赛博空间态势感知技术研究

doi：10.3969/j.issn.1671-1122.2012.03.012

赛博空间态势感知技术研究

张勇，丁建林

（中国电子科技集团公司第三十八研究所数字技术部，安徽合肥 230088）

摘　要：文章从赛博空间的概念和态势感知的流程出发，构建赛博空间态势感知框架，以安全检测和安全事件分析技术为支撑，提出多层次多角度的态势评估模型，在此基础上使用时间序列分析方法预测安全态

势的发展趋势。

关键词：赛博空间；态势感知；态势评估；态势预测

中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2012）03-0042-03

Research on the Technology of Cyberspace Situation Awareness

ZHANG Yong, DING Jian-lin

( Department of Digital Technology, China Electronics Technology Group Corporation No.38 Research Institute,

Hefei Anhui 230088, China)

Abstract: This paper starts form the concept of cyberspace and the process situation awareness. Then, we build the framework of cyberspace situation awareness. Using security detection and security event analysis techniques,

we propose multi-level and multi-angle situation evaluation model. Finally, using time series analysis we forecast the

trends of the security situation.

Key words: cyberspace; situation awareness; situation evaluation; situation forecasting

0 引言

赛博空间（Cyberspace）一词最早出现在加拿大幻想小说作家吉布森在1981年所写的小说《燃烧的铬合金》，该词随着他1984年的出版的小说《神经漫游者》广为传播，他将微芯片、电脑、网络、黑客和机器人等组合成的空间称为赛博空间[1]。20世纪90年代学术界对赛博空间的概念进行了的探讨，当时形成的观点认为赛博空间基本上与互联网同义，将其翻译为网络空间或电脑空间。进入21世纪，赛博空间得到了美国政府和军方的重视，与其相关的研究逐步开展。

目前，对赛博空间的认识还在发展中，其概念和内涵在不断拓展，尚处于边摸索、边研究、边开发、边利用阶段。赛博空间是一个类似于陆、海、空、天的真实存在的可操作的域，由电磁频谱、电子设备和系统、网络化基础设施等组成，以信息的创建、存储、修改、交换和利用为目的，实现对信息系统的控制。赛博空间中的行动成为赛博战（Cyberwar），包括进攻行动和防御行动两个方面，进攻行动包括对敌方关键电子设备的动能打击、电子战、计算机网络攻击等，防御行动包括对己方关键设备的电磁防护、信息保障漏洞评估、通信保密、敌方攻击效果评估和攻击定位等。实现并保持对赛博空间的控制，对于实施有效的作战行动至关重要，是开展各级战斗的基础，可以使己方在战场上达成预期效果，并降低和消除敌方进攻能力。

态势感知（Situation Awareness）是在一定的时间和空间条件下，对环境因素的感知、理解以及对其发展趋势的预测，态势感知源于战争中敌我双方攻防态势的估计，态势感知技术最早出现在航天飞行的人因（Human Factors）研究。1988年，Endsley 把态势感知分成感知、理解和预测三个层次的信息处理[2]。态势感知在军事战场、空中交通监管及通信等领域被广泛地研究。1999年，Tim Bass首次提出了网络态势感知的概念，将网络态势感知与ATC态势感知进行了对比，并将空中交通监管中态势感知的成熟理论和技术应用到网络态势感知中[3]。

赛博空间的态势感知（Cyberspace Situation Awareness）是指由赛博空间中所有电子设备和电子系统的运行状况、设备行为以及用户行为等因素所构成的整体安全状态和变化趋势，通过多传感器多手段协同侦察的方式，对能够引起赛博空间态势发生变化的所有环境要素，进行获取、理解和评估，并预测其发展趋势。1）对各种影响系统安全性的要素进行检测获取，安全要素包括电磁信号层、通信与网络协议层、信息层和行为层的安全信息；2）对采集到的多源安全信息采用分类、归并、关联分析等手段

作者简介：张勇（1984-），男，安徽，博士，主要研究方向：赛博空间、网络安全、风险评估等；丁建林（1965-），男，山东，工程师，主要研究方向：网络安全、赛博空间、数字图形图像处理等。

进行融合，得到规范化的数据；3）对融合的数据进行综合分析，提取有用的信息，评估赛博空间的安全态势，并给出相应的应对措施；4）对赛博空间的安全态势的发展趋势进行预测，及时预警，预防大规模安全事件的发生，减轻赛博敌方行动的危害。

