|
態(tài)勢(shì)感知作起源于軍用領(lǐng)域�����, 20世紀(jì)80年代���,美國(guó)空軍提出態(tài)勢(shì)感知的概念����。為提升空戰(zhàn)能力,分析空戰(zhàn)環(huán)境信息����、快速判斷當(dāng)前及未來(lái)形勢(shì),以作出正確反應(yīng)而進(jìn)行的研究探索����,分為感知、理解����、和預(yù)測(cè)三個(gè)層次。  ?。?)態(tài)勢(shì)感知是了解當(dāng)前的狀態(tài),包括狀態(tài)識(shí)別與確認(rèn)(攻擊發(fā)現(xiàn))�����,以及對(duì)態(tài)勢(shì)感知所需信息來(lái)源和素材的質(zhì)量評(píng)價(jià)���。 ?���。?)態(tài)勢(shì)理解則包括了解攻擊的影響、攻擊者(對(duì)手)的行為和當(dāng)前態(tài)勢(shì)發(fā)生的原因及方式�。簡(jiǎn)單可概括為:損害評(píng)估、行為分析(攻擊行為的趨勢(shì)與意圖分析)和因果分析(包括溯源分析和取證分析)�����。 ?��。?)態(tài)勢(shì)預(yù)測(cè)則是對(duì)態(tài)勢(shì)發(fā)展情況的預(yù)測(cè)評(píng)估�����,主要包括態(tài)勢(shì)演化(態(tài)勢(shì)跟蹤)和影響評(píng)估(情境推演)  20世紀(jì)90年代�����,態(tài)勢(shì)感知的概念開(kāi)始被逐漸被接受�,并隨著網(wǎng)絡(luò)的興起而升級(jí)為“網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness���,CSA)”,指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取�、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)����,而最終的目的是要進(jìn)行決策與行動(dòng)���。 態(tài)勢(shì)感知帶來(lái)的價(jià)值 從網(wǎng)絡(luò)安全態(tài)勢(shì)感知來(lái)看,就是利用數(shù)據(jù)融合����、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)�����,直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況�����,為網(wǎng)絡(luò)安全提供保障�����。 態(tài)勢(shì)感知有以下三點(diǎn)價(jià)值:1. 賦能企業(yè)或其他機(jī)構(gòu)建立防御體系����;2. 賦能監(jiān)管部門建設(shè)監(jiān)測(cè)通報(bào)預(yù)警能力。3. 安全廠商對(duì)威脅捕獲�、威脅分析���、客戶支撐等工作體系的自我建設(shè)完善。 借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知�����,網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)����、受攻擊情況、 攻擊來(lái)源以及哪些服務(wù)易受到攻擊等情況���,對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施�����;網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì)�����,做好相應(yīng)的防范準(zhǔn)備�����,避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來(lái)的損失���;應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢(shì)中,了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢(shì)�,為制定有預(yù)見(jiàn)性的應(yīng)急預(yù)案提供基礎(chǔ)。 態(tài)勢(shì)感知已然成為網(wǎng)絡(luò)安全領(lǐng)域破局的關(guān)鍵���,并用于對(duì)下一代入侵檢測(cè)系統(tǒng)的研究����,其中的知名應(yīng)用是美國(guó)愛(ài)因斯坦計(jì)劃����。愛(ài)因斯坦計(jì)劃始于2003年,建設(shè)目的是使“系統(tǒng)能夠自動(dòng)地收集���、關(guān)聯(lián)�、分析和共享美國(guó)聯(lián)邦國(guó)內(nèi)政府之間的計(jì)算機(jī)安全信息���,從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅�����?����!?/p>態(tài)勢(shì)感知技術(shù)應(yīng)用 為了實(shí)時(shí)���、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)狀況�����,檢測(cè)出潛在�����、惡意的攻擊行為�����,網(wǎng)絡(luò)安全態(tài)勢(shì)感知要在對(duì)網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上���,通過(guò)數(shù)據(jù)預(yù)處理、網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取�、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等過(guò)程來(lái)完成�,這其中便涉及許多相關(guān)的技術(shù)問(wèn)題。 數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過(guò)程����,按信息抽象程度可分為從低到高的三個(gè)層次:數(shù)據(jù)級(jí)融合、特征級(jí)融合和決策級(jí)融合�����。 網(wǎng)絡(luò)空間態(tài)勢(shì)感知的數(shù)據(jù)來(lái)自眾多的網(wǎng)絡(luò)設(shè)備�,其數(shù)據(jù)格式���、數(shù)據(jù)內(nèi)容�、數(shù)據(jù)質(zhì)量等千差萬(wàn)別����,存儲(chǔ)形式各異,表達(dá)的語(yǔ)義也不盡相同�。