态势感知整理版
态势感知研究和应用现状
0、定义
0.1态势感知
“态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测。
0.2网络态势
网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
0.3网络态势感知
网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3]
态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。
0.4网络安全态势感知
网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。[7]
0.5深度态势感知
深度态势感知的含义是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能)”,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意。它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物)、环境(自然、社会)及其相互关系的整体系统趋势分析,具有“软/硬”两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反馈等)的综合体现。既能够在信息、资源不足情境下运转,也能够在信息、资源
超载情境下作用。[11]
1、研究现状
1.1网络安全态势体系结构
网络安全态势体系结构的实现形式主要有: C-S模式、 B-S 模式、三层模式的 B-S 结构、基于agent 的模型以及基于云计算的感知模式。基于agent 的模型是目前应用比较广泛的方式,具有动态执行、异步计算、并行求解及智能化路由的优点,极大地提高态势感知的速度与效率。大连理工大学许彪提出基于智能agent 的网络安全预测模型,充分发挥agent 的独立性和可扩展性等优点。东北石油大学卢爱平等提出基于移动 agent 的网络安全态势感知模型,体现网络安全态势框架的动态化和分布式。中国电力科学研究院蒋诚智等提出基于智能 agent 的电力信息网络安全态势感知模型,在数据采集层、评估分析层、协调管理层和态势决策层等部署 agent,对电力信息网络安全监控和管理有一定的指导意义。哈尔滨工程大学郭方方等提出基于一种云计算的四层网络安全态势感知模型研究,有效解决节点处理能力不足的问题,解决了网络态势信息生成准确性的问题。云计算的分布式文件存储方法和并行计算方法能够很好地解决大规模数据的高效存储和处理问题。基于云计算的网络安全态势感知模型及方法的研究是网络安全防护领域的新方向,但是该技术目前还处于研究阶段。[10]
1.2网络安全态势感知方法
当前态势评估方法主要包括贝叶斯网络理论、隐马尔可夫模型、 D-S 证据理论、模糊逻辑等。电子工程学院熊杰等研究贝叶斯网络的推理模型及信息传播算法并验证其有效性。空军工程大学方研等提出基于隐马尔科夫模型的网络安全态势评估方法。西安邮电学院李胜现等提出基于改进隐马尔可夫模型的网络动态风险评估方法,使用改进蚁群算法训练隐马尔可夫模型。南京理工大学孟锦等提出改进的时变 D-S 证据理论方法对多传感器的证据进行融合。很多学者采用多种评估相结合的方法,如刘炜等利用模糊识别和 D-S 证据理论,较好地解决多样本识别的不一致问题,有效地对识别结果进行融合。宁波大学张红兵等提出用模糊逻辑和贝叶斯网络技术结合的方法处理随机环境中的态势评估。哈尔滨工程大学司加全提出自适用模糊神经推理系统,采用神经网络与模糊系统相结合的评估方式。[10]
1.3网络安全态势预测
目前有很多预测方法,如神经网络、灰色理论、时间序列分析和支持向量机等。上海交通大学任伟等利用径向基函数(Radial–BasisFunction,RBF)神经网络方法对网络安全态势进行了预测。广东工业大学尤马彦等提出基于Elman神经网络的网络安全态势预测方法。哈尔滨工程大学张永波研究灰色系统理论在预测模型中的应用。林肯实验室的 Braun 和 Jeswani 以及 Lu 等利用支持向量机作为融合技术,对多源、多属性信息进行融合,从而产生对态势的感知。南京邮电大学瓮乾村提出基于粒子群优化的支持向量机预测方法。综合目前网络安全态势预测算法的优缺点,很多研究人员采用多种预测方式相结合的方式对态势进行预测。如辽宁行政学院姚晔提出基于熵值法的网络安全态势组合预测模型。江西理工大学曾斌等提出一种遗传算法和支持向量机相结合的网络安全态势预测模型。[10]
2、应用现状
2.1态势感知的提出
1)传统的安全设备、软件和系统无法有效应对新的威胁
传统的安全设备、软件和系统不懂得新出现的违规和异常的意义和逻辑,只是单纯的依赖特征库匹配进行着机械式的拦截/放行判断,无法去有效判断敌人,防护也无从说起,即传统安全防御手段对未知威胁没有防御作用,主要体现在:攻击者与防御者在信息上不对称;缺少本地原始数据,难以溯源分析;缺少能在海量数据中快速分析的工具;无法对信息系统内的海量数据进行有效利用。[12] 2)安全技术专家能力有限