1 赛博空间态势感知体系框架

赛博空间不同于传统的计算机网络，主要由电磁频谱、电子系统和网络化基础设施三部分组成。电磁频谱涵盖现有通信和雷达使用的频率，是计算机网络在无线通信领域和无源探测领域的扩充。电子系统除了传统的计算机系统外，还包括片上微系统和嵌入式系统等，网络化基础设施包括传统的计算机网络，还包括无线通信网、电力网、专用网、战地指控网、工业控制网和无线传感器网等。赛博空间的态势感知在范围、广度和深度都是对网络安全态势感知的扩充。

在网络安全态势感知的流程的基础上，给出赛博空间态势感知的概念模型，如图1所示态势感知的流程包数据采集、态势理解、态势评估和态势预测四个部分。

图1 赛博空间态势感知的概念模型

数据采集是通过各种检测工具，对影响网络安全的所有要素信息进行采集；态势理解是对各种网络安全要素数据进行处理，分析影响网络的安全事件；态势评估定性定量分析网络当前的安全状态和薄弱环节，并给出相应的解决方案；态势预测预测网络安全状况的发展趋势[4]。

以工作流程为主线，辅以对应的要素关系的分析和平台建设的关键技术支撑模块，构建如图2所示的赛博空间态势感知体系框架。

图2中方案是态势感知的依据和指导，方案的生成是一个人工的过程，主要依据国家相关的法规标准、技术规范和信息系统的属性特点，在对法规、标准、规范和信息系统特性深入研究的基础上，设计调查问卷，通过问卷调查的方式确定态势感知的需求，有针对性的制定态势感知方案。检测是态势感知的前提，检测的目的是获取态势感知所需的各种数据，包括网络化基础设施的拓扑结构、己方电子系统和设备运行状态、敌方的电磁干扰和各类入侵等数据。数据来源包括现场实测的数据和信息系统产生的历史数据。检测手段包括资产识别、威胁识别、脆弱性识别、日志查看和渗透测试等。理解是态势感知的基础，理解的目的是获取影响态势的安全事件数据，安全事件是对赛博空间各类攻击的抽象，通过对原始检测数据进行数据级的融合，得到规范化的数据集合，然后依据资产、威胁、脆弱性三者之间的关联关系，通过关联分析得到安全事件序列。评估是态势感知的核心，评估的目的是根据测试数据，对赛博空间安全态势进行评估。采用基于多层次多角度的态势评估模型，根据不同的应用需求和背景，从各个方面赛博空间的安全态势，并给出应对措施。预测是态势感知的最终目标，根据历史评估数据，采用时间序列分析方法，对赛博空间安全态势的变化规律进行分析，预测态势的变化趋势，在发生大规模安全事件之前及时预警。

2 安全检测与安全事件分析

安全检测与多源数据融合是态势感知的基础，安全检测对赛博空间内敌我双方电子系统和设备运行状态、信息资源和设备的薄弱环节、赛博武器和赛博攻击手段等等做详细的侦察和测试，确定赛博空间中有价值的信息和资源的位置，探明己方薄弱环节，检测敌方各类恶意的入侵和攻击。安全检测技术包括资产识别、电子干扰测试、脆弱性扫描、渗透测试、威胁检测、入侵检测和电子干扰测试、电磁波截获、辐射源定位等技术。所有安全检测设备都称为传感器，包括雷达、电子战飞机、无线传感器、入侵检测系统、漏洞扫描器、防火墙和病毒检测软件等。由于传感器的多样性导致检测结果数据量大、结构复杂、差异性大，并且存在冗余、不一致和错误的数据，很难直接用于态势评估，多源数据融合技术对原始检测数据的预处理，合并相关项，去除冗余项，修正

错误项，得到规范化的数据集。在经过多源数据融合处理后，所有的检测数据都归类到资产、威胁和脆弱性三类数据集中。

资产是具有价值的设备或信息，是安全策略保护的对象，是敌方攻击的目标，在赛博空间中所有有形的电子系统和无形的信息都抽象为资产。资产通过资产标识、资产名称和资产价值来描述，资产价值是资产最基本的属性，通过资产被攻击后造成的损失衡量，是一个向量结构，使用信息保障中的保密性、完整性、可用性、可认证性和不可否认性五个指标来衡量资产的价值[5]。

威胁是对资产造成安全损害的外因，是敌方实施的赛博攻击的量化表征。威胁通过威胁标识、威胁名称、威胁所在