剖析网络对抗态势感知的关键技术.docx

《剖析网络对抗态势感知的关键技术.docx》由会员分享，可在线阅读，更多相关《剖析网络对抗态势感知的关键技术.docx（10页珍藏版）》请在第一文库网上搜索。

1、剖析网络对抗态势感知的关键技术目录1 .前言12 .网络空间安全态势感知技术22.1.网络安全的重要性22.2.网络空间安全案例介绍22.3.网络空间安全概述22. 3.1.网络空间攻击技术概述23. 3.2.当前国内网络安全事件的态势33 .网络空间态势分析概述34 .态势感知的应用场景44.1.态势感知的分析原理44.2.网络安全态势感知建设内容及功能64. 3.态势感知技术发展趋势75.态势要素获取85. 1.态势感知的基础85. 2.态势理解86 .网络攻击能力97 .网络态势预测98 .遗传算法预测99 .总结与展望101 .前言网络对抗态势感知是指对在某一时间空间内，敌对双方网络战

2、力量部署和行动形成的状态与形式进行预测的过程。这是1999年，在美国学者T.Bass首次提出网络态势感知的概念后，随着网络安全在国家安全中的地位不断提升，在网络对抗领域，逐渐形成的对网络对抗态势感知的理解。这是目前各国在网络对抗领域的一个热门研究课题，实际上是一个综合的研究领域，包含了目前网络对抗侦查以及网络对抗情报处理中的所有内容。随着网络安全在国家安全中的地位不断提升，网络资源已成为支撑国家政治、经济、军事、科技的重要战略资源。网络对抗态势感知通过对网络战场双方力量和行动相关态势要素进行获取、理解以及对其未来状态的预测，从而为网络战指挥提供重要决策支持。因此，提高网络对抗态势感知能力，掌握

3、网络态势感知的关键技术和实现方法，对打赢未来网络战争有着十分重要的作用。2 .网络空间安全态势感知技术2.1.网络安全的重要性经济飞速发展的同时，科学技术也在不断地进步，网络已经成为当前社会生产生活中不可或缺的重要组成部分，给人们带来了极大的便利。与此同时，网络系统也遭受着一定的安全威胁，这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代，无论是国家还是企业、个人，在网络系统中均存储着大量重要的信息，一旦网络系统出现安全问题，那么将会造成极大的损失。2.2.网络空间安全案例介绍美国已研发出数千种病毒，涵盖“蠕虫”、“特洛伊木马”、“逻辑炸弹”、“陷阱门”等多种技术。“震网”、“火焰”、

4、“高斯”、“瑞晶”等超级病毒背后也有美国的影子，这些病毒具有结构复杂、功能强大、攻击注入手段多样化、潜伏和反破解能力极强等特点，表明美国已具备对国家关键信息基础设施精确、持续的攻击能力。2017年6月27日，不少乌克兰的企业感染了新的勒索病毒，攻击源头是乌克兰知名的财务软件MEDOc,黑客在源代码中植入了切取数据的后门，随着软件更新，广泛使用该软件的企业纷纷中招。360企业安全集团副总裁左英男说，虽然源代码安全检测类产品可以检测到这类缺陷，但类似这样的软件供应链攻击方式让人防不胜防。2.3.网络空间安全概述2.3.1.网络空间攻击技术概述360企业安全集团董事长齐向东日前在贵阳数博会网络安全高

5、端论坛演讲中，将网络攻击的发展分为了三个阶段，最初是“小球病毒”“救护车病毒”等，更像是恶作剧；“熊猫烧香”等以窃取隐私、钱财为目的的是第二次；从2015年开始网络攻击的复杂性和多样性提升，尤其是针对大中型企业和政府部门。有目标、精确、持久隐藏的ATP攻击（高级持续性威胁），攻击入侵的路径也并不局限于互联网，还可通过移动介质、内部网络横向传播，并和社会工程学等手段相结合。网络攻击的破坏性也在增大。据称几乎每个在线游戏在公测的一个月内，都会受到攻击除了层出不穷的外挂与黑产，竞争对手的攻击也不在少数；电商、在线教育也是网络攻击的重灾区，业务活动时常收到DDOS攻击（分布式拒绝服务攻击，消耗对方的系

