浅谈网络安全态势感知

  • 前言

网络空间环境日趋复杂,随着网络攻击种类和频次的增加,自建强有力的网络安全防御系统成为一个国家发展战略的一部分,而网络态势感知是实现网络安全主动防御的重要基础和前提。

  • 什么是网络安全态势感知?

态势感知一词来源于对抗行动和战争。进入信息化时代,作战形态发生改变,不断向虚拟的网络空间延伸,网络安全态势感知的概念由此形成。


所谓知己知彼百战不殆。在传统作战中,情报侦察员负责展开态势感知活动,典型的活动包括侦察敌方的作战目的、部署计划以及兵力等可能影响作战的主要因素。


《计算机科学技术名词》定义网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势

中国对网络安全态势感知的研究,在近20年里取得了很大的进步。2003年,国家互联网应急中心就开发建设了包含有网络安全事件监测、信息共享等安全态势感知系统的公共互联网网络安全监测平台。该平台实现了对移动互联网服务,金融证券以及基础信息网络等安全事件的实时监测。


2015年,为了及时捕获网络安全态势、发现重大或大规模的网络攻击以及网络异常状况,四川大学投入建设了网络业务和安全态势大数据分析平台,极大地提升了对网络安全的管控能力。


近年来,中国也涌现出一批网络安全巨头,逐步推出了自建的网络安全态势感知系统或平台,引领当代网络安全行业发展。随着网络安全态势感知系统的发展成熟,其所涉及的关键技术也得到了升级和丰富。

  • 网络安全态势感知基本概念

前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:

态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。

在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解、预测。并且这三个要素存在着层次上的递进关系:

  1. 感知:感知和获取环境中的重要线索和元素;

  1. 理解:整合感知到的数据和信息,分析其相关性;

  1. 预测:基于对环境信息的感知和理解,预测相关知识在未来的发展趋势。

对应到网络安全领域,我们可以给网络安全态势感知一个基本的描述:

网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户。

其对应的过程也可以分解为以下四个:

  1. 数据采集:通过各种检测工具,对影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。

  1. 态势理解:对采集到的数据使用分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知的基础。

  1. 态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。

  1. 态势预测:通过对态势评估输出的数据进行建模分析,预测网络安全状况的发展趋势, 这一步是态势感知的目标。

  • 网络安全态势感知整体架构

整体架构示意图:

可以看到,基本还是遵循了安全态势感知的分层次概念的。

  1. 首先通过多个数据源,采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。

  1. 然后通过数据清洗、融合、归一化等手段,使数据能在某些层面反映出网络的安全态势状况。

  1. 之后,智能分析层通过对数据的进一步分析,评估网络的安全态势,预测网络安全态势发展趋势。

  1. 评估和预测结果在交互呈现层以数据可视化的形式展现出来。

  • 网络安全态势感知的主要功能

网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下7部分

  1. 态势总览:展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

  1. 资产管理:监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

  1. 告警管理:通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

  1. 弱点分析:列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

  1. 日志库:列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

  1. 系统设置:支持告警规则设置、日报/周报设置、资产授权。

  1. 态势大屏:移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

从平台建设的角度来讲,一个安全态势感知平台应该具备如下功能:

  1. 可视:通过多维度的安全数据仪表盘,将网络重点环节的实时运行及安全状态多维度的展示给安全人员,方便安全人员及时掌握网络整体状况。

  1. 可知:全量收集各种安全数据,便提供检索功能,便于安全人员从海量日志中查找到安全事件对应的日志。

  1. 可管:通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。

  1. 可控:充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。

  1. 可塑:通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。

  1. 可预警:实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。

  • 网络安全态势感知发展趋势

态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币,占安全市场的5%。国内的厂商平台一般含有的功能:资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前,态势感知更多是提供数据分析结果,在大数据分析技术应用与预测方面,仍然做的不够。

当前安全态势感知的发展状态:

  1. 安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台,实现了集中存储。

  1. 以资产为核心,通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配,呈现网络的安全风险状况。

  1. 多以汇总数据和静态呈现为主,采用定期刷新统计数据为主,智能分析技术应用较少。

  1. 主要定位于事件分析、风险可视、告警管理等。

  1. 整合了一定报表生成功能,以满足内控、审计方面的要求。

未来态势感知的发展趋势:

