2.1 网络安全态势感知相关概念
定义2.1 态势感知(Situation Awareness,SA)就是在一定的时间和空间条件下,对环境因素的感知、理解以及对其未来发展趋势的预测,态势感知的思想起源于战争中敌我双方攻防态势的估计。
现代态势感知技术最早出现在航天飞行的人因(Human Factors)研究。在数据融合领域中,这个术语被态势评估(Situation Assessment)所替代[1]。
1988年,Endsley把态势感知分成感知、理解和预测三个层次的信息处理[2],如图2.1所示。(l)感知(Perception):感知和获取环境中的重要线索或元素;(2)理解(Comprehension):整合感知到的数据和信息,分析其相关性;(3)预测(Projection):基于对环境信息的感知和理解,预测相关知识的未来的发展趋势。
图2.1 Endsley态势感知流程
1993年,Adam将态势感知理解为了解将要发生的事以便作好准备[3]。1995年,Endsley对态势感知的流程给出了如图2.1的直观表示[4]。2005年,Mora将态势感知描述为始终掌握周边复杂、动态环境的变化。
态势感知在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)、医疗应急调度以及通信等领域被广泛地研究。
定义2.2 网络安全威胁,指可能破化网络系统的安全环境的动作和事件。网络安全威胁包括自然的、物理的、技术的威胁。本书中特指技术上的威胁,即黑客攻击、恶意代码、内部人员的误用和滥用等恶意行为。网络安全威胁评估的对象是由这些恶意行为所造成的网络安全事件。
定义2.3 网络安全态势,指网络系统当前所处的安全状态及其走势。网络安全态势可由网络处在各个安全状态的概率分布情况和定量的风险值来反映。
定义2.4 网络安全威胁评估,对特定网络环境中安全事件的威胁程度进行定性或定量的衡量。评估结果是直观的网络威胁视图,显示了网络中发生的安全事件及每个事件对系统的威胁程度。
定义2.5 网络安全态势感知,指综合分析网络的安全要素,评估网络的安全状况,预测其变化趋势,以可视化的方式展现给用户,并给出相应的应对措施和报表。
定义2.6 网络安全态势评估,以实时的网络安全事件作为输入,评估网络安全事件对目标资产安全状态的影响,评估结果是网络系统资产(服务、主机和网络)的实时安全态势和合理的态势预测信息。
定义2.7 风险评估,BS7799给出的定义[5]是,评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。
风险评估和态势评估有一定联系,但也有区别,两者的关系比较如表2.1所示。
表2.1 网络安全风险评估与网络安全态势评估的比较
各种不同网络安全设备每天都产生大量的信息,并且不同的网络设备之间的安全事件存在一定内在的联系。比如,当一个攻击发生时,各个安全设备都会有其相应的告警信息,或者在事件爆发的频率和类型上都会有一定相关性。安全态势值提供了一个宏观报警的方法,安全态势评估则是将安全信息数据的内在联系与某些安全事件的内在特点相互结合,当具有一定事件的爆发满足一定特点,符合一定规律时,安全态势评估体现可以根据这些现象得出相应的判断,告知管理员某些安全威胁发生的概率有多大。同时,针对同一风险级别的漏洞或安全事件,对不同重要度的目标服务器所造成的影响是不同的。而且,安全态势信息源中含有大量噪音系统漏洞,由于其利用条件不满足,不会对系统安全造成影响,致使安全事件的次数或漏洞的个数不能直接代表系统的安全状况。因此,如何合理地计算大规模网络安全态势值是安全态势评估领域的一个难题。
下面对态势感知过程所要用到的一些核心概念给予定义。
定义2.8 资产,对网络信息系统有价值的信息或资源,是安全技术保护的对象,包括数据、软件、硬件、服务等。
定义2.9 保密性,资产被未信任的主体非法窃取的程度。完整性,资产被未信任的主体非法篡改的程度。可用性,资产被信任的主体合法使用而不被拒绝的程度。
定义2.10 安全漏洞,网络信息系统中可以被威胁利用的薄弱环节,是对网络造成安全损害的内因。
定义2.11 安全事件,对网络信息系统造成安全损害的直接原因,威胁利用脆弱性引起安全事件的发生。