6、统资源使之难以提供服务）的影响。网络攻击甚至被应用于国际政治活动，“震网”史无前例地破坏了伊朗的核研究设施，而希拉里“邮件门”则一举扭转了美国大选的走向。2.3.2.当前国内网络安全事件的态势2018年，我国进一步健全网络安全法律体系，完善网络安全管理体制机制，持续加强公共互联网网络安全监测和治理，构建互联网发展安全基础，构筑网民安全上网环境，特别是在党政机关和重要行业方面，网络安全应急响应能力不断提升，恶意程序感染、网页篡改、网站后门等传统的安全问题得到有效控制。全年未发生大规模病毒爆发、大规模网络瘫痪的重大事件，但关键信息基础设施、云平台等面临的安全风险仍较为突出，APT攻击、数据泄露、分

7、布式拒绝服务攻击等问题也较为严重3 .网络空间态势分析概述国际上的网络安全公司，如FireEye、MandiantMITRE、RSA1ast1ine等，都发布了网络安全态势感知相关的产品。我国的网络安全公司，如360公司、亚信科技、安恒科技、绿盟科技等安全企业，也都推出了网络安全态势感知系统，这些网络安全态势感知系统各有特色。早期的网络安全态势感知系统是通过对海量安全数据的采集，采用数据分析技术识别海量安全数据中有价值的信息，并展示为可理解的报告和图表，从而让网络安全人员通过报告和图表数据去发现和分析全网的安全威胁。近年来，随着大数据技术的出现和发展，安全技术与大数据技术充分融合，极大地增强了

8、安全检测与分析能力，推动了安全态势感知的发展，主要表现在APT截获、威胁感知和威胁情报共享等方面。现阶段的网络安全态势感知是通过机器学习、大数据分析等技术，实现基于逻辑和知识的推理结果，从已知威胁推演未知威胁，实现对安全威胁事件的预测和判断，这是当前大多数安全厂商在探索和研发的重点内容。目前网络安全态势感知平台系统架构如图1所示。可视、可知、可管、可控.可溯、可覆等网络安全战略规划目标网络安全态势惑知系统架构示意图图1网络安全态势感知系统架构示意图4 .态势感知的应用场景1. 1.态势感知的分析原理网络安全态势感知模型被普遍接受的是基于数据融合理念的JD1(JOintDirectorsOf1a

9、bOratorieS)模型，主要包括以下4个关键技术。2. 海量多元异构数据的汇聚融合技术目前，在大规模网络中，网络安全数据和日志数据由海量设备和多个应用系统中产生，且这些安全数据和日志数据缺乏统一标准与关联，在此基础上进行数据分析，无法得到全局精准的分析结果。新的网络安全分析和态势感知要求对网络安全数据的分析能够打破传统的单一模式，打破表与表、行与行之间的孤立特性，把数据融合成一个整体，能够从整体上进行全局的关联分析，可以对数据整体进行高性能的处理，以及以互动的形式对数据进行多维度的裁剪和可视化。因此需要通过海量多元异构数据的汇聚融合技术实现PB量级多元异构数据的采集汇聚、多维度深度融合、统

10、一存储管理和安全共享。将采集到的多元异构数据进行清洗、归一化后，采用统一的格式进行存储和管理。通过属性融合、关系拓展、群体聚类等方式挖掘数据之间的直接或潜在的相关性，进行多维度数据融合。这样才可以为网络安全分析、态势感知与决策提供高效、稳定、灵活、全面的数据支撑。2）面向多类型的网络安全威胁评估技术从流量、域名、报文和恶意代码等多元数据入手，有效处理来自互联网探针、终端、云计算和大数据平台的威胁数据，分解不同类型数据中潜藏的异常行为，对流量、域名、报文和恶意代码等安全元素进行多层次的检测。通过结合聚类分析、关联分析和序列模式分析等大数据分析方法对发现的恶意代码、域名信息等威胁项进行跟踪分析。利

