【读书笔记】网空态势感知理论与模型（九）

对分析人员数据分类分流操作的研究

1.概述

本章节介绍一种以人员为中心的智能数据分类分流系统，该系统利用了入侵检测分析人员的认知轨迹。整合了3个维度的动态网络-人系统（cyber-humber system）：网空防御分析人员、网络监测数据和攻击活动。该方法利用了记录下来的入侵检测分析人员的分析过程，称为“认知轨迹”。分析人员的认知轨迹描述了从网络监测数据中检测发现恶意事件过程的示例。资深人员的认知轨迹对于培训初级人员执行数据的分类分流很有帮助。

同时开发了智能系统，可根据与初级分析人员已识别事件的相似度自动检索出其他资深安全分析人员的认知轨迹。

D'Amico和Whitley描述了计算机网络防御（CND）分析人员的6个广泛的分析任务：分类分流分析、升级上报分析、关联分析、威胁分析、事件响应和取证分析。

数据分类分流的三大挑战：
（1）不断产生的网络数据量巨大，并且包含许多误报。分析人员需要做出高质量的判定，确定网络数据中哪些值得进一步分析，以及哪些是应当作为安全事件进行上报。

（2）分析人员必须在时间压力下进行数据分类分流，快速决策是第二大挑战。

（3）在7*24h连续值班的模式下，如何将一位分析人员所获得的知识（如疑似但尚未确认的恶意事件、观察到的攻击行为等）转交给下一班次。

后续研究试图回答的问题

（1）SA中数据分类分流的特点是什么？是否能否在这种情况下形式化定义给过程？

（2）分析人员认知过程中的关键组成部分是什么？如何在SA数据分类分流中表示分析人员的认知过程？

（3）如何跟踪分析人员的数据分类分流过程？

（4）如何利用所采集的数据分类分流过程来提高分析人员在SA中的数据分类分流操作效率？

2. 数据分类分流的特点

2.1 数据分析

意义架构循环模型（sense making loop）对自下而上流程和自上而下流程的整合。自下而上流程是从理论到数据的过程，如搜索和过滤、查看和提取、模式化、立案调查和讲述理论。至上而下的过程是从数据到理论的过程，分析人员重新评估、寻找支撑点、寻找证据、寻找相互关系以及搜索信息。

2.2 大规模和快速变化的数据

SA的数据来源可能包括“大量分布式网络包采集探针、系统日志文件、SNMP陷阱和查询、基于检测特征的IDS系统、用户配置文件数据库、系统消息、威胁数据库和操作员命令”，同时也包括莱西人类智能产生的数据，包括SIEM系统的数据（如威胁数据库）、来自外部的数据（如外部攻击或威胁报告）和从社交媒体收集的数据。

异构数据在类型和格式上有很大差异，包括定量数据和定性数据，结构化、半结构化和非结构化数据。同时，SA数据和攻击威胁在不断变化，也就是网络安全环境的高度动态化特质。

网络安全分析人员要把原始数据转化为：所关注活动、可疑活动、常规事件、安全事件和入侵集合。

2.3 “人在环中”式数据分类分流

安全分析人员在解释数据、理解情境、产生假设以及以灵活方式做出决策方面具备优势。

2.4 为安全时间响应上报安全事件

一个安全事件被定义为“对计算机安全策略、可接受的使用策略或标准安全实践的违反的迫切威胁”。

3. SA中数据分类分流的定义

以形式化定义识别除了数据分类分流过程的关键构件。

3.1 动态的cyber-humber system

这种CHS包括（1）网络上进行的攻击活动 （2）收集自多个来源的大规模且快速变化的检测数据（3）一组上报的安全事件及推断的安全事件与攻击杀伤链的时间与因果关系（4）一组“客观世界的知识”（如攻击情报和保护网络的任务等）（5）分析人员的心智模型（6）逐步过滤出可疑网络安全事件数据的分析人员所执行的数据分类分流操作。

