隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性不斷增大贺奠,網(wǎng)絡(luò)的攻擊技術(shù)不斷革新东涡,新型攻擊工具大量涌現(xiàn),傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯得力不從心棚潦,網(wǎng)絡(luò)入侵不可避免令漂,網(wǎng)絡(luò)安全問題越發(fā)嚴(yán)峻。
單憑一種或幾種安全技術(shù)很難應(yīng)對(duì)復(fù)雜的安全問題,網(wǎng)絡(luò)安全人員的關(guān)注點(diǎn)也從單個(gè)安全問題的解決叠必,發(fā)展到研究整個(gè)網(wǎng)絡(luò)的安全狀態(tài)及其變化趨勢(shì)荚孵。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行獲取、理解纬朝、評(píng)估以及預(yù)測(cè)未來的發(fā)展趨勢(shì)收叶,是對(duì)網(wǎng)絡(luò)安全性定量分析的一種手段,是對(duì)網(wǎng)絡(luò)安全性的精細(xì)度量共苛,態(tài)勢(shì)感知成已經(jīng)為網(wǎng)絡(luò)安全2.0時(shí)代安全技術(shù)的焦點(diǎn)判没,對(duì)保障網(wǎng)絡(luò)安全起著非常重要的作用。
一隅茎、態(tài)勢(shì)感知基本概念
1.1 態(tài)勢(shì)感知通用定義
隨著網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究領(lǐng)域的不同澄峰,人們對(duì)于態(tài)勢(shì)感知的定義和理解也有很大的不同,其中認(rèn)同度較高的是Endsley博士所給出的動(dòng)態(tài)環(huán)境中態(tài)勢(shì)感知的通用定義:
態(tài)勢(shì)感知是感知大量的時(shí)間和空間中的環(huán)境要素辟犀,理解它們的意義俏竞,并預(yù)測(cè)它們?cè)诓痪脤淼臓顟B(tài)。
在這個(gè)定義中堂竟,我們可以提煉出態(tài)勢(shì)感知的三個(gè)要素:感知魂毁、理解和預(yù)測(cè),也就是說態(tài)勢(shì)感知可以分成感知出嘹、理解和預(yù)測(cè)三個(gè)層次的信息處理席楚,即:
感知:感知和獲取環(huán)境中的重要線索或元素;
理解:整合感知到的數(shù)據(jù)和信息疚漆,分析其相關(guān)性酣胀;
預(yù)測(cè):基于對(duì)環(huán)境信息的感知和理解,預(yù)測(cè)相關(guān)知識(shí)的未來的發(fā)展趨勢(shì)娶聘。
1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念
目前闻镶,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知并未有一個(gè)統(tǒng)一而全面的定義,我們可以結(jié)合態(tài)勢(shì)感知通用定義來對(duì)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知給出一個(gè)基本描述丸升,即:
網(wǎng)絡(luò)安全態(tài)勢(shì)感知是綜合分析網(wǎng)絡(luò)安全要素铆农,評(píng)估網(wǎng)絡(luò)安全狀況,預(yù)測(cè)其發(fā)展趨勢(shì)狡耻,并以可視化的方式展現(xiàn)給用戶墩剖,并給出相應(yīng)的報(bào)表和應(yīng)對(duì)措施。
根據(jù)上述概念模型夷狰,網(wǎng)絡(luò)安全態(tài)勢(shì)感知過程可以分為一下四個(gè)過程:
1)數(shù)據(jù)采集:通過各種檢測(cè)工具岭皂,對(duì)各種影響系統(tǒng)安全性的要素進(jìn)行檢測(cè)采集獲取,這一步是態(tài)勢(shì)感知的前提沼头;
2)態(tài)勢(shì)理解:對(duì)各種網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)進(jìn)行分類爷绘、歸并书劝、關(guān)聯(lián)分析等手段進(jìn)行處理融合,對(duì)融合的信息進(jìn)行綜合分析土至,得出影響網(wǎng)絡(luò)的整體安全狀況购对,這一步是態(tài)勢(shì)感知基礎(chǔ);
3)態(tài)勢(shì)評(píng)估:定性陶因、定量分析網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)和薄弱環(huán)節(jié)骡苞,并給出相應(yīng)的應(yīng)對(duì)措施,這一步是態(tài)勢(shì)感知的核心楷扬;
4)態(tài)勢(shì)預(yù)測(cè):通過對(duì)態(tài)勢(shì)評(píng)估輸出的數(shù)據(jù)解幽,預(yù)測(cè)網(wǎng)絡(luò)安全狀況的發(fā)展趨勢(shì),這一步是態(tài)勢(shì)感知的目標(biāo)毅否。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知要做到深度和廣度兼?zhèn)溲翘瑥亩鄬哟巍⒍嘟嵌让印⒍嗔6确治鱿到y(tǒng)的安全性并提供應(yīng)對(duì)措施,以圖吞琐、表和安全報(bào)表的形式展現(xiàn)給用戶捆探。
