态势感知_态势感知作用 - CSDN
精华内容
参与话题
  • 对网络安全态势感知的理解和认识

    万次阅读 2018-09-10 21:36:37
    随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的...网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,是对网络安全性定量分析的一种...

    随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。

    单凭一种或几种安全技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态及其变化趋势。

    网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,是对网络安全性定量分析的一种手段,是对网络安全性的精细度量,态势感知成已经为网络安全2.0时代安全技术的焦点,对保障网络安全起着非常重要的作用。

    一、态势感知基本概念

    1.1 态势感知通用定义

    随着网络安全态势感知研究领域的不同,人们对于态势感知的定义和理解也有很大的不同,其中认同度较高的是Endsley博士所给出的动态环境中态势感知的通用定义:

    态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。

    在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解和预测,也就是说态势感知可以分成感知、理解和预测三个层次的信息处理,即:

    感知:感知和获取环境中的重要线索或元素;
    理解:整合感知到的数据和信息,分析其相关性;
    预测:基于对环境信息的感知和理解,预测相关知识的未来的发展趋势。

    1.2 网络安全态势感知概念

    目前,对网络安全态势感知并未有一个统一而全面的定义,我们可以结合态势感知通用定义来对对网络安全态势感知给出一个基本描述,即:

    网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。

    根据上述概念模型,网络安全态势感知过程可以分为一下四个过程:

    1)数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提;

    2)态势理解:对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出影响网络的整体安全状况,这一步是态势感知基础;

    3)态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心;

    4)态势预测:通过对态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的目标。

    网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表和安全报表的形式展现给用户。

    二、态势感知常用分析模型

    在网络安全态势感知的分析过程中,会应用到很多成熟的分析模型,这些模型的分析方法虽各不相同,但多数都包含了感知、理解和预测的三个要素。

    2.1 始于感知:Endsley模型

    Endsley模型中,态势感知始于感知。

    感知包含对网络环境中重要组成要素的状态、属性及动态等信息,以及将其归类整理的过程。

    理解则是对这些重要组成要素的信息的融合与解读,不仅是对单个分析对象的判断分析,还包括对多个关联对象的整合梳理。同时,理解是随着态势的变化而不断更新演变的,不断将新的信息融合进来形成新的理解。

    在了解态势要素的状态和变化的基础上,对态势中各要素即将呈现的状态和变化进行预测。

    2.2 循环对抗:OODA模型

    OODA是指观察(Oberve)、调整(Orient)、决策(Decide)以及行动(Act),它是信息战领域的一个概念。OODA是一个不断收集信息、评估决策和采取行动的过程。

    将OODA循环应用在网络安全态势感知中,攻击者与分析者都面临这样的循环过程:在观察中感知攻击与被攻击,在理解中调整并决策攻击与防御方法,预测对手下一个动作并发起行动,同时进入下一轮的观察。

    如果分析者的OODA循环比攻击者快,那么分析者有可能“进入”对方的循环中,从而占据优势。例如通过关注对方正在进行或者可能进行的事情,即分析对手的OODA环,来判断对手下一步将采取的动作,而先于对方采取行动。

    2.3 数据融合:JDL模型

    JDL(Joint Directors of Laboratories)模型是信息融合系统中的一种信息处理方式,由美国国防部成立的数据融合联合指挥实验室提出。

    JDL模型将来自不同数据源的数据和信息进行综合分析,根据它们之间的相互关系,进行目标识别、身份估计、态势评估和威胁评估,融合过程会通过不断的精炼评估结果来提高评估的准确性。

    在网络安全态势感知中,面对来自内外部大量的安全数据,通过JDL模型进行数据的融合分析,能够实现对分析目标的感知、理解与影响评估,为后续的预测提供重要的分析基础和支撑。

    2.4 假设与推理:RPD模型

    RPD(Recognition Primed Decision)模型中定义态势感知分为两个阶段:感知和评估。

    感知阶段通过特征匹配的方式,将现有态势与过去态势进行对比,选取相似度高的过去态势,找出当时采取的哪些行动方案是有效的。评估阶段分析过去相似态势有效的行动方案,推测当前态势可能的演化过程,并调整行动方案。

    以上方式若遇到匹配结果不理想的情况,则采取构造故事的方式,即根据经验探索潜在的假设,再评估每个假设与实际发生情况的相符度。在RPD模型中对感知、理解和预测三要素的主要体现为:基于假设进行相关信息的收集(感知),特征匹配和故事构造(理解),假设驱动思维模拟与推测(预测)。

    三、态势感知应用关键点

    当前,单维度的网络安全防御技术手段,已经难以应对复杂的网络环境和大量存在的安全问题,对网络安全态势感知具体模型和技术的研究,已经成为2.0时代网络安全技术的焦点,同时很多机构也已经推出了网络安全态势感知产品和解决方案。

    但是,目前市场上的的相关产品和解决方案,都相对偏重于网络安全态势的某一个或某几个方面的感知,网络安全态势感知的数据分析的深度和广度还需要进一步加强,同时网络安全态势感知与其它系统平台的联动不足,无法将态势感知与安全运营深入融合。