虽然,攻击者留下的访问痕迹若是给有经验的安全技术专家,很可能可以熟练地从海量信息中分析出来,但我们又不可能一直依靠专家24小时进行攻击分析。
3)需要基于大数据分析实现安全监测预警
基于以上两点,需要将不眠不休与安全专家的分析能力结合起来。这一点,所有厂商都有了共同的认知,那就是基于大数据分析实现安全监测预警——安全态势感知。
2.2态势感知的三个阶段:
目前厂商普遍认为态势感知可以分为三个阶段:态势认知、态势理解和态势预测。[1]
1)态势认知
态势认知是了解当前的状态,包括状态识别与确认(攻击发现),以及对态势认知所需信息来源和素材的质量评价。
2)态势理解
态势理解则包括了解攻击的影响、攻击者(对手)的行为和当前态势发生的原因及方式。简单可概括为:损害评估、行为分析(攻击行为的趋势与意图分析)和因果分析(包括溯源分析和取证分析)。
3)态势预测
态势预测则是对态势发展情况的预测评估,主要包括态势演化(态势跟踪)和影响评估(情境推演)。
2.3态势感知能带来的价值
安全态势感知,遵循格物而致知的理念,推究分析安全事件的规律从而产生并具备对潜伏威胁的检测和发现能力,最终直观呈现安全现状及威胁。
2.4“爱因斯坦”(EINSTEIN)计划
“爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目,由国土安全部(DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全。“爱因斯坦”计划分为三个阶段,具有四种能力,包括:入侵检测、入侵防御、数据分析和信息共享。其中,爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应。美国政府仍然在支持该计划,2016年2月美国总统奥巴马发布的《网络安全国家行动计划》,“计划”中指出将要拓展“爱因斯坦”项目。[4]
2.5“PLANX”项目
“PLANX”是DARPA在2012年公布的一个项目,主要目标是开发革命性的技术在实时、大规模和动态的网络环境中理解、规划和管理网络战。基于一个建立
的通用地图,帮助军方网络操作人员可视化战场以及在战场中执行任务。该项目主要寻求在四个关键领域的创新研究:理解网络作战空间,自动化构建可核查可量化的网络操作,开发在动态、存在争夺以及敌对的网络环境中进行操作的操作系统或者平台和大型网络作战空间的可视化与交互。其中,大型网络作战空间的可视化与交互包括:开发直观的视图和整体用户体验,网络作战空间的协同交互能够提供计划、操作、态势感知和战争博弈功能。
2.6网络态势感知分析能力(CSAAC)
美国国防信息系统局(简称DISA)提供一整套基于云的解决方案,旨在对来自美国国防部信息网络(简称DoDIN)的大规模流量进行收集,同时提供分析与可视化处理工具以提取数据中包含的信息。这套解决方案集合被统称为“网络态势感知分析能力”(简称CSAAC),且目前已经面向非安全互联网协议路由网络(简称NIPRNET)与保密IP路由网络(简称SIPRNET)交付。CSAAC能够提供以下几种功能类型:
·DoDIN运营与态势感知。以DoD企业邮件监控为例,CSAAC能够为运营人员提供近实时态势感知能力,从而快速掌握事故、具体配置状态以及邮件网关过滤等相关情况。
·防御性网络操作(简称DCO)。按指标作战(简称FbI)属于CSAAC之内的网络操作能力之一。FbI能够帮助企业计算机网络分析师利用自动化工作流审查网络威胁报告,提取潜在指标,面向未来进程提供警报并在必要时自动执行DoD 对策流程。
·异常检测。异常检测套件属于CSAAC功能之一,专门负责检测可能对敏感性DoD数据的完整性、机密性或者可用性造成威胁的已验证用户。这项服务还允许分析师在检测到潜在内部威胁后向有关部门发出警告。[6]
2.7 NSA公开项目
美国国家安全局(NSA)开发的,现以开源软件的方式向公众公开的32个项目中也包含了专门用于态势感知的工具GRASSMARLIN,用于提供工业控制系统(ICS)、数据采集与监视控制(SCADA)网络的态势感知以确保网络安全。
2.8 360安全态势感知系统
360安全态势感知系统是基于环境的、动态、整体地洞悉安全风险的系统,以安全大数据为基础,帮助政府监管机构、行业和企业,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力,实现安全能力的落地。其主要提出四大核心功能:检测、分析响应、预测预防和防御等功能。[13]
2.9匡恩威胁态势感知平台
匡恩威胁态势感知平台通过主动探测特定IP网络空间方式,不仅能够检索在线的工业控制系统、关键信息基础设施以及物联网设备,而且可以获得其详细系统信息和地理位置,并分析安全隐患,是一套对区域内工控及物联网设备进行网络安全态势分析、威胁量化评级以及安全预警的系统。[5]
