基于可视化的安全态势感知
网络安全态势感知与可视化
网络安全态势感知与可视化在当今数字化的时代,网络已经成为了我们生活和工作中不可或缺的一部分。
然而,随着网络的不断发展和普及,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁层出不穷,给个人、企业和国家带来了巨大的损失。
为了有效地应对这些威胁,保障网络安全,网络安全态势感知与可视化技术应运而生。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术。
它通过收集、整合和分析来自各种安全设备、系统和网络的信息,来全面了解网络的安全状况。
这些信息包括网络流量、系统日志、漏洞扫描结果、威胁情报等。
通过对这些信息的综合分析,网络安全态势感知可以帮助我们发现潜在的安全威胁,预测可能的攻击趋势,并及时采取相应的防范措施。
而网络安全可视化则是将网络安全态势以直观、易懂的图形、图表等形式展示出来的技术。
它将复杂的网络安全数据转化为可视化的图像,使得网络安全管理人员能够更加快速、准确地理解网络的安全状况。
例如,通过绘制网络拓扑图,可以清晰地看到网络中各个节点之间的连接关系;通过柱状图、折线图等展示网络流量的变化趋势;通过热力图展示不同区域的安全风险等级。
网络安全态势感知与可视化的结合,为网络安全管理带来了诸多好处。
首先,它提高了网络安全管理的效率。
传统的网络安全管理方式往往依赖于人工分析大量的文本数据,这不仅费时费力,而且容易出现疏漏。
而通过网络安全态势感知与可视化技术,管理人员可以在短时间内快速掌握网络的安全状况,及时发现问题并采取措施。
其次,它增强了网络安全决策的科学性。
可视化的展示方式可以帮助管理人员更加直观地了解网络安全态势的发展趋势,从而做出更加科学、合理的决策。
例如,根据网络流量的变化趋势,合理调整网络资源的分配;根据安全风险的分布情况,有针对性地加强安全防护措施。
此外,它还提高了网络安全应急响应的能力。
当发生网络安全事件时,通过可视化的展示,应急响应人员可以快速定位问题所在,迅速采取有效的应对措施,降低损失。
网络安全态势感知与可视化报告
网络安全态势感知与可视化报告在当今数字化高速发展的时代,网络已经成为了人们生活、工作和社会运转不可或缺的一部分。
然而,伴随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁层出不穷,给个人、企业和国家带来了巨大的风险和损失。
为了有效地应对这些网络安全威胁,网络安全态势感知与可视化技术应运而生。
网络安全态势感知是一种对网络安全状况进行全面、实时监测和分析的技术手段。
它通过收集、整合和分析来自各种网络设备、安全系统以及应用程序的海量数据,来识别潜在的安全威胁、评估安全风险,并及时发出预警。
网络安全态势感知不仅仅是简单的数据收集和监测,更是对网络安全态势的理解和预测。
它能够帮助安全管理人员从复杂的网络环境中迅速发现关键的安全事件,把握整体的安全态势,从而做出更加明智和有效的决策。
可视化则是将复杂的网络安全数据以直观、易懂的图形、图表等形式展示出来的技术。
通过可视化,安全管理人员可以更加快速地理解和分析网络安全态势,发现潜在的规律和趋势。
例如,通过热力图可以直观地展示出网络中不同区域的安全风险等级;通过折线图可以观察到安全事件的发生频率随时间的变化趋势;通过拓扑图可以清晰地了解网络的结构和设备之间的连接关系。
可视化技术使得网络安全数据不再是一堆枯燥的数字和代码,而是能够以生动、形象的方式呈现在人们面前,大大提高了安全管理的效率和效果。
那么,网络安全态势感知与可视化是如何实现的呢?首先,需要建立一个全面的数据收集系统,包括网络流量监测、日志分析、漏洞扫描等多种手段,以获取尽可能多的网络安全相关数据。
然后,利用数据处理和分析技术,对收集到的数据进行清洗、整合和挖掘,提取出有价值的信息和特征。
接下来,运用各种算法和模型对数据进行分析和评估,识别出潜在的安全威胁和风险。
最后,通过可视化工具将分析结果以直观的形式展示出来。
在实际应用中,网络安全态势感知与可视化具有诸多重要意义。
对于企业来说,它能够帮助企业及时发现网络中的安全漏洞和异常行为,避免数据泄露和业务中断,保护企业的核心资产和声誉。
网络安全态势感知与可视化
网络安全态势感知与可视化在当今数字化的时代,网络已经成为了我们生活和工作中不可或缺的一部分。