    为此,太极信安认为网络安全态势感知平台的建设,应着重考虑以下几个方面的内容:

    1、在数据采集方面,网络安全数据来源要尽可能的丰富,应该包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等,只有这样态势评估结果才能准确。

    2、在态势评估方面,态势感评估要对多个层次、多个角度进行评估,能够评估网络的业务安全、数据安全、基础设施安全和整体安全状况,并且应该针对不同的应用背景和不同的网络规模选择不同的评估方法。

    3、在态势感知流程方面,态势感知流程要规范,所采用的算法要简单,应该选择规范化的、易操作的评估模型和预测模型,能够做到实时准确的评估网络安全态势。

    4、在态势预测方面,态势感知要能支持对不同的评估结果预测其发展趋势,预防大规模安全事件的发生。

    5、在态势感知结果显示方面,态势感知能支持多种形式的可视化显示,支持与用户的交互,能根据不同的应用需求生成态势评测报表,并提供相应的改进措施。

    四、总结

    上述几种模型和应用关键点对网络安全态势感知来讲至关重要,将这些基本概念和关键点进行深入理解并付诸于实践,才能真正帮助决策者获得网络安全态势感知能力。

    太极信安认为,建设网络安全态势感知平台,应以“业务+数据定义安全”战略为核心驱动,基于更广、更深的数据来源分析,以用户实际需求为出发点,从综合安全、业务安全、数据安全、信息基础设施安全等多个维度为用户提供全面的安全态势感知,在认知、理解、预测的基础上,真正帮助用户实现看见业务、看懂威胁、看透风险、辅助决策

    展开全文
  • 什么是态势感知

    万次阅读 2017-11-25 11:44:04
    这一章可以比你预想的一本讲系统设计的书更加理论化,为了更好地了解我们所要达到的目标,透彻的了解态势感知在意识中的生成过程是必要的。本章将为您提供一个坚实的基础,从中我们可以开发设计系统的原则,将支持和...

    640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

    Endsley

    既然我们懂得了什么是以用户为中心的设计,我们就要更深入的了解态势感知(SA)这个词的含义。这一章可以比你预想的一本讲系统设计的书更加理论化,为了更好地了解我们所要达到的目标,透彻的了解态势感知在意识中的生成过程是必要的。本章将为您提供一个坚实的基础,从中我们可以开发设计系统的原则,将支持和提高。 

    2.1 SA定义

    基本上,态势感知是感知你周围发生了什么事情,了解对应的信息对你现在和将来的意义是什么。这种感知以对特定工作或者目标这重要性为标的而组织起来。SA的概念通常应用于人工操作的情境,人们因特定原由必须有情境意识,例如为了开车,为病人治疗,空中交通控制中心进行交通分流。因此,SA通常根据一个特定的工作或功能的目标来定义。

    只有那些与手头的任务有关的情境片段是很重要的。当医生需要知道所有病人的症状来诊断疾病或疾病,但医生通常不需要知道病人的历史的每一个细节。同样,飞机的飞行员必须意识到其他飞机,天气,和附近的地理环境变化,但飞行员不需要知道副驾驶的午餐吃什么。

    SA的正式定义是“一定时间和空间环境中的元素的感,对它们的含义的理解,并对他们稍后状态的投影(恩兹利,1988)。态势感知这个词来自于军队飞行员的领域,在这个领域中实现高水平的态势感知是至关重要的同时也富有挑战。态势感知在许多其他领域也很重要,虽然命名可能不同。例如,在空中交通管制者的世界里,他们一般指的是一种想象,一种情境在意识中的表现形式,也是他们做出决策的基础。

    根据这一定义对不同的领域的SA的会差别很大,SA作为决策和执行的基础的重要性适用于几乎每个活动领域。SA被广泛领域所研究,如教育,驾驶,列车调度,维修,发电厂业务,以及天气预报,加上航空和军事行动。使用SA作为决策和性能的关键驱动因素也超出了这些领域的非工作相关的活动,包括娱乐和体育专业队,自我保护,甚至表演。态势感知是现实世界的变化的知识,是有效的决策和行动的关键。

    对SA的正式定义分解为三个独立的层次:

    l  Level 1 - 对环境中的元素的感知

    l  Level 2 - 对当前形势的理解

    l  Level 3 - 未来状况的投影

    我们将讨论每一级SA以及内部和外部因素的影响(如图2.1所示)来获得对态势感知是什么和怎样有效的设计系统来帮助人们提升保持态势感知能力(即使是在非常有挑战性的情况下)这两个问题的完整理解。 

    2.1.1 一级:环境中元素的感知 

    实现SA的第一步是感知环境中的相关元素的状态,属性和动态。对于每个域和作业类型,所需的要求是完全不同的。飞行员需要感知的要素,如其他飞机,地形,系统状态和警告灯,以及他们的相关特性。在驾驶舱里,持续监控所有相关的系统和飞行数据,其他飞机,和导航数据的任务相当繁重。一个军官需要探测敌人,平民和友军的位置和行动,地形特征,障碍和天气。一个空中交通管制或汽车司机有一套不同的态势感知。

