一种基于流量特征的信息保障态势察觉方法

◆张继永

（91977部队 北京 100841）

联合作战信息保障（IA）是一种作战能力的体现，它包括感知、指挥、控制与响应能力。美国国防部早在2008年就已提出了信息保障战略计划，该计划从技术、运行管理、过程和人员四个方面，确立了信息保障能力建设的具体目标，其中信息保障的感知能力、执行能力，标准化、规范化水平，体系建设能力，信息保障产品、技术的培训能力，成为信息保障能力建设的核心；信息保障的感知能力作为体系建设的首要能力，对于其他能力的建设具有基础性、决定性的重要作用，所以信息保障感知方法研究成了信息安全保密领域的一个热点课题。

1 信息保障态势

执行联合作战任务的指挥控制活动，可以分为掌握作战态势-筹划推演方案-控制兵力行动-评估作战效果四个阶段。在作战任务执行过程中，首先要掌握战场态势变化，以此为依据开展作战方案的筹划和推演，指挥控制参战兵力，最后根据作战效果判断是否继续实施指挥控制。信息保障态势是战场态势的重要组成部分，包括网络安全态势和密码应用态势两个方面。

1.1 联合战场态势

态势感知是协同作战与联合作战的基础，美军已研制并装备了数量众多的战场态势感知系统，是其建设联合作战指挥系统（JC2）的重要任务[1]。

在联合作战体系中，各态势感知系统提供原始数据和信息，为多方实现共同的态势理解提供支持；其中包括对敌方、我方和中立方的作战要素部署情况的掌握，对态势和友方意图的理解，以及实现在联网的情报、监视、目标获取、侦察（ISTAR）和打击系统支持下指挥意图实现的各种方案[2]。我方的作战网络态势数据，是在作战过程中，由各指挥控制席位实施指挥活动产生的，包括通信设施、侦察预警设施和安全保密设施等，其中安全保密设施负责网络安全态势的掌握，同时还可以察觉网络中各类作战数据流量的状态。

1.2 网络安全态势

网络安全态势感知是指利用传统的通用技术手段，在网络环境中，采集网络流量、计算环境、安全事件、运行状况、威胁情报和审计日志等数据，分析用户异常行为、网络异常运行因素所构成的整个网络实时状态，获取、理解和评估能够引起网络状态发生变化的所有要素，预测网络安全状态的变化趋势[3]。

战场网络安全态势感知必须能够融合可获取的所有信息，并利用机器学习和大数据等技术，对网络的安全态势进行评估，为安全管理员和指挥员提供决策依据，将网络风险和损失降到最低，在提高网络的安全监控能力、优化能力、应急处置能力和预警监测能力等方面都具有重要的意义。

1.3 密码应用态势

文献[4]提出密码应用态势概念，是指“联合作战”指挥系统中，察觉到的密码技术、密码设备、密码系统和密码服务等基础数据和动态数据，并由此融合而形成的可供指挥员决策使用的状态信息。

美军非常重视联合作战指挥系统中的密码技术研究与密码产品研制，其基于信息安全技术与装备的强军优势非常明显[5]。美军密码现代化计划于今年（2020年）完成，综合集成现有信息处理系统，形成了多手段并用的，快速、大容量、标准化、抗干扰和安全保密一体化的陆海空天电新型密码装备保障体系，以满足以网络为中心的联合作战需要。

为此，我们也迫切需要构建联合作战指挥系统的密码应用态势感知与密码应用监管能力，形成密码应用的“可防护、可处置、可管理、可感知”的态势察觉体系，对联合作战指挥系统的密码应用进行全面有效监控；着力规避密码应用可能出现的风险，努力提升战场信息安全自主化的安全防护能力，对构建可管可控的联合作战网络生态具有重要作用。

2 态势察觉方法

2.1 联合察觉

在战场环境下，信息保障态势需察觉的设备种类多样，型谱繁杂，不仅包括各类网络设备，同时也包括各类密码设备；必须能够及时感知作战流量特征的各项指标并呈现给指挥员，态势察觉才有实际用途。因此，需要进行通用网络安全态势和密码应用态势联合察觉，其察觉架构如图1所示。

图1联合察觉架构示意图

联合作战网络如今已经逐渐发展演变为一个基于密码技术的软件定义网络（SDN），将通用的网络安全设备嵌入密码网络中，发挥其固有的安全监控能力，从而就可以实现对明文和密文数据流量特征的联合察觉、分析。联合作战指挥信息系统信息保障体系，由技术保障系统提供“支撑”[6]。技术保障系统由安全管理中心、密码管理中心、数字认证中心、应急响应和恢复中心、审计中心分系统组成，可为联合察觉提供了技术和装备基础，即由安全管理中心和密码管理中心协同完成安全保密态势察觉。

2.2 特征提取

网络流量特征提取是网络安全保密态势察觉的前提，可为战场态势感知提供信息来源，又可为高层次融合提供态势信息，最终可用于网络优化决策支持。

（1）普通流量。相较于传统网络来说，对于SDN，则可以从数据平面、控制层面和应用层面全方位提取网络流量特征值[7]。

（2）加密流量。通过加密流量实施察觉，能够从协议、应用、服务、异常等方面逐层进行精细化识别，最终实现加密与非加密流量识别、加密协议识别、加密应用识别、加密服务识别和异常加密流量识别等[8]。

网络流量特征识别的具体类型如表1所示。

表1网络流量特征类型

2.3 态势呈现

基于以上分析，结合经过智能化融合的联合察觉数据，我们可以生成可视化的联合作战网络实时作战数据流量状态，如图2所示。

图2联合作战网络实时流量状态示意图

其中，小圆点表示作战网络节点；粗线条箭头表示指挥控制信息流，细线条箭头表示侦察情报信息流，中等粗细线条箭头表示火力打击信息流。由于在联合作战环境下，可能需要将海量战场数据发送至网络所有节点，因此，面临如何优化信息流，从而将网络高效运行所需的带宽降到最低的挑战。基于该流量态势，运用网络图的邻接矩阵、变分不等式等数学手段，可以将联合作战超网络均衡化，从而完成网络的优化重构。

3 结束语

在联合态势感知体系组织管理下，针对联合作战指挥所、军种指挥所和任务部队对数据链网络的态势感知需求，信息保障态势监控部位根据情报需求及排序清单，基于本文提出的态势察觉方法，可以有效实施信息安全和密码应用态势监控任务规划，制定保障计划，确定各态势处理节点任务和态势信源、态势数据调配方案，以及分布式的态势处理流程；按照制定的保障计划开展态势监控任务组织，监视任务执行情况并对情报保障效果进行评估，针对作战进程和战场态势变化情况，及时调整态势组织保障方案。战场信息保障态势的生成，为联合作战超网络均衡研究提供了又一个契机。