【读书笔记】网空态势感知理论与模型(四)

一个网空态势感知整合框架

1. 引言

网空态势感知过程可以看作包含态势观察、态势理解和态势预测3个阶段。

态势观察:提供环境中相关元素的状态、属性和动态信息。

态势理解:包括人们如何组合、解释、存储和留存信息。

态势预测:对环境(态势情境)中的元素在不就的将来的状态做出预测,设计在通过感知和理解所获得知识的基础上进行预测的能力。

为了做出合理的决策,需要回答的问题:

(1)是否存在持续进行中的攻击活动?如何存在,攻击者在哪里?

(2)可用的攻击模型是否足以用于理解所观察到的态势情境?

(3)是否能预测攻击者的行动目标?如果可以预测,怎么才能阻止攻击者达成攻击目标?

该框架采用自动化形式来解决传统上需要安全分析人员和其他人员大量参与的问题,旨在加强传统的网空防御过程。

理想情况下,我们设想从“人在环中”(人工干预)模式的网空防御方法,演进成“人在环上”(人工指导)模式的方法,其中安全分析人员只需要负责对自动化工具生成的结果进行检查验证或清理修改,而不是要对大量日志条目和安全告警进行梳理。

2. 网空态势感知过程

理想情况下,这类工具应该能够自动回答安全分析人员可能提出的关于当前态势情境、攻击活动的影响和演化、攻击者的行为、可用信息和模型的质量以及当前态势预计的合理可能的未来走向等方面的绝大多数问题。

七大问题:

(1)当前的态势情境。是否存在持续进行中的攻击活动?如果存在,入侵行动处于什么阶段,以及攻击者在哪里?

要能够对持续进行中的入侵行动进行有效检测,并识别出可能已经被控制的资产。

一方面,网空态势感知过程的输入有IDS日志、防火墙日志和来自其他安全监测工具的数据所标识。另一方面,网空态势感知过程的输出是当前侵入活动的详细描绘。随着入侵者不断侵入系统,如果不及时采取行动或更新滞后,这种类型的感知很快就不再适用。

(2)影响。攻击活动如何对组织和工作任务产生影响?能否对损害进行评估?

对持续进行的攻击活动到目前为止所造成的影响进行准确评估的能力。要进行评估,需要掌握组织机构的资产情况,以及对每个资产价值的评估度量。基于上述信息,态势感知系统需要输出攻击所造成的损害的预估。此类态势感知也必须频繁更新,以保持有效性。

(3)演化。态势情境会如何演化?是否能跟踪到所有的攻击活动步骤?

一旦检测到持续进行中的攻击活动,就要有能力对攻击性进行监测。此时系统的输入是“当前的态势情境”,输出是对攻击活动进展过程的细致理解。

(4)行为。攻击者会有怎样的行为?攻击者的策略是什么?
为了理解攻击者的行动目标与策略,需要具备对攻击者行为建模的能力。理想情况下,系统的输出是攻击者行为的一系列形式化模型(如博弈论模型、随机模型)。攻击者的行为可能随着时间的推移而变化,因此模型需要适应不断变化的对抗环境。

(5)取证。攻击者如何达到当前的态势情境?攻击者试图达到什么目标?

为了理解攻击活动是如何发起和演化的,需要具备在攻击事件发生后分析日志记录并与观察结果进行关联的能力。网络态势感知过程的输出包括对那些使攻击活动的发生成为可能的弱点与漏洞的详细理解。这些可以帮助安全工程师和管理员对系统配置进行防护加固,防止类似安全事件再次发生

(6)预测。能否预测当前的态势情境的合理的未来走向?

需要预测攻击者可能采取下一步行动的能力。输入涉及(1)或(3),涉及(4)以及对攻击者行为的理解。输出的是未来会成为现实的可能替换场景。

(7)信息。可以依赖哪些信息源?能否对它们的质量进行评估?