    信息的感知可以通过视觉,听觉,触觉,味觉,嗅觉,或一种组合。例如,一个葡萄酒制造商可能会在发酵过程中通过味道和气味和通过视觉检查收集关键的信息的状态。医生使用所有的感官和可以得到的信息,以评估病人的健康状况。这些线索十分的敏感微妙。一个训练有素的医生可以听到心跳的节奏细微的差别和可以在心电图上观察到显著的模式,而未受过训练的观察者做不到这一点。一个有经验的飞行员只是听到发动机的音调或看到在空气场上的灯光模式可以知道有些东西出了错误。在许多复杂的系统中,电子显示器上会有着重的提示和读取提供的,但现实是,1级SA的大部分也来自个人对环境的直接观察——看窗外或感觉的振动。 与他人的语言和非语言交流形成一个额外的信息来源,对1级SA有帮助。

    0?wx_fmt=jpeg

    0?wx_fmt=jpeg

    2.2 Level 1 SA - 需要信息的感知

     这些信息的每一个都与不同级别的可靠性联系在一起。信息的可信程度(基于传感器、组织或个人提供),以及该信息本身,组成了大多数领域1级SA的一个关键部分。

    在许多领域,检测到所有所需的1级数据,可以是相当具有挑战性的。在军事行动中评估情境的所有需要的方面往往是困难的,由于模糊的视觉,噪音,烟雾,混乱,和情境的迅速变化。陆军军官必须设法确定当前的事态,而敌人的部队正在积极努力隐瞒该信息或提供虚假信息。在航空领域,跑道标志可能会很差,相关的信息可能不会被传递给飞行员。在非常复杂的系统,如发电厂或先进的飞机,有大量的竞争信息通过,使感知所需的信息相当具有挑战性。在几乎所有的这些领域中,大量的数据不断地争夺着这个人的注意力(图2.2)。

    在航空领域的大多数问题发生在1级SA。琼斯和恩兹利(1996)发现,在飞行员76%的失误与没有感知到所需的信息有关。在某些情况下(大约五分之二)发生这种情况,因为所需的信息不提供给需要它的人,或由于系统的限制或缺点没有清晰地呈现出来。例如,跑道线已变得褪色和遮蔽,一个标尺是多云的,或静态遮蔽了无线电传输。在某些情况下(约1/5),他们确实检测到了所需要的信息,但后来在看了其他新信息之后把这些信息忘了。在其他情况下(约三分之一),所有的信息都呈现出来,但没有关键信息被遗漏了。这可能已经发生的时候,他们被外界因素干扰(例如,一个电话或与工作无关的话题),但更常出现的是,他们处理的其他信息与他们正在进行的任务的信息产生竞争。在某些情况下,他们可能没有打开所需信息的窗口,或者他们正字查看其他显示器上显示的信息。设计的SA意味着所需的由系统获取的信息通过一种容易被系统用户接收的方式呈现出来,这些用户可能同时接收着许多相互竞争的信息,被分散了注意力。

     

    2.1.2二级SA:现状的理解

     

    实现良好SA的第二步是理解数据和线索对目标和目的意味着什么。 理解(第2级SA)基于不相交的1级元素的综合,以及该信息与个人目标的对照(图2.3)。 它涉及集成许多数据以形成信息,并且优先考虑组合信息与实现当前目标相关的重要性和意义。 2级SA类似于具有高水平的阅读理解,而不是仅仅阅读单词。

    0?wx_fmt=jpeg

    2.3 Level 2 SA - 对信息的理解

    想象一下司机到达十字路口的场景。驾驶员看到一个黄色的灯,所以她明白她需要谨慎,基于距离十字路口的距离。她对她前面的汽车的减速速率的感觉让她确定它是停止还是前进通过交叉口及其这个决定对该汽车的接近速率的影响。驾驶员对情况如何影响她的目标的理解定义了到达2级SA的条件。

    当看到指示灯提示起飞期间出现问题时,飞行员必须快速确定问题的严重性,并且将其与关于跑道剩余量的数据结合,以便知道其是否是中止的情况。新手飞行员能够实现与更有经验的飞行员相同的1级SA,但是可能远不能将各种数据元素与相关目标一起集成,得到对情境同样优良的理解。

    军事指挥官的2级SA可能涉及理解在给定地点的行动报告,这意味着敌军正在附近集结。 或者它可能意味着看到沿着道路的车辆轨道,并从那里确定什么类型的部队和单位在军官自己的部队之前。

    通过理解数据块的重要性,具有2级SA的个体将特定目标相关的含义和意义与手头的信息相关联。 目标的重要性以及它们如何影响SA将在本章后面更详细地讨论。

    大约19%的航空公司的SA误差涉及2级SA的问题(Jones&Endsley,1996)。 在这些情况下,人们能够看到或听到必要的数据(第1级SA),但不能正确地了解该信息的含义。 例如,飞行员可能已经实现了他的飞机的高度在10000英尺,但没有意识到到下面的地形的清除不足,或者他偏离了空中交通管制指定的水平。 从所感知的许多数据中建立对现状的理解实际上是相当苛刻的,并且需要良好的知识基础或心理模型以便组合和解释不同的数据片段。新手,或者处于新形势的人,可能没有这些知识基础来利用,因此在开发2级SA时将处于明显的劣势。我们将在本章中更多地讨论心理模型的作用。

