还剩7页未读,继续阅读
文本内容:
态势感知研究和应用现状
0、定义01态势感知态势感知〃这个词最早源于军事美国研发的各类导弹预警系统,就是这个概念最初的应用公认的态势感知概念是在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测.02网络态势网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势.网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报.
[3]态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势
0.4网络安全态势感知网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础.[刀
0.5深度态势感知深度态势感知的含义是对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能y,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物1环境(自然、社会)及其相互关系的整体系统趋势分析,具有〃软/硬两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择一预测T空制体系从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反馈等)的综合体现既能够在信息、资[]源不足情境下运转,也能够在信息、资源超载情境下作用
111、研究现状网络安全态势体系结构的实现形式主要有C-S模式、B-S模式、三层模式的B-S结构、基于agent的模型以及基于云计算的感知模式基于agent的模型是目前应用比较广泛的方式,具有动态执行、异步计算、并行求解及智能化路由的优点,极大地提高态势感知的速度与效率大连理工大学许彪提出基于智能agent的网络安全预测模型,充分发挥agent的独立性和可扩展性等优点东北石油大学卢爱平等提出基于移动agent的网络安全态势感知模型,体现网络安全态势框架的动态化和分布式中国电力科学研究院蒋诚智等提出基于智能agent的电力信息网络安全态势感知模型,在数据采集层、评估分析层、协调管理层和态势决策层等部署agent,对电力信息网络安全监控和管理有一定的指导意义哈尔滨工程大学郭方方等提出基于一种云计算的四层网络安全态势感知模型研究,有效解决节点处理能力不足的问题,解决了网络态势信息生成准确性的问题云计算的分布式文件存储方法和并行计算方法能够很好地解决大规模数据的高效存储和处理问题.基于云计算的网络安全态势感知模型及方法的研究是网络安全防护领域的新方向,但是该技术目前还处于研究阶段.
[10]
1.2网络安全态势感知方法当前态势评估方法主要包括贝叶斯网络理论、隐马尔可夫模型、D-S证据理论、模糊逻辑等电子工程学院熊杰等研究贝叶斯网络的推理模型及信息传播算法并验证其有效性.空军工程大学方研等提出基于隐马尔科夫模型的网络安全态势评估方法.西安邮电学院李胜现等提出基于改进隐马尔可夫模型的网络动态风险评估方法,使用改进蚁群算法训练隐马尔可夫模型南京理工大学孟锦等提出改进的时变D-S证据理论方法对多传感器的证据进行融合彳艮多学者采用多种评估相结合的方法,如刘炜等利用模糊识别和D-S证据理论,较好地解决多样本识别的不一致问题,有效地对识别结果进行融合宁波大学张红兵等提出用模糊逻辑和贝叶斯网络技术结合的方法处理随机环境中的态势评估.哈尔滨工程大学司加全提出自适用模糊神经推理系统,采用神经网络与模糊系统相结合的评估方式.
[10]13网络安全态势预测目前有很多预测方法,如神经网络、灰色理论、时间序列分析和支持向量机等上海交通大学任伟等利用径向基函数Radial-BasisFunction,RBF神经网络方法对网络安全态势进行了预测广东工业大学尤马彦等提出基于Elman神经网络的网络安全态势预测方法哈尔滨工程大学张永波研究灰色系统理论在预测模型中的应用林肯实验室的Braun和Jeswani以及Lu等利用支持向量机作为融合技术,对多源、多属性信息进行融合,从而产生对态势的感知.南京邮电大学瓮乾村提出基于粒子群优化的支持向量机预测方法.综合目前网络安全态势预测算法的优缺点,很多研究人员采用多种预测方式相结合的方式对态势进行预测如辽宁行政学院姚晔提出基于熔值法的网络安全态势组合预测模型江西理工大学曾斌等提出一种遗传算法和支持向量机相结合的网络安全态势预测模型
[10]
2、应用现状21态势感知的提出)1传统的安全设备、软件和系统无法有效应对新的威胁传统的安全设备、软件和系统不懂得新出现的违规和异常的意义和逻辑,只是单纯的依赖特征库匹配进行着机械式的拦截/放行判断,无法去有效判断敌人,防护也无从说起,即传统安全防御手段对未知威胁没有防御作用,主要体现在攻击者与防御者在信息上不对称;缺少本地原始数据,难以溯)源分析;缺少能在海量数据中快速分析的工具;无法对信息系统内的海量数据进行有效利用