从日常的社交娱乐到关键的基础设施运行,网络的身影无处不在。
然而,随着网络的普及和应用的深化,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁不断涌现,给个人、企业乃至国家带来了巨大的风险和损失。
在这样的背景下,网络安全态势感知与可视化作为一种有效的应对手段,逐渐受到了广泛的关注和重视。
网络安全态势感知,简单来说,就是对网络安全状况的全面了解和把握。
它不仅仅是对单个安全事件的监测和响应,更是从宏观的角度,对网络中的各种活动、行为和趋势进行综合分析和评估。
通过收集、整合来自多个数据源的信息,如防火墙日志、入侵检测系统警报、服务器性能数据等,网络安全态势感知系统能够构建出一个全面、动态的网络安全图景。
而可视化,则是将这些复杂的网络安全数据以直观、易懂的形式呈现出来。
想象一下,如果面对一堆密密麻麻的数字和代码,要从中找出潜在的安全威胁,那无疑是一项极其艰巨的任务。
但通过可视化技术,将这些数据转化为图形、图表、地图等形式,我们就能够迅速地发现异常和趋势,从而更快速地做出决策和采取行动。
那么,网络安全态势感知与可视化到底是如何工作的呢?首先,数据采集是第一步。
这就像是为后续的分析和可视化搭建原材料库。
各种网络设备、安全系统都会产生大量的数据,包括流量信息、用户行为、系统漏洞等等。
这些数据通过传感器、代理程序等方式被收集起来,汇聚到一个中央数据库中。
接下来,就是数据的处理和分析。
这是整个过程中的关键环节。
在这里,会运用各种数据分析技术和算法,对采集到的数据进行清洗、过滤、关联和融合。
目的是去除噪声和冗余信息,提取出有价值的情报。
比如,通过关联不同来源的警报信息,可能会发现一个看似孤立的攻击事件实际上是一个更大规模攻击的一部分。
然后,就是可视化的呈现阶段。
这是将分析结果转化为直观图像的过程。
常见的可视化形式包括柱状图、折线图、饼图、热力图、网络拓扑图等等。
网络安全态势感知与可视化报表
网络安全态势感知与可视化报表在当今数字化高速发展的时代,网络已经成为了人们生活和工作中不可或缺的一部分。
然而,随着网络的普及和应用的广泛,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁不断涌现,给个人、企业和国家带来了巨大的损失和风险。
为了有效地应对这些网络安全威胁,保障网络的安全稳定运行,网络安全态势感知与可视化报表技术应运而生。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术手段。
它通过收集、整合和分析来自各种网络设备、安全系统和应用程序的大量数据,来全面了解网络的安全状况,并及时发现潜在的安全威胁和异常行为。
网络安全态势感知的核心目标是为网络安全管理人员提供准确、及时和全面的安全态势信息,以便他们能够做出科学的决策,采取有效的安全防护措施。
可视化报表则是将网络安全态势感知所获取的复杂数据以直观、易懂的图形、图表和表格等形式展示出来的工具。
通过可视化报表,网络安全管理人员可以更加清晰地了解网络安全状况的变化趋势、威胁分布、风险等级等关键信息,从而快速发现问题、定位问题和解决问题。
可视化报表不仅能够提高网络安全管理的效率和效果,还能够为高层领导提供决策支持,帮助他们更好地了解网络安全态势,制定合理的安全策略和投资计划。
网络安全态势感知与可视化报表的实现通常需要以下几个关键步骤:数据采集是网络安全态势感知的基础。
需要收集来自网络中的各种数据源,包括防火墙日志、入侵检测系统日志、漏洞扫描报告、服务器日志、用户行为数据等。
这些数据包含了丰富的网络安全信息,但往往是分散、异构和海量的,需要进行有效的整合和预处理,以便后续的分析和处理。
数据处理和分析是网络安全态势感知的核心环节。
在这个阶段,需要运用各种数据分析技术和算法,对采集到的数据进行清洗、转换、关联分析和挖掘,以提取出有价值的安全态势信息。
例如,可以通过关联分析不同安全设备的日志,发现潜在的攻击链;通过数据挖掘技术,挖掘出隐藏在数据中的异常行为模式。
网络安全态势感知与可视化展示
网络安全态势感知与可视化展示在当今数字化时代,网络已经成为我们生活和工作中不可或缺的一部分。
然而,随着网络的日益普及和复杂,网络安全问题也变得越来越严峻。
网络攻击、数据泄露、恶意软件等威胁层出不穷,给个人、企业和国家带来了巨大的损失。