11、用相关图等相关性方法检测并扩建威胁列表，对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估。只有通过网络安全威胁评估完成从数据到信息、从信息到网络安全威胁情报的完整转化过程，网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测，实现全貌还原攻击事件、攻击者意图，客观评估攻击投入和防护效能，为威胁溯源提供必要的线索支撑。3）网络安全态势评估与决策支撑技术网络安全态势评估与决策支撑技术需要以网络安全事件监测为驱动，以安全威胁线索为牵引，对网络空间安全相关信息进行汇聚融合，将多个安全事件联系在一起进行综合评估与决策支

12、撑，实现对整体网络安全状况的判定。对安全事件尤其是对网络空间安全相关信息进行汇聚融合后所形成针对人、物、地、事和关系的多维安全事件知识图谱，是网络安全态势评估分析的关键。网络安全态势评估与决策支撑技术从“人”的角度评估攻击者的身份、团伙关系、行为和动机意图；从“物”的角度评估其工具手段、网络要素、虚拟资产和保护目标；从“地”的角度评估其地域、关键部位、活动场所和途径轨迹；从“事”的角度评估攻击事件的相似关系、同源关系。4）网络安全态势可视化网络安全态势可视化的目的是生成网络安全综合态势图，使网络安全态势感知系统的分析处理数据可视化、态势可视化。网络安全态势可视化是一个层层递进的过程，包括数据转

13、化、图像映射、视图变换3个部分。数据转化是把分析处理后的数据映射为数据表，将数据的相关性以关系表的形式存储；图像映射是把数据表转换为对应图像的结构和图像属性；视图变换是通过坐标位置、缩放比例、图形着色等方面来创建视图，并可通过调控参数，完成对视图变换的控制。4. 2.网络安全态势感知建设内容及功能由图1可知，网络安全态势感知系统是依据国家网络安全法律法规体系和政策标准体系，落实网络安全战略规划目标，实现国家或行业的关键信息基础设施和重要信息系统的安全状况可视、可知、可管、可控、可溯、可预警的系统。因此，网络安全态势感知主要建设内容是：从安全设备、网络设备、操作系统、应用系统等网络安全数据源采集

14、网络安全数据，通过关联分析、模式识别、规则匹配、行为检测、机器学习等大数据分析方法进行分析，进而实现网络态势评估、网络威胁评估和网络态势预测。网络态势评估包括态势元素提取和当前态势分析。网络威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计。网络态势预测是从已知数据推演分析将要发生的安全事件，从已知威胁推演未知威胁，实现对安全威胁事件的预测和判断发生的概率。通过网络态势评估、网络威胁评估和网络态势预测实现国家或行业的关键信息基础设施和重要信息系统的安全状况可视、可知、可管、可控、可溯和可预警。目前态势感知平台主要功能如下：1）可视。通过多维度的安全数据仪表盘，涵盖网络安全监测的重点环节

15、，将网络重点环节的实时运行及安全状态多维度地展示给网络安全人员，以便网络安全人员及时掌握网络安全整体状况。2）可知。通过安全数据全量管理。收集的安全数据包括操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志等信息，并提供安全日志的全文检索功能，便于网络安全人员从海量日志查找和关联相关安全日志。在全量收集各种安全数据的基础上，充分利用大数据技术，从海量数据中挖掘高价值信息，侦测是否存在异常网络行为。3）可管。通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志，结合安全基线、威胁情报和知识库进行多维度安全分析，对发现的漏洞和脆弱性及时处置。4）可控。充分利用

16、大数据的分析模型和机器学习等算法，为用户建立行为画像，可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击、Oday攻击等未知威胁攻击，并对分析出来的安全事件、异常行为等进行实时告警，通过可视化展现、邮件、手机APP等方式及时通报给相关网络安全人员进行处置。5）可溯。通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源，刻画网络安全事件的攻击路径，为网络安全人员采取措施和溯源提供依据。6）可预警。实时动态展示当前网络安全状况，并呈现一定时间内整个网络空间环境安全要素，从已知数据推演分析将要发生的安全事件，实现对安全威胁事件的预测和判断发生的概率。4. 3.态势感知技术发展趋势1 .深度融合大数据和人工智能技术。通过在态势感