態勢感知的認識與理解
網絡安全態勢感知主要包括提取、理解和預測。
1、提取
態勢感知始于提取,提取環境內相關要素的狀態、屬性和動態等信息,并將信息歸入各種可理解的表現方式,為理解和預測提供素材。準確、全面地提取網絡中的安全態勢要素是網絡安全態勢感知研究的基礎。然而由于網絡已經發展成一個龐大的非線性復雜系統,具有很強的靈活性,使得網絡安全態勢要素的提取并不那么輕松。
目前網絡的安全態勢要素主要包括靜態的配置信息、動態的運行信息以及網絡的流量信息等。其中,靜態的配置信息包括網絡的拓撲信息、脆弱性信息和狀態信息等基本環境配置信息;動態的運行信息包括通過各種防護措施的日志采集和分析技術獲取的威脅信息等基本運行信息。
提取的方法可以是通過提取某種角度的態勢要素(比如脆弱性、日志報警信息、蜜罐搜集的信息)來評估網絡的安全態勢,也可以是從多個角度分層次描述網絡安全態勢(比如建立層次化的指標體系)。從目前的研究來看,從單一角度提取態勢要素必然無法全面表征態勢信息,存在一定局限性,而多角度分層次描述態勢的方法則需要著重考慮各指標因素之間的關聯性,不然會導致信息融合處理存在較大難度。
2、理解
對態勢的理解包括人們組合、解讀、存儲和保留信息的過程。因此,態勢理解過程不僅包括認識或注意到信息,還包括對眾多信息的整合,以及決定這些信息與單個主要對象的相關度,并根據這些信息進行推斷或推導出與對象相關的一系列結論。通過判斷對象和事件的重要程度,理解過程最終形成結構化的態勢圖像。此外,理解是一個動態過程,隨著態勢的不斷變化,必須將新的信息和已有的認識結合起來,綜合得出當前態勢圖像。
網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上,通過解析信息之間的關聯性,對其進行融合,獲取宏觀的網絡安全態勢。其中,數據融合是網絡安全態勢理解的核心。網絡安全態勢理解摒棄了研究單一的安全事件,而是從宏觀角度考慮網絡整體的安全狀態,以期獲得網絡安全的綜合評估,達到輔助決策的目的。在傳統的實踐中,對某種或某幾種網絡攻擊的檢測和評價已經推動了網絡空間大量的研究,但對于整個組織來說(尤其是決策者),從關注局部戰術操作層面轉向宏觀戰略層面,全面、深刻地認識并理解“我方”綜合安全態勢將會顯得更為重要。
3、預測
了解態勢要素的狀態并在變化的基礎上進行某種程度的預測,是態勢感知必不可少的部分。網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態,對網絡未來一段時間的發展趨勢進行預測。網絡安全態勢的預測是態勢感知的一個基本目標。由于網絡攻擊的隨機性和不確定性,使得以此為基礎的安全態勢變化呈現復雜的非線性過程,限制了傳統預測模型的使用。目前,網絡安全態勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法,此外,基于因果的數據模型和模式識別也常用在網絡安全態勢的預測上。
需要注意的是,網絡安全態勢感知的三個部分(提取、理解和預測)并非按先后順序串行的過程,而是同步并行的過程,把它切分為三個部分是為了簡化理解。各個部分都應當同時進行,并且相互觸發連續的變化和不斷更新,循環往復。三個部分中的各組成部分也應持續地相互作用,將自身的數據/知識裝載到其他組成部分之上。此外,任何過程中的每個步驟都應對安全人員和決策者高度可見。
如有侵權,請聯系刪除