2.10“谛听”网络空间安全态势感知平台
东北大学“谛听”网络安全团队设计并实现的“谛听”网络空间安全态势感知平台支持 22种服务的协议指纹识别,实现基于威胁情报分析的全网工控资产画像,协议全覆盖、行业可细分、趋势可感知,实现工控设备的多维数据采集、蜜罐识别、漏洞扫描与评估等功能。
3、扩展应用
3.1网络态势大数据可视化平台
网络态势大数据可视化平台的作用将抽象的网络和系统数据进行可视化呈现,从而对网络中的安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测,帮助用户快速掌握网络状况,识别网络异常、入侵,把握网络安全事件发展趋势,全方位感知网络安全态势。[2]
3.2主动防御技术
主动防御技术是采用行为算法针对新型未知攻击、组织化攻击进行防御的技术。主动防御技术在监控、分析、侦测等环节中采用主动感知,对未知威胁采取行为识别、智能处理和防御加固等主动性技术来进行防御。主动防御技术在未知的攻击发生的事前、事中和事后都需要对受保护的系统进行主动防御和相应的测试性操作,以确保系统的正常运行。[9]
3.3网络靶场
网络靶场是进行网络攻防武器试验的专业实验室,也是各国“网军”提前演练战术战法的练兵场。网络靶场通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战的战场环境,可有效针对敌方的电子和网络攻击等进行战争预演,以迅速提升网络攻防作战能力。
2008年,美国国防部高级研究计划局发布关于开展“国家网络靶场”项目研发工作的公告,明确提出“国家网络靶场”是国家网络安全计划的一部分。美国的“国家网络靶场”项目主要包括初步概念设计、交付靶场原型、进行靶场试验管理和正式运行4个阶段。其研究重点是:支撑网络空间安全技术演示验证、网络武器装备研制试验、攻防对抗演练以及网络风险评估分析等。
在建设网络靶场方面,英国也不甘落后,不仅建设了先进的“国家网络靶场”,还将部分靶场与美国“国家网络靶场”联网,建立了联合网络靶场,以便进行网络作战协同训练、评估和演习。此外,日本、加拿大和北约等相继建立了自己的网络靶场,欧洲防务署专门批准了网络攻防测试靶场的建设计划。网络靶场,已成为网络军事强国的基础标配。[8]
参考文献:
[1] 安全牛。“态势感知为什么会火?”,2017-07-22;
[2] 数字冰雹大数据可视化。“网络态势大数据可视化系统”,2016-03-16;
[3] E安全。“防止“黑天鹅”事件需态势感知态势感知又如何实现?”,2017-04-13;
[4] HPArkTeamArkTeam。““爱因斯坦”(EINSTEIN)计划综述”,2016-10-03;
[5] 匡恩网络。“北美DDoS事件与IOT安防监控设备安全(二)”,2016-10-26;
[6] E安全。“美国国防信息系统局的大数据平台与分析功能”,2016-05-20;
[7] 曹蓉蓉。“大数据环境下网络安全态势感知研究”,数字图书馆论坛,2014年第02期(总第117期);
[8] 网信军民融合。“网络靶场:未来军事对抗新战场”,2017-08-06;
[9] 鹏越网络空间安全研究院。“模拟攻击与防御设计”,2017-07-26;
[10] 管小娟,张涛,马媛媛,邓松。“网络安全态势感知研究综述”, 2014年第12卷第5期,ELECTRIC POWER ICT;
[11] 战略前沿技术。“深度态势感知”, 2016-07-17;
[12] 360企业安全。“大数据安全分析及态势感知——企业网络的安全倍增器”,2016-06-14;
[13] 360企业安全。“态势感知驱动安全运营体系创新”, 2017-06-10。
基于大数据的网络空间态势感知
基于大数据的安全感知研究 摘要:随着“互联网+”的到来,网络数据爆发性增长,传统的安全分析手段已经无法分析 处理如此大量的数据。随着大数据技术的成熟、应用和推广,网络安全态势感知技术有了新 的发展方向大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态 势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据 技术在安全感知方面的促进做一些探讨。 