浅谈网络安全态势感知

  • 前言

网络空间环境日趋复杂,随着网络攻击种类和频次的增加,自建强有力的网络安全防御系统成为一个国家发展战略的一部分,而网络态势感知是实现网络安全主动防御的重要基础和前提。

  • 什么是网络安全态势感知?

态势感知一词来源于对抗行动和战争。进入信息化时代,作战形态发生改变,不断向虚拟的网络空间延伸,网络安全态势感知的概念由此形成。


所谓知己知彼百战不殆。在传统作战中,情报侦察员负责展开态势感知活动,典型的活动包括侦察敌方的作战目的、部署计划以及兵力等可能影响作战的主要因素。


《计算机科学技术名词》定义网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势

中国对网络安全态势感知的研究,在近20年里取得了很大的进步。2003年,国家互联网应急中心就开发建设了包含有网络安全事件监测、信息共享等安全态势感知系统的公共互联网网络安全监测平台。该平台实现了对移动互联网服务,金融证券以及基础信息网络等安全事件的实时监测。


2015年,为了及时捕获网络安全态势、发现重大或大规模的网络攻击以及网络异常状况,四川大学投入建设了网络业务和安全态势大数据分析平台,极大地提升了对网络安全的管控能力。


近年来,中国也涌现出一批网络安全巨头,逐步推出了自建的网络安全态势感知系统或平台,引领当代网络安全行业发展。随着网络安全态势感知系统的发展成熟,其所涉及的关键技术也得到了升级和丰富。

  • 网络安全态势感知基本概念

前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:

态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。

在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解、预测。并且这三个要素存在着层次上的递进关系:

  1. 感知:感知和获取环境中的重要线索和元素;

  1. 理解:整合感知到的数据和信息,分析其相关性;

  1. 预测:基于对环境信息的感知和理解,预测相关知识在未来的发展趋势。

对应到网络安全领域,我们可以给网络安全态势感知一个基本的描述:

网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户。

其对应的过程也可以分解为以下四个:

  1. 数据采集:通过各种检测工具,对影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。

  1. 态势理解:对采集到的数据使用分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知的基础。

  1. 态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。

  1. 态势预测:通过对态势评估输出的数据进行建模分析,预测网络安全状况的发展趋势, 这一步是态势感知的目标。

  • 网络安全态势感知整体架构

整体架构示意图:

可以看到,基本还是遵循了安全态势感知的分层次概念的。

  1. 首先通过多个数据源,采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。

  1. 然后通过数据清洗、融合、归一化等手段,使数据能在某些层面反映出网络的安全态势状况。

  1. 之后,智能分析层通过对数据的进一步分析,评估网络的安全态势,预测网络安全态势发展趋势。

  1. 评估和预测结果在交互呈现层以数据可视化的形式展现出来。

  • 网络安全态势感知的主要功能

网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下7部分

  1. 态势总览:展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

  1. 资产管理:监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

  1. 告警管理:通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

  1. 弱点分析:列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

  1. 日志库:列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

  1. 系统设置:支持告警规则设置、日报/周报设置、资产授权。

  1. 态势大屏:移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

从平台建设的角度来讲,一个安全态势感知平台应该具备如下功能:

  1. 可视:通过多维度的安全数据仪表盘,将网络重点环节的实时运行及安全状态多维度的展示给安全人员,方便安全人员及时掌握网络整体状况。

  1. 可知:全量收集各种安全数据,便提供检索功能,便于安全人员从海量日志中查找到安全事件对应的日志。

  1. 可管:通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。

  1. 可控:充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。

  1. 可塑:通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。

  1. 可预警:实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。

  • 网络安全态势感知发展趋势

态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币,占安全市场的5%。国内的厂商平台一般含有的功能:资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前,态势感知更多是提供数据分析结果,在大数据分析技术应用与预测方面,仍然做的不够。

当前安全态势感知的发展状态:

  1. 安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台,实现了集中存储。

  1. 以资产为核心,通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配,呈现网络的安全风险状况。

  1. 多以汇总数据和静态呈现为主,采用定期刷新统计数据为主,智能分析技术应用较少。

  1. 主要定位于事件分析、风险可视、告警管理等。

  1. 整合了一定报表生成功能,以满足内控、审计方面的要求。

未来态势感知的发展趋势:

