态势感知研究的方法论
计算机网络安全态势感知方法研究
计算机网络安全态势感知方法研究随着信息技术的不断进步,计算机网络已经成为现代社会中不可或缺的一部分。
然而,网络安全问题也随之而来。
网络攻击、数据泄露、恶意软件等安全问题已经成为了计算机网络必须要面对的挑战。
因此,为了保障网络的安全与稳定,网络安全态势感知方法的研究也变得越来越重要。
计算机网络安全态势感知方法是指通过对网络行为与操作的监控、分析与评估,对网络安全威胁进行及时预警与应对的方法。
其目的是保障网络的稳定性,并提高网络的反应速度,减少异常事件对系统的影响。
网络安全态势感知方法是一种集成多种技术、多个阶段的综合性方法,其主要包括以下几个方面:一、数据采集与传输网络安全态势感知的第一步是数据采集。
这个环节往往需要采集大量的数据,包括网络流量、安全日志、攻击数据包等等。
在数据传输方面,传输安全也非常重要。
数据采集与传输需要使用加密与认证等安全措施,确保数据的传输安全。
二、数据存储与分析将采集到的数据存储下来,并进行数据分析。
数据存储需要保证数据的安全、完整性与可靠性。
在这个环节中,需要利用相关的数据处理技术,从海量数据中提取关键信息,分析网络安全态势。
三、安全态势评估在数据分析的基础上,进行安全态势评估。
安全态势评估是对当前网络安全状态的个性化分析与评估。
通过建立多种安全状态模型,对网络进行量化分析,实现网络安全态势感知的智能化。
四、恶意攻击检测与响应最后是恶意攻击检测与响应。
根据网络安全态势评估的结果,及时发现可能的安全威胁,并采取相应的防御措施。
在这个环节中,需要采用多种恶意攻击检测方法,如入侵检测、异常检测、行为分析等等。
总之,计算机网络安全态势感知方法的研究对于网络安全至关重要。
在不断发展的网络科技与攻击技术中,安全态势感知方法是网络安全的基础。
如今,越来越多的企业与组织开始重视网络安全,网络安全态势感知方法的研究将会在未来的发展中不断得到突破与提升。
网络安全中的态势感知技术研究
网络安全中的态势感知技术研究在当今数字化时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击手段不断翻新,攻击规模和频率不断增加,给个人、企业和国家带来了巨大的威胁。
为了有效应对网络安全威胁,保障网络空间的安全,态势感知技术应运而生。
一、态势感知技术的概念网络安全态势感知技术是一种通过对网络环境中的各种数据进行收集、分析和处理,从而对网络安全态势进行实时监测、评估和预测的技术。
它能够帮助网络安全管理人员全面了解网络的安全状况,及时发现潜在的安全威胁,并采取相应的措施进行防范和应对。
简单来说,态势感知技术就像是网络空间中的“眼睛”和“大脑”。
它通过收集大量的网络数据,包括网络流量、系统日志、漏洞信息等,然后运用各种分析方法和算法,对这些数据进行处理和分析,从中提取出有价值的信息,如攻击的来源、类型、目标等。
最后,根据分析结果,对网络安全态势进行评估和预测,为网络安全决策提供依据。
二、态势感知技术的重要性在网络安全领域,态势感知技术具有至关重要的作用。
首先,它能够实现实时监测。
在网络攻击日益频繁和复杂的情况下,实时监测网络安全态势是及时发现和应对威胁的关键。
态势感知技术可以实时收集和分析网络数据,快速发现异常行为和潜在的攻击,为及时采取防御措施争取时间。
其次,有助于全面了解网络安全状况。
网络环境复杂多样,涉及众多的设备、系统和应用。
态势感知技术能够整合来自不同来源的数据,提供一个全面的网络安全视图,让管理人员清楚地了解网络中存在的安全风险和薄弱环节。
再者,能够进行准确的威胁评估。
通过对网络数据的深入分析,态势感知技术可以评估威胁的严重程度、影响范围和可能造成的损失,为制定合理的应对策略提供支持。
最后,支持预测和预警。
基于历史数据和当前的态势分析,态势感知技术可以预测未来可能出现的安全威胁,提前发出预警,使网络安全管理人员能够做好充分的准备。
