2.2.2 网络安全态势感知层次结构
网络安全态势感知根据出发点和需求的不同会得出不同的结果,具有很大主观性和多样性,比如,对于网络管理员,主要关心网络入侵的识别和漏洞的修复;对于政府机关和军事单位来说,保密性是最重要的;对银行部门来说,完整性是至关重要的;对于通信和视频服务的行业,则最关心可用性,因此网络安全态势感知不能只用单一的数值来描述网络的安全情况,应该根据不同应用需求、不同网络规模分别处理。在此结合态势感知的过程和目标对网络安全态势感知给出详细的描述,并给出了如图2.3的概念模型。
图2.3 网络安全态势感知概念模型
根据图2.3的概念模型可知,网络安全态势感知的过程分为以下几步。
(l)数据采集:通过各种网络安全检测工具,对影响网络安全的所有要素信息进行采集,这一步是态势感知的前提。
(2)态势理解:对各种网络安全要素数据进行处理和精练,分析影响网络的安全事件,这一步是态势感知的基础。
(3)态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的解决方案,这一步是态势感知的核心。
(4)态势预测:预测网络安全状况的发展趋势,这一步是态势感知的目标。网络安全态势感知结果要做到深度和广度兼备,满足多种用户需求,态势感知从多层次、多角度、多粒度分析系统的安全性和提供应对措施,以图、表和安全报表的形式展现给用户。态势感知结果主要包括资产评估、威胁评估、脆弱性评估、安全事件评估、整体安全状态评估、安全趋势预测、加固方案和报表生成八个部分。
在态势感知理论和风险评估实践工作的基础上,依据国家相关标准规范,研究态势感知的定性与定量方法,构建态势感知技术框架和模型,并研制相应的态势感知系统。在图2.3所示的态势感知概念模型的基础上,结合数据融合和层次化分析的思想,本书给出了如图2.4所示的网络安全态势感知的系统框架。
图2.4 网络安全态势感知的系统框架
网络全态势感知技术框架的设计,以安全态势感知流程为主线,突出理解、评估、预测三个关键节点,以安全事件的识别和威胁传播网络的建立为牵引,以基于隐马尔可夫模型的态势评估技术、隐半马尔可夫模型的态势评估技术、随机博弈的态势评估技术为支撑,最终实现安全态势评估和预测的目标。态势理解部分是态势感知的基础,态势评估部分是态势感知的核心,态势预测部分是态势感知的目标。