     2.1.2三级SA:对未来状态的映射

    一旦人们知道这些元素是什么以及它们对于当前目标意味着什么,预测这些元素在(至少在短期内)将做什么的能力构成了3级SA。一个人只能通过了解情况(2级SA)以及他们正在使用的系统的功能和动态,达到3级SA(图2.4)。


    0?wx_fmt=jpeg


    2.4 Level 3 SA - 对未来状态的映射

        使用3级SA,驾驶员知道如果她进入交叉路口,他很可能被在过马路上的汽车撞击。 这个投影让她主动作出决定。陆军指挥官可以映射到敌方部队接近的方向和他们自己的行动的可能影响,基于他们已经生成的2级SA。飞行员和空中交通管制员积极工作,预测其他飞机的运动并提前预见问题。

    使用当前情境理解来形成预测需要对领域(高度发展的心理模型)有非常好的理解,并且在心理上可能是相当苛刻的。许多领域的专家花费大量时间来形成3级SA,利用空余时间来生成这些预测。通过不断地前向映射,他们能够制定一套现成的战略和对事件的反应。这让他们掌握主动,避免许多不期望的情况,并且当各种事件发生时也非常快速地响应。

    未能从第2级SA准确地投影(形成第3级SA)可能是由于精神资源不足(例如,如果人员超负荷其他信息处理),或者由于域的知识不足。通常,这也是由于过度预测当前趋势,例如,假设飞机将继续以其当前速率下降,而不是使其下降速率。在航空领域只有6%的SA误差在误差检验中被发现属于这一类别(Jones&Endsley,1996)。原因可能是由于在获得这个领域中获得的1级和2级SA方面存在着显着困难,而非在获得良好的3级SA过程中存在问题。没有足够的专业知识或设计精良的信息系统和用户界面,人们可能在SA的早期阶段失败,从未进展到3级。

    2.2 SA中的时间部分

    时间的感知和各种元素的时间动态变化在SA中起着重要作用。 我们已经发现时间在许多领域的SA中起重要作用(Endsley,1993b; Endsley,Farley,Jones,Midkiff,&Hansman,1998; Endsley&Kiris,1994c; Endsley&Robertson,1996a; Endsley& Rodgers,1994)。往往SA的关键的部分是理解有多少时间可用,直到某些事件发生或必须采取一些行动。

      许多领域的操作人员不仅根据空间(某个元素有多远)来过滤他们感兴趣的世界(或情况)部分,而且还会过滤还有多长时间该元素对他们的目标和任务会产生一定影响。时间是2级SA(理解)和3级SA(未来事件的预测)的强大部分。

    真实世界情况的动态方面是SA的另一个重要的时间方面。 对信息变化速率的理解让预测未来情况成为可能(Endsley,1988; 1995c)。 由于情况总是在变化,人的情况意识也必须不断变化,否则就会变得过时,因而不准确。 在高度动态的环境中,这迫使人类操作者要应用许多认知策略来维持情境意识。

    2.3过程产生的情境意识

    人们具有许多不同的认知机制,其中SA被建立在他们的工作记忆中。 虽然在任何给定领域中对于SA重要的事情是非常不同的,但是基本认知过程在各个领域是相当一致的,因为它们是所有人拥有的心理能力。情境意识是这些过程的产物(图2.5)。 


    0?wx_fmt=jpeg

    图 2.5 SA中涉及的机制和过程(来自Endsley,2000b) 

    个人的SA将反过来影响什么信息被搜索和参与,结果影响过程,形成一个循环。通过对人们如何形成SA以及对该过程的挑战和限制有良好的了解,设计以提高SA的策略将更加明确。我们将更详细地研究对于开发SA重要的每个过程和机制(Endsley,1995c)。

    2.4观察和注意

    对象及其特征最初通过感觉存储同时进行处理。然而,人们不能一次处理所有信息。一个人同时感知多个项目的能力受到他们的注意力的限制,这是有限的。 这反过来,大大限制了个人可以实现的SA的量。例如,当沿着道路行驶时,驾驶员可能监控前面的交通,收音机上的音乐,以及可能是道路的颠簸。然而,计量,对话和交通可能不是全部被同时感知,因此不能经常被照顾到。驾驶员必须定期扫描这些信息。由于它们的重要性或变化率,需要频繁分配注意力的那些元素通常被最频繁地监视。例如,速度计将比汽车中的燃料计更频繁地被监控。

    虽然一些信息可以更容易同时处理(例如,音频和视觉信息),但是难以同时处理其他类型的信息。如果信息通过相同的形式(视觉,听觉,触觉或嗅觉),利用相同的资源(例如,中央处理)或者获得相同的响应机制(例如,说话或写作)(Wickens,1992)。一个人可以一次关注多少元素的限制影响一个人可以处理多少信息,形成SA的中心瓶颈。