  1. 数据采集阶段,态势感知2.0要求安全厂商以API接口和SDN网络对接,突破Vxlan技术限制,使之可以采集东西向的流量。在云环境时代,东西流量占据了业务流量的大部分。

  1. 态势感知与大数据、人工智能联合,将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理,可以满足近实时的风险发现。

  1. 结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理,提高对未来的预测、实时处置能力。系统可以从采集的数据中学习,形成一个具有自身相关特性的分析模型。

  1. 系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化,使其态势感知能力可以随着保护对象的规模变化而动态变化。

  • 德迅云安全的网络安全态势感知
    • 定义:

采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

    • 优势:

  1. 主动监测:通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

  1. 精准防护:通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

  1. 智能分析:对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

  1. 可视化态势:态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

    • 应用场景

金融:

电商:

政企:

  • 总结

安全态势感知是一种新兴的安全概念,而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍,可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上,进行数据整合、特征提取,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况。最后在交互层,使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷的了解网络当前状态及预期的风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/336575.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

图形学初识--空间变换

文章目录 前言正文矩阵和向量相乘二维变换1、缩放2、旋转3、平移4、齐次坐标下总结 三维变换1、缩放2、平移3、旋转绕X轴旋转:绕Z轴旋转:绕Y轴旋转: 结尾:喜欢的小伙伴可以点点关注赞哦 前言 前面章节补充了一下基本的线性代数中…

软件安全复习

文章目录 第一章 软件安全概述1.1 信息定义1.2 信息的属性1.3 信息安全1.4 软件安全1.5 软件安全威胁及其来源1.5.1 软件缺陷与漏洞1.5.1.1 软件缺陷1.5.1.2 漏洞1.5.1.3 软件漏洞1.5.1.4 软件缺陷和漏洞的威胁 1.5.2 恶意软件1.5.2.1 恶意软件的定义1.5.2.2 恶意软件的威胁 1.…

Mysql搭建主从同步,docker方式(一主一从)

服务器:两台Centos9 用Docker搭建主从 使用Docker拉取MySQL镜像 确保两台服务器都安装好了docker 安装docker请查看:Centos安装docker 1.两台服务器都先拉取mysql镜像 docker pull mysql 2.我这里是在 /opt/docker/mysql 下创建mysql的文件夹用来存…

java人口老龄化社区服务与管理平台源码(springboot+vue+mysql)

风定落花生,歌声逐流水,大家好我是风歌,混迹在java圈的辛苦码农。今天要和大家聊的是一款基于springboot的人口老龄化社区服务与管理平台。项目源码以及部署相关请联系风歌,文末附上联系信息 。 项目简介: 人口老龄化…

在线思维导图编辑!3个AI思维导图生成软件推荐!

思维导图,一种以创新为驱动的视觉化思考工具,已经渗透到我们日常生活和工作的各个角落。当我们需要整理思绪、规划项目或者梳理信息时,思维导图总能提供极大的帮助。 近些年随着云服务等基础设施的完善,我们可以看到越来越多提供…

可视化大屏也在卷组件化设计了?分享一些可视化组件

hello,我是大千UI工场,这次分享一些可视化大屏的组件,供大家欣赏。(本人没有源文件提供)

Nacos 微服务管理

Nacos 本教程将为您提供Nacos的基本介绍,并带您完成Nacos的安装、服务注册与发现、配置管理等功能。在这个过程中,您将学到如何使用Nacos进行微服务管理。下方是官方文档: Nacos官方文档 1. Nacos 简介 Nacos(Naming and Confi…

【雷丰阳-谷粒商城 】【分布式基础篇-全栈开发篇】【00】补充

持续学习&持续更新中… 守破离 【雷丰阳-谷粒商城 】【分布式基础篇-全栈开发篇】【00】补充 WindowsCMD插件IDEAVsCode MavenvagrantDocker解决MySQL连接慢问题启动(自动)Docker注意切换到root用户远程访问MySQL MyBatisPlusVue模块化开发项目结构…

横截面分位数回归

一、分位数回归简介 分位数回归(英语:Quantile regression)是回归分析的方法之一。最早由Roger Koenker和Gilbert Bassett于1978年提出。一般地,传统的回归分析研究自变量与因变量的条件期望之间的关系,相应得到的回归…

Leecode热题100---二分查找--4:寻找两个正序数组的中位数

题目: 给定两个大小分别为 m 和 n 的正序(从小到大)数组 nums1 和 nums2。请你找出并返回这两个正序数组的 中位数 。 解法1、暴力解法(归并) 思路: 合并 nums1,nums2 为第三个数组 排序第三个数…

如何降本增效获得目标客户?AI企业使用联盟营销这个方法就对了!

