《信息系统安全管理理论及应用 教学课件 ppt 作者 李建华《信息系统安全管理理论及应用》7-9 第9章计算机网络安全态势评估理论》由会员分享,可在线阅读,更多相关《信息系统安全管理理论及应用 教学课件 ppt 作者 李建华《信息系统安全管理理论及应用》7-9 第9章计算机网络安全态势评估理论(109页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全态势评估理论,主要内容,必要性 概念起源 基本概念 网络安全态势评估体系 网络安全态势评估分类 态势评估要点及关键技术 安全隐患态势评估方法,主要内容(续),安全服务风险评估模型 当前安全威胁评估方法 历史安全威胁演化态势分析方法 安全态势预警理论与方法,1、必要性,孤立的安全事件报警体现系统遭受的攻击行为信息,但连续运行的安全设备产生的报警量大,不相关报警多,安全管理员面对大量报警信息很难理解系统的安全威胁状况,以致不能及时采取合适的响应措施,更是难以发现系统的安全威胁规律。,2、概念起源,信息融合领域中态势评估=态势感知 态势感知 起源:概念来源于航天飞行中的人因(Human
2、 Factor)研究,是对态势进行评估从而获得决策执行的过程。,Endsley提出的态势感知定义 在特定的时间和空间下,对环境中各元素或对象的觉察、理解以及对未来状态的预测,以在环境对象和环境自身之间建立一个相互关系,通常由一些传感器、位置信息、用户规则或是一些用于系统监视和维护的工具所提供。因此,可以认为态势感知是对对象所处的环境状态的一种理解领悟,包括相关的对象系统参数。在某种程度上,态势感知提供了对复杂系统决策和操作性能的基础。只有正确地感知环境状态,才能对操作对象提供下一步正确的决策。,Endsley提出的适用于自动化系统及人机接口系统的态势感知方法 将态势感知分为三个层次的信息处理,
3、即3个步骤: 1)觉察(Perception):检测和获取环境中的重要线索或元素,这是态势感知中基础的一步; 2)理解(Comprehension):整合觉察到的数据和信息,分析其相关性; 3)预测(Prediction):基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。,Dominguez扩展的态势感知定义 将态势感知分为4个方面: 1)从环境中提取信息; 2)把当前的信息和相关的内部信息进行整合,生成当前状态的视图; 3)利用当前的视图去指导更进一步的感知获取; 4)对未来的事件做预测。,根据Endsley及Dominguez等对态势技术的研究成果,态势评估往
4、往又被认为是态势感知的一个层次。当前,态势评估技术是信息融合中最为活跃的研究领域之一。,网络安全态势评估 起源:概念起源于军事领域的战场态势评估,是在大规模网络环境中,对能够引起网络安全态势变化的安全要素进行获取、理解、显示以及预测未来的发展趋势的过程。“态势”作为一种状态、一种趋势,是一个整体和全局的概念,任何单一情况或状态均不能称为态势。,战场态势评估-针对海战场,利用基于时间和空间上信息融合系统的态势评估和威胁分析方法,首先进行时间和空间的确认和对准,确定海战场态势的基本要素,对态势进行抽象和评估,为指挥员提供海战场态势的综合势图,包括我方态势的红色视图、敌方态势的蓝色视图、及自然环境与
5、海洋情况等海战场态势的白色视图,为指挥员做决策提供依据。,网络安全态势评估-起源于Tim Bass的开创性研究,将军事领域中已成功应用的数据融合来完成安全事件的融合处理,形成一个现实的网络行为的高层抽象,即网络空间内的安全态势感知。网络系统中的态势感知分析安全设备提供的多源数据,提供网络的实时运行状态(包括大量的底层数据和系统信息,及海量安全事件经过归并融合后形成的一些具体的高层态势信息),方便网络的使用者和维护者有效地感知网络的安全态势,并根据态势的变化做出相应的决策调整和制订应变策略。,3、基本概念,信息融合 信息融合来源于早期军事领域的数据融合,又叫多传感器数据融合,是对多源信息进行处理
