一个网空态势感知整合框架
1. 引言
网空态势感知过程可以看作包含态势观察、态势理解和态势预测3个阶段。
态势观察:提供环境中相关元素的状态、属性和动态信息。
态势理解:包括人们如何组合、解释、存储和留存信息。
态势预测:对环境(态势情境)中的元素在不就的将来的状态做出预测,设计在通过感知和理解所获得知识的基础上进行预测的能力。
为了做出合理的决策,需要回答的问题:
(1)是否存在持续进行中的攻击活动?如何存在,攻击者在哪里?
(2)可用的攻击模型是否足以用于理解所观察到的态势情境?
(3)是否能预测攻击者的行动目标?如果可以预测,怎么才能阻止攻击者达成攻击目标?
该框架采用自动化形式来解决传统上需要安全分析人员和其他人员大量参与的问题,旨在加强传统的网空防御过程。
理想情况下,我们设想从“人在环中”(人工干预)模式的网空防御方法,演进成“人在环上”(人工指导)模式的方法,其中安全分析人员只需要负责对自动化工具生成的结果进行检查验证或清理修改,而不是要对大量日志条目和安全告警进行梳理。
2. 网空态势感知过程
理想情况下,这类工具应该能够自动回答安全分析人员可能提出的关于当前态势情境、攻击活动的影响和演化、攻击者的行为、可用信息和模型的质量以及当前态势预计的合理可能的未来走向等方面的绝大多数问题。
七大问题:
(1)当前的态势情境。是否存在持续进行中的攻击活动?如果存在,入侵行动处于什么阶段,以及攻击者在哪里?
要能够对持续进行中的入侵行动进行有效检测,并识别出可能已经被控制的资产。
一方面,网空态势感知过程的输入有IDS日志、防火墙日志和来自其他安全监测工具的数据所标识。另一方面,网空态势感知过程的输出是当前侵入活动的详细描绘。随着入侵者不断侵入系统,如果不及时采取行动或不更新,这种类型的感知很快就可能不再适用。
(2)影响。攻击活动如何对组织和工作任务产生影响?能否对损害进行评估?