三、态势感知技术的关键技术为了实现有效的网络安全态势感知,以下是一些关键技术:1、数据采集技术数据采集是态势感知的基础。
网络安全中的态势感知技术研究
网络安全中的态势感知技术研究随着互联网的不断发展和普及,网络安全问题也越来越受到人们的关注。
随之而来的是网络安全技术的不断更新和升级。
而其中一个重要的技术就是态势感知技术。
本文就从这个角度出发,探讨网络安全中的态势感知技术研究。
一、什么是态势感知技术?态势感知技术(situational awareness)是指通过对网络环境的全面分析和监控,对网络中的攻击和威胁进行及时发现、分析、判断和应对的技术。
简单来说,就是通过收集和处理各种网络信息来实现对网络安全状态的快速、准确的判断和预警。
二、态势感知技术的分类态势感知技术根据其数据源的不同,大致可以分为两类,即内部态势感知技术和外部态势感知技术。
内部态势感知技术主要是通过对企业内部网络设备和流量数据的收集和分析,来实现对企业内部网络安全状况的监控和预警,包括入侵检测、异常流量监测、资产管理等。
而外部态势感知技术则是通过对网络外部环境的数据进行采集和分析,来获取网络外部威胁情报和对网络安全状况进行预警,包括漏洞情报分析、黑客攻击溯源分析、网络威胁情报共享等。
三、态势感知技术的应用态势感知技术在网络安全领域的应用,主要体现在以下几个方面。
1、网络安全数据分析与传输态势感知技术可以实现对网络数据的实时收集、分类、过滤和分析,并据此推算和诊断网络状况。
同时,它还可以把安全数据传输到管理中心,让管理人员更快地发现网络攻击和威胁。
2、风险提示与预警态势感知技术可以收集和分析网络数据,明确网络的安全态势,并在网络中出现危险的情况时,提供针对性的预警和提示,让管理人员可以及时采取行动。
3、安全策略优化态势感知技术可以根据网络实际情况,调整和完善安全策略,包括针对攻击的防范措施、网络拓扑结构的改进和加密标准的提高等,以提高网络的安全性。
四、态势感知技术的发展趋势随着网络安全威胁的不断增加,态势感知技术也在不断地发展和更新。
未来,网络安全领域的态势感知技术主要有以下几个发展趋势。
网络空间安全中的态势感知技术研究
网络空间安全中的态势感知技术研究随着互联网的发展,网络安全问题越来越受到人们的关注。
而在网络空间安全领域中,态势感知技术起着至关重要的作用。
本文将介绍网络空间安全中的态势感知技术研究。
一、什么是态势感知技术态势感知技术是一种通过收集、分析网络中的信息来判断网络威胁状态的技术。
它有助于提高网络安全防御能力,保护网络空间安全,防止网络攻击、病毒侵袭等各种安全问题的发生。
二、态势感知技术的应用在网络空间安全领域中,态势感知技术的应用非常广泛。
主要表现在以下几个方面:1、网络攻击检测通过网络空间安全态势感知技术,可以实现网络攻击检测,预先发现可能出现的网络攻击,并做出相应的应对措施,从而保证网络安全的稳定。
2、信息分析通过对网络中的信息进行分析,可以更加清晰地了解网络中出现的威胁,更好地进行信息分析和处理。
3、资源管理网络资源的管理是网络安全的一个重要部分。
通过对网络空间的态势感知技术的应用,可以对资源进行更为合理的管理,使网络更加稳定和安全。
三、态势感知技术的研究现状目前,在网络空间安全领域中,态势感知技术的研究已经取得了不少的成果。
主要表现在以下几个方面:1、数据挖掘技术通过数据挖掘技术,可以快速的获得网络中的信息,从而进行更为深入的信息分析工作。
这种技术在网络空间安全态势感知中具有至关重要的作用。
2、智能算法一些智能算法的应用,可以使态势感知技术更加高效,更加自动化,从而更加稳定和安全地保护网络空间安全。
3、云计算云计算的应用,有助于实现网络空间安全态势感知的“大数据模型”,从而为网络安全的预警和防护提供更为有效的手段。
四、态势感知技术未来的发展在未来,网络空间安全领域中的态势感知技术将继续发展壮大。
