基于威胁情报的网络安全态势评估方法研究.pdf
《基于威胁情报的网络安全态势评估方法研究.pdf》由会员分享,可在线阅读,更多相关《基于威胁情报的网络安全态势评估方法研究.pdf(11页珍藏版)》请在咨信网上搜索。
1、INFORMATION ANALYSIS情报分析TECHNOLOGY INTELLIGENCE ENGINEERING2023 年第 9 卷第 4 期003基于威胁情报的网络安全态势评估方法研究 李学民1顾丽旺2宫克31.山东省大数据中心济南250011;2.山东省市场监管监测中心济南250014;3.山东省网络安全与信息化技术中心济南250011摘要:目的/意义 面对复杂多变的国内外网络安全威胁态势,传统的网络安全技术已经难以发现、评估安全状况,加强威胁情报技术的应用,提升网络安全态势评估的能力已成为网络安全态势评估领域的重要环节。方法/过程 利用网络安全态势评估方法估算隐患和威胁的影响范围
2、与严重程度,发现网络安全隐患和威胁,掌握当前网络安全情报状况。将威胁情报应用到网络安全态势感知,从威胁态势、脆弱性态势和资产运行态势三个方面入手,构建网络安全态势评估指标体系。以网络安全态势评估指标为导向,构建层次化的网络安全态势评估方法。结果/结论 通过威胁情报能力的加入,网络安全检测能力得到提升,网络安全态势评估指标更加客观及准确,便于网络安全管理人员对网络安全整体管理做出更科学合理的决策。关键词:网络安全态势感知;态势评估;网络威胁情报;网络安全指标体系 中图分类号:TP393.08 G35 Research on Network Security Situation Assessmen
3、t Methods Based on Cyber Threat IntelligenceLI Xuemin1 GU Liwang2 GONG Ke31.Shandong Big Data Centre,Jinan 250011,China;2.Shandong Provincial Market Supervision and Monitoring Center,Jinan 250014,China;3.Shandong Network Security and Information Technology Centre,Jinan 250011,ChinaAbstract:Objective
4、/Significance In the face of complex and ever-changing domestic and international cybersecurity threat situations,traditional cybersecurity technologies have become difficult to detect and evaluate security conditions.Strengthening the application of threat intelligence technology and enhancing the
5、ability of cybersecurity situation assessment has become an important link in the field of cybersecurity situation assessment.Methods/Processes Using network security situation assessment 开放科学(资源服务)标识码(OSID)作者简介李学民(1979-),本科,高级工程师,主要研究方向为数字政府、新型智慧城市、网络信息安全等;顾丽旺(1976-),硕士,高级工程师,主要研究方向为政务信息系统安全防护及安全态势
6、监测、密码及区块链技术的政务应用等;宫克(1977-),通讯作者,本科,正高级工程师,主要研究方向为威胁情报、网络信息安全、数字政府建设等,E-mail:。引用格式李学民,顾丽旺,宫克.基于威胁情报的网络安全态势评估方法研究 J.情报工程,2023,9(4):3-13.doi:10.3772/j.issn.2095-915x.2023.04.001INFORMATION ANALYSIS情报分析TECHNOLOGY INTELLIGENCE ENGINEERING2023 年第 9 卷第 4 期004methods to estimate the scope and severity of t
7、he impact of hidden dangers and threats,identify network security hidden dangers and threats,and grasp the current state of network security intelligence.Applying threat intelligence to network security situation assesment,starting from three aspects:threat situation,vulnerability situation,and asse