  1. 数据采集阶段,态势感知2.0要求安全厂商以API接口和SDN网络对接,突破Vxlan技术限制,使之可以采集东西向的流量。在云环境时代,东西流量占据了业务流量的大部分。

  1. 态势感知与大数据、人工智能联合,将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理,可以满足近实时的风险发现。

  1. 结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理,提高对未来的预测、实时处置能力。系统可以从采集的数据中学习,形成一个具有自身相关特性的分析模型。

  1. 系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化,使其态势感知能力可以随着保护对象的规模变化而动态变化。

  • 德迅云安全的网络安全态势感知
    • 定义:

采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

    • 优势:

  1. 主动监测:通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

  1. 精准防护:通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

  1. 智能分析:对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

  1. 可视化态势:态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

    • 应用场景

金融:

电商:

政企:

  • 总结

安全态势感知是一种新兴的安全概念,而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍,可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上,进行数据整合、特征提取,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况。最后在交互层,使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷的了解网络当前状态及预期的风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/644876.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

文心智能体大赛:百度文心智能体平台初体验

写在前面 博文内容涉及:文心智能体大赛:文心智能体初体验理解不足小伙伴帮忙指正 😃,生活加油 我徒然忘记了热闹,却来不及悟透真正的清冷(《四喜忧国》) 前言 徒然忘记了热闹,却来不及悟透真正的清冷(《四喜忧国》),在…

前端日志收集(monitor-report v1)

为什么 为什么自己封装而不是使用三方 类似 Sentry 这种比较全面的 因为 Sentry 很大我没安装成功,所有才自己去封装的 为什么使用 可以帮助你简单解决前端收集错误日志、收集当前页面访问量,网站日活跃,页面访问次数,用户行…

Linux/Ubuntu 中安装 ZeroTier,实现内网穿透,2分钟搞定

相信很多人都有远程连接家中设备的需求,如远程连接家中的NAS、Windows等服务,所以会涉及到一个内网穿透工具的使用,如果没有公网IP的情况下,推荐大家使用ZeroTier,这是一款强大的内网穿透工具。 mac和windows版的操作…

梦幻西游手游挂机脚本,搬砖挂机赚米项目,号称单窗口日收益60+(教程+软件)

一、项目背景 随着智能手机的普及,手游市场逐渐成为人们娱乐生活的重要组成部分。其中,《梦幻西游》作为一款经典的国产手游,吸引了大量的玩家。然而,许多玩家因为工作、学习等原因,无法长时间在线游戏。因此&#xf…

Autodl服务器中Faster-rcnn(jwyang)复现(一)

前言 在做实验时需要用到faster-rcnn做对比,本节首先完成代码复现,用的数据集是VOC2007~ 项目地址:https://github.com/jwyang/faster-rcnn.pytorch/tree/pytorch-1.0 复现环境:autodl服务器+python3.6+cuda11.3+Ubuntu20.04+Pytorch1.10.0 目录 一、环境配置二、编译cud…

深度神经网络——什么是生成式人工智能?

1.引言 生成式人工智能最近引起了很大的关注。 该术语用于指依赖无监督或半监督学习算法来创建新的数字图像、视频、音频和文本的任何类型的人工智能系统。 麻省理工学院表示,生成式人工智能是过去十年人工智能领域最有前途的进展之一。 通过生成式人工智能&#…

【gradle】MAC下用gradle构建部署springboot项目

MAC下用gradle构建部署springboot项目 前言下载安装配置gradle下载安装下载可能出现的问题 (zsh: command not found: brew) 配置环境变量配置国内下载源全局配置单个项目配置 通过idea构建项目构建后的项目结构 小结延伸 前言 好久以前就听说gradle了&…

MongoDB(介绍,安装,操作,Springboot整合MonggoDB)

目录 MongoDB 1 MongoDB介绍 MongoDB简介 MongoDB的特点 MongoDB使用场景 小结 2 MongoDB安装 安装MongoDB 连接MongoDB MongoDB逻辑结构 MongoDB数据类型 小结 3 MongoDB操作 操作库和集合 操作文档-增删改 操作文档-查询 MongoDB索引 小结 4 SpringBoot整合…

【竞技宝】英超:滕哈格命真硬!足总杯夺冠获欧联资格

足总杯决赛结束,曼联爆冷2比1击败联赛冠军曼城夺冠,滕哈格再一次用顶级理解带队拿到杯赛冠军。赛前曼彻斯特当地有媒体爆料,曼联管理层已经决定要在足总杯决赛之后解雇滕哈格,这个消息让不少球迷都很担心滕哈格的状态。但是荷兰主帅凭借强大的内心,带领球队击败了不可一世的曼城…

深度神经网络——什么是决策树?

