Ⅰ 知識普及-安全態勢
隨著網路規模和復雜性不斷增大,網路的攻擊技術不斷革新,新型攻擊工具大量涌現,傳統的網路安全技術顯得力不從心,網路入侵不可避免,網路安全問題越發嚴峻。
單憑一種或幾種安全技術很難應對復雜的安全問題,網路安全人員的關注點也從單個安全問題的解決,發展到研究整個網路的安全狀態及其變化趨勢。
網路安全態勢感知對影響網路安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢,是對網路安全性定量分析的一種手段,是對網路安全性的精細度量,態勢感知成已經為網路安全2.0時代安全技術的焦點,對保障網路安全起著非常重要的作用。
一、態勢感知基本概念
1.1 態勢感知通用定義
隨著網路安全態勢感知研究領域的不同,人們對於態勢感知的定義和理解也有很大的不同,其中認同度較高的是Endsley博士所給出的動態環境中態勢感知的通用定義:
態勢感知是感知大量的時間和空間中的環境要素,理解它們的意義,並預測它們在不久將來的狀態。
在這個定義中,我們可以提煉出態勢感知的三個要素:感知、理解和預測,也就是說態勢感知可以分成感知、理解和預測三個層次的信息處理,即:
感知:感知和獲取環境中的重要線索或元素;
理解:整合感知到的數據和信息,分析其相關性;
預測:基於對環境信息的感知和理解,預測相關知識的未來的發展趨勢。
1.2 網路安全態勢感知概念
目前,對網路安全態勢感知並未有一個統一而全面的定義,我們可以結合態勢感知通用定義來對對網路安全態勢感知給出一個基本描述,即:
網路安全態勢感知是綜合分析網路安全要素,評估網路安全狀況,預測其發展趨勢,並以可視化的方式展現給用戶,並給出相應的報表和應對措施。
根據上述概念模型,網路安全態勢感知過程可以分為一下四個過程:
1)數據採集:通過各種檢測工具,對各種影響系統安全性的要素進行檢測採集獲取,這一步是態勢感知的前提;
2)態勢理解:對各種網路安全要素數據進行分類、歸並、關聯分析等手段進行處理融合,對融合的信息進行綜合分析,得出影響網路的整體安全狀況,這一步是態勢感知基礎;
3)態勢評估:定性、定量分析網路當前的安全狀態和薄弱環節,並給出相應的應對措施,這一步是態勢感知的核心;
4)態勢預測:通過對態勢評估輸出的數據,預測網路安全狀況的發展趨勢,這一步是態勢感知的目標。
網路安全態勢感知要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性並提供應對措施,以圖、表和安全報表的形式展現給用戶。
二、態勢感知常用分析模型
在網路安全態勢感知的分析過程中,會應用到很多成熟的分析模型,這些模型的分析方法雖各不相同,但多數都包含了感知、理解和預測的三個要素。
2.1 始於感知:Endsley模型
Endsley模型中,態勢感知始於感知。
感知包含對網路環境中重要組成要素的狀態、屬性及動態等信息,以及將其歸類整理的過程。
理解則是對這些重要組成要素的信息的融合與解讀,不僅是對單個分析對象的判斷分析,還包括對多個關聯對象的整合梳理。同時,理解是隨著態勢的變化而不斷更新演變的,不斷將新的信息融合進來形成新的理解。
在了解態勢要素的狀態和變化的基礎上,對態勢中各要素即將呈現的狀態和變化進行預測。
2.2 循環對抗:OODA模型
OODA是指觀察(Oberve)、調整(Orient)、決策(Decide)以及行動(Act),它是信息戰領域的一個概念。OODA是一個不斷收集信息、評估決策和採取行動的過程。
將OODA循環應用在網路安全態勢感知中,攻擊者與分析者都面臨這樣的循環過程:在觀察中感知攻擊與被攻擊,在理解中調整並決策攻擊與防禦方法,預測對手下一個動作並發起行動,同時進入下一輪的觀察。
如果分析者的OODA循環比攻擊者快,那麼分析者有可能「進入」對方的循環中,從而占據優勢。例如通過關注對方正在進行或者可能進行的事情,即分析對手的OODA環,來判斷對手下一步將採取的動作,而先於對方採取行動。