为了有效地应对这些威胁,保障网络安全,网络安全态势感知与可视化展示技术应运而生。
网络安全态势感知是一种对网络安全状况进行全面监测、分析和评估的技术。
它通过收集、整合和分析来自各种网络安全设备、系统和数据源的信息,来了解网络中正在发生的安全事件、潜在的威胁以及整体的安全态势。
网络安全态势感知不仅仅是简单地监测和报警,更重要的是能够对海量的安全数据进行深入分析,提取有价值的信息,为决策提供支持。
那么,网络安全态势感知是如何实现的呢?首先,需要广泛地收集各种安全数据,包括网络流量数据、系统日志、漏洞信息、用户行为数据等。
这些数据来源多样,格式各异,因此需要进行有效的数据整合和预处理,将其转化为统一的格式,以便后续的分析。
在数据收集和整合之后,就需要运用各种分析方法和技术对数据进行深入挖掘。
常见的分析方法包括关联分析、机器学习、统计分析等。
关联分析可以帮助发现不同安全事件之间的关联关系,从而揭示潜在的攻击模式;机器学习算法可以用于识别异常行为和预测可能的威胁;统计分析则可以提供对网络安全状况的总体评估和趋势分析。
通过这些分析,我们可以得到关于网络安全态势的各种信息,如攻击的来源、类型、目标,以及网络中存在的薄弱环节等。
但是,这些信息如果只是以数字和文字的形式呈现,往往难以被人们快速理解和把握。
这时候,就需要借助可视化展示技术,将复杂的网络安全态势以直观、清晰的图形和图表展现出来。
可视化展示在网络安全态势感知中起着至关重要的作用。
它能够将抽象的安全数据转化为易于理解的视觉形式,帮助安全人员快速洞察网络安全状况,发现潜在的威胁和异常。
例如,通过地图可视化,可以直观地展示攻击的来源和分布;通过柱状图和折线图,可以清晰地呈现不同类型攻击的数量和趋势;通过网络图,可以展示网络中各个节点之间的连接关系和流量情况。
网络安全态势感知与可视化呈现
网络安全态势感知与可视化呈现在当今数字化高速发展的时代,网络如同一个无形的世界,承载着海量的信息和重要的业务。
然而,这个世界并非风平浪静,而是充满了各种潜在的威胁和风险。
网络安全态势感知与可视化呈现,就如同在这个复杂的网络世界中安装了一双敏锐的眼睛和一个清晰的导航系统,帮助我们更好地理解和应对网络安全的挑战。
想象一下,你身处一个繁忙的交通枢纽,车辆川流不息,各种交通信号和指示牌不断闪烁。
要想有效地管理交通,确保安全和顺畅,你需要对整个交通状况有一个全面、实时的了解。
网络安全态势感知就类似于这种对交通状况的掌控,只不过它所关注的是网络中的信息流、访问行为、潜在的攻击等。
网络安全态势感知是指对网络安全状态进行实时监测、分析和评估的能力。
它不仅仅是简单地收集安全数据,更重要的是能够从这些数据中提取有价值的信息,洞察潜在的安全威胁和趋势。
这就好比从一堆杂乱无章的拼图碎片中,拼凑出一幅完整的画面,让我们看到网络安全的全貌。
那么,如何实现网络安全态势感知呢?首先,需要广泛收集各种数据源,包括网络流量数据、系统日志、用户行为数据等。
这些数据就像是拼图的碎片,每一片都包含着网络安全状况的一部分信息。
然后,通过使用先进的数据分析技术和算法,对这些数据进行处理和挖掘,找出其中的关联和模式。
比如,发现异常的网络访问行为、频繁出现的攻击特征等。
在这个过程中,数据的质量和准确性至关重要。
如果收集到的数据存在误差或者缺失,就可能导致分析结果的偏差,从而影响对网络安全态势的判断。
因此,需要建立有效的数据采集机制,确保数据的完整性和可靠性。
有了对网络安全态势的感知,接下来就是如何将这些复杂的信息以一种直观、易懂的方式呈现给用户。
这就是网络安全可视化呈现的重要任务。
可视化呈现就像是把抽象的网络安全信息转化为一幅生动的图像或图表,让人们能够一眼看清网络安全的状况。
比如,通过热力图展示网络流量的分布情况,用折线图反映攻击事件的频率变化,或者用拓扑图展示网络设备之间的连接关系和安全状态。
网络安全态势感知与可视化报表
网络安全态势感知与可视化报表在当今数字化的时代,网络已经成为了我们生活和工作中不可或缺的一部分。
从日常的社交娱乐到关键的金融交易,从企业的运营管理到国家的基础设施,网络无处不在。
然而,伴随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁不断涌现,给个人、企业和社会带来了巨大的损失。
为了有效地应对这些威胁,保障网络的安全稳定运行,网络安全态势感知与可视化报表技术应运而生。
网络安全态势感知是一种对网络安全状态进行全面、实时监测和分析的技术手段。