决策树 决策树是一种强大的机器学习算法,它通过模拟人类决策过程来解决分类和回归问题。这种算法的核心在于它如何将数据集细分,直至每个子集足够“纯净”,即包含的实例都属于同一类别或具有相似的数值范围。 开始于根节点:决策…

项目管理-人力资源管理

目录 一、概述 二、人力资源计划编制 2.1 概述 2.2 层次结构图 2.3 分配任务矩阵 三、组建项目团队 3.1 概述 3.2 内部谈判 3.3 事先分派 3.4 外部招聘 3.5 虚拟团队 3.6 总结 四、项目团队建设 4.1 概述 4.2 团队发展过程 4.2.1 概述 4.2.2 形成期 4.2.3 震…

华为造车布局全曝光,对标奔驰、迈巴赫等

文 | Auto芯球 作者 | 雷慢 这一刻,我承认我格局小了, 就在刚刚,余承东曝光了华为智选车的布局计划, 华为问界、智界、享界等,将全面对标奔驰、迈巴赫、劳斯莱斯等车系, 这布局,确实是世界…

英语学习笔记26——Where is it?

Where is it? 它在那里? 课文部分

【云原生】K8s 管理工具 kubectl 详解(三)

金丝雀发布/灰度发布(Canary Release) 一、金丝雀发布简介 Deployment控制器支持自定义控制更新过程中的滚动节奏,如“暂停(pause)”或“继续(resume)”更新操作。比如等待第一批新的Pod资源创…

AtCoder Beginner Contest 355 A~F

A.Who Ate the Cake?(思维) 题意 已知有三个嫌疑人,有两个证人,每个证人可以指出其中一个嫌疑人不是罪犯,如果可以排除两个嫌疑人来确定犯人,输出犯人的身份,如果无法确定,输出"-1"。 分析 …

PostgreSQL基本使用

参考文档:PostgreSQL基本使用与数据备份_postgresql 数据备份-CSDN博客 一、数据库的操作 1. 本机登录 2.创建新用户来访问 PostgreSQL 3 重启数据库服务 4.创建数据库并查看数据库 5.连接数据并删除数据库 6.建表插入数据,查看数据库下所有的表&#…

核函数的介绍

1.核函数的介绍: 1、用线性核等于没有用核。 2、多项式核:随着d越大,则 fai(X) 对应的维度将越高。(可以通过d得到对应的fai(X)函数)。 3、高斯核函数:无限维度。 4、tanh核。 2.如何选择核函数的参数&am…

【从零开始实现stm32无刷电机FOC】【理论】【2/6 SVPWM数学模型】

目录 线性调制区扇区pwm计算桥臂pwm计算纯c语言代码验证目标磁矢量为笛卡尔坐标系形式的推导结束 上一节,我们找到了一种控制线圈合成磁矢量的方法— SVPWM,但是仅停留在逻辑层面上。本节对SVPWM进行数学推导,给出最终的线圈控制函数。本节的…

勒索软件分析_Conti

0. Conti介绍 勒索软件即服务(Ransomware as a Service,RaaS)变体 Conti 推出还不到两年,已经进行了第七次迭代。Conti被证明是一种敏捷而熟练的恶意软件威胁,能够自主和引导操作,并具有无与伦比的加密速度…

SAP HCM WPBP的几个变量含义

WPBP起源 WPBP是SAP HCM的主数据的集合内表,集合、内表这两个名词如何理解,集合就是多个主数据的汇总,内表是ABAP的几个数据结构,就和我们EXCEL的多行一行。 wpbp数据来源 WPBP的主数据来源于SAP HCM 0000、0001、0007、0027、0008信息类型的汇总,SAP HCM是以时间轴为核心…