未来发展的方向主要表现在以下几个方面:1、网络空间安全态势感知技术将更加智能化,更加自动化。
2、将会有更加高效的信息处理技术得到应用,使网络空间安全态势感知更加迅速、准确。
3、一些新型技术的应用,如人工智能等,将使网络空间安全态势感知技术更加深入和高效。
网络安全态势感知技术研究
网络安全态势感知技术研究第一章绪论随着互联网的普及和科技发展,网络攻击和黑客攻击的频率越来越高,网络安全问题日益严峻。
网络安全态势感知技术作为一种重要的网络安全技术,成为了保护网络安全的重要手段。
本文将分析网络安全态势感知技术的研究现状、技术原理和未来发展方向。
第二章研究现状网络安全态势感知技术的研究始于上世纪80年代。
在这之后,逐渐形成了从网络拓扑结构、网络资源分配、网络覆盖范围、网络协议分析等多个角度来考虑网络安全的态势感知技术。
近些年来,随着技术的不断更新和基础设施的不断完善,网络安全态势感知技术的研究也得到了进一步发展。
目前,一些机构已经将网络安全态势感知技术纳入了网络安全体系。
第三章技术原理网络安全态势感知技术的实现需要借助于网络安全预测模型、网络安全演算模型以及网络行为分析模型。
网络安全预测模型可以基于历史数据,对未来可能发生的网络安全事故进行预测,可以帮助防止这些事故的发生;网络安全演算模型可以基于网络拓扑结构和部署情况,评估网络安全状况;网络行为分析模型可以通过对网络中流量、数据包分析等,发现网络中的异常行为和攻击行为。
第四章发展趋势未来,随着技术的不断更新和网络威胁的不断增加,网络安全态势感知技术将会发展出更加成熟的技术体系,在网络安全战略的实施中发挥着越来越重要的作用。
同时,随着大数据和云计算技术的发展,网络安全态势感知技术将会更加智能化、自动化和实时化,更好地帮助用户防范网络攻击和黑客攻击,保障网络安全的持续和稳定。
第五章结论本文对网络安全态势感知技术的研究现状、技术原理和未来发展趋势进行了探讨。
网络安全态势感知技术已经成为保护网络安全的重要手段,未来,随着技术的日益成熟和网络威胁的不断增加,网络安全态势感知技术将会更加智能化、自动化和实时化。
这将极大地帮助用户防范网络攻击和黑客攻击,保障网络安全的持续和稳定。
态势感知研究的方法论
文/中国科技大学网络态势感知研究中心 王砚方态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语,态势感知已成为研究网络安全所必需解决的问题,但业内的专家对此可能有不同的理解。
本文企望通过相关的介绍和分析提出一己的看法。
“态势感知”概念的来源由于人的因素在动态系统(如飞机驾驶、空中交通管制、电力网管理等)中彰显出越来越大的重要性,M.R.Endsley在1995年提出人类决策模型,总结出包括采集、理解和预测三个层次的态势感知模型。
此模型基于各元素间的确定关系,例如由飞机的航速、方位角及风速判断它的落地点和落地时间,机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。
再如战斗机驾驶员根据空中环境的动态变化,按规定的程序作战场上的各种相应的战术动作。
在自动控制设备运行时,遇到异常时操作员如何介入,也可按专家事先制定的方案进行。
总之,Endsley模型是指导人——机器的互动的原则:如果用较多的人工,可以得到对机器设备状态的较多的感知,因而可使设备接近最佳的状态;而如果自动程度较高,可以节省人工,但操作员的感知较少,遇到不理想的情况就难以作出抉择,在这个问题上,Endsley模型就是要解决人工同自动化之间最好的折中。
这种模型适用于处理简单的系统,专家的先验的成分较多。
显然,它不适用于复杂网络。
事实上自这个模型提出的十五年来,在许多方面开拓了研究,如人员培训、设计、工作团队协调等方法有不少成果。