是到时间t为止进行的一组数据分类分流操作。

3.2 大规模和快速变化的数据源

6个维度标识数据类别

（1）根据数据的传感器类型归类。

（2）数据格式分类

（3）检测范围的层级

（4）可访问性而言

（5）定性数据或定量数据

（6）是否是时间敏感，分为稳定数据和流数据

定义1 给定一个网络，网络事件e是一个多元组，指定网络中发生的连接活动的特征。

e ={occurTime,detectTime,eventType,attackType,srcIP,srcPort,dstIP,dstPort,

prot,sensor,severity,conf ,msg}

其中，eventType是网络连接的类型（新建、断开、拒绝）

attackType指定此事件所属的攻击类型，默认为空

prot是网络协议

severity是事件的严重程度

conf是事件的可置信度

3.3 攻击链中的安全事件

攻击链被建模表示为对漏洞暴露的攻击利用所引起网络状态变化的一个序列。

攻击事件被定义为一个元组<att,E,R>

其中att是制定了某一个攻击链的一个攻击标识符。

E=（e1、。。。、en）是为了实施攻击链att而发生的一个网络事件序列。

R={happenbefore（ei，ej），is-a-pre-step（ei,ej）},标识E中两个事件的时间或逻辑关系

3.4 分析式推理过程

为了完成数据分类分流，分析人员基于领域知识和专业知识执行一些列信息搜寻活动，包括查看、搜索、过滤和提取。这个过程被称为分析式推理过程。因此我们聚焦于数据分类分流过程中的人-数据交互。这个过程生产2终产物：

（1）识别出的网络事件以及他如何相关关联（2）分析人员的认知过程涉及工作、观察和假设，是该交互的驱动力。

在宏观层面认知任务分析研究和微观层面关于分析单元的行为统计分析之间中间层对人员的数据分类分流过程进行研究。

在此介绍一个在数据分类分流中分析人员的分析式推理过程的概念模型，作为中间层面的细粒度分析的基础。

AOH（action-observation-Hypothesis，AOH）模型：动作是指分析人员对网络数据进行的过滤和关联操作；观察是指被分析人员视为可疑网络事件的数据；假设是指分析人员关于潜在攻击事件的假设。

AOH对象迭代并形成推理周期：分析人员才去的动作产生新的观察；通过这种观察，分析人员可以产生关于潜在攻击事件的新的假设；为了调查一个新的假设，分析人员进行进一步的动作已获得更多的观察。

AOH对象之间的关系可以用树结构表示，成为AOH树。节点是AOH对象，连接是AOH对象之间的关系。

基于AOH树构造假设树（H树）。在H树中，节点仅有假设，并且两个节点之间的边表示两个假设之间的lead-to关系。以表示分析人员的数据分类认知过程中的心智活动。

4.数据分类分流中分析人员的操作

任务包括：

检测可疑的网络连接事件：识别出可疑的网络连接（清楚误报）。

关联可疑的网络连接事件：根据潜在的攻击路径将网络连接关联起来。

按顺序组织可疑的网络连接事件：根据检测到的网络连接事件序列来生成安全事件报告，以满足进一步调查的需要。

分析人员通过对数据进行操控和分析来与网络数据源进行交互。数据分类分流操作可能会对两个方面产生影响：数据转换和心智模型转换。

4.1 与数据转换相关的数据分类分流操作

3种主要类型的数据分类分流操作：

（1）根据条件在数据源上进行过滤（F）

（2）使用关键字对数据进行搜索（S）

（3）对具有共同网络事件特征的一批数据进行选择（H）

4.2 与心智模型转换相关数据分类分流操作

分析人员通过执行与数据转换相关的数据分类分流来获得新的观察。新的观察可能会触发产生分下人员的新假设，或对其以前的进行确认或否定。在上述情况下，对应H树都会被修改。

因此，开展分类分流操作能够使分析人员更新他们的心智模型。进一步定义对新观察和假设进行创建与修改的数据分类分流操作。

在这种情况下，分类分流操作由分析人员的心智模型所决定。分类分类操作的约束条件表明分析人员关注网络数据的哪些方面。

4.3 轨迹表征

该轨迹定义了分析人员在数据分类分流中的分析式推理过程。

5 采集分析人员细粒度数据分类分流操作的最小反应方法

开发这样的采集方法有3个主要挑战：

（1）该方法应当采集在数据分类分流过程中分析人员认知过程的细粒度信息。应该能够显示描述分析人员的动作，包括对数据的过滤、对可疑事件的观察以及分析人员对可能攻击链的假设。

（2）该方法应是最小反应的（minimum reactive）。分析人员在极高的时间压力下面向快速变化的网空环境开展工作，而且维持工作记忆对找出已识别网络事件之间的关系来说是非常关键的。

（3）收集数据分类分流过程的轨迹，面临的挑战包括分析人员的可接近性，组织机构对保密信息泄露的担忧等。

这个方法包括3个主要组成部分：（1）对数据分类分流中分析人员认知过程的表征。（2）一个跟踪各个分析人员在数据分类分流中操作的计算机工具。（3）一个招募分析人员完成分析任务并同时跟踪他们相关操作的试验。