它通过收集、整合和分析来自网络各个节点的安全数据,包括防火墙日志、入侵检测系统警报、服务器系统日志等,来识别潜在的安全威胁和异常行为。
与传统的网络安全防护手段相比,网络安全态势感知更注重对网络安全态势的整体把握和预测,能够帮助安全管理人员提前发现潜在的安全风险,及时采取防范措施,从而降低网络安全事故的发生概率。
可视化报表则是将网络安全态势感知所获取的复杂数据以直观、易懂的图形、图表等形式展示出来的工具。
通过可视化报表,安全管理人员可以一目了然地了解网络的安全状况,快速发现安全问题的关键所在。
例如,通过柱状图可以直观地展示不同时间段内网络攻击的数量和类型;通过折线图可以观察网络流量的变化趋势;通过地图可以清晰地看到网络攻击的来源地域分布等。
这种直观的展示方式不仅大大提高了安全管理人员对网络安全态势的理解和把握能力,还为他们制定科学合理的安全策略提供了有力的依据。
那么,网络安全态势感知与可视化报表具体是如何工作的呢?首先,需要通过各种技术手段收集网络中的安全数据。
这些数据来源广泛,包括网络设备、服务器、应用系统等。
收集到的数据通常具有不同的格式和结构,需要进行预处理和整合,以便后续的分析和处理。
接下来,运用数据分析算法和模型对整合后的数据进行深入分析,挖掘其中的潜在威胁和异常行为。
例如,可以使用机器学习算法对数据进行分类和预测,识别出可能的攻击模式和趋势。
网络空间安全态势感知与可视化平台
网络空间安全态势感知与可视化平台现代社会对网络空间安全的需求日益迫切,如何有效地感知网络空间的安全态势以及将其可视化呈现成为了亟待解决的问题。
为满足这个需求,网络空间安全态势感知与可视化平台应运而生。
本文将从该平台的定义、功能、技术、应用以及未来发展等方面进行论述。
一、网络空间安全态势感知与可视化平台的定义网络空间安全态势感知与可视化平台,简称安全态势平台,是一种用于综合、全面地感知和监控网络空间安全态势的工具。
通过采集、处理和分析网络数据,将复杂的网络安全信息转化为直观、可视化的形式,提供决策者对网络空间中威胁和风险的直观了解和预警。
二、网络空间安全态势感知与可视化平台的功能1. 数据采集和整合:安全态势平台能够接收来自各个网络节点和终端设备的安全数据,并将这些数据按照一定的规则进行整合和处理。
2. 安全态势分析:通过对采集到的数据进行分析和挖掘,安全态势平台能够识别出网络中的异常行为、攻击事件和威胁情报,提供实时的安全态势分析。
3. 可视化展示:安全态势平台将分析结果以直观的图表、地图或其他形式进行可视化展示,使决策者能够迅速了解网络空间安全的整体状况。
4. 风险评估与预警:基于安全态势分析的结果,平台可以评估网络中的风险程度,并及时向相关人员发出预警信息,帮助其做出应对措施。
5. 安全态势监控:安全态势平台能够实时监控网络中的安全事件和风险,帮助及时发现和处理安全问题,保护网络系统的安全。
三、网络空间安全态势感知与可视化平台的技术1. 大数据技术:为了处理海量的网络数据,安全态势平台采用了大数据技术,包括数据存储、获取、处理和分析等。
通过这些技术,平台能够快速高效地处理庞大的网络数据。
2. 数据挖掘与分析技术:安全态势平台利用数据挖掘和分析技术,从网络数据中发现隐藏的安全威胁和攻击行为。
这些技术包括机器学习、数据聚类、异常检测等,能够识别出网络中的异常事件。
3. 可视化技术:为了将复杂的网络数据以直观的形式展示,安全态势平台采用了可视化技术,如图表、地图、网络拓扑图等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于可视化的安全态势感知-世博会业务系统的信息保障郁郎关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度1.引言被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。
与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。
可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。
由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。
如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。