需要具备对所有其他分析任务所依赖的信息源质量进行评估的能力。在这一点上,态势感知过程的目标是细致了解如何在处理信息时对所有的不同信息源进行加权衡量。

通过对每个信息源做出可靠性评估,能够使自动化工具为发现的每个结果附上置信度评分。

综上所述,对于其中一些问题做出回答的能力,可能取决于回答其他问题的能力。预测攻击者可能采取下一步行动的能力,取决于对攻击者行为建模的能力。考虑到影响过程分析涉及庞大的数据量,需要的方法应当有效果而且应当高效率。如果不能及时做出决定,那么可能更应该在合理的时间内确定一套合适的行动方案,而不是执着于寻找最佳行动方案。

态势感知过程需要生成一个知识体并对其进行维护,该知识题为防御过程的所有主要功能提供信息,并经由这些主要功能(反馈)而得到增强。态势感知由不同的机制和工具组成,同时也被这些机制和工具所使用。

3. 实例分析

攻击图不能回答:那个漏洞有最大的可能性被攻击利用?那种攻击模式对网络所提供的服务影响最大?如何缓解风险?而这些正是网空态势感知整合框架所要回答的。

通过将依赖关系图攻击图中包含的信息引入被称为攻击场景图的模型中,针对当前态势情境中的每个可能的未来结果,可以计算出持续进行中的攻击活动可能造成的未来损害的估算值。

依靠框架可以自动生成一个排序列表,其中列出供网络安全分析人员采取的最佳行动方案。

4.重要研究成果

4.1 基于拓扑的漏洞分析

为了保护关键信息基础设施,不仅必须了解系统漏洞的个体,还必须了解他们之间的相互依赖关系。虽然不能预测攻击活动的来源和发生时间,但通过了解网络中可能的攻击路径,可以降低攻击活动的影响。

基于拓扑的漏洞分析方法(Topological Vulnerability Analysis, TVA)

其核心元素是攻击图,它展现出攻击者渗透网络的所有可能方式。基于TVA方法,能够在总体的网络安全上下文环境中审视漏洞及其对应的防护措施,并通过攻击图对他们之间的相互依赖关系进行建模。

这种方法将原始的安全数据转化为路线图,从而能够积极主动针对攻击活动进行准备、管理漏洞风险并获得实时的态势感知状态。同时支持进攻性(渗透测试)和防御性(如网络加固)应用场景。

不同保护措施可能具有不同的成本或影响,管理可以根据这些变量来选择最佳选项。

同时并非所有的攻击活动都是可以预防的,及时采用了合理的保护措施,仍然存在一些残余漏洞。依靠IDS可以识别出实际的攻击实例,检测过程需要与残余漏洞联系起来,特别是基于拓扑漏洞分析所发现的通往关键网络资源路径上的漏洞。

一旦发现攻击活动,就需要综合的能力来做出响应。基于对网络中可能存在的漏洞路径的理解,可以采取措施减少攻击活动所产生的影响。基于TVA,可以用于跨平台和跨网络的网络攻击事件关联和聚合分析。

随着自动化工具的引入,将重复性较高且较耗时的任务转为自动化实现,安全人员的角色将转向更高阶的分析任务。

4.2 0Day攻击

基于攻击图能够列举出攻击者可用于渗透进入网络的潜在路径,有助于确定给的一组网络加固措施是否能为给定的关键资产提供安全保障。然而攻击图只能提供定性的结果,由此产生的加固建议只能是无效或无效。

为了解决这个局限性,基于网络安全度量的方法,通常会根据每个漏洞已知事实情况,将数字评分指派至漏洞,以表征漏洞的相对可利用性或被攻击利用的可能性。但这个方法对于0Day漏洞不适用。为此提出了一个0Day漏洞的安全度量指标,即 K-0Day安全阈值。这个度量指标基于攻击控制某一个给定网络资产所需的独特0Day漏洞数量。数值越大,标识相对越安全。但是k的确切取值同样是个棘手问题。

针对这个问题,提出了一组有效率的解决方案,将0Day分析实际应用于现实规模的网络。这种方法将按需生成的攻击图与K-0Day的评估结合在一起。首先,其实的问题是对一个给定的k值,然后需要识别出k取值的上界。最后,如果k取值足够大,则可以假设就0Day攻击而言,该系统足够安全。

由于自动化分析依赖于对0Day漏洞存在情况的假定,因此完全依赖于自动分析工具可能不是实现该能力的最佳选择,而“人在环中”的模式可能更具有优势。在这种情况下,这个解决方案可以看作是一个决策支持系统,而安全分析人员可以在整个工作流中发挥作用。

