浅谈网络安全态势感知
一、基本概念
前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:
态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。
在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解、预测。并且这三个要素存在着层次上的递进关系:
- 感知:感知和获取环境中的重要线索和元素;
- 理解:整合感知到的数据和信息,分析其相关性;
- 预测:基于对环境信息的感知和理解,预测相关知识在未来的发展趋势。
对应到网络安全领域,我们可以给网络安全态势感知一个基本的描述:
网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户。
其对应的过程也可以分解为以下四个:
- 数据采集: 通过各种检测工具,对影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。
- 态势理解: 对采集到的数据使用分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知的基础。
- 态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。
- 态势预测:通过对态势评估输出的数据进行建模分析,预测网络安全状况的发展趋势, 这一步是态势感知的目标。
二、整体架构
以下一个成熟的安全态势感知系统的整体架构示意图:
可以看到,基本还是遵循了安全态势感知的分层次概念的。
- 首先通过多个数据源,采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。
- 然后通过数据清洗、融合、归一化等手段,使数据能在某些层面反映出网络的安全态势状况。
- 之后,智能分析层通过对数据的进一步分析,评估网络的安全态势,预测网络安全态势发展趋势。
- 评估和预测结果在交互呈现层以数据可视化的形式展现出来。
三、主要功能
网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下八部分:
- 资产评估:评估网络中每个资产的性能状况和安全状况,包括资产的性能利用率、重要性、存在的威胁和脆弱性的数量、安全状况等;
- 威胁评估:评估网络中恶意代码和网络入侵的类型、数量、分布节点和危害等级等;
- 脆弱性评估:评估网络中漏洞和管理配置脆弱性的类型、数量、分布节点和危害等级等;
- 安全事件评估:评估网络中安全事件的类型、数量、分布节点和危害等级等;
- 整体态势评估:综合分析网络的安全状态、给出网络的安全态势值,包括整个网络的安全态势的保密性、完整性和可用性分量及综合态势值;
- 安全态势预测:预测网络中威胁数量、脆弱性数量、安全事件和整体态势的发展趋势;
- 加固方案:分析危害最大的威胁、脆弱性和安全事件,给出相应的解决方法;
- 报表生成:根据不同的应用需求,生成不同的安全报表,安全报表的格式规范、内容详实、针对性强。
从平台建设的角度来讲,一个安全态势感知平台应该具备如下功能:
- 可视:通过多维度的安全数据仪表盘,将网络重点环节的实时运行及安全状态多维度的展示给安全人员,方便安全人员及时掌握网络整体状况。
- 可知: 全量收集各种安全数据,便提供检索功能,便于安全人员从海量日志中查找到安全事件对应的日志。
- 可管: 通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。
- 可控: 充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。
- 可塑:通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。
- 可预警:实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。
四、发展趋势
态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币,占安全市场的5%。国内的厂商平台一般含有的功能:资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前,态势感知更多是提供数据分析结果,在大数据分析技术应用与预测方面,仍然做的不够。
当前安全态势感知的发展状态:
- 安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台,实现了集中存储。
- 以资产为核心,通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配,呈现网络的安全风险状况。
- 多以汇总数据和静态呈现为主,采用定期刷新统计数据为主,智能分析技术应用较少。
- 主要定位于事件分析、风险可视、告警管理等。
- 整合了一定报表生成功能,以满足内控、审计方面的要求。
未来态势感知的发展趋势:
- 数据采集阶段,态势感知2.0要求安全厂商以API接口和SDN网络对接,突破Vxlan技术限制,使之可以采集东西向的流量。在云环境时代,东西流量占据了业务流量的大部分。
- 态势感知与大数据、人工智能联合,将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理,可以满足近实时的风险发现。
- 结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理,提高对未来的预测、实时处置能力。系统可以从采集的数据中学习,形成一个具有自身相关特性的分析模型。
- 系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化,使其态势感知能力可以随着保护对象的规模变化而动态变化。
五、总结
安全态势感知是一种新兴的安全概念,而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍,可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上,进行数据整合、特征提取,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况。最后在交互层,使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷的了解网络当前状态及预期的风险。
参考资料:
《网络安全态势感知模型研究与系统实现》
《网络安全态势感知关键技术研究及发展趋势分析》
知乎回答
锐捷安全态势感知解决方案
云安全:浅谈态势感知
浅谈网络安全态势感知相关推荐
- 径向基函数神经网络_基于RBF神经网络的网络安全态势感知预测研究
点击上方"网络空间安全学术期刊"关注我们 基于RBF神经网络的网络安全态势 感知预测研究 钱建, 李思宇 摘要 针对网络安全态势的感知问题,结合巨龙山和者磨山风电场的运行情况,文章 ...
