(具备安全态势感知能力的安全管理平台.docxVIP

(具备安全态势感知能力的安全管理平台.docx

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
(具备安全态势感知能力的安全管理平台

具备安全态势感知能力的安全管理平台【摘要】安全管理平台(SOC)最大的特色之一就是收集网络中各种异构信息源的数据,进行综合分析,构建起一套业务安全视图,展示给管理员一个全网安全的总览图。通过安全管理平台(SOC)的层层抽象,原本复杂的安全数据提升为了安全事件,进而提升为业务决策信息和安全知识,这个过程的本质上就是安全态势感知。作为本系列的第四篇文章,将详细阐述SOC2.0是如何将安全态势感知理论和技术运用到安全管理实践中去的,并以网御神州SecFox安全管理系统为实例加以说明。1?安全态势感知概述1.1?态势感知溯源 如果追根溯源,态势感知(Situation Awareness)这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(Human Factor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。 一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(Blackboard System),可由下图所示的三级模型来表示:?图:态势感知核心过程示意图 它通过态势要素获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测。注意,态势感知最终达成的目标是实现对未来的短期预测,是一个动态、准实时系统。1.2?安全态势感知 在上个世纪末90年代,态势感知才被引入到信息技术安全领域,并首先用于对下一代/intrusion_detection_index/subcate391_list_1.html入侵检测系统的研究,出现了网络安全态势感知(Network Situation Awareness),或者安全态势感知(Security Situation Awareness)的概念。本文中,SA特指安全态势感知。 目前,对于安全态势感知尚无统一定义,以下给出几个描述性定义: 定义1(来自维基百科):态势感知是指一定时间和空间内环境因素的获取,理解和对未来短期的预测。 定义2:所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。2?安全态势感知模型 说到态势感知,就必须提到数据融合(Data Fusion)。数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。可以看出,数据融合的研究与态势感知在很多方面都是相似的。目前,大部分安全态势感知的模型都是基于美国的军事机构JDL给出的数据融合模型衍生出来的。如下图所示,为我们展示了一个典型的安全态势感知模型:图:一个典型的态势感知模型 在这个基于人机交互的模型中,态势感知的实现被分为了5个级别(阶段),首先是对IT资源进行要素信息采集,然后经过不同级别的处理及其不断反馈,最终通过态势可视化实现人机交互。5个处理级别分为是: 1)?数据预处理:可选的级别,对于部分不够规整的数据进行预处理,例如用户分布式处理、杂质过滤,等等。 2)?事件提取:是指要素信息采集后的事件标准化、修订,以及事件基本特征的扩展。 3)?态势评估:包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。 4)?影响评估:它将当前态势映射到未来,对参与者设想或预测行为的影响进行评估。 5)?资源管理、过程控制与优化:通过建立一定的优化指标,对整个融合过程进行实时监控与评价,实现相关资源的最优分配。 当前,态势感知领域还有一个发展方向是复杂事件处理(Complex Event Processing,简称CEP),主要应用于金融、能源等行业的商业智能分析过程。基于CEP,学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用,本文不再讨论。 应当说,到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离/产品化还有不少的距离。 但是,基于安全态势感知理论,部分技术已经可以指导现在的产品研发,并且一部分较成熟技术和模型已经实现了产品化和商业化。3?实例分析:网御神州SecFox安全管理系统的态势感知模型 网御神州是国内首家将态势感知相关技术应用于成熟产品的厂家,网神SecFox安全管理系统是国内首个具有态势感知能力的安全管理平台(SOC)。下图展示了网神SecFox安全管理系统

文档评论(0)

84537592 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档