国内有学者把它作为通用的理论模型,提出基于流量和局域网的单机日志的数据融合,建立大规模网络安全的态势评估模型。
到上世纪末,已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题,出现了把网络上安全传感器和计算机上的防入侵等设备同网络流控和管理结合起来的需求。
1999年T.Bass提出了多台安全传感器和入侵检测设备的数据融合的原理和流程,称为Bass模型。
Bass模型没有从网络本身的特点出发,而只是在数据融合技术方面就事论事。
网络空间安全态势感知技术研究
网络空间安全态势感知技术研究随着互联网的迅猛发展,人们日常生活中越来越多的信息都与网络相关,网络空间的安全问题也日益凸显。
为了更好地保障网络的安全,网络空间安全态势感知技术应运而生。
本文将围绕网络空间安全态势感知技术展开研究,并探讨其在网络安全领域中的应用和意义。
网络空间安全态势感知技术是指通过对网络环境中的安全事件、威胁以及风险进行实时监测和感知,以实现对网络空间安全态势的实时把握和研判。
这项技术旨在提供关键的情报和数据,帮助网络安全专家对网络安全事件进行预测、发现、分析和响应,从而更好地保护网络的安全。
网络空间安全态势感知技术主要包括两个方面的内容:一是网络安全事件的实时监测和感知,二是网络安全态势的实时把握和研判。
网络安全事件的实时监测和感知是指对网络环境中的各类安全事件和威胁进行广泛的实时监测和感知,包括恶意软件攻击、网络入侵、数据泄露等。
通过实时监测和感知,可以及时发现并响应网络安全事件,从而避免损失的扩大。
而网络安全态势的实时把握和研判是指根据网络安全事件的监测和感知结果,对整个网络安全状态进行综合分析和判断,以便科学地制定相应的网络安全策略和应对措施。
网络空间安全态势感知技术的研究具有重要的实际意义。
首先,它可以帮助网络安全专家及时发现和分析网络安全事件,提高整个网络安全防护体系的响应速度和效率。
其次,网络空间安全态势感知技术可以为网络安全决策提供科学依据,帮助决策者更好地制定网络安全策略和措施,从而提高网络的整体安全水平。
此外,网络空间安全态势感知技术还可以为企业和个人提供有针对性的风险评估和安全建议,帮助守护网络用户的权益。
在实际应用中,网络空间安全态势感知技术已经取得了一定的成果。
许多国家和地区的相关机构和企事业单位都在积极研究和应用该技术,以提高网络的安全性。
一些大型互联网企业也在加大在网络空间安全态势感知技术方面的投入,不断改善网络的安全性能。
另外,网络空间安全态势感知技术也在国际间得到普遍关注,在国际网络安全合作中发挥着重要的作用。
网络安全态势感知的内容与方法
网络安全态势感知的内容与方法在新的网络安全形势下,网络安全态势感知变得炙手可热,已经成为政府、企业宣传网络安全的高频词。
但是,对于网络安全态势感知的内容、针对不同用户需求如何感知等具体问题却缺乏清晰的认识。
在详细分析感知内容即网络资产、资产脆弱性、安全事件、网络威胁、网络攻击和网络风险的基础上,针对不同种类用户即政府部门或企业、企业集团或行业主管部门、政府监管机构的不同网络安全保障需求和网络安全监管需求,提出了微观、中观和宏观网络安全态势感知的功能架构和部署方式,为不同用户建设网络安全态势感知平台提供参考。
一、态势感知的内容1、感知网络资产I T系统越来越复杂,从而产生大量的无主资产、僵尸资产,且这些资产长时间无人维护,存在大量的漏洞和配置违规,为用户网络安全带来了极大隐患。
因此,首先要摸清资产家底。
任何网络入侵和攻击都是以资产为载体或目标,如果网络资产是一笔糊涂账,那么网络安全状况将无法保障。
感知资产的方法主要有主动探测和被动分析。
主动探测主要用于对未知网络下的资产发现探测,被动分析主要用于7×24小时持续性的监听已知网络下的未发现资产。
通过强大的资产指纹库建立各类型资产的特征,包括网络设备、安全设备、各类操作系统、数据库和应用中间件等,进行识别资产并完成资产属性的补全,最终实现未知资产的发现、识别与管理。
