1 引言
近年来,随着网络资讯科技的迅猛发展,西方军事强国提出了网络空间战略,把网络空间作为国际竞争的战略制高点和大国博弈的新战场。以美国为首的西方强国,正利用其在资讯科技、资讯基础设施和资讯服务等方面的核心优势,积极实施“棱镜”、“主干道”、“码头”、“核子”等一系列监控专案和“爱因斯坦”、“普罗米修斯”等网络空间安全计划,研发了Duqu、震网、火焰等威力强大的网络武器,并逐步形成了全球化的网络空间探测、监视、控制、打击能力。各国在美军成立网络空间司令部后,也纷纷成立专业网络战,网络战争实战化、网络战场全球化、网络对抗常态化、网络攻防白热化的趋势日益明显。网络空间已成为资讯化时代的重要战场,是影响和制约战争制胜的关键因素,在这个看不见硝烟的战场中,弱势一方的损失可能比机械化战争的损失还要大。
网络空间作为全球化的资讯域,已经渗透人类生产、生活、社会活动乃至意识形态的各个方面,关乎政权稳固、国防安全、社会稳定、经济发展和科技进步,是国家主权的重要组成部分。近年来,世界主要强国都高度重视网络空间安全问题,采取积极行动,加紧提升网络空间安全防护能力。网络安全监测预警是国家关键资讯基础设施保护的重要环节,提升国家网络空间监测预警能力,已成为夺取网络空间主导权的重要因素。随着网络空间的规模和复杂性的急剧增长,以往依靠人的经验以及安全防护系统已经难以适应智慧化时代网络空间瞬息万变、攻防对抗日趋激烈的现实,因此,迫切需要利用人工智能、大资料等新兴技术,完善网络安全监测预警体系,建立应急处置联动机制,防范重大网络安全事件,降低其可能带来的危害影响。
2 网络空间监测预警系统发展需求
网络空间预警能力是未来网络空间安全防护体系的基础,不仅需要对己方网络进行态势感知和安全预警,而且需要对潜在对手网络进行监视侦察,从而定位攻击源,对异常行为进行监测告警,及时发现APT、无线网络攻击等新型网络空间攻击和威胁。未来,需根据网络空间、人工智能、资讯保安等技术的发展趋势,发展具备网络安全监视与漏洞分析能力,对网络空间安全状态实施全面监视,实现网络空间的多维态势感知能力,实现网络空间攻击的预先发现、攻击特征识别、攻击行为预测以及攻击源定位等能力,实现网络空间海量要素与动向的知识发现。
从监测预警的工作流程出发,网络空间监测预警系统主要包括:资料采集分析、资讯融合发现、威胁检测预警、网络态势展现等。其中,资料采集分析通过采集各类节点的资料,实现对各种型别的攻击检测及关键资料的收集;资讯融合发现提供对海量资料查询、多维资料关联分析等;威胁检测预警实现对攻击的追踪溯源,对APT类、病毒等潜伏性攻击的预警,实现对漏洞的准确发现和评估,并实现预警分发和协同处置;网络态势展现提供网络空间态势的评估和多维度展示。
3 网络空间预警系统关键技术
3.1 网络空间全域性态势感知技术
重点研究网络空间资料采集与态势感知,利用布置在网络基础设施上的各种感测节点,实时采集和感知网络空间各要素的状态,网获取络空间态势,使管理员能够全维掌握网络态势,为攻击行为预警提供支撑。
3.2 复杂异构资料融合处理技术
提取网络行为、网络拓扑、敌我属性等物件特征,以获取安全态势以及可能发生的潜在威胁,并以图形、图表以及动态影象等形式呈现出来,同时为网络空间威胁检测与预警提供资料输入。
3.3 复杂网络空间威胁预警技术
通过基于大资料和深度学习的人工智能算法,进行漏洞挖掘和异常威胁检测,监控和识别网络安全漏洞和入侵行为,快速发现并封堵网络内部安全漏洞,并对可能发起的安全攻击行为发出安全预警。
3.4 高阶持续性威胁挖掘检测技术
随着网络攻击的日益复杂化和高阶化,高阶持续性威胁成为目前资讯保安领域的特点话题,其特征不同于传统的网络攻击,可以针对某一特定目标实体实施持续且有效的精准攻击。重点研究基于APT攻击载体的多维度威胁检测、基于沙箱的动态行为检测、云模式下的APT攻击挖掘、APT攻击检测告警等技术。
3.5 服务威胁智慧感知迁移技术
针对网络服务安全性和抗毁性需求,使得服务在执行过程中能够感知面临的风险和威胁,对服务提供的质量、服务安全防护策略、后台服务关联资源进行动态调整,在必要时进行服务在物理平台上的迁移,实现网络服务的连续性和高可用性,保证使用者始终能够得到正确的网络服务。
4 结束语
随着大资料、人工智能等新技术的迅速发展,网络空间监测预警技术重点已经从传统的资料采集、威胁识别向高阶持续性威胁的精准识别、大规模攻击行为的监测预警发展,网络空间监测预警系统的智慧化,已成为下一代网络空间预警体系建设的重要方向,基于人工智能的网络空间预警系统及算法研究,已成为提升网络空间监测预警资讯质量、提高监测预警能力的有效途径。