-------------------------------

对于0Day的判别防护,还是离不开高水平的安全分析人员。自动化工具只能用来剥茧抽丝,处理初始的数据,为分析人员提供辅助的数据支撑。

-------------------------------
4.3 网络加固

攻击图分析经过扩展后能够自动生成对网络进行加固的建议,包括通过改变网络配置,使网络能够抵御某些攻击,并防止攻击者达到攻击图的目标。在加固时要考虑对于网络条件组合进行加固,还可以生产关于某些成本概念的最优加固方案--- 在防止攻击成功的同事,将相关联的成最小化。但是加固数量便随着攻击图的规模增长呈现指数级的增长,实现最优网络加固的通用方案的数量也呈指数增长。

在此引入了一个形式化的成本模型来考虑强化措施的影响。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/589757.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

系统学习Python——装饰器:函数装饰器-[装饰器状态保持方案:外层作用域和非局部变量]

分类目录:《系统学习Python》总目录 我们在某些情况下可能想要共享全局状态。如果我们真的想要每个函数都有自己的计数器,要么像前面的文章那样使用类,要么使用Python3.X中的闭包函数(工厂函数)和nonlocal语句。由于这…

浪潮软件开发校招面试一面凉经

本文介绍2024届秋招中,浪潮通信信息系统有限公司的软件开发工程师岗位一面的面试基本情况、提问问题等。 10月投递了浪潮通信信息系统有限公司的软件开发工程师岗位,并不清楚所在的部门。目前完成了一面,在这里记录一下一面经历。 首先&#…

听GPT 讲Rust源代码--library/alloc

File: rust/library/alloc/benches/slice.rs 在Rust源代码中,rust/library/alloc/benches/slice.rs文件的作用是对&[T]类型(切片类型)进行性能基准测试。该文件包含了对切片类型的一系列操作的基准测试,例如切片迭代、切片排序…

【Python百宝箱】音律编织:Python语音合成库的技术交响曲

未来声音的奇妙之旅:深度学习与云端语音服务的交汇 前言 在当今数字化时代,语音合成技术在各个领域的应用日益广泛,从辅助技术到娱乐媒体,都展现出巨大的潜力。本文将带您深入了解语音合成的世界,从简单易用的库如py…

0101包冲突导致安装docker失败-docker-云原生

文章目录 1 前言2 报错3 解决结语 1 前言 最近在学习k8s,前置条件就是要安装指定版本的docker,命令如下 yum install -y docker-ce-20.10.7 docker-ce-cli-20.10.7 containerd.io-1.4.62 报错 file /usr/libexec/docker/cli-plugins/docker-buildx fr…

微信多商户商城小程序/公众号/h5/app/社区团购/外卖点餐/商家入驻/在线客服/知识付费/商品采集

多个源码二开合一!!包含:多商户商城/社区团购/外卖点餐/在线客服/知识付费/投票 。。。等等!!! 前台可自定义装修!!装修成为如下程序 1、小程序,公众号,h5,app多端合一 2、用户论坛 积分签到 3、知识付费、题库管理、课程设置 4、同城配送,配送员设置 5、餐饮…

用 print 太慢了!强烈推荐这款Python Debug工具~

作为程序员,我们都深知调试(Debug)在编程过程中的重要性。 然而,使用传统的"print"语句进行调试可能效率较低,今天,笔者将推荐一款独具一格的Python调试工具——Reloadium。 Reloadium为IDE添加…

sparkstreamnig实时处理入门

1.2 SparkStreaming实时处理入门 1.2.1 工程创建 导入maven依赖 <dependency><groupId>org.apache.spark</groupId><artifactId>spark-streaming_2.12</artifactId><version>3.1.2</version> </dependency> <dependency…

C++初阶——基础知识(内联函数)

目录 1.内联函数 内联函数的示例代码 1.内联函数 是一种 C 中的函数定义方式&#xff0c;它告诉编译器在每个调用点上插入函数体的副本&#xff0c;而不是像普通函数那样在调用时跳转到函数体所在的地址执行。这样可以减少函数调用的开销&#xff0c;提高程序的执行效率。 …

