浅谈网络安全态势感知

news2024/11/13 10:22:46
  • 前言

网络空间环境日趋复杂,随着网络攻击种类和频次的增加,自建强有力的网络安全防御系统成为一个国家发展战略的一部分,而网络态势感知是实现网络安全主动防御的重要基础和前提。

  • 什么是网络安全态势感知?

态势感知一词来源于对抗行动和战争。进入信息化时代,作战形态发生改变,不断向虚拟的网络空间延伸,网络安全态势感知的概念由此形成。


所谓知己知彼百战不殆。在传统作战中,情报侦察员负责展开态势感知活动,典型的活动包括侦察敌方的作战目的、部署计划以及兵力等可能影响作战的主要因素。


《计算机科学技术名词》定义网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势

中国对网络安全态势感知的研究,在近20年里取得了很大的进步。2003年,国家互联网应急中心就开发建设了包含有网络安全事件监测、信息共享等安全态势感知系统的公共互联网网络安全监测平台。该平台实现了对移动互联网服务,金融证券以及基础信息网络等安全事件的实时监测。


2015年,为了及时捕获网络安全态势、发现重大或大规模的网络攻击以及网络异常状况,四川大学投入建设了网络业务和安全态势大数据分析平台,极大地提升了对网络安全的管控能力。


近年来,中国也涌现出一批网络安全巨头,逐步推出了自建的网络安全态势感知系统或平台,引领当代网络安全行业发展。随着网络安全态势感知系统的发展成熟,其所涉及的关键技术也得到了升级和丰富。

  • 网络安全态势感知基本概念

前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:

态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。

在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解、预测。并且这三个要素存在着层次上的递进关系:

  1. 感知:感知和获取环境中的重要线索和元素;

  1. 理解:整合感知到的数据和信息,分析其相关性;

  1. 预测:基于对环境信息的感知和理解,预测相关知识在未来的发展趋势。

对应到网络安全领域,我们可以给网络安全态势感知一个基本的描述:

网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户。

其对应的过程也可以分解为以下四个:

  1. 数据采集:通过各种检测工具,对影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。

  1. 态势理解:对采集到的数据使用分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知的基础。

  1. 态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。

  1. 态势预测:通过对态势评估输出的数据进行建模分析,预测网络安全状况的发展趋势, 这一步是态势感知的目标。

  • 网络安全态势感知整体架构

整体架构示意图:

可以看到,基本还是遵循了安全态势感知的分层次概念的。

  1. 首先通过多个数据源,采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。

  1. 然后通过数据清洗、融合、归一化等手段,使数据能在某些层面反映出网络的安全态势状况。

  1. 之后,智能分析层通过对数据的进一步分析,评估网络的安全态势,预测网络安全态势发展趋势。

  1. 评估和预测结果在交互呈现层以数据可视化的形式展现出来。

  • 网络安全态势感知的主要功能

网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下7部分

  1. 态势总览:展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

  1. 资产管理:监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

  1. 告警管理:通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

  1. 弱点分析:列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

  1. 日志库:列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

  1. 系统设置:支持告警规则设置、日报/周报设置、资产授权。

  1. 态势大屏:移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

从平台建设的角度来讲,一个安全态势感知平台应该具备如下功能:

  1. 可视:通过多维度的安全数据仪表盘,将网络重点环节的实时运行及安全状态多维度的展示给安全人员,方便安全人员及时掌握网络整体状况。

  1. 可知:全量收集各种安全数据,便提供检索功能,便于安全人员从海量日志中查找到安全事件对应的日志。

  1. 可管:通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。

  1. 可控:充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。

  1. 可塑:通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。

  1. 可预警:实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。

  • 网络安全态势感知发展趋势

态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币,占安全市场的5%。国内的厂商平台一般含有的功能:资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前,态势感知更多是提供数据分析结果,在大数据分析技术应用与预测方面,仍然做的不够。

当前安全态势感知的发展状态:

