【AET原创】态势感知在网络信息安全领域的作用
态势感知作起源于军用领域, 20世纪80年代,美国空军提出态势感知的概念。为提升空战能力,分析空战环境信息、快速判断当前及未来形势,以作出正确反应而进行的研究探索,分为感知、理解、和预测三个层次。
(1)态势感知是了解当前的状态,包括状态识别与确认(攻击发现),以及对态势感知所需信息来源和素材的质量评价。
(2)态势理解则包括了解攻击的影响、攻击者(对手)的行为和当前态势发生的原因及方式。简单可概括为:损害评估、行为分析(攻击行为的趋势与意图分析)和因果分析(包括溯源分析和取证分析)。
(3)态势预测则是对态势发展情况的预测评估,主要包括态势演化(态势跟踪)和影响评估(情境推演)
20世纪90年代,态势感知的概念开始被逐渐被接受,并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”,指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,而最终的目的是要进行决策与行动。
态势感知带来的价值
从网络安全态势感知来看,就是利用数据融合、 数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。
态势感知有以下三点价值:1. 赋能企业或其他机构建立防御体系;2. 赋能监管部门建设监测通报预警能力。3. 安全厂商对威胁捕获、威胁分析、客户支撑等工作体系的自我建设完善。
借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、 攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中,了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
态势感知已然成为网络安全领域破局的关键,并用于对下一代入侵检测系统的研究,其中的知名应用是美国爱因斯坦计划。爱因斯坦计划始于2003年,建设目的是使“系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁。”
态势感知技术应用
为了实时、准确地显示整个网络安全态势状况,检测出潜在、恶意的攻击行为,网络安全态势感知要在对网络资源进行要素采集的基础上,通过数据预处理、网络安全态势特征提取、态势评估、态势预测和态势展示等过程来完成,这其中便涉及许多相关的技术问题。
数据融合技术
数据融合技术是一个多级、多层面的数据处理过程,按信息抽象程度可分为从低到高的三个层次:数据级融合、特征级融合和决策级融合。
网络空间态势感知的数据来自众多的网络设备,其数据格式、数据内容、数据质量等千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、精准的数据源,从而得到更为准确的网络态势。
数据清洗技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后,转化为格式统一的数据单元。这些数据单元数量庞大,携带的信息众多,有用信息与无用信息鱼龙混杂,难以辨识。因此,要掌握相对准确、实时的网络安全态势,必须剔除干扰信息。
数据清洗技术从海量数据中挖掘出有用的信息,即从海量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、事先未知的,但又有潜在用处的并且最终可理解的信息和知识。
数据挖掘技术
数据挖掘可分为描述性挖掘和预测性挖掘,描述性挖掘用于刻画数据库中数据的一般特性;预测性挖掘在当前数据上进行推断,并加以预测。
数据挖掘方法主要有:关联分析法、序列模式分析法、分类分析法和聚类分析法。关联分析法用于挖掘数据之间的联系;序列模式分析法侧重于分析数据间的因果关系;分类分析法通过对预先定义好的类建立分析模型,对数据进行分类,常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等;聚类分析不依赖预先定义好的类,它的划分是未知的,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。
特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理,将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值,这些数值具有表现网络实时运行状况的一系列特征,用以反映网络安全状况和受威胁程度等情况。
网络安全态势特征提取是网络安全态势评估和预测的基础,对整个态势评估和预测有着重要的影响,网络安全态势特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。
态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况,是网络安全态势感知的一个重要组成部分。
网络在不同时刻的安全态势彼此相关,安全态势的变化有一定的内部规律,这种规律可以预测网络在将来时刻的安全态势,从而可以有预见性地进行安全策略的配置,实现动态的网络安全管理,预防大规模网络安全事件的发生。网络安全态势预测方法主要有神经网络预测法、时间序列预测法、基于灰色理论预测法。
可视化技术
可视化技术是利用计算机图形学和图像处理技术,将数据转换成图形或图像在屏幕上显示出来,并进行交互处理的理论、方法和技术。它涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域。
目前已有很多安全企业将可视化技术和可视化工具应用于态势感知领域,在网络安全态势感知的每一个阶段都充分利用可视化方法,将网络安全态势合并为连贯的网络安全态势图,快速发现网络安全威胁,直观把握网络安全状况。