关键词:大数据网络安全态势感知并行计算 Network Security Situation Awareness Based on Big Data Li Yingzhuang1 Wang Yao2 Zhou Zhengcheng2 Zou Xueqin2 (China Mobile Group Hainan Co., Ltd.,Hainan,570125) Abstract: With the "Internet plus" the arrival of the explosive growth of network data security analysis, the traditional method has been unable to deal with such a large amount of data analysis. Along with the promotion and application of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big data technology of parallel computing, efficient query, creating a breakthrough opportunity is the key technology of large-scale network security situation awareness. In this paper, we will discuss the security situation awareness and the promotion of large data technology in large scale network environment. Keywords: Big Data,Network Security,Situation Awareness, Parallel computing 1.引言 随着“互联网+”、智能制造等新兴业态的快速发展,互联网快速渗透到工业 各领域各环节,客观上导致工业行业原有相对封闭的使用环境被逐渐打破,传统 网络与信息安全威胁加速向各类网络、系统、设备渗透,病毒、木马日益猖獗。 提出新的挑战,而且我国目前信息系统安全产业和信息安全法律法规和标准不完 善,导致国信息安全保障工作滞后于信息技术发展。 面对复杂严峻的网络与信息安全形势,2015年1月,公安部颁布了《关于加 快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)文件。《关 于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息 安全信息通报机制,积极推动专门机构建设,建立安全态势感知监测通报手段和 信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通报 平台。实现对重要和网上重要信息系统的安全监测、网上计算机病毒木马传播监
态势感知整理版
态势感知研究和应用现状 0、定义 0.1态势感知 “态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测。 0.2网络态势 网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 0.3网络态势感知 网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3] 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。 0.4网络安全态势感知 网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。[7] 0.5深度态势感知 深度态势感知的含义是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能)”,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意。它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物)、环境(自然、社会)及其相互关系的整体系统趋势分析,具有“软/硬”两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反
大规模网络安全态势感知——需求、挑战与技术
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
智能态势感知系统
智能态势感知系统 产品简介 产品文档
【版权声明】 ?2013-2018 腾讯云版权所有 本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录 产品简介 产品概述 产品优势 应用场景
产品简介 产品概述 最近更新时间:2018-12-18 17:16:40 什么是腾讯态势感知(私有云)? 腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。 主要功能 态势总览 通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。 资产感知 提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。 威胁发现 对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。 风险预警 实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
