前言
网络空间环境日趋复杂,随着网络攻击种类和频次的增加,自建强有力的网络安全防御系统成为一个国家发展战略的一部分,而网络态势感知是实现网络安全主动防御的重要前提和基础。通过这篇文章我们将深入了解网络安全态势感知及其所涉及的关键技术。
什么是网络安全态势感知?
态势感知一词来源于对抗行动和战争。进入信息化时代,作战形态发生改变,不断向虚拟的网络空间延伸,网络安全态势感知的概念由此形成。
所谓知己知彼百战不殆。在传统作战中,情报侦察员负责展开态势感知活动,典型的活动包括侦察敌方的作战目的、部署计划以及兵力等可能影响作战的主要因素。
《计算机科学技术名词》定义网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。
中国对网络安全态势感知的研究,在近20年里取得了很大的进步。2003年,国家互联网应急中心就开发建设了包含有网络安全事件监测、信息共享等安全态势感知系统的公共互联网网络安全监测平台。该平台实现了对移动互联网服务,金融证券以及基础信息网络等安全事件的实时监测。
2015年,为了及时捕获网络安全态势、发现重大或大规模的网络攻击以及网络异常状况,四川大学投入建设了网络业务和安全态势大数据分析平台,极大地提升了对网络安全的管控能力。
近年来,中国也涌现出一批网络安全巨头,逐步推出了自建的网络安全态势感知系统或平台,引领当代网络安全行业发展。随着网络安全态势感知系统的发展成熟,其所涉及的关键技术也得到了升级和丰富。
关键技术:
最早网络态势感知是由美国空军通信与信息中心提出的,但并未形成具体概念。后来国内相关专家认为,态势感知是一个认知的过程,网络安全态势感知即是对网络系统安全状态的一种宏观且全面的认知过程。而这个认知过程又包括一系列的关键技术。
包括数据采集、数据特征提取;检测和分析网络攻击;计算和评估网络态势;预测网络态势及溯源;网络态势可视化等。
这些关键技术对应的态势感知过程包括信息融合、监测网络事件、网络状态预测溯源、评估当前及未来的风险。
技术理解:
结合网络安全态势感知系统的关键技术及其感知过程,可以总结进行网络态势感知的主要活动包括测量、处理原始网络数据、提取特征数据并进行检测、通过计算对各种各样的网络活动进行风险评估、捕获异常网络活动数据,最后通过这一系列过程加强对可能影响网络系统正常运行因素的认知,并基于准确的认知对网络安全趋势进行预测,并实现通过攻击溯源和可视化展示为制定有效的防御措施提供支持。
总体上理解技术之后,下面我们通过5个拆分步骤介绍各项关键技术及其构成。
1、数据采集:网络安全数据采集是网络安全态势感知工作的第一步,是指使用软件和硬件技术对各种影响网络系统安全的数据进行采集,通过所采集数据中相关要素在网络系统中的属性和状态,对数据信息进行处理,并以可以被理解的形式表达出来。
数据采集需要获取多个维度的数据,如资产数据、威胁数据、漏洞数据、脆弱性数据、用户异常行为数据、网络服务数据等。
2、态势理解:态势理解是进行网络安全态势感知工作的前提,是指对海量数据进行分类、归纳和关联分析,进而对处理后的融合信息进行综合分析,得出影响网络的整体安全状况。
面对采集数量巨大的网络数据,只有充分分析和理解当前网络状态,才能进一步制定评估策略和预测,态势感知系统的建立有助于安全人员更好地理解网络态势。
3、态势评估:态势评估是准确、全面、实时反映网络安全状态的重要手段,也是网络安全态势感知任务中的核心工作。这个过程需要安全人员结合多个数据维度,划分各种影响要素,进行定性、定量分析,评估网络当前的安全状态和薄弱环节,并给出相应的应对措施。
4、态势预测:态势预测是网络安全态势感知任务的最终目标,是指通过过去和当前已知安全要素,通过科学、知识和现有的经验方法,预测将来影响网络安全事件因素的变化规律,进而提前预测网络安全状况的发展趋势。在日趋复杂的网络环境中,网络攻击的发生更多是瞬时的,通过预测未来网络安全状况发展趋势,可以增强在网络攻防中的主动性,为网络安全提供重要指导。
5、态势可视化:态势可视化是网络安全态势感知任务的结果展示,作为态势感知和可视化技术结合而来一项新技术,态势可视化利用可视化技术,通过各种形式包括地图、表格、树状图、时间轴、3D和层次可视化等,展示网络安全态势状况,帮助用户更直观、准确地理解网络安全整体态势。