日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
態(tài)勢(shì)感知技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

“態(tài)勢(shì)感知”(SA,Situation Awareness)概念起源于20 世紀(jì)80 年代的美國空軍:分析空戰(zhàn)環(huán)境信息,快速判斷當(dāng)前及未來形勢(shì)并做出正確反應(yīng)。無疑這對(duì)取得勝利具有決定性的作用,而信息到態(tài)勢(shì)的轉(zhuǎn)換并非易事,這正是SA 產(chǎn)生的背景。20 世紀(jì)90 年代,SA 進(jìn)入“人為因素”(Human Factors)研究領(lǐng)域,成為研究熱點(diǎn)。目前SA 已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全防控等領(lǐng)域,對(duì)輔助決策起到重要作用。

公認(rèn)的SA 概念是:在特定時(shí)空下,對(duì)動(dòng)態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對(duì)未來狀態(tài)的預(yù)測(cè)?;蛘?,SA 是經(jīng)過某種信息的處理過程達(dá)到的知識(shí)狀態(tài),這種處理過程稱為“態(tài)勢(shì)評(píng)估”(Situation Assessment)。態(tài)勢(shì)感知中的“覺察”又稱為一級(jí)SA,本質(zhì)上是“數(shù)據(jù)收集”;“理解”稱為二級(jí)SA,本質(zhì)上是掌握數(shù)據(jù)中的知識(shí)(數(shù)據(jù)中的對(duì)象及其行為和對(duì)象間的相互關(guān)系);“預(yù)測(cè)”稱為三級(jí)SA,本質(zhì)上是知識(shí)的應(yīng)用。

近年來,SA 研究面臨環(huán)境的全局性、復(fù)雜性、動(dòng)態(tài)性、高負(fù)荷性,催生新的功能需求或研究:具有多源數(shù)據(jù)融合與可視化、異質(zhì)性、自動(dòng)化、實(shí)時(shí)處理特點(diǎn)的風(fēng)險(xiǎn)評(píng)估、決策、預(yù)測(cè)系統(tǒng),其中具有代表性的研究熱點(diǎn)是數(shù)據(jù)融合與可視化,數(shù)據(jù)融合技術(shù)是指利用計(jì)算機(jī)對(duì)按時(shí)序獲得的若干觀測(cè)信息,在一定準(zhǔn)則下加以自動(dòng)分析、綜合,以完成所需的決策和評(píng)估任務(wù)而進(jìn)行的信息處理技術(shù)。

態(tài)勢(shì)感知技術(shù)分類

一些研究者出于解決行業(yè)領(lǐng)域內(nèi)具體問題這一目的,從信息收集、感知方法及過程等角度研究態(tài)勢(shì)感知。如討論軍事與國土安全決策支持及知識(shí)管理,從信息獲取、存儲(chǔ)、解釋等角度分析態(tài)勢(shì)感知技術(shù)。又如討論網(wǎng)絡(luò)安全態(tài)勢(shì)感知,將態(tài)勢(shì)預(yù)測(cè)方法分為基于事件、環(huán)境兩類。而專門討論可視化技術(shù),從可視化的需求、目的、內(nèi)容等角度進(jìn)行分類。本文不局限于某一具體的應(yīng)用領(lǐng)域或角度,而從更高層面進(jìn)行分類,以期更全面地探究態(tài)勢(shì)感知技術(shù),分類概貌如圖1 所示。

1. 環(huán)境類型

環(huán)境類型分為封閉式環(huán)境和開放式環(huán)境,封閉環(huán)境或閉合系統(tǒng),指不與外界有任何物質(zhì)交換,不受任何外力控制或影響的系統(tǒng)。如一個(gè)核電廠的整個(gè)運(yùn)行監(jiān)控系統(tǒng),其特點(diǎn)是:觀察對(duì)象固定,對(duì)象的特征與對(duì)象間關(guān)系穩(wěn)定且可枚舉,此類環(huán)境的態(tài)勢(shì)感知相對(duì)容易。