在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。
人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。
为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。
本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。
2.什么是安全态势感知(Security Awareness)?“一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。
安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。
作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。
图1:安全态势感知的数据流图如图2所示,数据源所提供的数据经过预处理、信息融合后,进入分析评估阶段,其中预处理阶段主要目标是数据的采集,信息融合阶段的主要目标是去伪存真,分析评估阶段的主要目标是态势感知。
分析评估阶段成功的关键是“人的有效参与”,安全可视化是达到这一目标的主要途径,这也是本文所讨论的重点所在-基于可视化的安全态势感知,包括数据变换、图形布局、交互和动画四个方面的内容[2]。
图2:基于可视化技术的安全态势感知四步曲3.什么是基于业务影响(mission impact)的安全态势评估当安全事件发生时,对它们的应急处理,最重要的首先应该是迅速评估这些安全威胁给我们的业务所带来的影响。
常用的评估方法有两种:由下而上的资产导向式或者自上而下的业务导向式。
资产导向式以构成内部信息系统的资产为切入点,分析如果因为安全问题这些资产的不可用或者不可靠将对业务的所照成的负面影响。
这里的信息资产可以是具体的硬件设备(如:网络设备、服务器等),也可以是提供某类效能的软件(如:数据库、软件平台、电子邮件等),总之它们为业务系统提供必要的基础支撑。
分析的过程中需要建立安全攻击事件或者违规行为与资产所提供的效能失效之间的因果关系,如拒绝服务攻击导致数据库不可用、蠕虫病毒导致网络连接异常。
不仅要考虑直接的影响而且要考虑资产之间的依赖关系所带来的间接影响,例如:认证服务程序无法启动影响内部的邮件无法转发、网络带宽的下降导致视频会议系统的通话质量。
业务导向式分析的目标是发现某项业务正常运行所必须保障的资产。
这种自上而下的分析方法从业务目标入手,通常一项业务的正常运作需要各项子业务系统的保障,这就涉及到业务的分解,例如世博的RFID票务系统由制售票、验票监控、展位观众记录、统计分析、系统维护、网上注册等多个子系统构成,要保障票务的正常,需要保障每个子业务系统正常,因此只有理清业务结构,业务分解的足够细致,最终建立的评估模型才能精确,即,建立信息基础设施与各项业务的准确逻辑关系,这些设施就是我们需要保护和保障的目标。
不论资产导向式还是业务导向式最终都有着殊途同归的效果-建立业务(mission)、子任务(sub‐task)、资产(asset)之间的关系模型,通常用业务树(mission tree)模型表达这一关系。
业务树[3]是为评估系统总体安全态势而建立,由一个组织所要完成的业务目标(mission)及完成这些目标所依赖的信息资产所组成的树状的层次化结构。
树的根结点为总业务目标的概括,与子任务目标(task)形成层次结构,树的叶结点为完成目标所对应的资产,叶结点允许重复出现(由于同一个资产可能被赋予不同的任务目标)。
任务树模型表示为M = O∪ A ,其中O = {o1, o2 ,…om} 为完成任务的目标集合,A = {a1, a2 ,…an} 为完成目标的资产集合,如图3所示。
图3:业务树模型4.基于3D技术的业务影响可视化分析作为一种计算机辅助评估技术,安全可视化在解决“如何基于业务的安全态势评估”的道路上另辟蹊径,巧妙为把底层的数据转变为人可以感知的信息,下面本文将以此作为安全可视化态势感知的一个典型应用场景,详细分析其内部的工作机制和最终所能够带来的效果。
3D可视化最大的技术优势在于多维度特性与透视特性:“多维度”指不同的数据平面可以在同一个空间中同时展示出来,观察者可以发现不同数据之间的关联;“透视”特性则可以减少图形的视觉冲突,因为观察者可以从上、下、前、后、左、右任意角度观察图形。