态势感知研究的方法论
2011.02/中国信息安全/ 41 文/中国科技大学网络态势感知研究中心 王砚方 态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语,态势感知已成为研究网络安全所必需解决的问题,但业内的专家对此可能有不同的理解。本文企望通过相关的介绍和分析提出一己的看法。“态势感知”概念的来源由于人的因素在动态系统(如飞机驾驶、空中交通管制、电力网管理等)中彰显出越来越大的重要性,M.R.Endsley在1995年提出人类决策模型,总结出包括采集、理解和预测三个层次的态势感知模型。此模型基于各元素间的确定关系,例如由飞机的航速、方位角及风速判断它的落地点和落地时间,机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。再如战斗机驾驶员根据空中环境的动态变化,按规定的程序作战场上的各种相应的战术动作。在自动控制设备运行时,遇到异常时操作员如何介入,也可按专家事先制定的方案进行。总之,Endsley模型是指导人——机器的互动的原则:如果用较多的人工,可以得到对机器设备状态的较多的感知,因而可使设备接近最佳的状态;而如果自动程度较高,可以节省人工,但操作员的感知较少,遇 到不理想的情况就难以作出抉择,在这个问题 上,Endsley模型就是要解决人工同自动化之间最好的折中。这种模型适用于处理简单的系统,专家的先验的成分较多。显然,它不适用于复杂网络。事实上自这个模型提出的十五年来,在许多方面开拓了研究,如人员培训、设计、工作团队协调等方法有不少成果。国内有学者把它作为通用的理论模型,提出基于流量和局域网的单机日志的数据融合,建立大规模网络安全的态势评估模型。 到上世纪末,已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题,出现了把网络上安全传感器和计算机上的防入侵等
基于态势感知理论的可视化感知模型
基于态势感知理论的可视化感知模型 吴佳鑫王健海 (武汉大学信息管理学院,武汉,430072) [摘要]态势感知是在一定的时空范围内,获取和理解环境中的各种要素的信息并对环境的未来状态进行预测的过程。可视化技术的应用可以增强态势感知,本文从态势感知理论出发,分析了可视化与态势感知之间的关系,构建了可视化感知模型,该模型包括态势感知需求分析、数据与知识提取、态势可视化与视图交互、态势感知、决策制定与执行五个阶段,最后探讨了可视化感知模型中的关键问题。 [关键词]信息可视化态势感知可视化感知可视化模型 [分类号] G350 TP391 A Visualization Awareness Model based on Situation Awareness Theory Wu jiaxin, Wang jianhai (School of Information Management, Wuhan University, Wuhan 430072, China) [Abstract] Situation awareness is the perception of the elements in the environment within a volume of time and space, the comprehension of their meaning and the projection of their status in the near future. Visualization could enhance situation awareness greately. Based on situation awareness theory, this paper analysies the relationships between situation awareness and visualization, then a visualization awareness model is constructed. The model consists of 5 stages as situation awareness requirements analysis, extraction of data and knowledge, situation visualization & interaction, situation awareness and decision making & enforcement. At last the key problems of visualization awareness are presented. [Keywords] Information Visualization, Situation Awareness, Visual Awareness, Visualization Model 信息可视化是运用计算机图形或图像处理技术,将信息转换为图形或图像在计算机屏幕上显示出来,并进行交互的理论、方法和技术[1]。