从入门到精通,30天带你学会C++【第十天:猜数游戏】

目录 Everyday English 前言 实战1——猜数游戏 综合指标 游玩方法 代码实现 最终代码 试玩时间 必胜策略 具体演示 结尾 Everyday English All good things come to those who wait. 时间不负有心人 前言 今天是2024年的第一天&#xff0c;新一年&#xff0c;新…

深入理解和运用C语言中的Break语句

各位少年 尊敬的读者们&#xff0c; 在C语言编程中&#xff0c;控制程序流程是我们编写高效代码的关键。今天&#xff0c;我们将一起探讨一种能够立即终止循环或开关语句的关键字——Break。 一、理解Break语句 Break关键字在C语言中用于立即退出当前的循环&#xff08;如f…

【网络】修改网口名字|网络设备|网口管理

目录 系统的网口(网络设备)命名规则 修改网口(网络设备)命名 永久修改 临时修改 使用传统eth0、eth1的命名方式 注意事项 系统的网口(网络设备)命名规则 ens35f0 这个名称是基于 Linux 的网络接口命名规则生成的。 在较新的 Linux 发行版中&#xff0c;网络接口的命名规…

LC106. 从中序与后序遍历序列构造二叉树

参考&#xff1a;代码随想录 class Solution {Map<Integer,Integer> map ;public TreeNode buildTree(int[] inorder, int[] postorder) {map new HashMap<>();for(int i 0 ; i < inorder.length; i ){map.put(inorder[i],i);}return findNode(inorder,0,inor…

计算机毕业设计——springboot养老院管理系统 养老院后台管理

1&#xff0c;绪论 1.1 背景调研 养老院是集医疗、护理、康复、膳食、社工等服务服务于一体的综合行养老院&#xff0c;经过我们前期的调查&#xff0c;院方大部分工作采用手工操作方式,会带来工作效率过低&#xff0c;运营成本过大的问题。 院方可用合理的较少投入取得更好…

声明式导航传参详情

1 动态路由传参 路由规则path ->/article/:aid 导航链接 <router-link to"/article/1">查看第一篇文章</router-link> 组件获取参数: this.$route.params.aid 如果想要所有的值&#xff0c;就用this. $route. params 注意&#xff1a;这两个必须匹配…

Spring Cloud Function SpEL注入漏洞(CVE-2022-22963)分析

一、概述 2022年3月24日&#xff0c;Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞&#xff08;Spring表达式语言注入&#xff09;&#xff0c;该漏洞有可能导致系统被攻击。Spring是一种流行的开源Java框架&#xff0c;该漏洞与另一个相关的远程代码执…

Dirichlet Process (徐亦达老师)狄利克雷过程

混合高斯模型的例子 混合高斯模型 混合高斯模型&#xff08;Mixture of Gaussians&#xff0c;简称GMM&#xff09;是一种概率模型&#xff0c;用于对复杂的数据分布进行建模。它是由多个高斯分布组合而成的混合模型&#xff0c;每个高斯分布&#xff08;称为组件&#xff09;…

86 滑动窗口判断是否有重复元素II

问题描述&#xff1a;给定一个整数数组和一个整数k&#xff0c;判断数组中是否存在两个不同的索引i和j&#xff0c;使得nums[i]nums[j],并且i和j的绝对值最多为k。 map求解&#xff1a;首先将第一个元素放入map中&#xff0c;因为它不可能与任何一个元素构成队列&#xff0c;然…

HJ108 求最小公倍数

题目&#xff1a; HJ108 求最小公倍数 题解&#xff1a; 辗转相除法求出最大公约数&#xff0c;然后求出最小公倍数。 public int gcd(int a, int b) {if (b 0) {return a;}return gcd(b, a%b);} 时间复杂度&#xff1a;O(N)

基于SpringBoot的职业生涯规划系统

文章目录 项目介绍主要功能截图:部分代码展示设计总结项目获取方式🍅 作者主页:超级无敌暴龙战士塔塔开 🍅 简介:Java领域优质创作者🏆、 简历模板、学习资料、面试题库【关注我,都给你】 🍅文末获取源码联系🍅 项目介绍 基于SpringBoot的职业生涯规划系统,java…