六方云

关于态势感知安全

列表首页

2020年05月25日 17:22

image.png

   态势感知理论的主要奠基人,是1990年南加州大学工业与系统工程专业毕业的女博士Mica R.Endsley,她以人机交互中的认知工程为研究方向。美国空军为了分析空战环境信息、快速判断当前及未来形势,以作出正确反应进而提升空战能力而进行的研究。2013年6月美国空军司令部正式任命Mica R.Endsley为新一任美国空军首席科学家针对指挥控制系统的核心环节,Mica R. Endsley在1988年国际人因工程年会上提出了有关态势感知(简称SA)的一个共识概念:

“The perception of the elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.”

美国的爱因斯坦计划(正式名称国家网络空间安全保护系统,简称NCPS)始于2003年,到2013年开始第三期建设,整个过程可以认为是美国CERT及后续DHS(国土安全部)对态势感知的不断探索。

(1) 数据采集

通过对网络服务关键节点和网络检测设备的安全特征数据进行分析后发现,能不能采集到更多的数据,并从这些海量网络数据中抽取出来,是影响安全态势关键信息的基础。数据的采集处理对整个态势提取、分析和呈现有着重要的影响,如果数据采集不清或混乱,将无法实现态势提取

(2) 态势认知

态势感知以安全大数据为基础,因此在数据来源方面,态势感知应该具备主动采集有效数据的能力,避免过度依赖外部威胁情报或第三方设备的数据。它是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

(3) 态势理解

① 损害评估:对攻击或者活动在当下的影响评估,是基于事实的评估。这不但需要了解当前已知的攻击和活动,还要弄清楚这些行为对“我方”的意义,即影响了哪些资产或能力,以及这些资产或能力对我方的重要性。简单理解,损害评估就是对现实风险的理解和评估。

② 常用方法:“特征匹配”式假设推理(即所有条件都已知,且所得线索与过往经历的相似性程度较高),将资产、威胁、脆弱性做关联分析;

③ 行为分析:机器学习+人工;

④ 因果分析:溯源分析+取证分析。

(4) 态势预测

态势的预测是指根据当前状态对网络未来一段时间的发展趋势和历史信息进行预测,它是一个基本目标。由于随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程,采用传统预测模型方法已经逐渐不能满足需求,越来越多的研究正在朝智能预测方法发展,典型的如神经网络、支持向量机、遗传算法等智能预测方法。此类方法的优点是具有自学习能力,中短期预测精度较高,需要较少的人为参与。但是也存在一定的局限,如:

Ÿ 神经网络存在泛化、能力弱,易陷入局部极小值等问题;

Ÿ 支持向量机的算法性能易受惩罚参数、不敏感损失参数等关键参数的影响;

Ÿ 遗传算法的进化学习机制较为简单。

(5) 响应处置

协同响应处置是态势感知能力落地的关键,三级响应机制包括:一键阻断、端点查杀、高级人工服务。应用态势感知,不管是为了提升检测发现威胁的能力,还是直观呈现安全现状及威胁,最终都是希望能够在安全事件过程中及时止损。而这就需要通过全局性的分析,发现威胁之后联调各安全设备进行协同响应处置。