为了展现安全事件对业务的影响,按照前面阐述的安全态势可视化过程,第一步需要定义可视化目标:1.能够展现各种资产属性,包括:网络设备、服务器、终端主机、数据库、关键文件、通讯协议、电子邮件等的各项属性,如分类、重要程度、地理位置或者网络拓扑;2.能够展现各种资产的关系以及依赖,资产对某项业务的必要关系,业务与子业务的关系以及业务之间的时间联系;3.能够展现安全告警,告警的分类、告警的级别、告警的多少、告警的所针对资产进而关联到告警所威胁的业务;4.能够展现安全漏洞,漏洞的分类、漏洞的风险等级、漏洞所涉及的资产进而关联到漏洞给某项业务带来的风险;针对以上提出的可视化目标,下一步的工作是可视化场景的设计,即完成数据到场景的变换。
资产数据库或者事件数据库中的字段在3D空间中用不同的几何体表示,例如:一个立方体代表一个安全告警或者代表一台终端主机、一个球体代表一种与业务相关的能力。
通过球体和立方体之间的连线表达安全告警对业务能力的影响或者信息资产对业务能力的支撑。
图4:资产与其支撑的业务能力图4表现了一种3D的场景,平面上的立方体代表信息资产,如:主机、WEB服务器、数据库、电子邮件系统等。
立方体的大小代表资产对于组织机构完成其业务使命的重要程度,当然也可以通过颜色来表达。
立方体在平面上分布的依据是其所处的地点和其依赖的网络协议,分别由平面的Y轴和X轴代表。
在平面上端的球体代表组织机构的业务能力,完成该业务能力所必须的资产通过球体到对应立方体的连接线表示。
图5:业务细化到子任务后的业务树业务树模型需要对业务目标进行细化分解,为了满足可视化业务树的需求,3D空间中需要引入新的平面以完整表达业务树,如图5就是在图4基础上进一步分解的结果,新增加的有球体形成的环带代表不同类型的子任务,他们的完成保障了更上层环带所代表的业务的完成。
“球体+底平面”的可视化场景除了可以用来展示业务树的层次关系之外,还可以用来展示安全告警与资产、业务之间的关联。
这个用例中,中间层的球体代表安全告警并用颜色来区分它们的严重等级,顶层的球体代表业务并用颜色来表示其当前关键状态对业务的影响程度。
本文依据资产面临的威胁,参考攻击分类方法将资产可能达到的关键状态[4]分为13 种类型,如表1所示:关键状态描 述影响程度PRIVILEGE_VIOLATION 窃取或者非法提升系统访问权限 高高 DENIAL_OF_SERVICE 阻断或防范对内部资产的访问,包括主机、应用、网络服务或系统资源,如数据或者外设中 ACCESS_VIOLATION 违反安全策略访问、引用与获取数据信息、网络流量、操作系统服务等高 INTEGRITY_VIOLATION 违反安全策略,修改或破坏数据与可执行内容中 SYSTEM_ENV_CORRUPTION 未经授权修改系统或者系统资产的运行配置信息USER_ENV_CORRUPTION 未经授权修改受控网络域中的用户配置信息 中ASSET_DISTRESS 系统资产服务功能衰减或彻底丧失,如机器高非正常关闭、系统进程破坏、文件系统或进程表空间耗尽中 EXFILTRATION 试图通过非授权连接通道输出数据或者命令接口BINARY_SUBVERSION 木马或者病毒程序的活动 低 CONNECTION_VIOLATION 违反网络安全策略到网络资产的连接企图 低 PROBE 试图收集受控网络的资产或服务的信息 低 USER_SUBVERSION 试图获取本地管理员用户权限 中中 SUSPICIOUS_USAGE 重要的异常或可疑活动行为,会引发安全事件,但不可归于其他类别表1:关键状态及描述这样,使用“球体+底平面”的可视化场景去感知基于业务树模型评估的安全态势,关键就是根据组织机构所要完成的业务目标,确定资产的关键状态以及导致这些关键状态发生的安全告警,即威胁,从而建立安全告警与业务的联系。
例如,一台服务器必须保持可用性,因此拒绝服务为其关键状态;非授权访问状态对于一台必须保持机密性的主机来说就是关键状态;而恶意代码的执行和权限提升对所有目标来说都是关键状态。
图6:安全告警的资产分布图6又是一种新的可视化场景‐“双平面”,底层平面与前面介绍的可视化场景一样表示资产,这里用户可以指定筛选条件过滤出只与“后勤”业务相关的资产,顶层平面展现按时间周期进行分类统计后的安全告警,通过把安全告警投射到下层的资产平面以观察告警的分布情况。