  1. 安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台,实现了集中存储。

  1. 以资产为核心,通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配,呈现网络的安全风险状况。

  1. 多以汇总数据和静态呈现为主,采用定期刷新统计数据为主,智能分析技术应用较少。

  1. 主要定位于事件分析、风险可视、告警管理等。

  1. 整合了一定报表生成功能,以满足内控、审计方面的要求。

未来态势感知的发展趋势:

  1. 数据采集阶段,态势感知2.0要求安全厂商以API接口和SDN网络对接,突破Vxlan技术限制,使之可以采集东西向的流量。在云环境时代,东西流量占据了业务流量的大部分。

  1. 态势感知与大数据、人工智能联合,将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理,可以满足近实时的风险发现。

  1. 结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理,提高对未来的预测、实时处置能力。系统可以从采集的数据中学习,形成一个具有自身相关特性的分析模型。

  1. 系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化,使其态势感知能力可以随着保护对象的规模变化而动态变化。

  • 德迅云安全的网络安全态势感知
    • 定义:

采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

    • 优势:

  1. 主动监测:通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

  1. 精准防护:通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

  1. 智能分析:对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

  1. 可视化态势:态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

    • 应用场景

金融:

电商:

政企:

  • 总结

安全态势感知是一种新兴的安全概念,而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍,可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上,进行数据整合、特征提取,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况。最后在交互层,使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷的了解网络当前状态及预期的风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1697144.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL数据库中的多表查询/连接查询操作

类型:内连接 ,外连接{左外连接,右外连接} 之所以要使用连接查询的意义就是为了,借助数据库可以避免大量的数据重复。 进行连接查询的前提是要求多张表之间存在相关联的字段。 这里指的相关联的字段就是表与表之间存在着关系&am…

0元入驻抖音小店,真的是好事吗?

大家好,我是喷火龙。 抖音小店去年推出0元入驻抖音小店个人店的政策,简而言之就是只要一张身份证就可以开店,不需要营业执照,也不需要交保证金。 很多人一听很心动,因为没有任何成本就可以开店,于是纷纷跑…

二叉树的遍历(前序遍历,中序遍历,后序,层序遍历)和一些简单操作(由浅入深绝对能看懂)

欢迎大佬们的关顾能给个赞就更好啦QWQ 目录 二叉树的逻辑结构与物理结构 一.二叉树的遍历 (1)二叉树的前序遍历 (2)二叉树的中序遍历 (3)二叉树的后序遍历 (4)二叉树的层序遍历…

在PyCharm中import包标红

在程序头引入包,有时会出现标红 像上面的引入,在没有解决之前 sklearn.metrics 等都是标红的。因为缺少一些包,所以引入不了包中的一些函数 可以在左侧找到终端用命令安装包,用镜像可以加快下载速度 pip install 包名 -i https…

借助Kong记录接口的请求和响应内容

和APISIX类似,Kong也是一个Api GateWay。 运行在调用Api之前,以插件的扩展方式为Api提供管理, 如 鉴权、限流、监控、健康检查等. Kong是基于Lua语言、Nginx以及OpenResty开发的,拥有动态路由、负载均衡、高可用、高性能、熔断(基…

基于STM32+NBIOT(BC26)设计的物联网观赏鱼缸

文章目录 一、前言1.1 项目介绍【1】开发背景【2】项目实现的功能【3】项目模块组成 1.2 设计思路 二、(硬件控制端)硬件选型2.1 STM32开发板2.2 PCB板2.3 USB下载线2.4 NBIOT模块2.5 杜邦线(2排)2.6 稳压模块2.7 电源插头2.8 水温检测传感器2.9 水质检测…

20232801 2023-2024-2 《网络攻防实践》实践十一报告

#20232801 2023-2024-2 《网络攻防实践》实践十一报告 1.实践内容 (1)web浏览器渗透攻击 使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。 (2)取证分析实践—网页木马…

WIFI国家码设置的影响

记录下工作中关于国家码设置对WIFI的影响,以SKYLAB的SKW99和SDZ202模组为例进行说明。对应到日常,就是我们经常提及手机是“美版”“港版”等,它们的wifi国家码是不同的,各版本在wifi使用中遇到的各种情况与下面所述是吻合的。 现…