    2.5工作记忆

    工作记忆和长期记忆在帮助实现SA方面发挥重要作用。 个人可以临时将信息存储在其工作记忆中。只有有限数量的无关信息可以在工作记忆中保存和操作(7加或减2'块),并且人必须努力地保持信息的记忆否则它将衰减。

    感知得到的新信息与工作记忆中的现有知识相结合,以创建对变化的情况的新的或更新的心理图像。这些信息也被处理并用于创建未来可能发生的事件地的映射。这些预测,反过来,帮助一个人最后决定采取什么行动。所有这一切都必须发生在工作记忆中。 处理信息以实现高水平的SA和决定未来动作的组合会占用大量的工作记忆。工作记忆非常有限,形成了SA的第二个主要瓶颈(Fracker,1987)。

    2.6心理模型,纲要和脚本

    幸运的是,工作记忆不是个人拥有的记忆的唯一形式。长期记忆实际上让个人能够解决工作记忆对SA的限制。 被称为模式和心理模型的长期记忆结构在改善人的SA方面发挥重要作用(图2.6)。心理模型由Rouse和Morris(1985)定义为“人类能够产生系统目的和描述的系统功能的描述,系统功能的解释和系统状态,以及对文件状态的预测”。心理模型是人们用来模拟特定系统行为的复杂结构,无论系统是与空中交通管制,医疗程序和手术,还是高速公路驾驶有关。

    心理模型是对事物如何工作的系统理解。 例如,人们可以开发设备的心理模型,其包括对信息位于何处的理解,对于某些期望的动作需要按压按钮的顺序以及基于用户输入的预期的系统行为。这些心理模型不仅可以被形成为用于例如发动机或发电厂的物理对象,而且可以用于组织体系。驾驶员序生成了一个心理模型,预测交通运行和其他车辆的行为;他们将仅在道路的一侧行驶,并且将面临在交叉口处迎面而来的交通问题。 飞行员,空中交通管制员,足球运动员和大学生类似地形成了他们的系统如何工作的心理模型,不仅包括正式规则,而且包括对他人的预期行为的非常详细的考虑。

    0?wx_fmt=jpeg

    2.6纲要,心理模型和态势感知(fromJones&Endsley,2000b.再版许可Human Factors,Vol 42,No.3,2000. 

    心理模型基于语义知识和系统知识。 语义知识通常包括知道是什么,而不是怎么样。它可以包括,例如,知道所有州的首府的名字或各种树种的名称。系统知识,对于心理模型至关重要。它不仅形成于语义知识,而且还通过理解这些系统的功能而形成。

    例如,医生对人体如何工作有着良好的了解,使他们能够理解特定的心肺复苏(CPR)操作如何影响肺和心脏,以及基于身体中的各种异常会发生什么。他们可以准确地投射他们从未见过的事物,基于对身体心肺功能建立的心理模型。

    心理模型帮助人确定哪些信息值得重点关注(例如,如果温度变化,他们应该看看压力发生了什么),并帮助形成期望(如果温度下降并且压力恒定,则体积也应该 下降)。心理模型还能够实现更高水平的SA(理解和预测),而不会损害工作记忆的能力。没有心理模型,一个人很难理解发生了什么(为什么嘴唇变蓝,即使CPR正在被管理),或未来可能发生什么(CPR管理给伤口的人, 主动脉将导致额外的失血)。心理模型是Level 2和3 SA的关键推动因素。

    虽然没有良好心理模型的人有可能在精神层面上理解和预测,但是它可能是非常困难的也非常耗费精神,经常超过在动态的动态情况下可能的。例如,对于缺少经验的人员,空中交通管制显示器可能是相当令人生畏的。即便是了解两架飞机如何在空域内相互作用也需要花费相当多的时间。然而,有经验的空中交通管制员,具备有关所涉及的特定飞机的特性和能力的详细知识,以及关于不同类型的交通在特定空域扇区内如何流动的详细知识,分类和分辨20或30架飞机是同样的容易。总而言之,在良好的心理模型不存在的情况下处理新的线索耗费有限的工作记忆,并使得实现SA更难,更容易出错。

    心理模型还提供默认信息(元素的预期特征),即使在需要的数据丢失或不完整时,帮助形成更高级别的SA。因此,有经验的士兵可以通过知道车队中的车辆类型合理地填充特定车队正在行驶的速度。默认信息可以为人们在许多情况下形成SA提供重要的应对机制,在这些情况下,他们没有足够的信息或者不能获取他们需要的所有信息。

    模式或模式(复数模式)是心理模型的原型状态,进一步提供处理效率的。 医生有一个模式的心脏病患者的症状和身体特征。将存在一个不同的模式,定义人与流感或脑炎的外观。这些模式或原型模式保留在存储器中。 人们使用一种称为模式匹配的过程将从当前情况获取的提示链接到模式,以从可用的选择最佳匹配。

