具备安全态势感知能力的安全管理平台
1 安全态势感知概述
1.1 态势感知溯源
如果追根溯源,态势感知(SituationAwareness)这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(HumanFactor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。
一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(BlackboardSystem),可由下图所示的三级模型来表示:
图:态势感知核心过程示意图
当前,态势感知领域还有一个发展方向是复杂事件处理(Complex EventProcessing,简称CEP),主要应用于金融、能源等行业的商业智能分析过程。基于CEP,学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用,本文不再讨论。
应当说,到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离产品化还有不少的距离。
但是,基于安全态势感知理论,部分技术已经可以指导现在的产品研发,并且一部分较成熟技术和模型已经实现了产品化和商业化。 3 实例分析:安全管理系统的态势感知模型 下图展示了一个安全管理系统的态势感知模型: |
- 要素信息采集:在SOC2.0中,要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志,等等。
- 事件归一化:对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展,例如增加地理位置信息,增加 CIA安全属性,增加分类属性,等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面,事件会进入实时事件库,供态势评估使用,另一方面,事件会同时进入历史事件数据库,进行持久化存储,为历史数据挖掘、追踪及分析服务。此外,归一化后的事件可以直接可视化展示在用户界面上。
- 事件预处理:也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如,某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析,并转变为标准化事件。事件预处理是可选的处理过程。
- 态 势评估:包括关联分析(Correlation Analysis)、态势分析(Situation Analysis)、态势评价(Situation Evaluation),核心是事件关联分析。关联分析就是要使用采用数据融合(Data Fusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
- 业务评估:包括业务风 险评估(Business Risk Assessment)和业务影响评估(Business Impact Assessment),还包括业务合规审计(BusinessComplianceAudit)。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
- 预警与响应:态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
- 流程处理:主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中,该功能是由独立的运维管理系统(OperationManagement System)担当。
- 用户接口(态势可视化):实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
- 历史数据分析:这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。
5 小结
[1] Mica R. Endsley. Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors Journal.1995,37(1) :32-64.
[2] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, Communications of the ACM, April 2000/ Vol.43.No.4, pp. 99-105.
[3] White, F.E., A Model for Data Fusion, Proc. 1st National, Symposium on Sensor Fusion, 1988.
[4] Tim Bass, Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems, 1999 IRIS National Symposium on Sensor and Data Fusion, 24-27 May 1999.
[5] James Llinas, Christopher Bowman et al., Revisiting the JDL Data Fusion Model II, Proceedings of the Seventh International Conference on Information Fusion., 2004.
[6] 韦勇, 连一峰, 基于日志审计与性能修正算法的网络安全态势评估模型, 计算机学报, 2009.4, 32(4): 763-772.
具备安全态势感知能力的安全管理平台相关推荐
- CoordConv:给卷积加上坐标,从而使其具备了空间感知能力【附Pytorch实现】
论文地址:https://arxiv.org/pdf/1807.03247.pdf 1.动机 传统卷积具备平移不变性,这使得其在应对分类等任务时可以更好的学习本质特征.不过,当需要感知位置信息时,传统 ...
- 当机器具备跨模态感知能力后,会有智商吗?| MixLab人工智能
大家好,我叫大铮,这是我的第一个专栏.我们将从脑科学,语言学,符号逻辑,决策推理等多个角度深入探讨什么是跨模态感知,再从人工智能的角度,来认识跨模态感知的具体实现. 希望通过这个专栏能让大家知道:人类 ...
- 新态势感知系列(1):从态势感知到全方位态势感知
新态势感知系列(1):从态势感知到全方位态势感知 Last Modified @2017/12/2 1 引言 随着2016年的419讲话中提到要"全天候全方位感知网络安全态势&qu ...
- 启明星辰:安全管理平台(SOC)
泰 合信息安全运营中心(Security Operation Center)系统是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控.审计.风险.运维四个维度建立起来的一套可度量的统 ...
- CS4:新一代SOC与态势感知大会 六家安全厂商分享核心解决方案
今年8月,安全牛发布了基于全景图中"SOC/iSOC"子领域厂商所展开调研的<新一代SOC研究报告>(包含技术和市场指南),在业内反响颇为强烈.以此为契机,安全牛在上周 ...
- 新一代态势感知系统发布——北望
为应对日益复杂的网络安全态势,提升行业用户整体安全运营能力, 3月31日紫光股份旗下新华三集团正式发布"北望"新一代态势感知系统,充分释放"云智原生"的全栈技术 ...
- 浅谈网络安全态势感知
一.基本概念 前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是: 态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态. 在这个定义中,我们 ...
- 网络空间态势感知 序
<网络空间安全防御与态势感知> 作者前言 第一章:操作员怎样形成感知,关于态势感知的要求.必要性和当前面临的问题. 第二章:传统战争中的态势感知KSA和网空态势感知CSA的比较.相关性和差 ...
- 态势感知与安全运营平台详细介绍
态势感知与安全运营平台以大数据平台为基础,通过收集多元. 异构的海量日志,利用关联分析.机器学习.威胁情报等技术,帮助 企业持续监测网络安全态势,实现从被动防御向积极防御的进阶,为 安全管理者提供风险 ...
最新文章
- linux网络驱动架构,Linux网络体系架构和网卡驱动设计
- 转:YUV RGB 常见视频格式解析
- 数组第一个值_Excel公式技巧69:查找第一个非空值
- Github上AI在银行和保险的应用列表
- 学python心得体会1000字-Python学习心得体会总结,不要采坑
- 模拟 Codeforces Round #249 (Div. 2) C. Cardiogram
- Ruby中对象数组排序
- Chinese savior crepe
- python多线程锁有没有优先级别_全面解析python线程优先级队列(queue)原理
- 运行效果演示-修改applcation-db.xml 文件
- oracle中alter用法,将oracle的create语句更改为alter语句使用
- [转]Tomcat中8005/8009/8080/8443端口的作用
- 一起开心2020暑假训练第二周 图论(模板题)
- 文件桌面跟计算机同步删除吗,电脑里桌面文件被不慎覆盖了如何恢?
- php正则去除base64,使用PHP preg_match_all的正则表达式base64块
- [hihoCoder] 第五十周: 欧拉路·二
- java基本命令_java基础篇 快捷键 常见Dos命令等等
- onepill Android端
- tcpdump如何判断丢包_亿级规模的高可用微服务系统,如何轻松设计?
- 面向对象(Python):学习笔记之封装
热门文章
- VTK:Picking之HighlightSelection
- OpenGL noperspective在窗口空间中线性插值的实例
- OpenGL 高级GLSL(Advanced GLSL)
- STL常用的排序算法
- python中的rstrip函数_Python strip() lstrip() rstrip() 函数 去除空格
- 09_分类算法--k近邻算法(KNN)、案例、欧氏距离、k-近邻算法API、KNeighborsClassifier、及其里面的案例(网络资料+学习资料整理笔记)
- B08_NumPy 广播(Broadcast)
- Docker私有仓库管理,删除本地仓库中的镜像
- windows下安装Oracle10G
- Kettle使用_15 文件操作复制文件到结果