態勢感知是指在特定的時間和空間下,對環境中各元素或物件的覺察、理解以及對未來狀態的**。它包含覺 察:資料收集;理解:物件行為及相互影響,以及**:基於規則的資訊對映等不同的內容和環節。初期,這一概念主要被應用於工業控制領域,美國空軍通訊與信 息中心的tim bass 在1999 年首次提出將態勢感知技術應用於多個nids 檢測結果的資料融合分析。在網際網路領域,其應用也是一樣。網路架構中接入的大量網路測量裝置,相當於部署了很多雷達,這些裝置實時檢測網路系統的狀態和可 能出現的風險。通過識別後將相關安全問題的資料收集、融合,再將融合後的資料進行分辨,以確認攻擊行為。然後對這些攻擊行為進行監測和排序,以確定哪個攻 擊行為的威脅度最強,從而對其作出反應。
網路安全態勢感知包括三個級別,第一是能夠感知攻擊的存在;第二是能夠識別攻擊者,或攻擊的意圖;最高端別是風險評估,通過對攻擊者行為的分析,評估該行為(包括預期的後續動作)對網路系統有什麼危害,從而為決策提供重要的依據。
目前的網路安全檢測通常包括兩步,一步是異常檢測,另一步是冗餘消除。異常檢測是基於攻擊的特徵和網路行為的基本規律來辨識異常網路行為的存 在。異常檢測大多數情況下是通過提取特徵的方式進行攻擊的識別,然後通過對網管系統獲取的原始執行資料,ids 檢測到的安全事件、原始攻擊報文等相關資料進行處理,通過格式轉化、冗餘消除等細節操作,進行資料融合。在此基礎上,通過某種資料探勘或集群分類的演算法, 獲得相關的檢測結果。
網路安全態勢感知的物件行為是指被管網路中ip 位址和網域名稱的行為語義,包括物件的行為模型:從時間、空間的角度;物件的行為分類:基於語義的異常判斷;物件的行為關聯性:發現活動的語義等。基於對物件 和行為的分類和整理,可以形成對態勢的認知,既對被管網路的威脅評估。
對於網路安全態勢感知而言,物件狀態的辨識是基礎性的。例如,對被管網路相關ip 位址和網域名稱的辨識要包括其管理歸屬資訊、使用位置資訊、承載服務的角色資訊等。在實際的操作中態勢感知的實現需要對大量的資料進行收集融合和整理,對相關 資料的獲取與管理需要考慮兩類不同的問題。鑑於這些資料在規模、結構和處理時限方面的特徵,這是乙個類大資料問題,需要確定收集什麼,儲存多久,抽樣方法 以及這些資料的隱私與安全等問題。另一類是相應的高效能問題,如面對萬兆網路環境,依託多處理器環境和非標準記憶體資料庫等。
過去對網路安全態勢感知技術的研究主要集中在對網路攻擊行為的檢測和對這些檢測結果的歸納,而這種歸納通常基於某種特定的理論模型。然而態勢感 知是乙個認知過程,對其建立普適的模型仍然是乙個未解決的問題。認知是乙個反饋的學習過程,預設的模型會表現出對這個過程的限制,因此現有的這類系統都存 在侷限性和不準確性。視覺化分析技術的興起給網路安全態勢感知的研究帶來新的方向,即系統完成資訊收集功能,而將認知工作交給人來做,系統應該提供表達能 力和通用分析功能,既支援資料的探索,使得分析人員可以快速獲得嘗試性結果。例如,對於惡意服務和威脅的視覺化,可考慮在知覺能力的限制基礎上實現大規模 的圖形視覺化,以便於網管人員通過圖形更加容易地發現問題。
美國推出網路安全態勢感知計畫
美國國家標準及技術研究所 nist 提出了乙個名為 態勢感知 的計畫,旨在保護能源公司免受黑客針對其電網開展的攻擊。該計畫到4月17日前將廣泛收集相關建議。按照該計畫,能源公司需要對其正在執行的技術進行實時跟蹤,還需要對與實物資產管理相關的資訊科技加以保護,以便能夠盡早檢測到異常事件或安全漏洞,並生...
銳捷RG BDS,態勢感知技術助力網路安全前行
在資訊科技與網際網路快速發展的今天其實是機遇與挑戰並存。一方面科學技術的創新為我們帶來機遇,另一方面黑客攻擊的手段也在不斷地發展,如何安全防護保證資訊保安成為人們熱議的話題。網路安全 態勢感知 也必將成為抵禦未知威脅最鋒利的 銳捷網路響應國家的號召,迎合時代的需求,發布了網路威脅治理解決方案,推出大...
day19 part1 網路安全態勢感知
網路安全態勢感知 網路安全態勢感知研究綜述 席榮榮,雲曉春,金舒原等 在融合各種網路安全要素的基礎上從巨集觀的角度實 估網路的安全態勢,並在一定條件下對網路安全態勢的發展趨勢進行 態勢感知sa situation awareness 在一定時空範圍內,認知 理解環境因素,並且對未來的發展趨勢進行 根...