開放式環(huán)境如戰(zhàn)場(chǎng)、互聯(lián)網(wǎng)等,其特點(diǎn)是:環(huán)境中的對(duì)象類型、特征均可能發(fā)生變化,環(huán)境無邊界或者邊界模糊。為了簡(jiǎn)化,這類環(huán)境的感知模型會(huì)將對(duì)象進(jìn)行粗略的分類,從而使對(duì)象類型固定。信息時(shí)代,這類環(huán)境更為常見,由于環(huán)境復(fù)雜度高,對(duì)態(tài)勢(shì)感知技術(shù)的需求也更為迫切。

2. 應(yīng)用類型

應(yīng)用類型主要有3 個(gè):環(huán)境管理、安全監(jiān)測(cè)與工業(yè)控制,不同類型間的區(qū)別在于感知的目的不同,而這主要體現(xiàn)在感知過程的不同。

環(huán)境管理,如觀察某一區(qū)域的車輛通行情況,觀察記錄某地氣象走勢(shì)等。通過記錄、統(tǒng)計(jì)、分析,為將來的設(shè)計(jì)提供決策等。

安全監(jiān)測(cè),這包括對(duì)環(huán)境中異常的檢測(cè),攻擊的識(shí)別,威脅的評(píng)估,主要目的是宏觀的安全管理。

工業(yè)控制包括對(duì)工業(yè)生產(chǎn)環(huán)境的過程控制,主要目的是確保工業(yè)生產(chǎn)活動(dòng)的安全、質(zhì)量、效率等。

以上應(yīng)用類型的不同主要體現(xiàn)在態(tài)勢(shì)感知過程的不同上,總結(jié)如表2 所示。

3. 方法類型

方法類型主要有:因果關(guān)聯(lián)分析、事件統(tǒng)計(jì)及本體模型3 類。

因果關(guān)聯(lián)分析是通過分析環(huán)境中發(fā)生事件的因果關(guān)系,來理解、確定或預(yù)測(cè)環(huán)境的狀態(tài)。具體來說,環(huán)境信息通過基于因果關(guān)系的感知模型,映射為環(huán)境的狀態(tài),這類方法適用于環(huán)境中的對(duì)象及其行為之間存在因果關(guān)系的場(chǎng)合。

事件統(tǒng)計(jì)是指按照事件發(fā)生的統(tǒng)計(jì)結(jié)果來評(píng)估環(huán)境狀態(tài),這類技術(shù)通常需要使用基于訓(xùn)練數(shù)據(jù)的機(jī)器學(xué)習(xí)方法,學(xué)習(xí)的目標(biāo)是建立特定事件模式與環(huán)境知識(shí)狀態(tài)之間的映射關(guān)系,新的事件通過這種映射關(guān)系的映射形成對(duì)環(huán)境態(tài)勢(shì)的感知,這類方法適用于具備質(zhì)量較高的環(huán)境事件統(tǒng)計(jì)數(shù)據(jù)的場(chǎng)合。

本體模型是通過對(duì)環(huán)境本身時(shí)空特性的分析,歸納并推斷當(dāng)前及未來的態(tài)勢(shì)。例如,通過分析一個(gè)網(wǎng)絡(luò)中服務(wù)的漏洞情況來判斷未來網(wǎng)絡(luò)的安全態(tài)勢(shì),通過分析一個(gè)區(qū)域的安保設(shè)施維護(hù)情況來推斷這個(gè)區(qū)域的安全風(fēng)險(xiǎn)等。

各種態(tài)勢(shì)感知技術(shù)的特點(diǎn)總結(jié)如表3 所示。

4. 模型分類

可以根據(jù)有無反饋,有無決策目標(biāo),有無人為因素來劃分。需要注意,有時(shí)這些因素之間是相關(guān)的,如有決策目標(biāo)的模型,為了提高模型的準(zhǔn)確度,往往需要通過評(píng)估決策的效果并通過反饋修正模型;而具有多元決策目標(biāo)的評(píng)估模型,由于決策過程的復(fù)雜性,往往需要加入人為干涉來調(diào)整感知模型。