[12]2安全技术专家能力有限虽然,攻击者留下的访问痕迹若是给有经验的安全技术专家,很可能可以熟练地从海量信息中分析出来,但我们又不可能一直依靠专家24小时进行攻击分析.)3需要基于大数据分析实现安全监测预警基于以上两点,需要将不眠不休与安全专家的分析能力结合起来这一点,所有厂商都有了共同的认知,那就是基于大数据分析实现安全监测预警——安全态势感知
1.2态势感知的三个阶段目前厂商普遍认为态势感知可以分为三个阶段态势认知、态势理解和态势预测
[1])1态势认知态势认知是了解当前的状态,包括状态识别与确认(攻击发现),以及对态势认知所需信息来源和素材的质量评价)2态势理解态势理解则包括了解攻击的影响、攻击者(对手)的行为和当前态势发生的原因及方式简单可概括为损害评估、行为分析(攻击行为的趋势与意图分析)和因果分析(包括溯源分析和取证分析)3)态势预测态势预测则是对态势发展情况的预测评估,主要包括态势演化(态势跟踪)和影响评估(情境推演).23态势感知能带来的价值安全态势感知,遵循格物而致知的理念,推究分析安全事件的规律从而产生并具备对潜伏威胁的检测和发现能力,最终直观呈现安全现状及威胁)
4.4爱因斯坦(EINSTEIN计划爱因斯坦计划是美国联邦政府主导的一个网络安全自动监测项目,由国土安全部(DHS)下()属的美国计算机应急响应小组US-CERT开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全爰因斯坦计划分为三个阶段,具有四种能力,包括入侵检测、入侵防御、数据分析和信息共享其中,爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力.系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应美国政府仍然在支持该计划,2016年2月美国总统奥巴马发布的《网络安全国家行动计划》,计划”中指出将要拓展“爱因斯坦”项目
[4]25PLANX”项PLANX是DARPA在2012年公布的一个项目,主要目标是开发革命性的技术在实时、大规模和动态的网络环境中理解、规划和管理网络战基于一个建立的通用地图,帮助军方网络操作人员可视化战场以及在战场中执行任务该项目主要寻求在四个关键领域的创新研究理解网络作战空间,自动化构建可核查可量化的网络操作,开发在动态、存在争夺以及敌对的网络环境中进行操作的操作系统或者平台和大型网络作战空间的可视化与交互.其中,大型网络作战空间的可视化与交互包括:开发直观的视图和整体用户体验,网络作战空间的协同交互能够提供计划、操作、态势感知和战争博弈功能26网络态势感知分析能力(CSAAC))美国国防信息系统局(简称DISA提供一整套基于云的解决方案,旨在对来自美国国防部信息)网络(简称DoDIN的大规模流量进行收集,同时提供分析与可视化处理工具以提取数据中包含的信)息这套解决方案集合被统称为“网络态势感知分析能力(简称CSAAC,且目前已经面向非安全互))联网协议路由网络(简称NIPRNET与保密IP路由网络(简称SIPRNET交付CSAAC能够提供以下几种功能类型-DoDIN运营与态势感知以DoD企业邮件监控为例,CSAAC能够为运营人员提供近实时态势感知能力,从而快速掌握事故、具体配置状态以及邮件网关过滤等相关情况))・防御性网络操作(简称DCO按指标作战(简称Fbl属于CSAAC之内的网络操作能力之-ooFbl能够帮助企业计算机网络分析师利用自动化工作流审查网络威胁报告提取潜在指标,面向未来进程提供警报并在必要时自动执行DoD对策流程异常检测.异常检测套件属于CSAAC功能之一,专门负责检测可能对敏感性DoD数据的完整性、•机密性或者可用性造成威胁的已验证用户这项服务还允许分析师在检测到潜在内部威胁后向有关部门发出警告
[6]
2.7NSA公开项目)美国国家安全局(NSA开发的,现以开源软件的方式向公众公开的32个项目中也包含了专门)用于态势感知的工具GRASSMARLIN,用于提供工业控制系统(ICS)、数据采集与监视控制(SCADA网络的态势感知以确保网络安全28360安全态势感知系统360安全态势感知系统是基于环境的、动态、整体地洞悉安全风险的系统,以安全大数据为基础,帮助政府监管机构、行业和企业,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力,实现安全能力的落地.其主要提出四大核心功能检测、分析响应、预测预防和防御等功能13]
2.9匡恩威胁态势感知平台匡恩威胁态势感知平台通过主动探测特定IP网络空间方式,不仅能够检索在线的工业控制系统、关键信息基础设施以及物联网设备,而且可以获得其详细系统信息和地理位置,并分析安全隐患,是一套对区域内工控及物联网设备进行网络安全态势分析、威胁量化评级以及安全预警的系统
[5]210“谛听”网络空间安全态势感知平台东北大学谛听网络安全团队设计并实现的〃谛听〃网络空间安全态势感知平台支持22种服务的协议指纹识别,实现基于威胁情报分析的全网工控资产画像,协议全覆盖、行业可细分、趋势可感知,实现工控设备的多维数据采集、蜜罐识别、漏洞扫描与评估等功能.