8、t operation situation,constructs a network security situational evaluation index system.Build a hierarchical network security situation assessment method guided by network security situation assessment indicators.Results/Conclusions By incorporating threat intelligence capabilities,network security
9、detection capabilities have been improved,and network security situation assessment indicators have become more objective and accurate,making it easier for network security managers to make more scientific and reasonable decisions on the overall management of network security.Keywords:Network Securi
10、ty Situation Awareness;Situation Assessment;Cyber Threat Intelligence;Indicator System of Network Security引言随着我国网络综合治理体系建设加快推动,强化技术管网治网能力已成为重中之重。为增强自身风险防范能力,我国将网络空间安全治理上升到国家战略层面,进行一系列政策布局,开启我国网络安全大合规时代1。当前网络结构日益复杂,网络攻击技术和手段层出不穷,传统的安全威胁检测技术已不足以应对如此复杂多变的网络环境。网络安全态势感知(NSSA,Network Security Situation Aw
11、areness)能够动态地提取和分析网络系统数据,理解网络攻击意图,主动采取防御措施,已经成为网络安全技术的一个研究热点。将态势感知理论和方法应用到网络安全领域,针对能够引起网络环境变化的大量安全数据,采用相关的分析方法,对网络安全状况进行分析与理解、评估与预测、应急处置以及判断发展趋势的处理过程2。网络威胁情报(CTI,Cyber Threat Intelligence)描述了攻击行为,提供了网络攻击的上下文数据(图 1),能够指导网络攻击和和防御,为网络安全态势感知模型的发展提供了新的思路3。网络威胁情报是关于 IT、信息资产面临现有或酝酿中的威胁的证据性知识,包括可实施上下文、机制、标示
12、、含义和能够执行的建议,这些知识可以为威胁的响应、处理决策提供技术支持。图 1 威胁情报类型及价值图 2 威胁情报在网络安全态势感知的应用doi:10.3772/j.issn.2095-915x.2023.04.001基于威胁情报的网络安全态势评估方法研究 TECHNOLOGY INTELLIGENCE ENGINEERING2023 年第 9 卷第 4 期005基于威胁情报收集和分析网络系统中的代表性数据,发现攻击行为的重要信息与攻击特征,可以预判潜在的威胁,为安全事件的响应、防御策略的制定提供高效的处理决策(图 2)。本文探讨了网络安全态势感知范畴内的威胁情报,提出一组基于威胁情报的网络安
13、全态势评估指标,基于评估指标研究了一种层次化网络安全态势的评估方法。1研究现状Tim Bass 于 1999 年提出网络态势感知概念4,次年将该技术应用于多个网络入侵检测系统检测结果的数据融合分析。在态势感知方面,目前国外的态势感知模型主要有 Endsley模型、Bass 模型、JDL 模型、OODA 模型等。Endsley 模型由 M.R.Endsley 提出,包括态势要素提取、态势理解和态势预测三个部分 5,是当前最主流的网络安全态势感知模型。Bass模型是由 Tim Bass 提出,模型主要包含了数据感知层、态势评估层、知识转化层,并有独立的查询选择和反馈循环模块,可以协调各层之间的协作
14、并评估系统的整体运行情况6-8。JDL模型(Joint Directors of Laboratories)是以数据融合为核心的态势感知模型9。OODA10模型来源于信息战对抗时遵循的“观察(Observe)、调整(Orient)、决策(Decide)以及行动(Act)”循环过程(图 3)。图 3OODA 模型丁华东等11提出了基于贝叶斯方法的网络安全态势感知混合模型,并给出态势等级评定。王一琁12提出了一个基于知识图谱的网络安全态势感知模型,给出了一种基于资产的网络安全知识图谱的构建方案,并在建成网络安全知识图谱的基础上,针对网络安全态势感知领域的两个经典问题网络攻击场景发现和态势理解问题,
