)據(jù)的統(tǒng)一訪問和查詢。需要實時處理的數(shù)據(jù)可以直接從消息中間件進入基于內(nèi)存的緩存系統(tǒng)，供在線分析和計算。

3） 生成與分析層

生成與分析層基于PMDV模型實現(xiàn)對內(nèi)網(wǎng)空間安全態(tài)勢的計算與生成，并支持對態(tài)勢及態(tài)勢相關數(shù)據(jù)進行實時和歷史分析。對態(tài)勢的分析包括統(tǒng)計分析、行為規(guī)律分析、關聯(lián)分析、合規(guī)性分析、異常檢測、風險分析等。態(tài)勢生成與分析可以基于Hadoop、Spark等開源大數(shù)據(jù)社區(qū)提供的多種大數(shù)據(jù)分析模式和大量常用的機器學習模型實現(xiàn)。例如，Spark［21］以容錯分布式內(nèi)存數(shù)據(jù)結(jié)構(gòu)RDD［22］為基礎，同時支持MapReduce方式的數(shù)據(jù)批處理分析、迭代式圖分析和在線流分析等多種分析模式，并提供MLlib機器學習算法庫。

4） 展現(xiàn)與交互層

展現(xiàn)與交互層對態(tài)勢進行可視化展現(xiàn)，并實現(xiàn)用戶與態(tài)勢的交互。用戶可以從PMDV各維度以及維度的組合觀察、感知內(nèi)網(wǎng)空間行為，并可進行ad hoc方式的數(shù)據(jù)查詢與交互。主流的大數(shù)據(jù)可視化工具，如Kibana［16］等，均支持數(shù)據(jù)分析指標及展現(xiàn)方式的定制與交互，可以作為實現(xiàn)的基礎。

5 結(jié)束語

PMDV模型抽象出了內(nèi)網(wǎng)空間物理域和信息域中人、機、數(shù)據(jù)、虛擬實體等4類行為主體，通過各類主體及其交互定義了態(tài)勢核心要素——行為，為面向行為的內(nèi)網(wǎng)空間安全態(tài)勢構(gòu)建提供了依據(jù)。PMDV態(tài)勢模型的后續(xù)研究包括進一步考慮內(nèi)網(wǎng)空間的電磁環(huán)境，以及態(tài)勢分析平臺的實現(xiàn)與實驗等。

［1］ IBM security. IBM 2015 cyber security intelligence index［R］. IBM，2015.

［2］ CARDENAS A A， MANADHATA P K， RAJAN S. Big data analytics for security［J］. IEEE Security & Privacy， 2013， （11/12）： 74-76.

［3］ RORY W， BETSY B. BeyondCorp： a new approach to enterprise security［J］. Login， 2014， 39（6）：6-11.

［4］ JAY J. Data driven security： analysis， visualization and dashboards［M］. Indianapolis： John Wiley and Sons， 2014.

［5］ Splunk Inc. Using splunk user behavior analytics［R］. Splunk， 2015.

［6］ 啟明星辰. 基于大數(shù)據(jù)分析的安全管理平臺技術(shù)研究及應用［EB/OL］. http：//www.venustech.com.cn/NewsInfo/531/25566.Html. 2014. Venustech. Study and application of information security management platform based on big data［EB/OL］. http：//www.venustech. com.cn/NewsInfo/531/25566.Html.2014.

［7］ 瀚思. 數(shù)據(jù)驅(qū)動安全［EB/OL］. http：//www.hansight.com/ Han-Sight_Intro_2015V2.pdf.2015. Hansight. Data driven security［EB/OL］. http：//www.hansight.com/ HanSight_Intro_2015V2.pdf. 2015.

［8］ 張煥國， 韓文報， 來學嘉， 等. 網(wǎng)絡空間安全綜述［J］. 中國科學，2016， 46（2）：125-164. ZHANG H G， HAN W B， LAI X J. Survey on cyberspace security［J］. Science China， 2016， 46（2）： 125-164

［9］ ENDSLEY M R. Toward a theory of situation awareness in dynamic systems［J］. Human Factors，1995， 37（1）： 32-64.

［10］ 尤馬彥. 網(wǎng)絡安全態(tài)勢評估技術(shù)的研究與實現(xiàn)［D］， 廣東工業(yè)大學， 2012.YOU M Y. Research and implementation of network security situation assessment technology［D］. Guangzhou： Guangdong University of Technology， 2012.

［11］ 王志平. 基于指標的網(wǎng)絡安全態(tài)勢評估研究［D］. 國防科學技術(shù)大學， 2010. WANG Z P. Network security situation assessment research based on the index［D］. Changsha： National University of Defense Technology， 2010.

