在2016年4月19日座谈会上,习总书记指出: “要加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”。而在2017年6月开始实施的《网络安全法》中,同样对网信办等有关部门提出了明确要求。

如今,“态势感知”已经成为网络空间安全领域聚焦的热点,也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现,更代表了当前网络安全攻防对抗的最新趋势。本文将从态势感知的定义、态势感知与大数据技术、态势感知建设目的以及应用方向等方面展开分享,欢迎探讨。

什么是态势感知

态势感知是指对能够引发网络安全态势发生变化的要素进行全面、快速、准确地捕获和基础分析;然后,把系统当前和过去遇到的安全威胁进行关联回溯和大数据分析,最终预测未来可能爆发的安全事件,并为用户提供一个系统化的安全解决方案。

打个比方,态势感知系统相当于人类的神经中枢。防火墙、入侵检测系统等相当于神经元,而安全事件的处置过程则相当于神经传导与处理过程。从这个角度来看,态势感知处理数据、将信息变成知识的过程与人脑对外界信息的感知过程是类似的。

从网络安全态势感知来看,就是利用数据融合、 数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。

借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、 攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取措施;

网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;

应急响应组织也可以从网络安全态势中,了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。

态势感知技术应用

为了实时、准确地显示整个网络安全态势状况,检测出潜在、恶意的攻击行为,网络安全态势感知要在对网络资源进行要素采集的基础上,通过数据预处理、网络安全态势特征提取、态势评估、态势预测和态势展示等过程来完成,这其中便涉及许多相关的技术问题。

★ 数据融合技术

数据融合技术是一个多级、多层面的数据处理过程,按信息抽象程度可分为从低到高的三个层次:数据级融合、特征级融合和决策级融合。

网络空间态势感知的数据来自众多的网络设备,其数据格式、数据内容、数据质量等千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、精准的数据源,从而得到更为准确的网络态势。

★ 数据清洗技术

网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后,转化为格式统一的数据单元。这些数据单元数量庞大,携带的信息众多,有用信息与无用信息鱼龙混杂,难以辨识。因此,要掌握相对准确、实时的网络安全态势,必须剔除干扰信息。

数据清洗技术从海量数据中挖掘出有用的信息,即从海量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、事先未知的,但又有潜在用处的并且最终可理解的信息和知识。

★ 数据挖掘技术

数据挖掘可分为描述性挖掘和预测性挖掘,描述性挖掘用于刻画数据库中数据的一般特性;预测性挖掘在当前数据上进行推断,并加以预测。

数据挖掘方法主要有:关联分析法、序列模式分析法、分类分析法和聚类分析法。

  • 关联分析法用于挖掘数据之间的联系;

  • 序列模式分析法侧重于分析数据间的因果关系;

  • 分类分析法通过对预先定义好的类建立分析模型,对数据进行分类,常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等;

  • 聚类分析不依赖预先定义好的类,它的划分是未知的,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。

★ 特征提取技术

网络安全态势特征提取技术是通过一系列数学方法处理,将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值,这些数值具有表现网络实时运行状况的一系列特征,用以反映网络安全状况和受威胁程度等情况。

网络安全态势特征提取是网络安全态势评估和预测的基础,对整个态势评估和预测有着重要的影响,网络安全态势特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。

★ 态势预测技术

网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况,是网络安全态势感知的一个重要组成部分。

网络在不同时刻的安全态势彼此相关,安全态势的变化有一定的内部规律,这种规律可以预测网络在将来时刻的安全态势,从而可以有预见性地进行安全策略的配置,实现动态的网络安全管理,预防大规模网络安全事件的发生。网络安全态势预测方法主要有神经网络预测法、时间序列预测法、基于灰色理论预测法。

★ 可视化技术

可视化技术是利用计算机图形学和图像处理技术,将数据转换成图形或图像在屏幕上显示出来,并进行交互处理的理论、方法和技术。它涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域。

目前已有很多安全企业将可视化技术和可视化工具应用于态势感知领域,在网络安全态势感知的每一个阶段都充分利用可视化方法,将网络安全态势合并为连贯的网络安全态势图,快速发现网络安全威胁,直观把握网络安全状况。

态势感知建设目的

检测:提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。

分析、响应:建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。

预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息。

防御:利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系。

态势感知应用方向

监管机构:从国家层面、省市大地域层面,对国计民生相关的关键信息基础设施的安全态势进行整体的监测与关注。

大型行业:从体系内部建立态势感知,应用于内部系统的安全运营,发现重要威胁,解决问题,把安全能力落地;通过态势感知对多分支或二级单位进行外部监管,以提升整体的安全状态的掌握,同时与监管机构进行事件应急处置及威胁情报的合作。

机构或企业:从日常安全工作角度出发,对内部有价值的核心资产、业务系统安全状态进行感知,发现各类威胁与内部异常违规,保证业务系统能够比较平稳、顺畅地运行。

声明:本文来自金融科技安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。