    模式允许人们非常快速地分类和理解感知的信息(即,“我已经看到这种情况!”)。模式功能类似于快捷方式。人们不必每次都行使心理模型,来基于情况信息来理解和预测。模式基本上提供了理解和投影作为单个步骤,已经预先加载在内存中的知名和公认的情境类。因此,他们是非常重要的机制,个人可以使用来获得高水平的SA非常迅速,即使面对大量的数据。

    模式是通过直接经验形成的,或者可以基于对阅读或听说相似案例以替代形成。 医生和飞行员通常传递战争故事或案例史来帮助建立这种类型的知识存储。 为了模式要有效,个人必须善于在情境线索和内存中的模式之间的模式匹配(并且一些人看起来比其他人更好)。

    心理模型和模式的一个显着优点是,现在的情况不需要完全像以前一样,以便识别它,因为人们可以使用分类映射(在情况的特征和已知类别的特征之间的最佳拟合,原型模式)。这种能力就是为什么人们可以从他们的经验推广到新的。例如,一个军中指挥员可能带领他的部队进行模拟战斗,而在机动,练习战术和战斗计划在乔治亚州南部的树林。但是当他把他的士兵带到另一个国家的真正战场时,现实往往不同于实践。因此,他将使用模式匹配来找到现有条件和记忆中的情境的学习类之间的最佳匹配,即使它们不完全相同,以帮助发展理解和预测。在这个匹配关键参数足够接近的程度上,理解和投影将是好的。如果不是,那么理解和预测可能会失败。

    作为静态感知的最终帮助,人们还可以提炼与每个模式相关联的脚本。脚本是一序列的动作,当每种模式发生的情况下该做什么。这些脚本可能是通过经验提炼的,或者可能在域内被规定。例如,医生有一个非常完善的剧本,为患有特定疾病的人做什么。一个飞行员有一套完善的程序,可以用于不同类型的情况。军事指挥官遵循原则。虽然做什么可能是明确的,个人必须仍然使用心理模型和模式足够好地了解情况,以知道什么时候应用特定的过程或脚本。当这些脚本存在时,工作记忆上的负载决定了对于特定情况的最佳行动方案甚至进一步减少。

    在另一示例中可以说明这些各种机制的作用。汽车机械师监控汽车,并在运行时进行各种观察或测试。他使用他对汽车(基于年,制造,模型等)应该听起来,感觉和运行起来的表现的心理模型,解释、指导他应该检查什么。当他听到什么东西有问题(也许是一个呜咽,或叮当响声),最匹配该提示的模式就被激活(链接到心理模型)。这种模式为情况提供了一种分类,使他能够正确地理解为什么汽车正在制造特定的噪声,它的起源,以及它对车辆的正常功能和安全性(2级静态感知)的影响,以及汽车继续被驱动下去可能会发生些什么(等级3静态感知)。他还从与该模式相关联的内存中调用一个脚本,告诉他该类型的问题需要修复。由于心理模型的存在,整个过程可以在几秒钟内发生。没有它,一个人可能需要几个小时或几天来弄清楚车辆的状态。

    考虑到心理模型,模式和脚本是随着时间的推移而开发的,具有特定领域的经验,较少经验的个体将需要花费更多的精力处理时间来分析发生静态感知的情况,并且可能使工作记忆超载,导致显着的静态感知间隙。为新手操作员(无论是飞行员,铁路工程师还是外科医生)需要设计以给予他们比这些经验丰富的操作者更多的帮助。为有经验的操作者设计需要通过增强模式匹配过程来促进这些机制的巨大效用。

    总而言之,心理模型模式和脚本构成了态势感知的非常重要的机制,为那些有经验的人提供了一个显着的优势。当人们具有针对特定系统(或者领域)的完备心理模型时,心理模型提供三件事:

    l  动态地把注意力导向关键环境线索的方向,

    l  基于模型的投影机制对环境的未来状态的预期,以及

    l  在已识别的情境分类和典型行动之间建立直接的单步联系,从而能够做出快速的决策。

    2.7目标和态势感知

    个人知道在他们的任务或工作中想要完成什么,即,任务的具体目标。在所谓的自上而下的信息处理(Casson,1983)中,这些目标有助于确定在人们执行任务时要注意哪些环境因素。例如,医生从患者寻求关于患者正经历的症状的信息,并对患者的身体特征进行详细检查。通过积极收集信息,医生可以努力实现减轻身体问题的目标。驾驶员寻求与到达特定目的地的目标相关的道路状况和交通问题的信息。这些是目标驱动(或自上而下)过程的示例,也是信息处理的常见形式。在与个人目标相关的环境中搜索特定信息。

    相反,数据驱动(或自下而上)处理是当信息“抓住”人的注意力,完全独立于他们的目标。数据驱动处理是当输入信息基于其固有感知特性的优先级进行处理时发生的。例如,在计算机屏幕上闪烁的图标将抓住一个人的注意力,即使他们可能试图读取其他信息。大声噪声(例如,警报)和某些颜色(例如,红色)将类似地趋向于吸引注意。这些线索,如果指示重要的东西,可能会导致人们重新排列他们的目标。例如,如果一个驾驶员看到一个意外即将发生,他的目标将从导航变为避免意外。飞行员可以中止着陆的目标,以避让出现在飞行路径上的另一飞机。

