网络安全态势感知学习笔记一网络安全态势感知系统

2024-12-29 约 881 字预计阅读 2 分钟

《网络安全态势感知》学习笔记（一）——网络安全态势感知系统

**特征信息提取：**数据清晰，集成，规约，变换

**当前状态分析：**关联分析、攻击检测（根据已有的多源网络安全数据检测当前网络系统钟正在发生的攻击活动）、取证分析、事件发现

**发展趋势预测：**攻击溯源/预测

**风险评估：**定量+定性

**模型及管理：**本体模型（对关键概念、实体、语义进行统一的规范化定义和表示），预测模型（定义用于攻击检测的事件和关系的表示形式与方法），评估模型（定义模型和威胁风险度指标体系以及资产与任务度量指标体系）

**用户交互：**UI

**数据模型：**定义数据结构、操作和约束，还要定义与实体/事件的上下文语义相关的信息

数据采集：
根据数据规模划分为
采样式（对同一采样点重复采集），全样本（收集采集点所有状态数据）
根据采集维度划分为：
日志采集，协议采集，利用集成化网络采集工具的采集方式
采集的数据：
网络安全数据包括资产/漏洞/威胁维度信息
数据融合：
消除差异性，融合以进行关联分析
常见数据变换包括：平滑处理取除噪声，合计处理多粒度分析，泛化处理，规格化处理，属性构造处理

传统主要是和特征库规则库进行匹配，但是在网络安全态势感知中实现需要对人类的认知过程进行建模

包括本体、认知模型，关联分析和攻击检测

本体模型：

全面有效描述网络安全态势，将网络安全各类数据和指标要素抽象分类为实体、属性以及关联关系，建立由安全事件的上下文环境、攻击行为的特征信息

认知模型:

将人类分析师理解态势感知的过程进行自动化建模，从而实现自动化的态势理解过程

关联分析：

发现时间空间、序列上的关系

攻击检测：通过关联分析和规则匹配来实现

构建本体和认知模型后就可以通过模型进行推理了

**溯源：**还原攻击路径，确定网络攻击者的身份或位置，找出愿意

取证分析：

网络取证：通过网络设备日志，提取分析协议层次的通信行为、路径和流量

系统取证：通过计算机的系统日志，分析活动记录

业务取证：分析软件层面操作记录