赛博空间态势感知技术研究

1、 作者简介：张勇（1984-），男，安徽，博士，主要研究方向：赛博空间、网络安全、风险评估等；丁建林（1965-），男，山东，工程师，主要研究方向：网络安全、赛博空间、数字图形图像处理等。张勇，丁建林（中国电子科技集团公司第三十八研究所数字技术部，安徽合肥 230088）摘要：文章从赛博空间的概念和态势感知的流程出发，构建赛博空间态势感知框架，以安全检测和安全事件分析技术为支撑，提出多层次多角度的态势评估模型，在此基础上使用时间序列分析方法预测安全态势的发展趋势。关键词：赛博空间；态势感知；态势评估；态势预测中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2012）

2、03-0042-03Research on the Technology of Cyberspace Situation AwarenessZHANG Yong, DING Jian-lin( Department of Digital Technology, China Electronics Technology Group Corporation No.38 Research Institute,Hefei Anhui 230088, ChinaAbstract: This paper starts form the concept of cyberspace and the proce

3、ss situation awareness. Then, we build the framework of cyberspace situation awareness. Using security detection and security event analysis techniques, we propose multi-level and multi-angle situation evaluation model. Finally, using time series analysis we forecast the trends of the security situa

4、tion.Key words: cyberspace; situation awareness; situation evaluation; situation forecastingdoi ：10.3969/j.issn.1671-1122.2012.03.012赛博空间态势感知技术研究0 引言赛博空间（Cyberspace）一词最早出现在加拿大幻想小说作家吉布森在1981年所写的小说燃烧的铬合金，该词随着他1984年的出版的小说神经漫游者广为传播，他将微芯片、电脑、网络、黑客和机器人等组合成的空间称为赛博空间1。20世纪90年代学术界对赛博空间的概念进行了的探讨，当时形成的观点认为赛博空间

5、基本上与互联网同义，将其翻译为网络空间或电脑空间。进入21世纪，赛博空间得到了美国政府和军方的重视，与其相关的研究逐步开展。目前，对赛博空间的认识还在发展中，其概念和内涵在不断拓展，尚处于边摸索、边研究、边开发、边利用阶段。赛博空间是一个类似于陆、海、空、天的真实存在的可操作的域，由电磁频谱、电子设备和系统、网络化基础设施等组成，以信息的创建、存储、修改、交换和利用为目的，实现对信息系统的控制。赛博空间中的行动成为赛博战（Cyberwar），包括进攻行动和防御行动两个方面，进攻行动包括对敌方关键电子设备的动能打击、电子战、计算机网络攻击等，防御行动包括对己方关键设备的电磁防护、信息保障漏洞评估

6、、通信保密、敌方攻击效果评估和攻击定位等。实现并保持对赛博空间的控制，对于实施有效的作战行动至关重要，是开展各级战斗的基础，可以使己方在战场上达成预期效果，并降低和消除敌方进攻能力。态势感知（Situation Awareness ）是在一定的时间和空间条件下，对环境因素的感知、理解以及对其发展趋势的预测，态势感知源于战争中敌我双方攻防态势的估计，态势感知技术最早出现在航天飞行的人因（Human Factors ）研究。1988年，Endsley把态势感知分成感知、理解和预测三个层次的信息处理2。态势感知在军事战场、空中交通监管及通信等领域被广泛地研究。1999年，Tim Bass 首次提出了

7、网络态势感知的概念，将网络态势感知与ATC 态势感知进行了对比，并将空中交通监管中态势感知的成熟理论和技术应用到网络态势感知中3。赛博空间的态势感知（Cyberspace Situation Awareness ）是指由赛博空间中所有电子设备和电子系统的运行状况、设备行为以及用户行为等因素所构成的整体安全状态和变化趋势，通过多传感器多手段协同侦察的方式，对能够引起赛博空间态势发生变化的所有环境要素，进行获取、理解和评估，并预测其发展趋势。1）对各种影响系统安全性的要素进行检测获取，安全要素包括电磁信号层、通信与网络协议层、信息层和行为层的安全信息；2）对采集到的多源安全信息采用分类、归并、关联

8、分析等手段 43 进行融合，得到规范化的数据；3）对融合的数据进行综合分析，提取有用的信息，评估赛博空间的安全态势，并给出相应的应对措施；4）对赛博空间的安全态势的发展趋势进行预测，及时预警，预防大规模安全事件的发生，减轻赛博敌方行动的危害。1 赛博空间态势感知体系框架赛博空间不同于传统的计算机网络，主要由电磁频谱、电子系统和网络化基础设施三部分组成。电磁频谱涵盖现有通信和雷达使用的频率，是计算机网络在无线通信领域和无源探测领域的扩充。电子系统除了传统的计算机系统外，还包括片上微系统和嵌入式系统等，网络化基础设施包括传统的计算机网络，还包括无线通信网、电力网、专用网、战地指控网、工业控制网和无