二、態(tài)勢(shì)感知常用分析模型
在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的分析過程中站粟,會(huì)應(yīng)用到很多成熟的分析模型黍图,這些模型的分析方法雖各不相同,但多數(shù)都包含了感知奴烙、理解和預(yù)測(cè)的三個(gè)要素助被。
2.1 始于感知:Endsley模型
Endsley模型中,態(tài)勢(shì)感知始于感知切诀。
感知包含對(duì)網(wǎng)絡(luò)環(huán)境中重要組成要素的狀態(tài)揩环、屬性及動(dòng)態(tài)等信息,以及將其歸類整理的過程幅虑。
理解則是對(duì)這些重要組成要素的信息的融合與解讀丰滑,不僅是對(duì)單個(gè)分析對(duì)象的判斷分析,還包括對(duì)多個(gè)關(guān)聯(lián)對(duì)象的整合梳理倒庵。同時(shí)褒墨,理解是隨著態(tài)勢(shì)的變化而不斷更新演變的,不斷將新的信息融合進(jìn)來形成新的理解擎宝。
在了解態(tài)勢(shì)要素的狀態(tài)和變化的基礎(chǔ)上郁妈,對(duì)態(tài)勢(shì)中各要素即將呈現(xiàn)的狀態(tài)和變化進(jìn)行預(yù)測(cè)。
2.2 循環(huán)對(duì)抗:OODA模型
OODA是指觀察(Oberve)绍申、調(diào)整(Orient)噩咪、決策(Decide)以及行動(dòng)(Act)锄奢,它是信息戰(zhàn)領(lǐng)域的一個(gè)概念。OODA是一個(gè)不斷收集信息剧腻、評(píng)估決策和采取行動(dòng)的過程拘央。
將OODA循環(huán)應(yīng)用在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中,攻擊者與分析者都面臨這樣的循環(huán)過程:在觀察中感知攻擊與被攻擊书在,在理解中調(diào)整并決策攻擊與防御方法灰伟,預(yù)測(cè)對(duì)手下一個(gè)動(dòng)作并發(fā)起行動(dòng),同時(shí)進(jìn)入下一輪的觀察儒旬。
如果分析者的OODA循環(huán)比攻擊者快栏账,那么分析者有可能“進(jìn)入”對(duì)方的循環(huán)中,從而占據(jù)優(yōu)勢(shì)栈源。例如通過關(guān)注對(duì)方正在進(jìn)行或者可能進(jìn)行的事情挡爵,即分析對(duì)手的OODA環(huán),來判斷對(duì)手下一步將采取的動(dòng)作甚垦,而先于對(duì)方采取行動(dòng)茶鹃。
2.3 數(shù)據(jù)融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系統(tǒng)中的一種信息處理方式,由美國(guó)國(guó)防部成立的數(shù)據(jù)融合聯(lián)合指揮實(shí)驗(yàn)室提出艰亮。
JDL模型將來自不同數(shù)據(jù)源的數(shù)據(jù)和信息進(jìn)行綜合分析闭翩,根據(jù)它們之間的相互關(guān)系,進(jìn)行目標(biāo)識(shí)別迄埃、身份估計(jì)疗韵、態(tài)勢(shì)評(píng)估和威脅評(píng)估,融合過程會(huì)通過不斷的精煉評(píng)估結(jié)果來提高評(píng)估的準(zhǔn)確性侄非。
在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中蕉汪,面對(duì)來自內(nèi)外部大量的安全數(shù)據(jù),通過JDL模型進(jìn)行數(shù)據(jù)的融合分析逞怨,能夠?qū)崿F(xiàn)對(duì)分析目標(biāo)的感知者疤、理解與影響評(píng)估,為后續(xù)的預(yù)測(cè)提供重要的分析基礎(chǔ)和支撐骇钦。
2.4 假設(shè)與推理:RPD模型
RPD(Recognition Primed Decision)模型中定義態(tài)勢(shì)感知分為兩個(gè)階段:感知和評(píng)估宛渐。
感知階段通過特征匹配的方式,將現(xiàn)有態(tài)勢(shì)與過去態(tài)勢(shì)進(jìn)行對(duì)比眯搭,選取相似度高的過去態(tài)勢(shì)窥翩,找出當(dāng)時(shí)采取的哪些行動(dòng)方案是有效的。評(píng)估階段分析過去相似態(tài)勢(shì)有效的行動(dòng)方案鳞仙,推測(cè)當(dāng)前態(tài)勢(shì)可能的演化過程寇蚊,并調(diào)整行動(dòng)方案。
以上方式若遇到匹配結(jié)果不理想的情況棍好,則采取構(gòu)造故事的方式仗岸,即根據(jù)經(jīng)驗(yàn)探索潛在的假設(shè)允耿,再評(píng)估每個(gè)假設(shè)與實(shí)際發(fā)生情況的相符度。在RPD模型中對(duì)感知扒怖、理解和預(yù)測(cè)三要素的主要體現(xiàn)為:基于假設(shè)進(jìn)行相關(guān)信息的收集(感知)较锡,特征匹配和故事構(gòu)造(理解),假設(shè)驅(qū)動(dòng)思維模擬與推測(cè)(預(yù)測(cè))盗痒。
三蚂蕴、態(tài)勢(shì)感知應(yīng)用關(guān)鍵點(diǎn)