同时,需要通过有代理或无代理方式监控资产的运行状态,包括主机CP U、内存、磁盘占用率变化情况、网络带宽的占用变化情况和交换机每个端口的流量情况。
更进一步,可采集服务进程、线程数据、CP U和内存占用率等[2],为安全检测分析提供数据支撑。
2、感知资产脆弱性网络安全脆弱性主要包括资产漏洞和弱密码等配置不当。
脆弱性已经成为网络攻击者入侵网络窃取信息或者破坏系统的重要入口。
因此,“摸清家底”的一个重点就是要摸清资产的脆弱性。
如果资产漏洞和不合理配置不明确,将无法进行资产安全加固并采取防护措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011.02/中国信息安全/ 41文/中国科技大学网络态势感知研究中心 王砚方态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语,态势感知已成为研究网络安全所必需解决的问题,但业内的专家对此可能有不同的理解。
本文企望通过相关的介绍和分析提出一己的看法。
“态势感知”概念的来源由于人的因素在动态系统(如飞机驾驶、空中交通管制、电力网管理等)中彰显出越来越大的重要性,M.R.Endsley在1995年提出人类决策模型,总结出包括采集、理解和预测三个层次的态势感知模型。
此模型基于各元素间的确定关系,例如由飞机的航速、方位角及风速判断它的落地点和落地时间,机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。
再如战斗机驾驶员根据空中环境的动态变化,按规定的程序作战场上的各种相应的战术动作。
在自动控制设备运行时,遇到异常时操作员如何介入,也可按专家事先制定的方案进行。
总之,Endsley模型是指导人——机器的互动的原则:如果用较多的人工,可以得到对机器设备状态的较多的感知,因而可使设备接近最佳的状态;而如果自动程度较高,可以节省人工,但操作员的感知较少,遇到不理想的情况就难以作出抉择,在这个问题上,Endsley模型就是要解决人工同自动化之间最好的折中。
这种模型适用于处理简单的系统,专家的先验的成分较多。
显然,它不适用于复杂网络。
事实上自这个模型提出的十五年来,在许多方面开拓了研究,如人员培训、设计、工作团队协调等方法有不少成果。
国内有学者把它作为通用的理论模型,提出基于流量和局域网的单机日志的数据融合,建立大规模网络安全的态势评估模型。
到上世纪末,已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题,出现了把网络上安全传感器和计算机上的防入侵等42 /中国信息安全/2011.02设备同网络流控和管理结合起来的需求。
1999年T. Bass提出了多台安全传感器和入侵检测设备的数据融合的原理和流程,称为Bass模型。
Bass模型没有从网络本身的特点出发,而只是在数据融合技术方面就事论事。
差不多从那时开始,已经有人认识到复杂网络中个体的非线性相互作用对于系统宏观行为的出现至关重要,它使得系统整体行为不能通过个体行为的简单叠加而获得。
通常一个传感器既不能发现也不能确认一次攻击,只能简单地对某一次事件进行确认,而这一事件很可能只是一次攻击中的一部分。
Bass模型显然没有达到解决网络安全问题所需要的理论的高度和深度。
有一些作者把自己擅长的数据库和模式识别等技术结合Bass的数据融合方法,试图用模型预测网络安全趋势。
自然这样的研究用到实际中的效果不容易令人满意。
态势感知“探针”网络态势感知需要对实际网络进行测量,为了了解网络态势的变化,需要有一种实时性好的检测设备作为探针。
因此,网络态势感知的必要条件是有一个符合要求的深度数据采集设备作为探针和分析器。
在下文中称这种设备为“原型机”,它的主要功能和技术指标包括:1.处理海量流的能力。