- 基于机器学习的网络安全态势感知
人工智能技术与咨询 点击蓝字 · 关注我们 来源:<计算机科学与应用> ,作者杨怡等 关键词: 机器学习:态势感知:关联分析:攻击场景重建 摘要: 摘要: 在传统网络防御手段抵御攻击的基础 ...
- matlab rawdat,工控网络安全态势感知算法实现.pdf
工控网络安全态势感知算法实现 第33卷第8期 控制理论与应用 v01.33N..8 2016年8月 Control Theory&Applicafions Aug.2016 DOI:10.76 ...
- 网络安全态势感知研究综述、MD5C#实现
之前接触过一点网络空间安全相关的东西,做了一些笔记,简单分享一下. 笔记三 网络安全态势感知研究综述 对经典的态势感知模型和新发展的网络安全态势感知模型进行了总结与对比:介绍了网络安全态势感知的关键技 ...
- 【网络安全态势感知学习笔记】——“行远自迩”基础篇一:网络安全态势感知的基本概念
文章目录 1. 网络安全态势感知的基本概念 1.1 态势感知的基本概念 1.2 网络安全态势感知 1.2.1 网络安全态势感知的定义 1.2.2 网络安全态势感知的阶段 1.2.3 网络安全态势感知的 ...
- 城市网络安全态势感知工作思路探析
一. 工作背景 当今城市治理智能化大趋势下,市级基础网络.云平台.大数据.重要业务系统以及网站群等信息化资源呈集中化态势,安全已成为重中之重.<网络安全法>对网络安全管理工作明确规定:网信 ...
- 聊聊网络安全态势感知之一
引言 为应对日益突出的网络安全问题,多种安全防护设备被用来监测大量的风险事件,对网络进行安全防护,包括入侵检测系统.防火墙和漏洞检测系统等.这些设备仅限于对攻击行为采取局部的检测和防护措施,设备之间缺 ...
- 第一章 开启网络安全态势感知的旅程
1.1 引言 网络安全态势感知本质上就是获取并理解大量网络安全数据,判断当前整体安全状态并预测短期未来趋势.总体而言,分为三个阶段:态势提取.态势理解和态势预测. 1.2 网络安全监视 1.2.1 计 ...
- 新鲜出炉!由腾讯安全深度参编的“首份网络安全态势感知国家标准”发布
近日,公安部第三研究所牵头.腾讯安全深度参编的信息安全国家标准<信息安全技术-网络安全态势感知通用技术要求>,由国家标准化管理委员会正式发布,将于2023年10月1日起实施. 作为国内首份 ...
最新文章
- Jewels and Stones
- r语言electricity数据集_R语言学习-数据集
- 深入redis内部之redis启动过程之一
- Navicat向sqlserver中插入数据时提示:当 IDENTITY_INSERT 设置为 OFF 时,不能向表中的标识列插入显式值
- Spring 5 新特性:函数式Web框架
- node.js 函数外定义的变量 函数内赋值后为什么不能带出_(44)python少儿编程之函数(五)--- 作用域...
- Codeforce 水题报告(2)
- ElasticSearch学习笔记-02集群相关操作_cat参数
- 埃及分数The Rotation Game骑士精神——IDA*
- PowerDesigner15连接Oracle数据库并导出Oracle的表结构
- Linux工作笔记033---Linux(CentOS7)安装zip、unzip命令
- lvs的dr和nat模式配置备忘
- MyEclipse设置默认注释的格式
- 前后端分离式分布式微服务架构项目 学成在线开发项目 源码 视频 文档 工具 合集百度云下载地址
- swiftyjson_是时候放弃SwiftyJSON了
- STM8 低功耗设计
- 有谁知道iphone XR的“R”到底是什么意思?答案可能会让你们无奈
- demoのpython学习笔记【2】——文件操作、面向对象的函数、HTML基础
- 12306订票候补是个坑_重磅!12306候补购票正式上线,实测你可能连排队的机会都没有!...
- IoT with Mongodb cloud