返回
浅析网络安全中的态势感知技术

浅析网络安全中的态势感知技术

ID:33421155

大小:68.33 KB

页数:3页

时间:2019-02-25

浅析网络安全中的态势感知技术_第1页
浅析网络安全中的态势感知技术_第2页
浅析网络安全中的态势感知技术_第3页
资源描述:

《浅析网络安全中的态势感知技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅析网络安全中的态势感知技术—、态势感知技术的概念“态势感知”(SA,SituationAwareness)概念起源于20世纪80年代的美国空军:分析空战环境信息,快速判断当前及未来形势并做出正确反应。无疑这对取得胜利具有决定性的作用,而信息到态势的转换并非易事,这正是SA产生的背景。20世纪90年代,SA进入“人为因素”(HumanFactors)研究领域,成为研究热点。目前SA已广泛应用于军事、航空、工业生产、安全防控等领域,对辅助决策起到重要作用。公认的SA概念是:在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。或

2、者,SA是经过某种信息的处理过程达到的知识状态,这种处理过程称为“态势评估”(SituationAssessment态势感知中的“觉察”又称为一级SA,本质上是“数据收集”;“理解”称为二级SA,本质上是掌握数据中的知识(数据中的对象及其行为和对象间的相互关系);纾页测”称为三级SA,本质上是知识的应用。近年来,SA研究面临环境的全局性、复杂性、动态性、高负荷性,催生新的功能需求或研究:具有多源数据融合与可视化、异质性、自动化、实时处理特点的风险评估、决策、预测系统,其中具有代表性的研究热点是数据融合与可视化,数据融合技术是指利用计算机对按时

3、序获得的若干观测信息,在一定准则下加以自动分析、综合,以完成所需的决策和评估任务而进行的信息处理技术。网络安全态势感知从被保护和保护两个角度来说,网络安全问题的解决最终朝向两个方向:1・对特定对象的保护,防火墙、IDS、IPS等技术均以此为目标;2.安全监测及威胁应对。如果将威胁定义为攻击者基于同一目的的一系列安全事件的集合,则网络安全监测主要包含威胁检测及威胁评估两方面内容,前者本质上是攻击者检测;而后者本质上是攻击者意图的估计。实现安全监测不但需要觉察环境下各元素和对象,而且需要理解其中的语义和相互关系,从而最终实现攻击者及其威胁的推断、评

4、估,这一过程与态势感知本质上是一致的,即网络安全态势感知模型或内容如图1所示。伞攻击者意图(三级SA)威胁评估,方法:丰攻击者(二级SA)基于图的倉图识别、因果关联、概率统计威胁检测,方法:摸型、统计、人工智能、数据挖掘、机器学习丰攻击事件(一级SA)数据源:攻击检测IDS、務SLDNS异常*报">*图1网络安全态势感知内容示意图在三级网络安全态势感知中,一、二级感知,即攻击事件的产生、误报消除、关联以及攻击者的检测已经有大量的研究成果,限于篇幅,这里仅介绍攻击者意图感知部分。“攻击者意图识别”的目标是找出攻击者单一攻击事件背后的逻辑关系,获得

5、更多的攻击语义,合理推断攻击者的下一步行为,从而评估攻击者的威胁,基本思想是IDS检测结果进入相互独立的攻击识别系统和环境系统,攻击识别系统负责识别各类型攻击,环境系统负责分析被保护网络暴露给攻击者的弱点,两系统分析结果融合后合理估计攻击者意图,并计算威胁值。三、网络安全态势感知的应用网络安全领域的态势感知系统通过分析收集到的各类安全检测系统的警报(如表1所示),检测出僵尸网络、恶意网站等各类攻击者及其攻击活动,在此基础上通过推测攻击者类型、数量、位置、意图等测度来评估攻击者的威胁程度,从而最终实现态势感知。表1态势感知数据源检测系统警报说明N

6、BOS控制器IP列表,与控制器关联主机列表Monster基于滥用入侵检测的检测结果HoneyPot传播事件,恶意代码样本IRCIRC全报文,可疑的信道、成员ID,命令DNSDNS全报文;FastFluxIP列表HTTP静态页面,基于杀毒软件的页面扫描结果脆弱性分析被保护网络脆弱性分析报告例如,通过关联DNS、Monster.HoneyPot.NBOS四类警报,检测僵尸网络以及评估其威胁程度这一过程。关联分析各种入侵警报,本质上是明确攻击者行为证据链,确定攻击者并评估其威胁。态势感知技术的目的是帮助决策,所以传统的态势感知技术详细讨论系统、任务(

7、决策目标X人为因素三者对态势感知所造成的影响以及应对方法。而信息时代下,信息源大大丰富,同时,态势感知也变得更为复杂:信息系统往往是无边界的,对象的诸多特征不可预知,对象之间的作用与影响也难以预测;2・决策目标更加多元、精细,对态势感知亦提出了更高的要求;3.由于所处环境的复杂多变,人的判断、决策亦随之变化。以上因素导致传统态势感知技术面临新的挑战。因果关联分析、事件统计、本体模型等技术方法依然是有效的感知技术,然而由于系统的日益复杂,传统的感知技术适用的感知级别具有降低的趋势,传统环境中,可以进行三级感知的技术现在可能仅适用于二级感知,而对未

8、来的预测需要更为深入与广泛的关联平台与技术。指挥自动化教研室助理讲师吕健

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。