什么是网络安全态势感知?
从不同的角度来定义网络安全态势感知:
从网络系统的角度,Bode等定义网络安全态势是感知网络系统受到随机的、有组织的入侵行为,分析网络系统过去的、现在的安全事件,评估网络安全状态以及预测将来的安全趋势。
从网络信息资产的角度,Masduki等定义网络安全态势感知能够分析网络信息,识别网络攻击并评估其对网络系统造成的影响,衡量安全风险,帮助网络管理员制定决策,得出保护资产的最佳方法。
从网络管理员的角度,Adenusi等指出网络安全态势感知是处理网络系统不确定性的主动手段,帮助网络管理员分析网络安全状态。
从网络信息的角度,Carrega等指出网络安全态势感知可以在计算机操作活动中实现,该操作活动集成了与网络相关的所有信息,在识别攻击及制定响应决策的过程中,这些信息是不可或缺的。
网络安全态势感知过程是通过感知网络环境来提取网络数据,并通过理解这些数据来评估网络安全状态和预测未来发展趋势,得到评估和预测的数据用来制定决策,最后采取响应措施进行主动防御,反馈给网络环境实现安全防护,提高网络防御能力。
网络安全态势感知模型的构建分为网络环境感知、态势理解和态势预测三部分。
网络环境感知是感知网络环境并提取网络数据。对于复杂动态的网络环境和繁多冗杂的数据,研究者采用防病毒软件、漏洞扫描、渗透测试、网络扫描、密码破解工具、防火墙和入侵检测系统等技术来收集网络数据,或通过资产列表、风险识别、调查、事件响应报告等方式来收集网络数据。为了获取全面且准确的网络数据,研究者常用条件随机场、进化神经网络和聚类分析等方法对原始数据进行预处理来提取网络数据。
态势理解是整合提取的网络数据,分析数据之间的相关性,定位网络脆弱点,评估安全事件发生的可能性,得到评估数据来制定决策,进行主动防御。这部分是网络安全态势感知的核心,研究人员对不同的数据采用不同的方法进行分析,其中有自适应共振理论模型、贝叶斯网络分类器和博弈模型等。
态势预测是基于态势理解输出的网络数据,预测网络安全状况,得到预测数据来制定决策,执行主动防御。这部分是网络安全态势感知的目标,不仅要预测网络威胁攻击以及攻击者的下一步行动,还要克服对数据完整性的依赖,预测网络安全状态的发展趋势。