引言
为应对日益突出的网络安全问题,多种安全防护设备被用来监测大量的风险事件,对网络进行安全防护,包括入侵检测系统、防火墙和漏洞检测系统等。这些设备仅限于对攻击行为采取局部的检测和防护措施,设备之间缺乏有效协作,使得网络管理员不能准确地定位网络脆弱点,无法及时地发现恶意攻击以及不能全面地把握网络安全状态。为弥补安全防护设备的不足,学术界提出网络安全态势感知技术,目的是对网络入侵行为进行主动防御,预先实现网络安全防护。本文将从网络安全态势感知的定义、模型以及意义三个方面对网络安全态势感知进行概述。
什么是网络安全态势感知
已有文献从不同的角度来定义网络安全态势感知。
第一、从网络系统的角度,Bode等[5]定义网络安全态势是感知网络系统受到随机的、有组织的入侵行为,分析网络系统过去的、现在的安全事件,评估网络安全状态以及预测将来的安全趋势。
第二、从网络信息资产的角度,Masduki等[6]定义网络安全态势感知能够分析网络信息,识别网络攻击并评估其对网络系统造成的影响,衡量安全风险,帮助网络管理员制定决策,得出保护资产的最佳方法。
第三、从网络管理员的角度,Adenusi等[7]指出网络安全态势感知是处理网络系统不确定性的主动手段,帮助网络管理员分析网络安全状态。
第四、从网络信息的角度,Carrega等[8]指出网络安全态势感知可以在计算机操作活动中实现,该操作活动集成了与网络相关的所有信息,在识别攻击及制定响应决策的过程中,这些信息是不可或缺的。
以上定义侧重系统或信息一个角度来描述网络安全态势感知,但没有说明感知的过程和信息的内容,也没有全面涉及网络环境和网络数据。因此,我们认为:网络安全态势感知是感知网络环境并提取网络数据,获取影响网络安全态势的因素,分析网络数据和影响因素的相关性,得到强相关的影响因素,然后理解这些影响因素,评估网络安全状态并预测其发展趋势,制定决策,执行主动防御,实现安全防护。
网络安全态势感知对于网络安全防护具有重要的意义,通过全面把握网络安全状态及发展趋势,能够有效评估安全事件发生的可能性,实时监测网络攻击以缓解其造成的危害,网络安全态势感知技术与传统安全设备检测方式结合,发现潜在的恶意入侵行为,提高网络系统的反击能力和应急响应能力。
网络安全态势感知模型由哪些部分构成
网络安全态势感知过程是通过感知网络环境来提取网络数据,并通过理解这些数据来评估网络安全状态和预测未来发展趋势,得到评估和预测的数据用来制定决策,最后采取响应措施进行主动防御,反馈给网络环境实现安全防护,提高网络防御能力。
网络安全态势感知模型的构建分为网络环境感知、态势理解和态势预测三部分。
网络环境感知是感知网络环境并提取网络数据。对于复杂动态的网络环境和繁多冗杂的数据,研究者采用防病毒软件、漏洞扫描、渗透测试、网络扫描、密码破解工具、防火墙和入侵检测系统等技术来收集网络数据,或通过资产列表、风险识别、调查、事件响应报告等方式来收集网络数据。为了获取全面且准确的网络数据,研究者常用条件随机场、进化神经网络和聚类分析等方法对原始数据进行预处理来提取网络数据。
态势理解是整合提取的网络数据,分析数据之间的相关性,定位网络脆弱点,评估安全事件发生的可能性,得到评估数据来制定决策,进行主动防御。这部分是网络安全态势感知的核心,研究人员对不同的数据采用不同的方法进行分析,其中有自适应共振理论模型、贝叶斯网络分类器和博弈模型等。
态势预测是基于态势理解输出的网络数据,预测网络安全状况,得到预测数据来制定决策,执行主动防御。这部分是网络安全态势感知的目标,不仅要预测网络威胁攻击以及攻击者的下一步行动,还要克服对数据完整性的依赖,预测网络安全状态的发展趋势。
网络安全态势感知的意义
网络面临严峻的数据泄漏、恶意攻击、系统漏洞和病毒入侵等安全问题,网络安全防护技术引起政府和企业的广泛关注。网络安全态势感知将网络环境感知、态势理解和态势预测三个部分合为一体,提高了对网络安全进行持续监测的能力,使得安全人员及时发现网络异常,对攻击目的、攻击手段、攻击路径以及威胁相关的影响范围进行快速判断,从而将网络风险和损失降到最低。网络安全态势感知能够从宏观角度分析网络安全状态,预测未来趋势,实时感知网络威胁,响应网络攻击,为决策提供可靠依据。网络安全态势感知与漏洞分析、损失评估和机器学习等方法相结合,帮助网络分析师评估风险状况以及预测未来发展趋势。