態(tài)勢(shì)感知作起源于軍用領(lǐng)域, 20世紀(jì)80年代,美國(guó)空軍提出態(tài)勢(shì)感知的概念。為提升空戰(zhàn)能力,分析空戰(zhàn)環(huán)境信息、快速判斷當(dāng)前及未來(lái)形勢(shì),以作出正確反應(yīng)而進(jìn)行的研究探索,分為感知、理解、和預(yù)測(cè)三個(gè)層次。
?。?)態(tài)勢(shì)感知是了解當(dāng)前的狀態(tài),包括狀態(tài)識(shí)別與確認(rèn)(攻擊發(fā)現(xiàn)),以及對(duì)態(tài)勢(shì)感知所需信息來(lái)源和素材的質(zhì)量評(píng)價(jià)。
?。?)態(tài)勢(shì)理解則包括了解攻擊的影響、攻擊者(對(duì)手)的行為和當(dāng)前態(tài)勢(shì)發(fā)生的原因及方式。簡(jiǎn)單可概括為:損害評(píng)估、行為分析(攻擊行為的趨勢(shì)與意圖分析)和因果分析(包括溯源分析和取證分析)。
?。?)態(tài)勢(shì)預(yù)測(cè)則是對(duì)態(tài)勢(shì)發(fā)展情況的預(yù)測(cè)評(píng)估,主要包括態(tài)勢(shì)演化(態(tài)勢(shì)跟蹤)和影響評(píng)估(情境推演)
20世紀(jì)90年代,態(tài)勢(shì)感知的概念開(kāi)始被逐漸被接受,并隨著網(wǎng)絡(luò)的興起而升級(jí)為“網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness,CSA)”,指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè),而最終的目的是要進(jìn)行決策與行動(dòng)。
態(tài)勢(shì)感知帶來(lái)的價(jià)值
從網(wǎng)絡(luò)安全態(tài)勢(shì)感知來(lái)看,就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù),直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況,為網(wǎng)絡(luò)安全提供保障。
態(tài)勢(shì)感知有以下三點(diǎn)價(jià)值:1. 賦能企業(yè)或其他機(jī)構(gòu)建立防御體系;2. 賦能監(jiān)管部門(mén)建設(shè)監(jiān)測(cè)通報(bào)預(yù)警能力。3. 安全廠商對(duì)威脅捕獲、威脅分析、客戶支撐等工作體系的自我建設(shè)完善。
借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知,網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、 攻擊來(lái)源以及哪些服務(wù)易受到攻擊等情況,對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施;網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì),做好相應(yīng)的防范準(zhǔn)備,避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來(lái)的損失;應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢(shì)中,了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢(shì),為制定有預(yù)見(jiàn)性的應(yīng)急預(yù)案提供基礎(chǔ)。
態(tài)勢(shì)感知已然成為網(wǎng)絡(luò)安全領(lǐng)域破局的關(guān)鍵,并用于對(duì)下一代入侵檢測(cè)系統(tǒng)的研究,其中的知名應(yīng)用是美國(guó)愛(ài)因斯坦計(jì)劃。愛(ài)因斯坦計(jì)劃始于2003年,建設(shè)目的是使“系統(tǒng)能夠自動(dòng)地收集、關(guān)聯(lián)、分析和共享美國(guó)聯(lián)邦國(guó)內(nèi)政府之間的計(jì)算機(jī)安全信息,從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅?!?/p>
態(tài)勢(shì)感知技術(shù)應(yīng)用
為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)狀況,檢測(cè)出潛在、惡意的攻擊行為,網(wǎng)絡(luò)安全態(tài)勢(shì)感知要在對(duì)網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上,通過(guò)數(shù)據(jù)預(yù)處理、網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等過(guò)程來(lái)完成,這其中便涉及許多相關(guān)的技術(shù)問(wèn)題。
數(shù)據(jù)融合技術(shù)
數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過(guò)程,按信息抽象程度可分為從低到高的三個(gè)層次:數(shù)據(jù)級(jí)融合、特征級(jí)融合和決策級(jí)融合。
網(wǎng)絡(luò)空間態(tài)勢(shì)感知的數(shù)據(jù)來(lái)自眾多的網(wǎng)絡(luò)設(shè)備,其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)質(zhì)量等千差萬(wàn)別,存儲(chǔ)形式各異,表達(dá)的語(yǔ)義也不盡相同。如果能夠?qū)⑦@些使用不同途徑、來(lái)源于不同網(wǎng)絡(luò)位置、具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理,并在此基礎(chǔ)上進(jìn)行歸一化融合操作,就可以為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源,從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢(shì)。
數(shù)據(jù)清洗技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)融合處理后,轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大,攜帶的信息眾多,有用信息與無(wú)用信息魚(yú)龍混雜,難以辨識(shí)。因此,要掌握相對(duì)準(zhǔn)確、實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì),必須剔除干擾信息。
數(shù)據(jù)清洗技術(shù)從海量數(shù)據(jù)中挖掘出有用的信息,即從海量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、事先未知的,但又有潛在用處的并且最終可理解的信息和知識(shí)。
數(shù)據(jù)挖掘技術(shù)
數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測(cè)性挖掘,描述性挖掘用于刻畫(huà)數(shù)據(jù)庫(kù)中數(shù)據(jù)的一般特性;預(yù)測(cè)性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷,并加以預(yù)測(cè)。
數(shù)據(jù)挖掘方法主要有:關(guān)聯(lián)分析法、序列模式分析法、分類分析法和聚類分析法。關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系;序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系;分類分析法通過(guò)對(duì)預(yù)先定義好的類建立分析模型,對(duì)數(shù)據(jù)進(jìn)行分類,常用的模型有決策樹(shù)模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等;聚類分析不依賴預(yù)先定義好的類,它的劃分是未知的,常用的方法有模糊聚類法、動(dòng)態(tài)聚類法、基于密度的方法等。
特征提取技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)一系列數(shù)學(xué)方法處理,將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值,這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征,用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況。
網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)的基礎(chǔ),對(duì)整個(gè)態(tài)勢(shì)評(píng)估和預(yù)測(cè)有著重要的影響,網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有層次分析法、模糊層次分析法、德?tīng)柗品ê途C合分析法。
態(tài)勢(shì)預(yù)測(cè)技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料,運(yùn)用科學(xué)的理論、方法和各種經(jīng)驗(yàn)、判斷、知識(shí)去推測(cè)、估計(jì)、分析其在未來(lái)一定時(shí)期內(nèi)可能的變化情況,是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要組成部分。
網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢(shì)彼此相關(guān),安全態(tài)勢(shì)的變化有一定的內(nèi)部規(guī)律,這種規(guī)律可以預(yù)測(cè)網(wǎng)絡(luò)在將來(lái)時(shí)刻的安全態(tài)勢(shì),從而可以有預(yù)見(jiàn)性地進(jìn)行安全策略的配置,實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理,預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法、時(shí)間序列預(yù)測(cè)法、基于灰色理論預(yù)測(cè)法。
可視化技術(shù)
可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù),將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái),并進(jìn)行交互處理的理論、方法和技術(shù)。它涉及計(jì)算機(jī)圖形學(xué)、圖像處理、計(jì)算機(jī)視覺(jué)、計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。
目前已有很多安全企業(yè)將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢(shì)感知領(lǐng)域,在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的每一個(gè)階段都充分利用可視化方法,將網(wǎng)絡(luò)安全態(tài)勢(shì)合并為連貫的網(wǎng)絡(luò)安全態(tài)勢(shì)圖,快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅,直觀把握網(wǎng)絡(luò)安全狀況。