當(dāng)前,單維度的網(wǎng)絡(luò)安全防御技術(shù)手段俯邓,已經(jīng)難以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境和大量存在的安全問題骡楼,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知具體模型和技術(shù)的研究,已經(jīng)成為2.0時(shí)代網(wǎng)絡(luò)安全技術(shù)的焦點(diǎn)稽鞭,同時(shí)很多機(jī)構(gòu)也已經(jīng)推出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知產(chǎn)品和解決方案鸟整。
但是,目前市場(chǎng)上的的相關(guān)產(chǎn)品和解決方案朦蕴,都相對(duì)偏重于網(wǎng)絡(luò)安全態(tài)勢(shì)的某一個(gè)或某幾個(gè)方面的感知篮条,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的數(shù)據(jù)分析的深度和廣度還需要進(jìn)一步加強(qiáng),同時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與其它系統(tǒng)平臺(tái)的聯(lián)動(dòng)不足梦重,無法將態(tài)勢(shì)感知與安全運(yùn)營(yíng)深入融合兑燥。
為此,太極信安認(rèn)為網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)琴拧,應(yīng)著重考慮以下幾個(gè)方面的內(nèi)容:
1、在數(shù)據(jù)采集方面嘱支,網(wǎng)絡(luò)安全數(shù)據(jù)來源要盡可能的豐富蚓胸,應(yīng)該包括網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)數(shù)據(jù)除师、漏洞數(shù)據(jù)沛膳、脆弱性數(shù)據(jù)、威脅與入侵?jǐn)?shù)據(jù)汛聚、用戶異常行為數(shù)據(jù)等等锹安,只有這樣態(tài)勢(shì)評(píng)估結(jié)果才能準(zhǔn)確。
2倚舀、在態(tài)勢(shì)評(píng)估方面叹哭,態(tài)勢(shì)感評(píng)估要對(duì)多個(gè)層次、多個(gè)角度進(jìn)行評(píng)估痕貌,能夠評(píng)估網(wǎng)絡(luò)的業(yè)務(wù)安全风罩、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全和整體安全狀況舵稠,并且應(yīng)該針對(duì)不同的應(yīng)用背景和不同的網(wǎng)絡(luò)規(guī)模選擇不同的評(píng)估方法超升。
3入宦、在態(tài)勢(shì)感知流程方面,態(tài)勢(shì)感知流程要規(guī)范室琢,所采用的算法要簡(jiǎn)單乾闰,應(yīng)該選擇規(guī)范化的、易操作的評(píng)估模型和預(yù)測(cè)模型盈滴,能夠做到實(shí)時(shí)準(zhǔn)確的評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)涯肩。
4、在態(tài)勢(shì)預(yù)測(cè)方面雹熬,態(tài)勢(shì)感知要能支持對(duì)不同的評(píng)估結(jié)果預(yù)測(cè)其發(fā)展趨勢(shì)宽菜,預(yù)防大規(guī)模安全事件的發(fā)生。
5竿报、在態(tài)勢(shì)感知結(jié)果顯示方面铅乡,態(tài)勢(shì)感知能支持多種形式的可視化顯示,支持與用戶的交互烈菌,能根據(jù)不同的應(yīng)用需求生成態(tài)勢(shì)評(píng)測(cè)報(bào)表阵幸,并提供相應(yīng)的改進(jìn)措施。
四芽世、總結(jié)
上述幾種模型和應(yīng)用關(guān)鍵點(diǎn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知來講至關(guān)重要挚赊,將這些基本概念和關(guān)鍵點(diǎn)進(jìn)行深入理解并付諸于實(shí)踐,才能真正幫助決策者獲得網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力济瓢。
太極信安認(rèn)為荠割,建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái),應(yīng)以“業(yè)務(wù)+數(shù)據(jù)定義安全”戰(zhàn)略為核心驅(qū)動(dòng)旺矾,基于更廣蔑鹦、更深的數(shù)據(jù)來源分析,以用戶實(shí)際需求為出發(fā)點(diǎn)箕宙,從綜合安全嚎朽、業(yè)務(wù)安全、數(shù)據(jù)安全柬帕、信息基礎(chǔ)設(shè)施安全等多個(gè)維度為用戶提供全面的安全態(tài)勢(shì)感知哟忍,在認(rèn)知、理解陷寝、預(yù)測(cè)的基礎(chǔ)上锅很,真正幫助用戶實(shí)現(xiàn)看見業(yè)務(wù)、看懂威脅盼铁、看透風(fēng)險(xiǎn)粗蔚、輔助決策。
? ? ? ? ? ? ? ? ? ? ? ? ? ? 摘自 CSDN 道法一自然