    目标驱动的处理是当一个人的情境意识由当前目标和期望驱动时,这些目标和期望影响注意的引导方式,如何感知信息以及如何解释。人的目标和计划决定了周围环境的哪些方面被注意到。然后感知的信息被混合然后根据这些目标进行解释以形成2级情境意识。例如,飞行员将关注着陆仪表,窗外视野以及飞机着陆时空中交通管制的指示。所感知的信息(例如,180节的空速)将对当前目标(例如,保持空速在170和190节之间)有意义。飞行员不会专注于起飞信息或维护要求,保持注意,因此态势感知致力于安全着陆飞机的目标。不同的目标(例如,复飞)将导致对相同数据的完全不同的理解。

    然而,如果飞行员保持锁定到给定目标,并且不响应那些指示新目标更重要的提示(例如,机场故障或飞机在跑道上侵入),则可能发生显着态势感知故障。人们必须能够在数据驱动和目标驱动的处理之间快速切换,以便在其工作中有良好的表现。飞行员必须能够降落飞机,但如果由于另一架飞机在该空域内的入侵而使路径处于危险之中,飞行员将需要将降落的目标改变为避免碰撞的目标。因此,飞行员将在目标驱动的处理(试图着陆飞机)到改变目标(中止着陆以避免碰撞)的数据驱动处理与新目标相关联的目标引导处理之间切换。

    因为活跃的目标对静态感知有影响,所以有效地实现这些多重的,经常竞争的目标对于静态感知是非常重要的。每个工作环境包含多个目标,这些目标在一段时间内优先级会发生改变,并且可以处于直接竞争(例如,生产与安全)。通常,一个人一次只工作在这些目标的某个选定子集。如图2.7所示,态势感知将帮助确定哪个目标应该是活跃的(具有最高优先级)。选择为活动或主要的目标确定几个关键功能。

    0?wx_fmt=jpeg

     

    图2.7态势感知中的目标和心理模型(Endsley,2000b) 

    首先,活跃的目标指导人选择哪些心理模型。例如,陆军指挥官的目标可能是伏击供应车队,所以他将选择埋伏心理模型。女商人可能有一个目标是增加一个部门下一年的收入,所以她将激活她关于该部门营销计划的心理模型。因为心理模型在引导对环境中的线索和信息的注意以及解释这些线索中起着重要的作用,所以这种选择是关键的。

    第二,选择优先目标是成功实现态势感知的关键。如果人们关注错误的目标,他们可能不会接受正确的信息,或者可能根本不寻求所需的信息。在许多情况下,他们实际上可能正在努力实现一个不那么重要的目标,而全程都在认为他们正在实现目前的任务。例如,一个正在忙着向要求的许可的飞行员提供帮助的空中交通管制员可能错过他分离两条航线的目标的工作提示。执行错误的目标时,他忽略了监视其他飞机的显示器的事情。如果没有正确的目标,重要的信息可能不被感知或正确理解。例如,如果医生正在努力测试患者是不是有特定的疾病,则她可能错过与其他目标相关联的信息(例如确保患者具有家庭护理)。

    第三,所选择的目标和相关的心理模型将用于解释和整合感知的信息,以便理解信息是什么意思。具体目标有助于确定信息是否重要。如果飞行员认识到高度为10 000英尺,必须根据飞机在11 000英尺的目标来解释这一信息,以符合空中交通管制员的指示或清除所有地形的目标。该目标为理解所感知的信息的重要性或重要性提供了基础。

    在自下而上的数据驱动和自上而下的目标导向的信息处理之间交替是支持静态感知的重要机制之一。如果这个过程失败,静态感知可能被严重损坏。仅锁定到目标驱动的处理可能导致显着的静态感知故障。如果该人不处理进行适当目标选择所需的信息,他或她通常不会注意到其他所需的信息(即,异常收窄)。相反,仅依靠数据驱动处理是非常低效的,并且过度征税。个人将充斥着许多竞争的数据位。为了获得成功,人们必须接受关键的线索,这将允许他们有效地优先竞争目标和信息(自下而上的处理),同时使用目标驱动的处理来引导注意力和处理最重要的信息(自上而下处理)。这两种处理模式之间的这种持续的相互作用对于静态感知至关重要。

    通过了解一个人(无论是飞行员,驾驶员,医生还是发电厂操作人员)选择和使用目标,设计人员可以更好地了解在特定情况下被感知的信息对人们有何意义。没有理解目标对于静态感知的影响,通过系统呈现给人的信息没有意义。

    2.8期望

    像目标一样,人对给定情况的预定期望可以改变静态感知形成的方式。人们常常知道在给定情况下他们期望看到,听到或品尝什么。期望基于心理模型,先前经验,指令和来自其他来源的沟通。例如,飞行员经常得到详细的飞行前简报,以便他们用来预测他们将遇到的飞行情境。在制造工厂中,提单形成了对将被检查的特定货物内容的期望。

