態勢感知作起源于軍用領域, 20世紀80年代,美國空軍提出態勢感知的概念。為提升空戰能力,分析空戰環境信息、快速判斷當前及未來形勢,以作出正確反應而進行的研究探索,分為感知、理解、和預測三個層次。
(1)態勢感知是了解當前的狀態,包括狀態識別與確認(攻擊發現),以及對態勢感知所需信息來源和素材的質量評價。
(2)態勢理解則包括了解攻擊的影響、攻擊者(對手)的行為和當前態勢發生的原因及方式。簡單可概括為:損害評估、行為分析(攻擊行為的趨勢與意圖分析)和因果分析(包括溯源分析和取證分析)。
(3)態勢預測則是對態勢發展情況的預測評估,主要包括態勢演化(態勢跟蹤)和影響評估(情境推演)
20世紀90年代,態勢感知的概念開始被逐漸被接受,并隨著網絡的興起而升級為“網絡態勢感知(Cyberspace Situation Awareness,CSA)”,指在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,而最終的目的是要進行決策與行動。
態勢感知帶來的價值
從網絡安全態勢感知來看,就是利用數據融合、 數據挖掘、智能分析和可視化等技術,直觀顯示網絡環境的實時安全狀況,為網絡安全提供保障。
態勢感知有以下三點價值:1. 賦能企業或其他機構建立防御體系;2. 賦能監管部門建設監測通報預警能力。3. 安全廠商對威脅捕獲、威脅分析、客戶支撐等工作體系的自我建設完善。
借助網絡安全態勢感知,網絡監管人員可以及時了解網絡的狀態、受攻擊情況、 攻擊來源以及哪些服務易受到攻擊等情況,對發起攻擊的網絡采取措施;網絡用戶可以清楚地掌握所在網絡的安全狀態和趨勢,做好相應的防范準備,避免和減少網絡中病毒和惡意攻擊帶來的損失;應急響應組織也可以從網絡安全態勢中,了解所服務網絡的安全狀況和發展趨勢,為制定有預見性的應急預案提供基礎。
態勢感知已然成為網絡安全領域破局的關鍵,并用于對下一代入侵檢測系統的研究,其中的知名應用是美國愛因斯坦計劃。愛因斯坦計劃始于2003年,建設目的是使“系統能夠自動地收集、關聯、分析和共享美國聯邦國內政府之間的計算機安全信息,從而使得各聯邦機構能夠接近實時地感知其網絡基礎設施面臨的威脅。”
態勢感知技術應用
為了實時、準確地顯示整個網絡安全態勢狀況,檢測出潛在、惡意的攻擊行為,網絡安全態勢感知要在對網絡資源進行要素采集的基礎上,通過數據預處理、網絡安全態勢特征提取、態勢評估、態勢預測和態勢展示等過程來完成,這其中便涉及許多相關的技術問題。
數據融合技術
數據融合技術是一個多級、多層面的數據處理過程,按信息抽象程度可分為從低到高的三個層次:數據級融合、特征級融合和決策級融合。
網絡空間態勢感知的數據來自眾多的網絡設備,其數據格式、數據內容、數據質量等千差萬別,存儲形式各異,表達的語義也不盡相同。如果能夠將這些使用不同途徑、來源于不同網絡位置、具有不同格式的數據進行預處理,并在此基礎上進行歸一化融合操作,就可以為網絡安全態勢感知提供更為全面、精準的數據源,從而得到更為準確的網絡態勢。
數據清洗技術
網絡安全態勢感知將采集的大量網絡設備的數據經過數據融合處理后,轉化為格式統一的數據單元。這些數據單元數量龐大,攜帶的信息眾多,有用信息與無用信息魚龍混雜,難以辨識。因此,要掌握相對準確、實時的網絡安全態勢,必須剔除干擾信息。
數據清洗技術從海量數據中挖掘出有用的信息,即從海量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、事先未知的,但又有潛在用處的并且最終可理解的信息和知識。
數據挖掘技術
數據挖掘可分為描述性挖掘和預測性挖掘,描述性挖掘用于刻畫數據庫中數據的一般特性;預測性挖掘在當前數據上進行推斷,并加以預測。
數據挖掘方法主要有:關聯分析法、序列模式分析法、分類分析法和聚類分析法。關聯分析法用于挖掘數據之間的聯系;序列模式分析法側重于分析數據間的因果關系;分類分析法通過對預先定義好的類建立分析模型,對數據進行分類,常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等;聚類分析不依賴預先定義好的類,它的劃分是未知的,常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。
特征提取技術
網絡安全態勢特征提取技術是通過一系列數學方法處理,將大規模網絡安全信息歸并融合成一組或者幾組在一定值域范圍內的數值,這些數值具有表現網絡實時運行狀況的一系列特征,用以反映網絡安全狀況和受威脅程度等情況。
網絡安全態勢特征提取是網絡安全態勢評估和預測的基礎,對整個態勢評估和預測有著重要的影響,網絡安全態勢特征提取方法主要有層次分析法、模糊層次分析法、德爾菲法和綜合分析法。
態勢預測技術
網絡安全態勢預測就是根據網絡運行狀況發展變化的實際數據和歷史資料,運用科學的理論、方法和各種經驗、判斷、知識去推測、估計、分析其在未來一定時期內可能的變化情況,是網絡安全態勢感知的一個重要組成部分。
網絡在不同時刻的安全態勢彼此相關,安全態勢的變化有一定的內部規律,這種規律可以預測網絡在將來時刻的安全態勢,從而可以有預見性地進行安全策略的配置,實現動態的網絡安全管理,預防大規模網絡安全事件的發生。網絡安全態勢預測方法主要有神經網絡預測法、時間序列預測法、基于灰色理論預測法。
可視化技術
可視化技術是利用計算機圖形學和圖像處理技術,將數據轉換成圖形或圖像在屏幕上顯示出來,并進行交互處理的理論、方法和技術。它涉及計算機圖形學、圖像處理、計算機視覺、計算機輔助設計等多個領域。
目前已有很多安全企業將可視化技術和可視化工具應用于態勢感知領域,在網絡安全態勢感知的每一個階段都充分利用可視化方法,將網絡安全態勢合并為連貫的網絡安全態勢圖,快速發現網絡安全威脅,直觀把握網絡安全狀況。