4000-110-253
聊聊網絡安全态勢感知之一. 2020-07-14
引言
為(wèi)應對日益突出的網絡安全問題,多(duō)種安全防護設備被用來(lái)監測大(dà)量的風險事件,對網絡進行(xíng)安全防護,包括入侵檢測系統、防火(huǒ)牆和(hé)漏洞檢測系統等。這些(xiē)設備僅限于對攻擊行(xíng)為(wèi)采取局部的檢測和(hé)防護措施,設備之間(jiān)缺乏有(yǒu)效協作(zuò),使得(de)網絡管理(lǐ)員不能準确地定位網絡脆弱點,無法及時(shí)地發現惡意攻擊以及不能全面地把握網絡安全狀态。為(wèi)彌補安全防護設備的不足,學術(shù)界提出網絡安全态勢感知技(jì)術(shù),目的是對網絡入侵行(xíng)為(wèi)進行(xíng)主動防禦,預先實現網絡安全防護。本文将從網絡安全态勢感知的定義、模型以及意義三個(gè)方面對網絡安全态勢感知進行(xíng)概述。
什麽是網絡安全态勢感知
已有(yǒu)文獻從不同的角度來(lái)定義網絡安全态勢感知。
第一、從網絡系統的角度,Bode等[5]定義網絡安全态勢是感知網絡系統受到随機的、有(yǒu)組織的入侵行(xíng)為(wèi),分析網絡系統過去的、現在的安全事件,評估網絡安全狀态以及預測将來(lái)的安全趨勢。
第二、從網絡信息資産的角度,Masduki等[6]定義網絡安全态勢感知能夠分析網絡信息,識别網絡攻擊并評估其對網絡系統造成的影(yǐng)響,衡量安全風險,幫助網絡管理(lǐ)員制(zhì)定決策,得(de)出保護資産的最佳方法。
第三、從網絡管理(lǐ)員的角度,Adenusi等[7]指出網絡安全态勢感知是處理(lǐ)網絡系統不确定性的主動手段,幫助網絡管理(lǐ)員分析網絡安全狀态。
第四、從網絡信息的角度,Carrega等[8]指出網絡安全态勢感知可(kě)以在計(jì)算(suàn)機操作(zuò)活動中實現,該操作(zuò)活動集成了與網絡相關的所有(yǒu)信息,在識别攻擊及制(zhì)定響應決策的過程中,這些(xiē)信息是不可(kě)或缺的。
以上(shàng)定義側重系統或信息一個(gè)角度來(lái)描述網絡安全态勢感知,但(dàn)沒有(yǒu)說明(míng)感知的過程和(hé)信息的內(nèi)容,也沒有(yǒu)全面涉及網絡環境和(hé)網絡數(shù)據。因此,我們認為(wèi):網絡安全态勢感知是感知網絡環境并提取網絡數(shù)據,獲取影(yǐng)響網絡安全态勢的因素,分析網絡數(shù)據和(hé)影(yǐng)響因素的相關性,得(de)到強相關的影(yǐng)響因素,然後理(lǐ)解這些(xiē)影(yǐng)響因素,評估網絡安全狀态并預測其發展趨勢,制(zhì)定決策,執行(xíng)主動防禦,實現安全防護。
網絡安全态勢感知對于網絡安全防護具有(yǒu)重要的意義,通(tōng)過全面把握網絡安全狀态及發展趨勢,能夠有(yǒu)效評估安全事件發生(shēng)的可(kě)能性,實時(shí)監測網絡攻擊以緩解其造成的危害,網絡安全态勢感知技(jì)術(shù)與傳統安全設備檢測方式結合,發現潛在的惡意入侵行(xíng)為(wèi),提高(gāo)網絡系統的反擊能力和(hé)應急響應能力。
網絡安全态勢感知模型由哪些(xiē)部分構成
網絡安全态勢感知過程是通(tōng)過感知網絡環境來(lái)提取網絡數(shù)據,并通(tōng)過理(lǐ)解這些(xiē)數(shù)據來(lái)評估網絡安全狀态和(hé)預測未來(lái)發展趨勢,得(de)到評估和(hé)預測的數(shù)據用來(lái)制(zhì)定決策,最後采取響應措施進行(xíng)主動防禦,反饋給網絡環境實現安全防護,提高(gāo)網絡防禦能力。
網絡安全态勢感知模型的構建分為(wèi)網絡環境感知、态勢理(lǐ)解和(hé)态勢預測三部分。
網絡環境感知是感知網絡環境并提取網絡數(shù)據。對于複雜動态的網絡環境和(hé)繁多(duō)冗雜的數(shù)據,研究者采用防病毒軟件、漏洞掃描、滲透測試、網絡掃描、密碼破解工具、防火(huǒ)牆和(hé)入侵檢測系統等技(jì)術(shù)來(lái)收集網絡數(shù)據,或通(tōng)過資産列表、風險識别、調查、事件響應報告等方式來(lái)收集網絡數(shù)據。為(wèi)了獲取全面且準确的網絡數(shù)據,研究者常用條件随機場(chǎng)、進化神經網絡和(hé)聚類分析等方法對原始數(shù)據進行(xíng)預處理(lǐ)來(lái)提取網絡數(shù)據。
态勢理(lǐ)解是整合提取的網絡數(shù)據,分析數(shù)據之間(jiān)的相關性,定位網絡脆弱點,評估安全事件發生(shēng)的可(kě)能性,得(de)到評估數(shù)據來(lái)制(zhì)定決策,進行(xíng)主動防禦。這部分是網絡安全态勢感知的核心,研究人(rén)員對不同的數(shù)據采用不同的方法進行(xíng)分析,其中有(yǒu)自适應共振理(lǐ)論模型、貝葉斯網絡分類器(qì)和(hé)博弈模型等。
态勢預測是基于态勢理(lǐ)解輸出的網絡數(shù)據,預測網絡安全狀況,得(de)到預測數(shù)據來(lái)制(zhì)定決策,執行(xíng)主動防禦。這部分是網絡安全态勢感知的目标,不僅要預測網絡威脅攻擊以及攻擊者的下一步行(xíng)動,還(hái)要克服對數(shù)據完整性的依賴,預測網絡安全狀态的發展趨勢。
網絡安全态勢感知的意義
網絡面臨嚴峻的數(shù)據洩漏、惡意攻擊、系統漏洞和(hé)病毒入侵等安全問題,網絡安全防護技(jì)術(shù)引起政府和(hé)企業的廣泛關注。網絡安全态勢感知将網絡環境感知、态勢理(lǐ)解和(hé)态勢預測三個(gè)部分合為(wèi)一體(tǐ),提高(gāo)了對網絡安全進行(xíng)持續監測的能力,使得(de)安全人(rén)員及時(shí)發現網絡異常,對攻擊目的、攻擊手段、攻擊路徑以及威脅相關的影(yǐng)響範圍進行(xíng)快速判斷,從而将網絡風險和(hé)損失降到最低(dī)。網絡安全态勢感知能夠從宏觀角度分析網絡安全狀态,預測未來(lái)趨勢,實時(shí)感知網絡威脅,響應網絡攻擊,為(wèi)決策提供可(kě)靠依據。網絡安全态勢感知與漏洞分析、損失評估和(hé)機器(qì)學習等方法相結合,幫助網絡分析師(shī)評估風險狀況以及預測未來(lái)發展趨勢。
轉自中保密協會(huì)科學技(jì)術(shù)分會(huì)