除此以外,模型分類還可以基于以下特征:數(shù)據(jù)源(單一、多源、多源異構(gòu))、模型特點(diǎn)(基礎(chǔ)模型、融合模型、領(lǐng)域模型)、所用方法(概率統(tǒng)計(jì)、關(guān)聯(lián)分析)等。

綜上所述,總結(jié)有代表性的模型如表4 所示。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知

從被保護(hù)和保護(hù)兩個(gè)角度來說,網(wǎng)絡(luò)安全問題的解決最終朝向兩個(gè)方向:1. 對(duì)特定對(duì)象的保護(hù),防火墻、IDS、IPS 等技術(shù)均以此為目標(biāo);2. 安全監(jiān)測(cè)及威脅應(yīng)對(duì)。如果將威脅定義為攻擊者基于同一目的的一系列安全事件的集合,則網(wǎng)絡(luò)安全監(jiān)測(cè)主要包含威脅檢測(cè)及威脅評(píng)估兩方面內(nèi)容,前者本質(zhì)上是攻擊者檢測(cè);而后者本質(zhì)上是攻擊者意圖的估計(jì)。實(shí)現(xiàn)安全監(jiān)測(cè)不但需要覺察環(huán)境下各元素和對(duì)象,而且需要理解其中的語義和相互關(guān)系,從而最終實(shí)現(xiàn)攻擊者及其威脅的推斷、評(píng)估,這一過程與態(tài)勢(shì)感知本質(zhì)上是一致的,即網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型或內(nèi)容如圖2 所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知內(nèi)容示意圖

在三級(jí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中,一、二級(jí)感知,即攻擊事件的產(chǎn)生、誤報(bào)消除、關(guān)聯(lián)以及攻擊者的檢測(cè)已經(jīng)有大量的研究成果,限于篇幅,這里僅介紹攻擊者意圖感知部分?!肮粽咭鈭D識(shí)別”的目標(biāo)是找出攻擊者單一攻擊事件背后的邏輯關(guān)系,獲得更多的攻擊語義,合理推斷攻擊者的下一步行為,從而評(píng)估攻擊者的威脅,傳統(tǒng)的意圖識(shí)別方法包括基于文法分析的意圖識(shí)別,基于攻擊圖的警報(bào)關(guān)聯(lián)方法,基于因果關(guān)聯(lián)的警報(bào)關(guān)聯(lián)方法以及貝葉斯、隱馬爾科夫模型等,這些方法各有優(yōu)缺點(diǎn),最終可以形成攻擊場(chǎng)景或者“超警報(bào)”。但針對(duì)僵尸網(wǎng)絡(luò)或高級(jí)持續(xù)攻擊等復(fù)雜攻擊類型,仍須進(jìn)一步提高感知級(jí)別,具有代表性的研究有結(jié)合提出的基于態(tài)勢(shì)感知方法的威脅檢測(cè)與評(píng)估方法,基本思想是IDS 檢測(cè)結(jié)果進(jìn)入相互獨(dú)立的攻擊識(shí)別系統(tǒng)和環(huán)境系統(tǒng),攻擊識(shí)別系統(tǒng)負(fù)責(zé)識(shí)別各類型攻擊,環(huán)境系統(tǒng)負(fù)責(zé)分析被保護(hù)網(wǎng)絡(luò)暴露給攻擊者的弱點(diǎn),兩系統(tǒng)分析結(jié)果融合后合理估計(jì)攻擊者意圖,并計(jì)算威脅值。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用