互联网通过各个节点传输数据流,对于一个端到端的数据流有可能是由一个乃至上千个并发连接(会话)组成,因此“连接”是检索网络数据传输中信息的最小的索引。
合格的网络安全设备就要把连接的特征和属性全部记录下来,这种检验能力的指标是“并发连接”的数量和完整性。
因为网络上的一些异常往往是由小概率事件引起的,这是复杂网络的一个特点,所以用采样方法是不合适的。
实践证明,千兆位链路上需要有双向400万个并发连接,所以在万兆位骨干网上有双向6400万个并发连接就能满足目前在网络上实时感知的要求。
2.精细分析的能力。
通过深度数据包检测,提取流和连接的参数,并加以检索和匹配。
重要的物理参数为源和目的地址、源和目的端口以及协议,即统称为“五元组”。
为了感知网络的微观状态,原型机要做到尽可能多的逻辑参数的识别。
目前我国自己制造的原型机已能标识19个参数,这也是国际业内的最好水平。
3.协议识别能力。
除了因特网的标准协议如TCP, UDP等外,对利用这些协议留出的协议段传播的非标准或私有协议是因特网繁荣发展的基础,但也往往是威胁网络安全的因素。
原型机提取这些私有协议的特征(即指纹),实时地同机内的指纹库匹配检索,如果协议是有害的,便可及时处置。
指纹库要有足够的容量,并需要更新维护。
现有原型机的指纹库可以保持4000种最活跃的私有协议,并至少每月更新一次。
4.灵活的配置和方便的部署方式,可靠的运行性能。
原型机可按用户的要求设定阈限策略处置,并有串联和并联(镜像)两种部署。
原型机的延迟、无故障运行时间等均应符合电信级设备的要求。
5.业务分流能力。
在精细地识别基础上,原型机可按预设的方式对流重定向,把相关的业务流分门别类地输送到后台处理。
这种办法能大大提高后台处理的效率,减轻对后台存储器容量的压力。
在进行关键词检索、敏感文字挖掘,以及图像、语音判别方面,经过原型机的协议过滤和网络态势感知的必要条件是有一个符合要求的深度数据采集设备作为探针和分析器。
它的主要功能和技术指标包括:处理海量流的能力;精细分析的能力;协议识别能力;灵活的配置和方便的部署方式,可靠的运行性能;业务分流能力。
2011.02/中国信息安全/ 43分类均衡,对后台的云计算能力的要求可减到未分流的50%左右。
以上是能满足网络态势感知要求的原型机的技术指标。
我国硬件和软件技术已经可以实现这样的设备,并已具备了产业化的必要条件。
但原型机的能力必须不断提高,即所谓“魔高一尺,道高一丈”,才能适应网络安全的态势感知的要求。
态势感知初解本文中的“网络”指互联网(Internet)或万维网(World Wide Web)。
前者是由计算机、连接媒介(如光纤、电缆)和路由器等传输管控设备组成的一种传输结构,用IP地址定位每一个独立的计算机终端。
而后者是由网页组成,以唯一的资源地址(URL)定位。
前者是实实在在的物理网络,后者是数字空间的虚拟网络。
互联网同万维网有许多共同的特性,如果把互联网中计算机终端和操控它的用户看成一个节点,把节点间的传输线看成“边”,则互联网是一个由节点和边构成的复杂系统。
同样万维网是由网页、超文本协议和访问构成的复杂系统。
我们在这里把互联网和万维网统称为“网络”,这是一种特指,是狭义的网络。
复杂系统科学研究中,往往把系统中的元素(或子系统)看成节点,把元素(或子系统)间的相互关系看成边,而不考虑节点和边的具体物理含义,这样就可用网络作为系统的模型,用网络的一般理论去研究系统,那里的“网络”是广义的网络。
互联网在其建立的初期就确定了去中心化的原则,以保证在受到外来攻击时的可用性和存活性。
互联网的开放特性逐渐引来了众多的用户,在自组织原理的支配下,形成了遍及全世界的庞大的结构。
这个复杂网络以小世界、无标度和聚集性为其特点,是一种非均匀网络。
互联网并没有从一开始就规范网民的行为,事实上要规范也是徒劳的。