如果能夠?qū)⑦@些使用不同途徑、來(lái)源于不同網(wǎng)絡(luò)位置���、具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理���,并在此基礎(chǔ)上進(jìn)行歸一化融合操作,就可以為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源�����,從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢(shì)���。 網(wǎng)絡(luò)安全態(tài)勢(shì)感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)融合處理后���,轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大�,攜帶的信息眾多,有用信息與無(wú)用信息魚(yú)龍混雜�,難以辨識(shí)。因此����,要掌握相對(duì)準(zhǔn)確、實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)�,必須剔除干擾信息。 數(shù)據(jù)清洗技術(shù)從海量數(shù)據(jù)中挖掘出有用的信息���,即從海量的�����、不完全的����、有噪聲的、模糊的���、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的�、規(guī)律的�����、事先未知的���,但又有潛在用處的并且最終可理解的信息和知識(shí)。 數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測(cè)性挖掘�,描述性挖掘用于刻畫(huà)數(shù)據(jù)庫(kù)中數(shù)據(jù)的一般特性;預(yù)測(cè)性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷���,并加以預(yù)測(cè)���。 數(shù)據(jù)挖掘方法主要有:關(guān)聯(lián)分析法、序列模式分析法�����、分類分析法和聚類分析法。關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系����;序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系;分類分析法通過(guò)對(duì)預(yù)先定義好的類建立分析模型���,對(duì)數(shù)據(jù)進(jìn)行分類���,常用的模型有決策樹(shù)模型、貝葉斯分類模型����、神經(jīng)網(wǎng)絡(luò)模型等;聚類分析不依賴預(yù)先定義好的類�,它的劃分是未知的,常用的方法有模糊聚類法�、動(dòng)態(tài)聚類法、基于密度的方法等����。 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)一系列數(shù)學(xué)方法處理,將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值�����,這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征,用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況���。 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)的基礎(chǔ)����,對(duì)整個(gè)態(tài)勢(shì)評(píng)估和預(yù)測(cè)有著重要的影響����,網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有層次分析法、模糊層次分析法���、德?tīng)柗品ê途C合分析法。 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料����,運(yùn)用科學(xué)的理論、方法和各種經(jīng)驗(yàn)�����、判斷���、知識(shí)去推測(cè)���、估計(jì)����、分析其在未來(lái)一定時(shí)期內(nèi)可能的變化情況����,是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要組成部分。 網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢(shì)彼此相關(guān)�����,安全態(tài)勢(shì)的變化有一定的內(nèi)部規(guī)律���,這種規(guī)律可以預(yù)測(cè)網(wǎng)絡(luò)在將來(lái)時(shí)刻的安全態(tài)勢(shì)�����,從而可以有預(yù)見(jiàn)性地進(jìn)行安全策略的配置�,實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理����,預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生�����。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法����、時(shí)間序列預(yù)測(cè)法�、基于灰色理論預(yù)測(cè)法。 可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)����,將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái),并進(jìn)行交互處理的理論����、方法和技術(shù)。它涉及計(jì)算機(jī)圖形學(xué)����、圖像處理���、計(jì)算機(jī)視覺(jué)���、計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域�����。 目前已有很多安全企業(yè)將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢(shì)感知領(lǐng)域�,在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的每一個(gè)階段都充分利用可視化方法����,將網(wǎng)絡(luò)安全態(tài)勢(shì)合并為連貫的網(wǎng)絡(luò)安全態(tài)勢(shì)圖,快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅�����,直觀把握網(wǎng)絡(luò)安全狀況����。
|