6、的关键技术。通过对空间分布的多源信息,对所关心的目标进行检测、关联(相关)、跟踪、估计和综合等多级多功能处理,以更高精度、较高的概率或置信度得到人们所需要的目标状态和身份估计,以及完整、及时的态势和威胁评估,从而为指挥员提供有用的决策信息。与单传感器数据相比,综合多个数据源除了具有统计优势之外,还能改进检测的准确度,而且各种传感器的互补特性为获得更多的信息提供了技术支撑。,信息融合的层次 1)像素级融合:通常对原始传感器信息不进行处理或只进行很少的处理。在信息处理层次中像素级融合的层次较低,故也称其为低级融合。 2)特征级融合:在各个传感器提供的原始信息中,首先提取一组特征信息,形成特征矢量,
7、并在对目标进行分类或其他处理前对各组信息进行融合,一般称为中级融合。 3)决策级融合:也称高级融合,其利用来自各传感器的信息对目标属性等进行独立处理,然后对各传感器的处理结果进行融合,从而得到整个系统的决策。决策级融合包括三种形式:决策融合、决策及其可信度融合、概率融合。,JDL的数据融合处理模型,JDL从军事应用的角度,把来自许多传感器和信息源的数据和信息加以联合、相关和组合,以获得精确的位置和身份估计,从而获得对战场和威胁及其重要程度适时的完整评价,并构造了融合过程的通用模型,,经典的数据融合概念模型,包括四个层次(级)的数据融合处理,1)对象提取(Object Refinement):通
8、过不同的观测设备采集的观测数据,联合起来形成对象描述,从而产生对象的轨迹,并融合该评估对象的类型、状态和位置等属性。 2)态势提取(Situation Refinement):通过把存在于态势评估过程中的目标联系在一起形成态势评估,或把目标评估相互关联。 3)威胁提取(Threat Refinement):考虑态势评估可能出现的结果,形成威胁评估,或把它们与存在的威胁联系在一起。 4)过程提取(Process Refinement):确定如何提高上述三个过程的评估能力,怎样控制传感器来获取最重要的数据,从而最大程度地提高评估能力。,数据融合的White模型,对来自一个系统的具有相似或不同特征模
9、式的多源检测信息进行互补集成,从而获得当前系统状态的准确判断,在此基础上预测系统的未来状态,为采取适当的系统策略提供保障。此模型第一级为融合的位置和标识估计,第二级为敌我军事态势估计,第三级为敌我兵力威胁估计。,网络空间数据融合处理的过程模型,网络空间的数据融合处理模型参照JDL的数据融合处理模型和White模型,态势数据来自于网络中分布传感器采集到的原始数据。,第0层和第1层处理模块完成事件检测功能; 第2层态势提取和第3层威胁提取模块负责高层的抽象知识处理。 第4层资源管理模块在各层次模块的处理过程中,进行资源调配,以保证融合处理过程的效率和性能。,IDS数据融合的层次,网络安全态势评估
10、定义 普遍认为是网络安全态势感知能力的获取,即对底层各类安全事件进行归并、关联以及融合等处理,并将处理后的信息以可视化图形的形式提供给网络管理人员。管理人员根据视图提供的信息,判断网络当前及未来可能的安全态势发展趋势,进而做出有效应对措施。,网络安全态势评估与传统研究领域内的态势感知 1)底层监测对象不同 传统感知框架中,传感器用来感应电磁辐射、声纳、热源、核粒子以及红外线等等。而在计算机空间/网络空间中,传感器主要监视的对象则是网络中的数据流。 2)关注目标不同 传统态势感知关注入侵设备的来源、速率、威胁及其针对的目标,而网络安全态势感知则关注一个入侵或入侵者的身份、其攻击的频度、威胁以及这
11、些攻击行为的目的。,网络安全态势评估与传统研究领域内的态势感知(续) 3)流程和过程相似 流程均沿着觉察理解预测的线路 过程都是一个从数据信息知识的一个过程,网络安全态势感知系统与IDS Bass认为下一代的入侵检测系统或网络管理系统将会被网络空间的态势感知系统所取代,但并不能认为未来改进型的IDS就是网络空间态势感知系统。IDS 作为态势感知系统的底层组件和重要数据来源,二者之间既存在着联系,又有一定的区别。,网络安全态势感知系统与IDS(续) 1)主要职能不同-IDS 通过实时监测信息流,检测网络中存在的攻击,进而保护特定主机和信息资源。其从细节上关注网络安全,对网络内的每次独立的攻击都进
