网络安全态势感知主要包括提取、理解和预测。
1、提取
态势感知始于提取,提取环境内相关要素的状态、属性和动态等信息,并将信息归入各种可理解的表现方式,为理解和预测提供素材。准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的提取并不那么轻松。
目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中,静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本环境配置信息;动态的运行信息包括通过各种防护措施的日志采集和分析技术获取的威胁信息等基本运行信息。
提取的方法可以是通过提取某种角度的态势要素(比如脆弱性、日志报警信息、蜜罐搜集的信息)来评估网络的安全态势,也可以是从多个角度分层次描述网络安全态势(比如建立层次化的指标体系)。从目前的研究来看,从单一角度提取态势要素必然无法全面表征态势信息,存在一定局限性,而多角度分层次描述态势的方法则需要着重考虑各指标因素之间的关联性,不然会导致信息融合处理存在较大难度。
2、理解
对态势的理解包括人们组合、解读、存储和保留信息的过程。因此,态势理解过程不仅包括认识或注意到信息,还包括对众多信息的整合,以及决定这些信息与单个主要对象的相关度,并根据这些信息进行推断或推导出与对象相关的一系列结论。通过判断对象和事件的重要程度,理解过程最终形成结构化的态势图像。此外,理解是一个动态过程,随着态势的不断变化,必须将新的信息和已有的认识结合起来,综合得出当前态势图像。
网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。其中,数据融合是网络安全态势理解的核心。网络安全态势理解摒弃了研究单一的安全事件,而是从宏观角度考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。在传统的实践中,对某种或某几种网络攻击的检测和评价已经推动了网络空间大量的研究,但对于整个组织来说(尤其是决策者),从关注局部战术操作层面转向宏观战略层面,全面、深刻地认识并理解“我方”综合安全态势将会显得更为重要。
3、预测
了解态势要素的状态并在变化的基础上进行某种程度的预测,是态势感知必不可少的部分。网络安全态势的预测是指根据网络安全态势的历史信息和当前状态,对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化呈现复杂的非线性过程,限制了传统预测模型的使用。目前,网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法,此外,基于因果的数据模型和模式识别也常用在网络安全态势的预测上。
需要注意的是,网络安全态势感知的三个部分(提取、理解和预测)并非按先后顺序串行的过程,而是同步并行的过程,把它切分为三个部分是为了简化理解。各个部分都应当同时进行,并且相互触发连续的变化和不断更新,循环往复。三个部分中的各组成部分也应持续地相互作用,将自身的数据/知识装载到其他组成部分之上。此外,任何过程中的每个步骤都应对安全人员和决策者高度可见。
好文推荐