15、给出了解决方案。威胁情报记录了既往网络安全事件的典型特征,能够为网络安全策略决策提供有力的辅助,威胁情报共享系统已经越来越受到广泛的重视。威胁情报包含网络环境中设备、网络、系统、应用等产生的安全数据与事件,提供了过往攻击行为的上下文数据13。目前提供威胁RESEARCH ON NETWORK SECURITY SITUATION ASSESSMENTBASED ON CYBER THREAT INTELLIGENCEINFORMATION ANALYSIS情报分析TECHNOLOGY INTELLIGENCE ENGINEERING2023 年第 9 卷第 4 期006情报服务的实体主要有戴尔
16、全球威胁情报(Dell Global Threat Intelligence),其能够提供漏洞、威胁和咨询三种基于订阅的数据服务;赛门铁克构建的全球情报网络(GIN);国内的 360 公司建设了全国首个企业威胁情报中心。将威胁情报应用于网络入侵检测的研究还处于起始阶段,相关研究成果还很少。文献 14 提出的 CyTIME 框架探讨了从威胁情报共享数据中心获取和融合威胁情报的方法。文献 15 给出了一种基于深度学习方法,由威胁情报自动生成入侵检测规则的方法,能够较好地发现恶意代码攻击。2基于威胁情报的网络安全态势评估指标网络系统从业务逻辑关系上可以分为设备、网络、系统与应用三个层次。网络安全态势
17、评估需要针对三个不同层次主体安全状况进行评价和估测。评估内容包括网络系统中发生的安全事件、系统漏洞情况、系统冗余情况、系统响应情况等,归纳起来可以划分为威胁态势、自身的脆弱性态势以及网络系统的整体资产运行态势三个主要方面(图 4)。图 4网络安全态势评估层次分析2.1威胁态势威胁态势评估是指通过系统、网络、资产等发生的内部和外部安全事件评价,评估可能对网络系统产生的安全影响。内部安全事件又可称为内部攻击,包括人员对系统、应用或数据的误操作、越权使用、非法访问等。外部安全事件又称为外部攻击,是指系统、应用、网络、资产等遭受源自被评估系统以外的攻击活动。外部攻击包括针对网络或应用服务等的 DDoS
18、攻击;针对系统或应用的恶意代码攻击;针对系统或应用的入侵活动以及网络欺诈等其他攻击活动。因此在选择威胁方面指标时,主要考虑网络系统内外的网络安全事件,可以根据攻击特征和攻击前后目标资产和网络的变化对攻击进行分类,并针对每种类型的攻击提取威胁评估指标。可利用的威胁情报来自设备日志、网络告警记录、网络流量变化以及其他相关情报。评估指标应包括告警的数量、安全事件频率、网络流量变化、网络带宽变化率等,从而可以通过历史和实时的安全事件情况开展评估工作,doi:10.3772/j.issn.2095-915x.2023.04.001基于威胁情报的网络安全态势评估方法研究 TECHNOLOGY INTELL
19、IGENCE ENGINEERING2023 年第 9 卷第 4 期007使管理者掌握人为的内部和外部因素对网络安全施加的影响情况。2.2脆弱性态势脆弱性态势包括资产脆弱性和网络脆弱性。通过对网络系统中资产、网络等自身存在的漏洞或弱点的评价,可以评估网络系统自身的脆弱性态势。资产脆弱性包括设备和系统及应用软件的软件方面脆弱性和物理方面脆弱性。软件方面的脆弱性是指系统和应用软件等存在的漏洞情况,这些系统漏洞是可被恶意利用的弱点,是系统安全的潜在风险。资产脆弱性评估需要针对资产漏洞的整体情况、各危害级别漏洞的分布情况,补丁的安装情况、端口开放情况等,对资产软件方面的脆弱性进行评估。物理方面脆弱性是
20、指资产物理设施自身可靠性,例如能源保障情况、电气性能情况、平均故障率等。网络脆弱性是指网络拓扑结构上存在的缺陷,网络脆弱性评估从复杂网络理论出发,讨论网络节点、网络链路等形成的结构特性,例如节点度分布、中心性、核数、介数等,从而评估网络拓扑结构存在的弱点对网络服务性能影响等问题。脆弱性态势的威胁情报包括系统漏洞情况、系统配置、系统灾备、网络结构等。评估指标包括端口开放数量、漏洞数量、漏洞级别比率、设备灾备比率、网络灾备比率、网络结构脆弱性。2.3资产运行态势资产运行态势包括设备运行态势、系统软件运行态势、应用软件运行态势和网络运行态势,描述了网络系统整体的运转情况和持续服务的能力。设备运行态势
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 威胁 情报 网络安全 态势 评估 方法 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。