作為CERNET“十一五”211 工程建設(shè)項(xiàng)目——CERNET 主干網(wǎng)運(yùn)行保障系統(tǒng)的一部分:CHAIRS(Cooperative Hybrid Aided Incidence Response System)大型分布式應(yīng)急響應(yīng)系統(tǒng),其設(shè)計(jì)目標(biāo)是為各節(jié)點(diǎn)的CERT 提供應(yīng)急響應(yīng)服務(wù)管理功能,提高CERNET 內(nèi)安全事件響應(yīng)的效率。同時(shí)由于各節(jié)點(diǎn)各自擁有不同的檢測(cè)能力,CHAIRS 系統(tǒng)開放警報(bào)接口,支持不同安全檢測(cè)系統(tǒng)的擴(kuò)展,形成對(duì)CERNET 主干網(wǎng)的安全態(tài)勢(shì)監(jiān)控能力。

CHAIRS 系統(tǒng)通過分析收集到的各類安全檢測(cè)系統(tǒng)的警報(bào)(如表5 所示),檢測(cè)出僵尸網(wǎng)絡(luò)、惡意網(wǎng)站等各類攻擊者及其攻擊活動(dòng),在此基礎(chǔ)上通過推測(cè)攻擊者類型、數(shù)量、位置、意圖等測(cè)度來評(píng)估攻擊者的威脅程度,從而最終實(shí)現(xiàn)態(tài)勢(shì)感知。

例如, 通過關(guān)聯(lián)DNS、Monster、HoneyPot、NBOS 四類警報(bào),檢測(cè)僵尸網(wǎng)絡(luò)以及評(píng)估其威脅程度這一過程。

關(guān)聯(lián)分析各種入侵警報(bào),本質(zhì)上是明確攻擊者行為證據(jù)鏈,確定攻擊者并評(píng)估其威脅。

態(tài)勢(shì)感知技術(shù)的目的是幫助決策,所以傳統(tǒng)的態(tài)勢(shì)感知技術(shù)詳細(xì)討論系統(tǒng)、任務(wù)(決策目標(biāo))、人為因素三者對(duì)態(tài)勢(shì)感知所造成的影響以及應(yīng)對(duì)方法。而信息時(shí)代下,信息源大大豐富,同時(shí),態(tài)勢(shì)感知也變得更為復(fù)雜:1. 信息系統(tǒng)往往是無邊界的,對(duì)象的諸多特征不可預(yù)知,對(duì)象之間的作用與影響也難以預(yù)測(cè);2. 決策目標(biāo)更加多元、精細(xì),對(duì)態(tài)勢(shì)感知亦提出了更高的要求;3. 由于所處環(huán)境的復(fù)雜多變,人的判斷、決策亦隨之變化。以上因素導(dǎo)致傳統(tǒng)態(tài)勢(shì)感知技術(shù)面臨新的挑戰(zhàn)。

因果關(guān)聯(lián)分析、事件統(tǒng)計(jì)、本體模型等技術(shù)方法依然是有效的感知技術(shù),然而由于系統(tǒng)的日益復(fù)雜,傳統(tǒng)的感知技術(shù)適用的感知級(jí)別具有降低的趨勢(shì),傳統(tǒng)環(huán)境中,可以進(jìn)行三級(jí)感知的技術(shù)現(xiàn)在可能僅適用于二級(jí)感知,而對(duì)未來的預(yù)測(cè)需要更為深入與廣泛的關(guān)聯(lián)平臺(tái)與技術(shù)。近來,云計(jì)算、大數(shù)據(jù)處理等技術(shù)帶來了新的機(jī)遇,同時(shí)也帶來了新的挑戰(zhàn):1. 資源位置不確定;2. 用戶量大且多樣;3. 日志審計(jì)隱私性更強(qiáng);4. 互操作接口一致性等。

(作者單位1 為東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,2 為南京郵電大學(xué)計(jì)算機(jī)、軟件學(xué)院)


文章題目:態(tài)勢(shì)感知技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
文章出自:http://www.5511xx.com/article/dpjhcej.html