背景
随着“两化”融合的深入,网络安全威胁加速向工业领域渗透,导致网络安全问题愈发严峻。鉴于网络攻击技术的不断革新以及新型攻击工具的大量涌现,传统的网络安全技术已不能满足客户的需要。
如何准确地获取全网的安全状态以及变化趋势是网络安全防御的基础。
网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势。态势感知是对全网安全定量分析的可靠手段,它已成为网络安全2.0时代安全技术的焦点,对保障网络安全起着非常重要的作用。
模型概念
态势感知模型概念如上图所示
数据采集:通过数据采集技术,集中收集全网安全异构数据
态势理解:通过分类、归并、关联分析等手段处理采集的安全数据,分析影响网络的安全事件,得出全网的安全状况
态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的解决方案
态势预测:通过态势评估输出的数据,预测网络安全状况的发展趋势
态势感知中常用的安全分析模型
- 攻击链分析模型:
攻击链分析模型通过分析各网络安全设备收集的安全日志和流量日志,生成网络安全事件,进行正反双向推理,正向推理预警潜在威胁,反向推理还原攻击情景。攻击链挖掘程序在网络安全事件的基础之上,按照目的资产的维度将各个安全事件进行聚合,并对应到攻击链的各个阶段,从而发现当前网络中的脆弱主机。网络安全管理员通过分析攻击链的结果,可以了解整个网络当前的安全态势,并且有针对性的对脆弱资产进行加固,提升网络的安全性和抗攻击能力
2. 威胁情报关联模型:
通过云端情报与本地事件的关联分析,大幅度提高安全事件告警准确度,实现潜在安全事件预警与安全事件验证。
事件预警 (查询云端情报的恶意IP、恶意URL等,分析恶意IP的其他攻击行为,实现事件预警。)事件验证(分析引擎根据云端情报提供的知识库,如恶意IP、恶意URL等,分析安全日志,生成安全事件。将安全事件上传至云端情报进行验证,提高事件分析的准确性。)
3. 风险评估模型:
风险评估模型结合外部威胁、资产脆弱性以及资产价值进行综合评估并给出风险评分。基于不同的风险评分区间,给予相应的处置建议,比如脆弱性修补、威胁阻断。
总结:
目前市场上的安全态势感知产品,偏重于网络安全态势的某一个或几个方面的感知。如何加强数据分析的深度和广度,做到全方位、多视角的全网安全态势感知是我们需要关注的。