9、线传感器网等。赛博空间的态势感知在范围、广度和深度都是对网络安全态势感知的扩充。在网络安全态势感知的流程的基础上，给出赛博空间态势感知的概念模型，如图1所示态势感知的流程包数据采集、态势理解、态势评估和态势预测四个部分。图1 赛博空间态势感知的概念模型数据采集是通过各种检测工具，对影响网络安全的所有要素信息进行采集；态势理解是对各种网络安全要素数据进行处理，分析影响网络的安全事件；态势评估定性定量分析网络当前的安全状态和薄弱环节，并给出相应的解决方案；态势预测预测网络安全状况的发展趋势4。以工作流程为主线，辅以对应的要素关系的分析和平台建设的关键技术支撑模块，构建如图2所示的赛博空间态势感知体

10、系框架。图2中方案是态势感知的依据和指导，方案的生成是一个人工的过程，主要依据国家相关的法规标准、技术规范和信息系统的属性特点，在对法规、标准、规范和信息系统特性深入研究的基础上，设计调查问卷，通过问卷调查的方式确定态势感知的需求，有针对性的制定态势感知方案。检测是态势感知的前提，检测的目的是获取态势感知所需的各种数据，包括网络化基础设施的拓扑结构、己方电子系统和设备运行状态、敌方的电磁干扰和各类入侵等数据。数据来源包括现场实测的数据和信息系统产生的历史数据。检测手段包括资产识别、威胁识别、脆弱性识别、日志查看和渗透测试等。理解是态势感知的基础，理解的目的是获取影响态势的安全事件数据，安全事件

11、是对赛博空间各类攻击的抽象，通过对原始检测数据进行数据级的融合，得到规范化的数据集合，然后依据资产、威胁、脆弱性三者之间的关联关系，通过关联分析得到安全事件序列。评估是态势感知的核心，评估的目的是根据测试数据，对赛博空间安全态势进行评估。采用基于多层次多角度的态势评估模型，根据不同的应用需求和背景，从各个方面赛博空间的安全态势，并给出应对措施。预测是态势感知的最终目标，根据历史评估数据，采用时间序列分析方法，对赛博空间安全态势的变化规律进行分析，预测态势的变化趋势，在发生大规模安全事件之前及时预警。2 安全检测与安全事件分析安全检测与多源数据融合是态势感知的基础，安全检测对赛博空间内敌我双方电

12、子系统和设备运行状态、信息资源和设备的薄弱环节、赛博武器和赛博攻击手段等等做详细的侦察和测试，确定赛博空间中有价值的信息和资源的位置，探明己方薄弱环节，检测敌方各类恶意的入侵和攻击。安全检测技术包括资产识别、电子干扰测试、脆弱性扫描、渗透测试、威胁检测、入侵检测和电子干扰测试、电磁波截获、辐射源定位等技术。所有安全检测设备都称为传感器，包括雷达、电子战飞机、无线传感器、入侵检测系统、漏洞扫描器、防火墙和病毒检测软件等。由于传感器的多样性导致检测结果数据量大、结构复杂、差异性大，并且存在冗余、不一致和错误的数据，很难直接用于态势评估，多源数据融合技术对原始检测数据的预处理，合并相关项，去除冗余项

13、，修正 错误项，得到规范化的数据集。在经过多源数据融合处理后，所有的检测数据都归类到资产、威胁和脆弱性三类数据集中。资产是具有价值的设备或信息，是安全策略保护的对象，是敌方攻击的目标，在赛博空间中所有有形的电子系统和无形的信息都抽象为资产。资产通过资产标识、资产名称和资产价值来描述，资产价值是资产最基本的属性，通过资产被攻击后造成的损失衡量，是一个向量结构，使用信息保障中的保密性、完整性、可用性、可认证性和不可否认性五个指标来衡量资产的价值5。威胁是对资产造成安全损害的外因，是敌方实施的赛博攻击的量化表征。威胁通过威胁标识、威胁名称、威胁所在的资产标识、威胁利用的脆弱性标识和威胁发生概率来描述