2.3 數據融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系統中的一種信息處理方式,由美國國防部成立的數據融合聯合指揮實驗室提出。
JDL模型將來自不同數據源的數據和信息進行綜合分析,根據它們之間的相互關系,進行目標識別、身份估計、態勢評估和威脅評估,融合過程會通過不斷的精煉評估結果來提高評估的准確性。
在網路安全態勢感知中,面對來自內外部大量的安全數據,通過JDL模型進行數據的融合分析,能夠實現對分析目標的感知、理解與影響評估,為後續的預測提供重要的分析基礎和支撐。
2.4 假設與推理:RPD模型
RPD(Recognition Primed Decision)模型中定義態勢感知分為兩個階段:感知和評估。
感知階段通過特徵匹配的方式,將現有態勢與過去態勢進行對比,選取相似度高的過去態勢,找出當時採取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案,推測當前態勢可能的演化過程,並調整行動方案。
以上方式若遇到匹配結果不理想的情況,則採取構造故事的方式,即根據經驗探索潛在的假設,再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為:基於假設進行相關信息的收集(感知),特徵匹配和故事構造(理解),假設驅動思維模擬與推測(預測)。
三、態勢感知應用關鍵點
當前,單維度的網路安全防禦技術手段,已經難以應對復雜的網路環境和大量存在的安全問題,對網路安全態勢感知具體模型和技術的研究,已經成為2.0時代網路安全技術的焦點,同時很多機構也已經推出了網路安全態勢感知產品和解決方案。
但是,目前市場上的的相關產品和解決方案,都相對偏重於網路安全態勢的某一個或某幾個方面的感知,網路安全態勢感知的數據分析的深度和廣度還需要進一步加強,同時網路安全態勢感知與其它系統平台的聯動不足,無法將態勢感知與安全運營深入融合。
為此,太極信安認為網路安全態勢感知平台的建設,應著重考慮以下幾個方面的內容:
1、在數據採集方面,網路安全數據來源要盡可能的豐富,應該包括網路結構數據、網路服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等,只有這樣態勢評估結果才能准確。
2、在態勢評估方面,態勢感評估要對多個層次、多個角度進行評估,能夠評估網路的業務安全、數據安全、基礎設施安全和整體安全狀況,並且應該針對不同的應用背景和不同的網路規模選擇不同的評估方法。
3、在態勢感知流程方面,態勢感知流程要規范,所採用的演算法要簡單,應該選擇規范化的、易操作的評估模型和預測模型,能夠做到實時准確的評估網路安全態勢。
4、在態勢預測方面,態勢感知要能支持對不同的評估結果預測其發展趨勢,預防大規模安全事件的發生。
5、在態勢感知結果顯示方面,態勢感知能支持多種形式的可視化顯示,支持與用戶的交互,能根據不同的應用需求生成態勢評測報表,並提供相應的改進措施。
四、總結
上述幾種模型和應用關鍵點對網路安全態勢感知來講至關重要,將這些基本概念和關鍵點進行深入理解並付諸於實踐,才能真正幫助決策者獲得網路安全態勢感知能力。
太極信安認為,建設網路安全態勢感知平台,應以「業務+數據定義安全」戰略為核心驅動,基於更廣、更深的數據來源分析,以用戶實際需求為出發點,從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知,在認知、理解、預測的基礎上,真正幫助用戶實現看見業務、看懂威脅、看透風險、輔助決策。
摘自 CSDN 道法一自然
Ⅱ 淺談網路安全態勢感知
隨著網路環境日益復雜,網路安全成為各國戰略關注的重點,而網路安全態勢感知作為主動防禦的關鍵,其重要性日益凸顯。態勢感知源於軍事對抗,如今在網路空間中,它涉及對網路中可能影響安全的各種要素的實時監控和理解,旨在預測未來發展趨勢。