互联网为非标准或私有协议留下了空间,这一方面成为互联网繁荣发展的技术基础,但也使网络安全问题逐步显现。
网络安全问题由滥用或恶意攻击引起,滥用和攻击造成了网络流量和网络行为的异常。
影响了网络的可用性、保密性和完整性。
互联网集成了人类的智慧促进社会发展,已成为人类社会不可或缺的资源,但其脆弱性是一个潜在的威胁。
网络的演化过程形成了网络元素(独立子网)之间的非线性关系,这是网络复杂性的根源。
网络安全表现在宏观的异常,而其底层是微观运动,比如涌现就是一种微观的集体行为。
涌现是没法计算,无法预测的,只有从微观态势感知和发现。
网络中数据传输是以包为单位的,在传输中包不能再被分拆,不同的包可以循不同的路径由源点送到目的,在那里按发送的顺序组织成连接。
连接传达了通信双方的信息,是网络中最小的信息单元,我们可以把连接看成是网络中的微观颗粒,对网络的微观研究必定需从对连接的研究开始。
这样一种思路是我们对“态势感知”理解的出发点。
下面我们分四个层次来解释:“态——状态”。
为描述网络这样一个复杂系统,需要尽可能了解它的微观状态,这些状态可以用流连接的参数描述。
连接的参数可以分为有关传输的参数(源和目的地址和端口、数据流方向等)、协议组参数(标准协议和私有协议标志、私有协议组标志等)、连接本身的参数(包的个数、包长度、首个包的标志等),以及连接时间和连接状态参数和有效传输时间参数等。
这些参数还远远没有穷尽流的全部信息,因为这些参数仅仅是包头的一部分,而包的静荷构成的内容还需要用更多的参数来表达,而内容的参数表达是难以量化的,深度包分析(DPI)技术的目的就是尽量挖掘流参数。
美国政府执行的“爱因斯坦-3”计划可以记录13个连接参数。
我们在上面提到的原型机可记录19个参数。
“势”——从字面上看是“趋势”,其物理意义是“关联”。
一个粒子在另一个粒子的作用场内,就有“势能”,代表这两个粒子的关联。
粒子网络安全问题由滥用或恶意攻击引起,滥用和攻击造成了网络流量和网络行为的异常,影响了网络的可用性、保密性和完整性。
互联网集成了人类的智慧促进社会发展,已成为人类社会不可或缺的资源,但其脆弱性是一个潜在的威胁。
44 /中国信息安全/2011.02之间有相互作用才有势。
在网络中,连接的关联可以用其参数为坐标。
例如所有源地址相同的连接就从同一源发出信息。
在这一组连接中,协议相同的连接表示由同个节点发出的使用相同协议的连接。
如果再把所有目的地址相同的连接相关联,就表示由同一源、用相同协议传输到同一目的的连接。
连接的信息越精细,可以做的到的关联就越复杂,层次也更多。
因此连接的关联就是一个多模匹配的过程。
连接的多参数匹配将流分成许多层,体现了复杂网络的分层特性。
“感——检知”。
对于“势”,必须有一种工具(算法或测度)才能检知。
例如一个容器中的气体分子,我们无法确定单个分子的位置和动量,只有容器中气体的温度、压力等宏观量才是能被测量的。
所以“感”是从微观到宏观的过程。
正如热力学系统在外界的温度和压力变化时会产生相变一样,复杂网络在一定条件下,外界信息的输入会产生突变,称为“涌现”,由一个状态变到另一个更有序的状态。
系统的熵就是用来把微观量表现为宏观的测度的。
熵有热力学表示,也有信息学表示,它们都是相通的。
“知——知识”。
宏观量的检知还不是知识,只有这些检知出来的量以某种方式联系起来,才能变成知识。
知识是人类思考的“规则”,大家都遵守规则,才可以交流,其累积的成果就是文化。
回到网络安全的问题,如果用熵(不管是哪种形式的熵)感知到某些异常,例如流量异常或行为异常(访问方式异常、协议使用异常)等,怎样才能知道是安全还是不安全的因素呢?这就需要有事前准备好的规则,用这些规则来判断是否安全。
连贯起来说,从网络安全角度看,我们可以对“态势感知”这样来理解:“网络态势是指网络连接行为的实时状态以及连接之间的关联,态势感知是用可测度的宏观量表示网络状态的突发变异,由此判断网络的安全趋势。