14、，威胁所在的资产标识表示威胁的位置；威胁利用的脆弱性标识表示威胁造成损害的内在条件，只有威胁利用的脆弱性存在，威胁才能造成损害，在某个资产上，当只检测到威胁而没有检测到该威胁利用的脆弱性时，威胁将不会对该资产造成损害；威胁发生概率表示威胁发生的可能性，在某个资产上，当只检测到脆弱性没有检测到利用该脆弱性的威胁时，则认为相应的威胁可能发生，并对资产造成潜在的损害，发生可能性为威胁发生概率。脆弱性是对资产造成安全损害的内因，是己方赛博空间中薄弱环节的量化表示。脆弱性通过脆弱性标识、脆弱性名称、脆弱性所在资产的标识、利用该脆弱性的威胁标识和脆弱性影响来描述，脆弱性所在资产的标识表示脆弱性的位置；利用

15、该脆弱性的威胁标识表示脆弱性造成安全损害的外在条件；脆弱性的影响表示如果该脆弱性被威胁成功利用后，对相应的资产造成的损失，包括对资产保密性、完整性、可用性、可认证性和不可否认性五个方面造成的影响。当资产同时存在威胁和相关的脆弱性时，威胁通过脆弱性对资产的安全性造成损害；当资产只存在威胁而不存在相关的脆弱性时，威胁不会对资产造的安全性成损害；当资产只存在脆弱性而不存在相关的威胁时，资产存在安全隐患，安全性可能受到损害。在评估一次完整的赛博攻击若造成的安全损害时，需要将资产、威胁和脆弱性三者关联分析，威胁利用资产上存在的脆弱性造成安全事件的发生，安全事件是对资产造成安全损害的直接原因和度量的最小单

16、位，每次赛博攻击可以抽象为一个安全事件。安全事件通过资产标识、威胁标识、脆弱性标识、发生可能性和造成损害来描述，资产标识表示安全事件发生的位置；威胁标识表示安全事件发生的外因，即赛博攻击；脆弱性标识表示安全事件发生的内因，即资产的薄弱环节；安全事件发生的可能性使用相关威胁发生的可能性来描述；安全事件造成的损害使用相关脆弱性造成的损害来描述。3 基于多层次多角度分析的态势评估技术态势评估技术是对赛博空间安全态势的量化描述，2001年5月，ACSA（Applied Computer Security Associates ）认为安全度量是通过评估过程从一个偏序集中选择的一个值，描述信息系统安全质量

17、，是一种关于信任程度的描述6。安全度量的关键是选取标准、规范而完备的指标体系，在评估赛博空间安全态势时，使用信息保障中的可用性、完整性、保密性、可认证性、不可否认性这五个指标作为指标体系，能够完备的描述赛博空间安全态势的各个方面。为了适应不同的应用需求，客观、全面的度量赛博空间安全态势，本文给出如图3所示的多层次多角度量化评估模型，分别从专题层次、要素层次和整体层次对安全态势进行描述7。图3 多层次多角度量化评估模型专题评估层次从资产、威胁、脆弱性和安全事件四个专题，对赛博空间的安全性进行评估。可以评估赛博空间内单个资产、部分资产或所有资产的使用情况、威胁、脆弱性和安全事件的数量，可以分别评估

18、不同危害级别的威胁、脆弱性和安全事件的数量和分布规律。要素评估层次从信息保障的五个指标，分别对赛博空间在保密性、完整性、可用性、可认证性和不可否认性五个方面的达成程度进行分析。敌方赛博攻击抽象为安全事件，在得到敌方所有赛博攻击对应的安全事件序列后，通过综合分析，评估安全态势的五项指标值。由于多个低等级安全事件的整体损害可能没有单个高等级安全事件的损害大，并且安全事件发生在重要的资产造成的影响，远比发生在不重要的资产上大，因此在对所有安全事件的影响进行综合分析时，应该采用文献8基于指对数分析的综合方法，避免线性叠加带来的偏差大和区分度低的问题。整体评估是对赛博空间安全性的综合分析，态势评估的最终

19、目的是辅助指挥控制，需要有简单直观的表示。在评估整体安全态势时，需要针对不同应用需求区别对待，不同的应用需求对保密性，完整性、可用性、可认证性和不可否认性的要求不一样，比如在和平时期，对完整性和可用性的要求最高，而对于战争冲突时期保密性、不可否认性和可认证性是至关重要的。因此在评估整个安全态势时，以安全态势的五个要素分量评估结果为基础，采用加权模型得到整个安全态势值，根据加权参数的不同，适应不同的应用需求。4 基于时间序列分析的态势预测技术赛博空间不同时刻的安全态势彼此相关，态势的变化有一定的规律，利用这种规律可以预测态势的变化趋势，从而有预见性地辅助决策者进行决策，实现动态管理和及时预警，避

