聊聊網絡安全態勢感知之一
引言
為應對日益突出的網絡安全問題,多種安全防護設備被用來監測大量的風險事件,對網絡進行安全防護,包括入侵檢測系統、防火墻和漏洞檢測系統等。這些設備僅限于對攻擊行為采取局部的檢測和防護措施,設備之間缺乏有效協作,使得網絡管理員不能準確地定位網絡脆弱點,無法及時地發現惡意攻擊以及不能全面地把握網絡安全狀態。為彌補安全防護設備的不足,學術界提出網絡安全態勢感知技術,目的是對網絡入侵行為進行主動防御,預先實現網絡安全防護。本文將從網絡安全態勢感知的定義、模型以及意義三個方面對網絡安全態勢感知進行概述。
什么是網絡安全態勢感知
已有文獻從不同的角度來定義網絡安全態勢感知。
第一、從網絡系統的角度,Bode等[5]定義網絡安全態勢是感知網絡系統受到隨機的、有組織的入侵行為,分析網絡系統過去的、現在的安全事件,評估網絡安全狀態以及預測將來的安全趨勢。
第二、從網絡信息資產的角度,Masduki等[6]定義網絡安全態勢感知能夠分析網絡信息,識別網絡攻擊并評估其對網絡系統造成的影響,衡量安全風險,幫助網絡管理員制定決策,得出保護資產的最佳方法。
第三、從網絡管理員的角度,Adenusi等[7]指出網絡安全態勢感知是處理網絡系統不確定性的主動手段,幫助網絡管理員分析網絡安全狀態。
第四、從網絡信息的角度,Carrega等[8]指出網絡安全態勢感知可以在計算機操作活動中實現,該操作活動集成了與網絡相關的所有信息,在識別攻擊及制定響應決策的過程中,這些信息是不可或缺的。
以上定義側重系統或信息一個角度來描述網絡安全態勢感知,但沒有說明感知的過程和信息的內容,也沒有全面涉及網絡環境和網絡數據。因此,我們認為:網絡安全態勢感知是感知網絡環境并提取網絡數據,獲取影響網絡安全態勢的因素,分析網絡數據和影響因素的相關性,得到強相關的影響因素,然后理解這些影響因素,評估網絡安全狀態并預測其發展趨勢,制定決策,執行主動防御,實現安全防護。
網絡安全態勢感知對于網絡安全防護具有重要的意義,通過全面把握網絡安全狀態及發展趨勢,能夠有效評估安全事件發生的可能性,實時監測網絡攻擊以緩解其造成的危害,網絡安全態勢感知技術與傳統安全設備檢測方式結合,發現潛在的惡意入侵行為,提高網絡系統的反擊能力和應急響應能力。
網絡安全態勢感知模型由哪些部分構成
網絡安全態勢感知過程是通過感知網絡環境來提取網絡數據,并通過理解這些數據來評估網絡安全狀態和預測未來發展趨勢,得到評估和預測的數據用來制定決策,最后采取響應措施進行主動防御,反饋給網絡環境實現安全防護,提高網絡防御能力。
網絡安全態勢感知模型的構建分為網絡環境感知、態勢理解和態勢預測三部分。
網絡環境感知是感知網絡環境并提取網絡數據。對于復雜動態的網絡環境和繁多冗雜的數據,研究者采用防病毒軟件、漏洞掃描、滲透測試、網絡掃描、密碼破解工具、防火墻和入侵檢測系統等技術來收集網絡數據,或通過資產列表、風險識別、調查、事件響應報告等方式來收集網絡數據。為了獲取全面且準確的網絡數據,研究者常用條件隨機場、進化神經網絡和聚類分析等方法對原始數據進行預處理來提取網絡數據。
態勢理解是整合提取的網絡數據,分析數據之間的相關性,定位網絡脆弱點,評估安全事件發生的可能性,得到評估數據來制定決策,進行主動防御。這部分是網絡安全態勢感知的核心,研究人員對不同的數據采用不同的方法進行分析,其中有自適應共振理論模型、貝葉斯網絡分類器和博弈模型等。
態勢預測是基于態勢理解輸出的網絡數據,預測網絡安全狀況,得到預測數據來制定決策,執行主動防御。這部分是網絡安全態勢感知的目標,不僅要預測網絡威脅攻擊以及攻擊者的下一步行動,還要克服對數據完整性的依賴,預測網絡安全狀態的發展趨勢。
網絡安全態勢感知的意義
網絡面臨嚴峻的數據泄漏、惡意攻擊、系統漏洞和病毒入侵等安全問題,網絡安全防護技術引起政府和企業的廣泛關注。網絡安全態勢感知將網絡環境感知、態勢理解和態勢預測三個部分合為一體,提高了對網絡安全進行持續監測的能力,使得安全人員及時發現網絡異常,對攻擊目的、攻擊手段、攻擊路徑以及威脅相關的影響范圍進行快速判斷,從而將網絡風險和損失降到最低。網絡安全態勢感知能夠從宏觀角度分析網絡安全狀態,預測未來趨勢,實時感知網絡威脅,響應網絡攻擊,為決策提供可靠依據。網絡安全態勢感知與漏洞分析、損失評估和機器學習等方法相結合,幫助網絡分析師評估風險狀況以及預測未來發展趨勢。