中國在網路安全態勢感知研究上取得了顯著進步。早在2003年,國家互聯網應急中心已開發出公共網路安全監測平台,覆蓋了移動互聯網、金融證券等領域。2015年,四川大學的網路業務和安全態勢大數據平台的建設,提升了對網路安全的預警和管理能力。如今,國內網路安全巨頭紛紛推出自建系統,推動行業進步,同時關鍵技術也在不斷升級。
網路安全態勢感知的基本概念,根據Endsley博士的定義,是通過感知、理解並預測環境變化。在網路安全領域,這表現為綜合分析網路要素,評估安全狀態,預測未來走向,並以可視化方式呈現。其過程包括數據採集、分析、評估和展示四個步驟,形成了一個層次分明的架構。
功能上,態勢感知平台需具備深度和廣度分析,從多維度提供實時的安全信息和應對策略。常見的功能包括資產管理、威脅情報、日誌分析等,但大數據分析的預測能力仍有提升空間。態勢感知平台在金融、電商、政企等應用場景中發揮著重要作用,是構建安全可監控環境的關鍵工具。
總結來說,網路安全態勢感知並非單一技術,而是建立在大數據基礎上,通過綜合分析、預測和可視化,幫助安全人員全面理解網路風險,實現動態、全面的安全防護。
Ⅲ 下一代防火牆說的可視化是什麼意思
下一代防火牆的可視化指的是必須提供豐富的展示方式,從應用和用戶視角多層面的將網路應用的狀態展現出來,包括對歷史的精確還原和對各種數據的智能統計分析,使管理者清晰的認知網路運行狀態。
實施可視化所要達到的效果是,對於管理范圍內任意一台主機的網路應用情況及安全事件信息可以進行准確的定位與實時跟蹤;對於全網產生的海量安全事件信息,通過深入的數據挖掘能夠形成安全趨勢分析,以及各類圖形化的統計分析報告。
Ⅳ 網路安全可視化有什麼好處
網路安全可視化之所以重要,可以從現實生活中的安全可視化進行類比。現實世界中,平安城市、雪亮工程等治安防控工程中,關於視頻監控系統的可視化方面建設都十分突出,其意義體現在以下方面:
預警
通過對全局地區的可視化監控,可以進行針對性的人流量分析、人臉識別、信息採集等早期管理手段,通過這些手段能夠進行早期預警,將安全問題控制在萌芽狀態,做到防患於未然。
調度
在可視化平台的支撐下,一旦發生了安全隱患,可以通過多個區域的同時觀測,及時地完成指揮調度和資源調配,對於問題嚴重的區域進行重點布防。
回放
在安全相關案件調查取證過程中,監控錄像回放起到重要的作用,即使犯罪過程沒有被發現或目標對象離開了布防區域,還是可以通過多個監控錄像回放的配合準確定位作案事實和目標移動的路徑,為抓捕和偵破提供了第一手材料。
提高犯罪難度和成本
使用以上全方位的可視化手段,結合經驗豐富的分析人員,將犯罪的難度和成本變得極高,降低了治安事件發生的風險,即使問題發生也有完善的應對方法。
上述道理在網路安全領域也同樣適用,隨著攻擊行為越來越復雜,APT(高級持續性威脅)、勒索病毒等事件頻繁發生,這些攻擊不是單點短時間攻擊,而是持續時間長達十幾個小時甚至幾天,有多個復雜的環節組成,對付這些惡意行為,同樣需要網路安全領域的可視化技術。
通過對安全路徑、流量分析、數據安全、主機安全等多個層面的可視化展現,打造一張網路安全作戰地圖,同樣可以起到以下作用:
攻擊預測
通過設定正常訪問情況下的路徑和流量基線,對發生的異常狀況進行及時發現和告警,並通過多個層面的關聯分析迅速在攻擊的早期解決問題。
路徑和流量調度
發現攻擊現象後,需要盡快通過可視化手段找出導致攻擊的錯誤路徑,並盡快配合流量調度系統將流量通過其它路徑轉發,再及時關閉錯誤路徑,將攻擊者打開的後門盡快關閉。
回溯
對於已經發生了安全事件,就像調取監控錄像一樣,需要調取事發當時的全部數據報文,通過精細化地分析取證,確保100%還原事件現場。通過多個流量採集器的配合,可以分析出攻擊者的軌跡和路徑,為追蹤攻擊者提供了事實依據。
通過網路安全可視化系統的部署,可以縮小攻擊面、延長攻擊時間、提高攻擊者成本和防禦成功率,起到震懾、預測、防禦、處置、追溯的全方位作用。