20、免预防大规模安全事件的发生造成损失。态势预测基于历次的态势评估结果，预测安全态势在下一时刻的值。时间序列分析的方法能够很好的刻画随时间变化顺序取得的一系列评估值之间的前后依赖关系，适合用于对态势感知的变化规律进行分析。态势评估输出的实时态势值作为态势预测的输入，安全态势序列一般为非平稳时间序列，可以依次对序列做趋势差80页 3.2 严格设置网站权限对于Access 数据库+ASP（ASP.net）+IIS架构，需要严格设置网站权限，使其具有运行IIS 的最小权限4，即网站目录专属“Internet 来宾账户”仅仅允许修改、读取和执行、列出文件夹内容权限，上传目录仅允许写入、读取和禁止删除权限。

21、对Access 数据库采取复杂命名规则，文件后缀修改为asp 而不是默认的mdb，且在Access 中加入一个二进制表格，防止Flashget 等直接下载数据库命名为asp 后缀后的文件。3.3 上传文件严格审核检查利用各种上传漏洞是获取Webshell 的主要方法之一，因此要对上传的文件内容和名称都要进行严格的审查。对输入文件名称进行强制小写转换再进行检查，过滤特殊字符输入。对文件内容进行文件幻数和文件加载测试，调用图像API 或函数去进行文件加载测试，通过图像渲染测试，乃至二次渲染测试，将上传的文件重新生成指定的图像格式，在这个过程中不影响图像的正常显示，仅仅是去掉图形中隐藏的恶意代码等非

22、图像自身内容。3.4 后台登陆密码采用强加密算法对于普通的MD5加密算法，通过一定的方法来增强，例如使用MD5加密算法对明文加密的基础上，对密文进行改变，在密文中截取一段数据并丢弃，然后使用随机函数填充被丢弃的数据，且整个过程不改变MD5加密后的位数。对于这种后台登陆密码采用MD5变异加密算法，即使网站存在SQL 注入点，入侵者由于无法获取真正的加密算法，即使破解成功，由于原始密码已经通过MD5算法变异而改变，真正破解的是改变后的加密值，因此也就无法使用该值登陆后台系统，从而保护了网站管理后台的安全5。3.5 授权访问后台对网站后台管理采取授权IP ，非授权IP 无法访问后台。对于一些涉及商业

23、秘密，或者安全性要求比较高的站点后台系统还可以采用动态口令等数字证书认证的方式来访问。4 结束语本文对Access 数据库通过SQL 注入获取Webshell 的方法进行研究，分析了可能获取Webshell 的途径方法，最后给出了五种安全防范措施，通过这些措施可以大大加强Asp+Access+IIS网站架构的安全。 （责编 岳逍远）参考文献：1 Justin, Clarke等. SQL注入攻击与防御M. 黄晓磊，李化. 北京：清华大学出版社，2010. 78-91.2陈小兵，张汉煜，骆力明，黄河. SQL注入攻击及其防范检测技术研究J. 计算机工程与应用，2007，（11）：150-152.3

24、冯现永. ASP网站防止SQL 注入策略研究J. 信息安全与技术，2011，（11）：49-51.4张涛，王行建. 对S Q L 注入漏洞的研究与防范措施的探讨J. 计算机时代，2006，（11）：30-31.5 赵瑞颖. 基于时间的SQL 注入分析与防范J. 信息网络安全，2010，（01）：56-57. 分和周期差分，将序列转化为平稳时间序列，再用自回归滑动平均（ARMA）模型拟合，在得到训练好时间序列模型后，可以对不同提前期的态势值进行预测和预测误差分析。时间序列分析方法需要较长的输入序列，对于实时态势评估来说，能够满足这个条件，但是对于离线的态势评估，由于评估周期较长，得到的历史评估结

25、果较少，不适合用时间序列分析方法，可以使用文献4中提出的历史增量平均的方法进行预测。5 结束语赛博空间作为一个全新的领域，囊括了所有的电子频谱、电子设备和网络化基础设施，随着信息技术和电子设备的快速发展和广泛应用，赛博空间在生产、生活和战争中的地位逐渐凸显，成为各国争夺的热点。态势感知技术对影响赛博空间安全态势的所有环境要素，进行获取、理解、评估以及预测其发展趋势，是实施赛博行动和打赢赛博战的基础，具有重要的作用。本文以赛博空间的概念和态势感知的流程为基础，构建赛博空间态势感知框架，以安全检测和安全事件分析技术为支撑，提出多层次多角度的态势评估模型，从不同层次不同角度评估安全态势，以满足不同应用的背景和需求，并在此基础上使用时间序列分析方法，分析安全态势的变化规律，预测安全态势的发展趋势。 （责编 张岩）参考文献：1 CyberspaceEB/OL. /wiki/Cyberspace, 2012-2-12/2012-02-14.2 Mica R. Endsley. Design and evaluation for Situation Awareness enhancement.