3、扩展应用31网络态势大数据可视化平台网络态势大数据可视化平台的作用将抽象的网络和系统数据进行可视化呈现,从而对网络中的安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测,帮助用户快速掌握网络状况,识别网络异常、入侵,把握网络安全事件发展趋势,全方位感知网络安全态势32主动防御技术主动防御技术是采用行为算法针对新型未知攻击、组织化攻击进行防御的技术主动防御技术在监控、分析、侦测等环节中采用主动感知,对未知威胁采取行为识别、智能处理和防御加固等主动性技术来进行防御.主动防御技术在未知的攻击发生的事前、事中和事后都需要对受保护的系统进行主动防御和相应的测试性操作,以确保系统的正常运行
[9]33网络靶场网络靶场是进行网络攻防武器试验的专业实验室,也是各国“网军提前演练战术战法的练兵场网络靶场通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战的战场环境,可有效针对敌方的电子和网络攻击等进行战争预演,以迅速提升网络攻防作战能力2008年,美国国防部高级研究计划局发布关于开国家网络靶场项目研发工作的公告,/IX.明确提出“国家网络靶场”是国家网络安全计划的一部分美国的国家网络靶场”项目主要包括初步概念设计、交付靶场原型、进行靶场试验管理和正式运行4个阶段其研究重点是支撑网络空间安全技术演示验证、网络武器装备研制试验、攻防对抗演练以及网络风险评估分析等在建设网络靶场方面,英国也不甘落后,不仅建设了先进的“国家网络靶场〕还将部分靶场与美国“国家网络靶场联网,建立了联合网络靶场,以便进行网络作战协同训练、评估和演习此外,日本、加拿大和北约等相继建立了自己的网络靶场,欧洲防务署专门批准了网络攻防测试靶场的建设计划网络靶场,已成为网络军事强国的基础标配
[8]参考文献
[1]安全牛态势感知为什么会火”,2017-07-22;
[2]数字冰雹大数据可视化网络态势大数据可视化系统〃,2016-03-16;,
[2]E安全防止黑天鹅”事件需态势感知态势感知又如何实现?2017-04-13;
[3]HPArkTeamArkTeam爱因斯坦(EINSTEIN)计划综述,2016-10-03;0,
[5]匡恩网络.北美DDoS事件与IOT安防监控设备安全
(二)2016—10—26;
[6]E安全美国国防信息系统局的大数据平台与分析功能’,2016—05—20;(
[7]曹蓉蓉〃大数据环境下网络安全态势感知研究,数字图书馆论坛,2014年第02期总第117期);
[8]网信军民融合〃网络靶场未来军事对抗新战场”,2017-08-06;
[9]鹏越网络空间安全研究院〃模拟攻击与防御设计,2017-07-26;
[10]管小娟,张涛,马媛媛,邓松网络安全态势感知研究综述,2014年第12卷第5期,ELECTRIC POWERICT;战略前沿技术深度态势感知2016—07—17;
[11]
[12]360企业安全.大数据安全分析及态势感知--企业网络的安全倍增器”,2016-06-14;
[13]360企业安全.态势感知驱动安全运营体系创新,2017-06—
10.。