12、行记录和警告。而态势感知系统是给网络管理员提供当前的网络安全态势状况,并提交相关统计分析数据及报表,为保障网络服务的正常运行提供决策依据。这个过程不仅包括对攻击行为的检测,也包括为提高网络性能而进行的维护,从一种更宏观的角度诠释网络安全。,网络安全态势感知系统与IDS(续) 2)分析数据源不同-IDS 通过安装在网络中不同节点处的代理或Sensor 获取网络数据,然后进行融合、关联分析,进而发现网络中的攻击行为。数据来源较为单一,仍可视为同源数据。而态势感知系统的分析数据来源则是混合型的,入侵检测系统、病毒检测、防火墙等工具均可提供安全信息。态势感知系统融合这些设备的不同格式的数据信息,进行态
13、势分析和可视化显示。,网络安全态势感知系统与IDS(续) 3)规模和信息处理数量级不同-当前,网络带宽增长的速度已经超过了计算机的处理速度。尤其对于入侵检测系统来说,高速网络中的攻击行为实时检测已经成为一个困扰的难点问题。与之对应的是,态势感知系统充分利用了多种数据采集设备,通过融合提高了数据源的完备性,同时通过多维视图显示,融入人的视觉处理能力,简化了系统的计算复杂度,提高了计算处理能力。,网络安全态势感知系统与IDS(续) 4)检测效率不同-当前,IDS检测攻击的误报率和漏报率极大地打击了网络用户对其的信任,而且基于特征的IDS 无法检测出未知攻击和潜在的恶意网络行为。态势感知系统却能利用
14、多源异构数据的融合处理,弥补了IDS系统处理不确定度的劣势,能够提供动态的网络态势状况显示,为管理员分析网络攻击行为、及时采取应对策略提供了支撑。,网络安全态势感知与安全评估 从操作执行过程来看,网络安全态势感知是一个实时过程,其作为网络管理系统的一个实时处理单元存在,为网管人员提供及时的决策辅助,重在感知当前的安全态势及变化趋势。而网络安全评估是一个非实时过程,由评估人员周期性执行,在迭代的过程中针对前次评估中存在的可能导致网络风险的隐患进行调整,重在为降低风险而采取的改进措施。,4、网络安全态势评估体系,融入安全态势评估的空间完备性和时间连续性,从“内、外”两个空间角度出发,沿“过去、现在
15、、将来”一条时间主线,借用多源信息融合技术,融合IDS报警、网络性能指标、漏洞检测数据等多源行为信息,综合评估网络安全状态及变化趋势,即利用网络安全属性的历史记录,为用户提供一个准确的网络安全状态评判和网络安全发展趋势,以便管理员了解当前安全威胁状况、历史安全威胁演化,进而预测未来安全威胁,即在网络安全事件发生之前对网络攻击行为进行预测,使网络管理者能够有目标的进行决策和防护准备,做到防患于未然。态势评估体系较好地实现了“分析现在,了解过去,预测未来”的动态评估。,从时间上,可以掌握最近一个时段网络的活动状况,支持实时方面更准确的分析判断。 从空间上,融合系统内部的脆弱信息和外部的威胁信息,提
16、高评估结果的合理性。 在日志分析方面,应用数据挖掘技术,从对日志的简单分析发展为战略性分析,为用户提供战略性的指导和战术性的解决办法,实现对网络安全现状作出正确判断的目标。 网络安全态势评估可为防护体系提供决策依据,为监控体系提供支持,为应急响应体系提供预测,其应用实现了网络安全体系中防护、监控和应急响应的有机结合。,4、网络安全态势评估分类,IDS作为支撑网络安全态势感知的主要信息提供者,多传感器数据融合技术作为主要的数据处理手段,态势感知的结果是一个函数 的话,那么这个x 代表着IDS 获取的数据,采用的数据融合技术可以作为f的实现。,根据态势评估结果的描述形式 定量描述建立在风险分析基础之上的一个有意义的标量值,比如某种安全系数、安全度或风险指数等。Bass指出,网络安全风险是系统资产、攻击对应的威胁度以及漏洞攻击后果严重程度的相关函数。 定性描述感知框架的研究和可视态势,根据评估时间 当前安全状况评估 历史安全演化分析 未来安全状态预测,根据数据源 基于系统配置信息的安全隐患态势评估 基于系统运行信息的安全威胁态势评估,态