AI工具市场正在迅速发展,现仍有不少企业陆续涌出,那么如何让你的工具受到目标群体的关注呢?这相比是AI工具营销人员一直在思考的问题。 为什么AI企业难以获客呢? 即使这个市场正蓬勃发展,也无法保证营销就能轻易成功…

创建特定结构的二维数组:技巧与示例

新书上架~👇全国包邮奥~ python实用小工具开发教程http://pythontoolsteach.com/3 欢迎关注我👆,收藏下次不迷路┗|`O′|┛ 嗷~~ 目录 一、引言:二维数组的奇妙世界 二、方法一:直接初始化 1. 初始化一个…

K8s集群之 存储卷 PV PVC

目录 默写 1 如何将pod创建在指定的Node节点上 2 污点的种类(在node上设置) 一 挂载存储​​​​​​​ 1 emptyDir存储卷 2 hostPath存储卷 ①在 node01 节点上创建挂载目录 ② 在 node02 节点上创建挂载目录 ③ 创建 Pod 资源 ④ 在master上检测一下:…

Hadoop3:HDFS中DataNode与NameNode的工作流程

一、DataNode中的数据情况 数据位置 /opt/module/hadoop-3.1.3/data/dfs/data/current/BP-823420375-192.168.31.102-1714395693863/current/finalized/subdir0/subdir0块信息 每个块信息,由两个文件保存,xxx.meta保存的是数据长度、校验和、时间戳&am…

IEEE Latex模版踩雷避坑指南

参考文献 原Latex模版 \begin{thebibliography}{1} \bibliographystyle{IEEEtran}\bibitem{ref1} {\it{Mathematics Into Type}}. American Mathematical Society. [Online]. Available: https://www.ams.org/arc/styleguide/mit-2.pdf\bibitem{ref2} T. W. Chaundy, P. R. Ba…

搜索自动补全-elasticsearch实现

1. elasticsearch准备 1.1 拼音分词器 github地址:https://github.com/infinilabs/analysis-pinyin/releases?page6 必须与elasticsearch的版本相同 第四步,重启es docker restart es1.2 定义索引库 PUT /app_info_article {"settings": …

秋招突击——算法——模板题——区间DP(1)——加分二叉树

文章目录 题目描述思路分析实现代码分析总结 题目描述 思路分析 实现代码 不过我的代码写的真的不够简洁&#xff0c;逻辑不够清晰&#xff0c;后续多练练吧。 // 组合数问题 #include <iostream> #include <algorithm>using namespace std;const int N 35; int…

uniapp+php服务端实现苹果iap内购的消耗性项目和非续期订阅项目,前后端代码加逻辑分析

前言&#xff1a;公司的项目app在上架苹果商店时发现人家要求里面的部分购买项目必须使用iap购买的方式&#xff0c;使用原本的微信支付方式审核不给通过&#xff0c;无奈只能重新研究这个东西。做起来还是有点麻烦&#xff0c;主要是网上的文章很少&#xff0c;不能直接硬抄。…

Nacos 2.x 系列【12】配置加密插件

文章目录 1. 前言2. 安装插件2.1 编译2.2 客户端2.3 服务端 3. 测试 1. 前言 为保证用户敏感配置数据的安全&#xff0c;Nacos提供了配置加密的新特性。降低了用户使用的风险&#xff0c;也不需要再对配置进行单独的加密处理。 前提条件&#xff1a; 版本:老版本暂时不兼容&…

网络工程基础 不同网段下的设备实现通信

交换机可以实现同一个网段下的不同设备直接通信 路由器可以实现不同的网段下的设备进行通信 路由器查看路由表命令 display ip routing-table 华为路由器配置静态路由命令&#xff1a; ip route-static 目的网络地址 子网掩码 下一跳地址 电脑判断不同网段的ip会把请求转给网…