小议网络安全态势感知体制建设

小议网络安全态势感知体制建设

ID:43613624

大小:26.50 KB

页数:6页

时间:2019-10-11

小议网络安全态势感知体制建设_第1页
小议网络安全态势感知体制建设_第2页
小议网络安全态势感知体制建设_第3页
小议网络安全态势感知体制建设_第4页
小议网络安全态势感知体制建设_第5页
资源描述:

《小议网络安全态势感知体制建设》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、小议网络安全态势感知体制建设1积极主动的安全态势感知体系1」概述构建积极主动的网络安全态势感知体系,目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上,态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多,在关键方法与技术上没有太大变化,最大的区别来白于态势察觉层次即传感器网络的不同。由于要进行有F1标、有针对性的数据获取,需要在理想状态下实现对网络攻击行为的全程感知,因而建立主动探测与被动监测相结合的传感器网络非常关键。1.2体系结构积极主动的网络女全态势感知体系由主动探测与被动临测相结合的数据采集、面向网络攻防对抗的安

2、全态势评估、基于网络威胁的安全态势预测三部分构成。1)数据采集传感器网络通过主动探测与被动监测相结合的态势要索采集数据,针对以下五种类型的数据:一是來自网络安全防护系统的数据,例如防火墙、IDS、漏洞扫描与流量审计等设备的口志或告警数据;二是来自重要服务器与主机的数据,例如服务器安全口志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;三是网络骨干节点的数据,例如电信运营商管理的佇干路由器的原始网络数据,网络节点数据采集的越多,追踪、确认网络攻击路径的町能性就越大;四是直接的威胁感知数据,例如Honeynet诱捕的网络攻击数据,对网络攻击源及攻击路径的

3、追踪探测数据;五是协同合作数据,包括权威部门发布的病毒蠕虫爆发的预警数据,网络安全公4或研究机构提供的攻击行为分析报告等。除了笫一、笫二种类型数据的采集,后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权,借助设备的镜像等功能,就能够获収流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜%I-划屮就有利川思科路由器的“后门'',获取境外骨干网络节点数据的内容;而且,该计划通过要求一些公司提供冇关数据,来完善其监控信息。2)安全态势评估评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评佔五个步骤。对异源异构的传感器数据,盂

4、在数据分类的基础上进行格式归一化处理,然后在相关知识库与技术手段的支撑下,根据威胁、腕弱性或安全事件等的标识,进行数据去重、集成和关联,再依次进行而向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的和关技术尚不完善,这里侧重于以威胁识別为牵弓I,来评估因为威胁变化而引发的安全状态变化,即面向网络攻防对抗的安全态势评估。为此,需解决三个基础问题:(1)对网络威胁主动探测数据的利川。这些数据虽然可能不完整、不系统,但指向性很强,能够明确作为威胁存在的证据,可用于确认安全事件、新威胁发现和攻击路径还原。(2)将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数

5、据中提取关键字段,比如IP地址或攻击特征,然后基于这些字段在宏观网络数据屮找出相关的数据,解决宏观与微观数据的关联问题。(3)从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支椁,深化攻击模式与数据流特征提取,以ODay漏洞的研究与利用为基础,提升对新威胁的监测能力。3)安全态势预测相对于脆弱性的出现与安全策略的调整,网络威胁的变化频率要高很多。因此,在全血获取网络威胁相关状态数据的情况下,想定不同的场景和条件,根据网络安全的历史和当前状态信息,基于网络威胁来进行态势预测,就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的口标不是产生准确的预警信息,而是要将预

6、测结果用于决策分析与支持,特别是要上升到支持网络攻防对抗的层次上。2传感器网络2.1概述主动探测打被动监测相结合的安全要索提取,分别由主动探测型和被动监测型两种传感器來完成C具屮前者主要面向网络威胁,后者则全面关注安全态势耍素数据。两者在数据采集上都体现了积极主动的策略,例如,通过反制威胁获得其服务器的控制权,进而采集其数据,或利用Honeynet來诱捕分析网络攻击。这种枳极的策略体现了网络攻防对抗,需考虑传感器的安全性。2.2主动探测型传感器主动探测型传感器以主动探测网络威胁相关倍息的方式來进行数据获取,在有效降低采集数据量的同时,人幅度提升威胁感知的准确性。这是目前安全态势感知系

7、统所欠缺的,可以有如下几种方式:1)重大威胁源公开信息收集:除了权威部门发布的威胁预警信息,对一些冇名的黑客组织与非法团体,例如近期著名的“匿名者(Anonymous)”,还可收集其历史行动、使用手段和公开言论等信息,来分析评判其可能采取的攻击行动。2)蜜网(Honeynet)或蜜罐(Honeypot)传感器:在关键信息系统或基础设施屮部署蜜网或蜜罐系统,对网络威胁进行诱捕和分析,可实现更深层次的威胁感知。3)可疑目标主动探测:对曾经发起网络攻击的威胁源,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。