5.1 ARSCA：一个用于追踪数据分类分流操作的工具

为了保证非侵入性，遵循以下原理设计该工具：

（1）不会因使用该工具而影响分析人员的习惯常用做法；

（2）该工具不会给分析人员增加额外的工作量；

（3）该工具易于学习和使用。

该工具的功能包括：

（1）使能分析人员的数据分类分流操作；

支持数据分类分流操作，包括搜索、过滤和选择。分析人员能够根据特定端口或出现在数据源中的特定词语进行查询。支持分析人员对数据进行审查并将认为受关注的事件进行选择操作。

（2）记录分析人员的数据分类分流操作；

用户操作与时间戳会被软件自动采集。

（3）可视化展示和管理由分析人员操作所创建的AOH树和H树。

一旦分析人员完成一个分析任务，就会生成AOH树和H树。软件自动记录假设及相关观察。

5.2 收集数据分类分流操作轨迹

（1）试验设计：

试验设计了四个主要阶段：

1）任务前的问卷调查，用于询问领域知识、专业知识、身体状态和心智状态。

        5分制利克特量表

2）培训阶段，用于培训分析人员使用试验环境来开展数据分析工作。

        包括培训短视频、全过程演示

3）数据分类分流任务，分析人员在实验系统上进行数据分析任务。

4）任务后的问卷调查，包含开放式问题和封闭式问题。

（2）人员招募：

模拟的网空防御态势分析任务。

任务评价：

（1）必须确保该任务适合试验参与者在所需要的时间内完成；

（2）在检测发现与攻击相关的恶意网络事件的难度。

6. 数据分类分流认知轨迹的检索

通过初步的轨迹分析证明了所采集的分析人员的认知轨迹可以表现的专业经验和在任务中使用的分析策略。

该系统的一个关键是能技术是基于相似度的数据分类分流轨迹检索。

6.1 关于AOH模型的经验表征

第一步是定义态势感知数据分类分流中的“经验”概念。

分析人员完成一个特定任务所获得的一段经验，就是他完成一个数据分类分流任务的分析式推理过程。这个过程可以通过AOH模型进行建模，其中每个动作导致一个新的观察，测试分析人员生成一个或多个假设。

一个经验的实例可以用AOH树来表示。把一个动作和它对应的观察组成一对，以表示组成当前上下文的一个单元，称之为“经验单元”（EU）。

6.2 经验检索方法

上下文驱动的检索。根据经验“上下文”的定义，经检索方法的目标是搜索经验库找到与当前上下文相似的经验单元路径（EU Path），并根据找到的经验单元路径与当前上下文的相似成都生产一个排名列表。

P作为一个经验单元路径，Pc作为当前上下文，相似度表示为Sim（P,Pc）。

每一个经验单元路径是一组经验单元，使用杰卡德相似度来计算：

Sim（P，Pc）=

两个路径的相似度，取决于两个路径中包含的网络连接事件组之间的相似度。

基础匹配（BM）

加权匹配（WM）

经验检索系统：包括3个主要组件：经验库、索引模块和相似度排名模块。

用匹配传播（MP）算法基于经验单元路径与当前经验单元路径的相似度进行排名。

7. 相关工作

7.1 信息搜寻和数据融合

Bass描述数据融合技术，将OODA决策支持过程映射至不同的抽象层面，从而获得网空态势感知。

通过JDL可以接收“在不同层面的信息、从传感器数据，到来自数据库的先验信息，到人类的输入”。数据融合分为5个组件：数据源预处理、对象精炼、态势精炼、威胁精炼和过程精炼。

7.2 认知任务分析

CTA是研究人类工作过程的一种传统方法。

7.3 用于网空分析的智能系统

来自人类处理大量数据和维持工作记忆方面有限的认知能力，以及不同的认知偏见。为了应对这个调整，许多研究人员开发了来自AI和人机交互（HCI）领域的不同方法和技术。

案例推理（CBR）是使用“案例”来表征知识的一系列方法，通过进行形式化的推断或信息检索，来解决新问题并达成结论或形成解决方案。

除了自动化的代理，可以通过更好地交互界面来增强分析人员的数据处理。

4种主要的可视化方法：

（1）“概览+细节”，聚焦视图和上下文视图；

（2）放大，使用时间分隔方式展现；

（3）焦点+上下文 通过在上下文中显示焦点的方式来将视图之间的缝隙最小化

（4）基于线索的技术，在信息空间中选择性对信息项进行高亮或抑制。