【二叉树】力扣OJ题

文章目录 前言1. 翻转二叉树1.1 题目1.2 解题思路1.3 代码实现1.4 时空复杂度 2. 对称二叉树2.1 题目2.2 解题思路2.3 代码实现2.4 时空复杂度 3. 平衡二叉树3.1 题目3.2 解题思路3.3 代码实现3.4 时空复杂度 结语 前言 本篇博客主要介绍二叉树的经典 OJ 题,题目主…

Scala 入门介绍和环境搭建

一、简介 Scala 是一门以 Java 虚拟机(JVM)为运行环境并将面向对象和函数式编程的最佳特性结合在一起的静态类型编程语言 (静态语言需要提前编译,如:Java、c、c 等,动态语言如:js)Scala 是一门多范式的编程…

Spring中@Component注解

Component注解 在Spring框架中,Component是一个通用的注解,用于标识一个类作为Spring容器管理的组件。当Spring扫描到被Component注解的类时,会自动创建一个该类的实例并将其纳入Spring容器中管理。 使用方式 1、基本用法: Co…

MySQL:表的约束

文章目录 0.小知识,数据转化1.空属性(非空约束)2.默认值(default)3.comment(列描述)4.zerofill(显示约束)5.primary key(主键约束)6.auto_increment(自增长)7.unique(唯一键)8.foreign key (外键)9.综合表结构的设计 表…

【运维】Linux 端口管理实用指南,扫描端口占用

在 Linux 系统中,你可以使用以下几种方法来查看当前被占用的端口,并检查 7860 到 7870 之间的端口: 推荐命令: sudo lsof -i :7860-7870方法一:使用 netstat 命令 sudo netstat -tuln | grep :78[6-7][0-9]这个命令…

Java+Spring Boot +MySQL + MyBatis Plus一款数字化管理平台源码:云MES系统

JavaSpring Boot MySQL MyBatis Plus一款数字化管理平台源码:云MES系统 MES是为企业提供制造全过程的信息化产品,支持企业智能制造。MES可实现与企业的ERP、PDM等其他信息化系统进行无缝连接,也可与现场生产设备进行连接、数据采集&#xff…

牛客网刷题 | BC97 回文对称数

目前主要分为三个专栏,后续还会添加: 专栏如下: C语言刷题解析 C语言系列文章 我的成长经历 感谢阅读! 初来乍到,如有错误请指出,感谢! 描述 今天牛牛学到了回文…

线程池,日志

所要用到的知识点: 多线程的创建 生产消费模型, 线程锁 条件变量 代码: 线程池日志

留守儿童|基于SprinBoot+vue的留守儿童爱心网站(源码+数据库+文档)

留守儿童爱心网站 目录 基于SprinBootvue的留守儿童爱心网站 一、前言 二、系统设计 三、系统功能设计 1系统功能模块 2管理员功能模块 3用户功能模块 四、数据库设计 五、核心代码 六、论文参考 七、最新计算机毕设选题推荐 八、源码获取: 博主介绍&…

gnocchi学习小结

背景 总结gnocchi 4.4版本gnocchi-metricd工作流程 入口 gnocchi.cli.metricd metricd stop after processing metric默认为0,调servicemanager run MetricdServiceManager __init__ 服务逻辑封装到MetricdServiceManager初始化中 主要由MetricProcessor, Met…

Linux自动重启系统脚本测试工具

前言 脚本允许用户指定重启的次数和重启间隔时间,并自动生成相应的定时任务。通过使用这个脚本,系统管理员可以轻松地设置重启测试。每次重启操作都会被记录下来,以便用户随时了解测试情况。 一、脚本 #!/bin/bashif [ "$1" &qu…

[数组查找]1.图解线性查找及其代码实现

线性查找 线性查找是一种在数组中查找数据的算法。与二分查找不同,即便数据没有按顺序存储,也可以应用线性查找。线性查找的操作很简单,只要在数组中从头开始依次往下查找即可。虽然存储的数据类型没有限制,但为了便于理解&#x…