［12］ 楊光， 馬建剛， 于愛民， 等. 內(nèi)部威脅檢測研究［J］， 信息安全學報， 2016，1（3）： 21-36. YNAG G， MA J G， YU A M， et al. The internal threat detection study［J］. Journal of Information Security， 2016，1（3）： 21-36.

［13］ NURSE J R C， BUCKLEY O， LEGG P A， et al. Under-standing insider threat： a framework for characterising attacks［C］//IEEE Symposium on Workshop on Research for Insider Threat， IEEE Computer Society Security & Privacy. c2014 ：215-228.

［14］ AZARIA A， RICHARDSON A， KRAUS S， et al. Behavioral analysis of insider threat： a survey and boot- strapped prediction in imbalanced data［J］. IEEE Transactions on Computational Social Systems， 2014， 1（2）：135-155.

［15］ JAKOBSON G， BUFORD J， LEWIS L. A framework of cognitive situation modeling and recognition［C］// 2006 IEEE Military Communications Conference. c2006：1-7.

［16］ Elastic search site［EB/OL］. https：//www.elastic.co/.

［17］ Kafka site［EB/OL］. http：//kafka.apache.org/.

［18］ CATTELL R. Scalable SQL and NoSQL data stores［J］. Sigmod Rec，2011， 39（4）： 12-27.

［19］ HDF site［EB/OL］.https：//hadoop.apache.org/docs/r1.2.1/hdfs_design. html.

［20］ HIVE site［EB/OL］. https：//hive.apache.org/.

［21］ Spark site［EB/OL］. http：//spark.apache.org/.

［22］ ZAHARIA M， CHOWDHURY M， DAS T， et al. Resilient distributed datasets： a fault-tolerant abstraction for in-memory cluster computing［C］//The 9th USENIX Conference on Networked Systems Design and Implementation. c2012.

朱承（1976-），男，湖南長沙人，博士，國防科學技術(shù)大學研究員、碩士生導師，主要研究方向為指揮控制、智能決策、分布式系統(tǒng)。

繆嘉嘉（1980-），男，江蘇如皋人，博士，解放軍理工大學講師，主要研究方向為數(shù)據(jù)安全、安全大數(shù)據(jù)、人工智能。

毛捍東（1979-），男，湖南岳陽人，博士，北京普世時代科技有限公司高級工程師，主要研究方向為信息安全、云計算和系統(tǒng)仿真與決策技術(shù)。

Behavior-oriented inside network security situation modeling and analysis

ZHU Cheng1， MIAO Jia-jia2， MAO Han-dong3
（1. Science and Technology on Information Systems Engineering Laboratory， National University of Defense Technology， Changsha 410073， China；2. School of C4ISR， PLA University of Science and Technology， Nanjing 210007， China；3. Pushtime Science and Technology Inc.， Beijing 100083， China）

According to the situation awareness theory as well as the characteristics of the inside network security， a PMDV model for behavior-oriented inside network security situation modeling by dividing the inside network space into physical domain， information domain and social domain was proposed. A sound base for situation modeling of inside network security， which classified the entities inside the network space into the following 4 classes： person（P），machine（M）， data（D） and virtual agent（V）， was provided and the core element “behavior” in situation model with the interactions between different PMDV entities was defined. The structure and implementation guideline of the situation analysis platform based on PMDV model were also presented and studied.

cyberspace， inside network， security， situational awareness， behavior

1 引言

內(nèi)網(wǎng)安全是網(wǎng)絡安全中的重要領域，對保密單位而言尤為重要。但是，隨著智能移動設備、物聯(lián)網(wǎng)和云計算的快速發(fā)展和不斷應用，傳統(tǒng)的以合規(guī)性檢查、漏洞封堵為主的靜態(tài)內(nèi)網(wǎng)安全防護理念和技術(shù)在新條件下暴露出大量問題。例如，以特征匹配為主的安全手段、設備對0-day等未知漏洞或威脅無能為力；電磁、無線、電力等滲透手段層出不窮，物理隔離并不能保證網(wǎng)絡的封閉性；最大的危險仍然來自于組織內(nèi)部人員無意或有意的泄密行為。IBM發(fā)布的2015年賽博安全情報表明，約55%的攻擊來自內(nèi)部［1］。

The General Equipment Department Foundation （No.9140A15070414JB25224）

TP393

A

10.11959/j.issn.2096-109x.2016.00067

2016-06-08；

2016-07-02。通信作者：朱承，zhucheng@nudt.edu.cn

總裝預研基金資助項目（No.9140A15070414JB25224）