1988年,Mica R. Endsley提出態勢感知概念,標準定義:態勢感知(situation awareness,SA)是指在一定的範圍內,熟悉並瞭解環境因素,並能夠預測未來的發展趨勢。
1999年,Tim Bass首次提出網絡空間的態勢感知(Cyberspace Situation Awareness CSA)的概念,一般指的網絡態勢感知主要指由各種網絡及安全設備的運行情況、受攻擊行為以及用戶行為等幾個方面的因素所構成的網絡使用情況和所產生的變化。
態勢是一種發展趨勢,是網絡設備運行的狀態,是整個系統網絡的概念,其他單一的變化或運行狀態都不能稱之為態勢。在目前複雜的網絡環境中,進行獲取、理解、展示影響網絡態勢發生變化的安全數據,並能夠利用這些數據預測未來網絡發展趨勢,叫做態勢感知。
信息系統在不同的安全域之間部署了大量的安全防護設備及安全審計及安全管理系統,但是安全設備、各安全系統之間信息孤立,存在安全隱患、無法實現信息共享,無法達到當系統遭受攻擊時實現攻擊溯源和預警分析。那麼通過安全態勢感知、預警防禦體系,基於攻擊態勢分析、威脅預警分析與趨勢分析與檢測,可以解決業務系統信息孤島的問題。實現安全信息的整合收集與數據的彙總分析,為安全運行維護人員提供直觀、強大、清晰的安全威脅預警能力。
態勢感知
態勢感知核心的幾個方面:
1、攻擊態勢分析,攻擊威脅分析是對攻擊檢測的結果數據進行多維度統計分析,其結果用於支撐攻擊態勢視圖展示。數據來源包括密碼猜測攻擊、web攻擊、惡意掃描、惡意程序等四種攻擊檢測結果;從攻擊維度,以分、時、天、周、月、年等時間週期分析統計攻擊類型和次數;從地理位置維度,對攻擊源IP、攻擊資產、攻擊類型、攻擊次數進行分析統計;從資產維度,對攻擊類型、攻擊者數量及攻擊次數進行分析統計;並能夠攻擊的類型源IP數量以及受影響的資產數量進行週期統計與分析得出危害等級進行視圖展示。
2、威脅預警分析,對獲取的威脅情報進行篩選和提煉,識別出可能存在外部攻擊行為,定位出與此外部攻擊的相關資產信息和漏洞。外部攻擊的識別:提取安全設備告警日誌和web中間件訪問日誌中的源IP地址、URL地址、與IP信譽庫、URL信譽庫進行對比,篩選識別出所有的惡意訪問請求,並對訪問源/目標進行資產關聯。資產篩選:將情報內容中資產(受到威脅的對象、如Linuxb版本號等)與信息系統中的資產信息比對分析,識別出與此情報相同漏洞的資產信息。漏洞對比:對上述資產分析結果涉及的資產進行漏洞掃描,掃描結果結合威脅情報的漏洞信息對比,進一步分析識別出具備與情報相同漏洞的資產信息。
3、趨勢分析與檢測,網絡態勢是現網各種網絡設備及安全設備的運行狀態以及用戶的訪問行為等因素所構成的整個系統的當期狀態及變化趨勢,網絡態勢安全感知主要是指在現網複雜網絡環境中,獲取、理解並展示引起網絡態勢發生變化的一系列因素,通過這一系列因素能夠預判未來的發展趨勢。態勢感知系統需要從安全本身的變化入手,採用多種分析模型,通過對事件和威脅的分析來評估當前網絡的整體安全狀態,為用戶提升安全防護能力提供決策支持。分析呈現歷史安全狀況,結合本地的活動日曆,使用迴歸分析來對未來一段時間的攻擊類型和數量進行預測。
通過分析一系列安全信息數據,建立一套動態的多維度威脅指標體系,幫助安管人員對目前的安全威脅因素進行辨別,最終找出導致威脅態勢異常的關鍵安全事件。
態勢感知是對當前系統的狀態進行評估和判斷,而趨勢分析則是基於歷史信息結合當前的狀態去預測未來狀態的發展趨勢,通過預測可以為決策系統提供決策所需的必要知識和所需信息。在面對複雜網絡信息化環境的時候,預測模型的建立是對被預測問題的一種高度抽象,系統越複雜、建模的準確性就越難以保障、結果的不確定性就越高,因此僅僅利用單一的一種方法往往難以預測準確的結果。採用組合預測的方法,針對不同網絡規模的網絡安全態勢總體趨勢,選擇不同的預測模型,最終實現對安全態勢的準確預測。
閱讀更多 西山科技 的文章