在决策的过程中,人对环境中信息的感知、理解和预测的过程被称作态势感知(Situation Awareness)。态势感知过程中人通过听觉、视觉、触觉感知信息。信息可视化是重要的视觉感知手段,能充分调动决策者的认知能力,强化对信息的感知和理解,被广泛应用于态势感知系统中。本文从态势感知理论出发,探讨可视化与态势感知的关系,构建可视化感知模型并分析可视化感知过程中的关键问题。 1 态势感知概述 态势感知这一概念源于航天飞行领域的人因(Human Factors)研究,此后在军事战场、人员培训、错误分析、复杂系统设计、群组工作等领域得到广泛应用[2]。态势感知是从时间和空间的角度,获取环境中的各种要素,理解这些要素并对其未来的状态进行预测的过程[3]。该定义由Endsley在1988年提出,随后在1995年Endsley对态势感知理论及态势感知的评价方法进行了系统的研究,构建了态势感知理论基础,态势感知理论模型[4]如图1所示: 态势感知包括三个层次:感知层(Perception)、理解层(Comprehension)、预测层(Projection)。 (1)感知层:负责对环境中的各种要素进行感知,包括环境的状态、属性以及环境的动态变化等。这个层次的活动由人的视觉、听觉、触觉等感知器官完成。 (2)理解层:建立在感知层之上,衡量环境要素对于达成目标的重要程度,并将各种要素综合起来加以理解。 (3)预测层:态势感知的最高层次,是在感知层和理解层的基础上,预测环境中各要素下一步的状态和行为。
网络安全态势感知技术发展
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
网络安全态势感知系统结构研究
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
电网态势感知技术国内外发展情况综述
电网态势感知技术国内外发展情况综述摘要:电网态势感知技术是一项新兴的技术理念,在广域数据采集、电力调度、输配电运行管理等领域具有广泛应用前景,可有效提升电力系统的可见性,及时发现系统的薄弱环节和存在的威胁,并借由强大的数据分析和决策支持能力,提高电力系统运行决策的及时性和准确性。物联网技术和大数据技术分别为态势感知系统提供广域数据采集和高级数据分析手段,是态势感知系统发挥作用的基础保证。本文介绍了态势感知概念的起源及在多个领域的应用现状,归纳分析国内外电力系统基于该技术的研究与实践,重点提出了态势感知技术中的可视化、预警和决策支持理念对于智能电网建设、电网安全稳定运行的重要作用。 关键词:智能电网态势感知物联网 态势感知技术是在大规模系统环境中,对能够引起系统态势发生变化的要素进行获取、理解、显示、预测未来发展趋势等活动的一种技术,提供了对复杂系统决策和操作的基础,强调基于数据的对系统内外环境的宏观认识和综合分析,接近生物的智能认知过程。态势感知技术应用于电力系统,可促进电网自动化各系统应用功能的融合,显著提升电力系统的智能化水平,有效提高电网运行效率,为电网安全稳定运行提供有力保障,其“预测能力”和“决策支持能力”,是实现真正智能电网所不可或缺的重要组成部分。 针对这一在电力系统运行决策中具有广泛应用前景的先进技术,科技情报室开展了广泛的国内外情况调研,汇总形成调研报告,就态势感知技术的起源、国
内外发展现状、在电力系统中的应用,以及实现态势感知的物质基础——物联网技术,进行简要介绍,供各位领导决策参考。 一、“态势感知”概念的起源与发展 态势感知(Situation Awareness)这一概念源于航天飞机的人因研究,美国德州理工大学的Mica R. Endsley教授在1988年发表的《Situation Awareness information requirements for commercial airline pilots》一文中首次明确提出这一概念,并定义为:在特定的时间和空间下,对环境中各元素或对象的觉察、理解以及对未来状态的预测。同时提出了适用于自动化及人机接口系统的态势感知过程,并将态势感知的信息处理过程分为三个阶段,概念化模型如图1所示。 觉察(Preception):检测和获取环境中的重要线索或元素,这是态势感知的基础的一步; 理解(Comprehension):整合觉察到的数据和信息,分析其相关性; 预测(Projection):基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。 图1 Endsley最初的态势感知三级模型 1994年,美国学者Dominguez引入可视化理念,把态势感知的基本定义扩展为4个阶段:感知、理解、展示、预测。态势感知的概念基本定型。 2000年,随着该技术理论研究的不断发展,Endsley在其态势感知三级模型