    期望指导注意力的引导方式,以及人如何吸收所感知的信息。例如,如果司机预想到高速公路在道路的一侧,他们会寻找它在那里。这是高效的,因为他们不必到处寻找所需的信息。期望作为信息感知的心理处理的快捷方式也提供了重要的功能。人们已经开发了这种效率机制,使他们能够处理世界上大量的数据。没有这个快捷方式,工作记忆将超负荷以获取和解释来自我们周围的世界的信息。因为人们可以通过使用期望来帮助解释世界的过程,他们有更多的精神资源留给其他更有挑战性的认知过程。

    然而,期望是一把双刃剑。当错误时,错误的期望也可能导致对数据的误解。如果另一条道路位于预期的匝道附近的位置,人们可能错过这条道路,并且错误地相信他们正在驶入匝道。在很多情况下,如果他们他们的处境与他们的期望相异,或者其他对象可以适应这些期望,重要提示将被错过。

    例如,在显示室外场景图片的某些显示器中,目标的预期位置在计算机屏幕上(通过圆圈或指针)被自动地提示。搜索这些目标的人,与显示器没有提示目标线索的情况相比,更有可能误认为这些线索位置中的其他项目作为目标,当真正的目标实际上在其他地方(Yeh&Wickens,2001)。飞行员错误地将地标与他们的期望匹配致使严重偏离航道,有时会导致悲剧性的结果(Endsley,1995b)。因此,对于态势感知,期望是一把双刃剑。当期望正确的时候他帮助人们更快地理解事情的关键,但是当他错了的时候,可能会导致人们误入歧途。

    2.9自动性和态势感知

    经验对态势感知有显着的贡献,通过让人们形成对于大多数域中的态势感知至关重要的心理模型,模式和目标导向的处理。然而,经验也可以导致心理处理中的一定程度的自动性,人的行为和反应变得有些自动性。模式识别/动作选择序列(刺激/反应配对)可以变得自动化(图2.8)。这可以对态势感知产生积极的影响,因为它解放了心力以应对更艰巨的任务。例如,骑自行车的人通常不知道他的脚在他车中的哪里,而是可以将精力集中在她的目的地。

    我们在提到自动性的时候常想到物理任务。心理任务和身体任务的自动性也是可能的(Logan,1988)。在这种情况下,输入线索(例如,红色交通灯)以紧密耦合的顺序直接连接到动作(例如,按压制动器)。自动性可以在许多任务中观察到,从驾驶汽车到驾驶飞机。自动性有利于态势感知,因为它需要非常少的心理资源来处理信息,释放剩下的精神资源用于其他任务。这对于物理任务的自动化(例如转向汽车或在自行车上平衡)尤其如此。


    0?wx_fmt=jpeg

    图2.8在控制过程中的自动性(来自Endsiey,2000b)

     

    然而,当涉及精神任务的自动性时,它也可能是情境感知的重要问题。在这些情况下,可能不会考虑到常规序列的范围之外的信息,因此如果该信息很重要,那么态势感知就会受损。例如,当一个新的停车标志竖立在一个旅途良好的路线上时,许多驾驶者将开车经过它,甚至没有注意到这个新的明显的信息。检查单在航空领域被强调,以助防止自动性的种种缺点可能招致的错误。

    2.10概要

    总结这个模型(图2.1),态势感知在很大程度上受到人类工作记忆和复杂和动态系统中的注意力的限制。人们可以使用几种机制来帮助克服这些限制,包括使用目标和目标导向的处理,自动性,心理模型,以及与已知情况和期望的模式匹配。这些机制的生成来自特定领域的经验和培训。在一个领域良好的情境感知,因而,很少直接转化为另一个领域的良好的情境意识。这些强大的机制使得高水平的静态感知在非常苛刻的情况下的形成成为可能,然而,它们也带来一些成本 - 在某些情况下内在的发生错误的倾向。

    即使给定相同的信息和情况,情境意识也可能因人而异。例如(Endsley&Bolstad,1994),在飞行员之间已经记录到了差不多十倍的情境意识的差异。相反,任何人可以实现高水平的态势感知的程度,受环境和他们操作的系统的设计的极大影响。这两种类型,对确定在给定情况下能形成多好的情境感知的的影响将是显著的。接下来,我们将描述在个人和环境中的一些关键挑战,它们在许多不同的领域和情况中共同作用,损坏情境感知。


    展开全文
  • 安全态势感知系统

    2020-07-19 23:33:45
    在网络安全监控和管理越来越高要求北京 下,新型态势感知系统和大数据北京下的态势感知应用。来自万方
  • 绿盟科技安全态势感知解决方案

    千次阅读 2019-05-23 00:44:18
    信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建...

    信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。

    这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最新攻击的特征的,如抗拒绝服务系统,高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障,从多个不同的角度满足了企业的安全防护需求。

    但是,攻击者与安全运维人员的对抗是永无止境的,有了一种防护技术,就会出现针对性的攻击技术。越来越多的攻击者会在发起攻击前,会测试是否可以绕过目标网络的安全检测,因此会使用新型的攻击手段,零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击,这些新的攻击方式,即是所谓的新一代威胁。由于它们是传统安全机制无法有效检测和防御的,因此往往会造成更大的破坏,成为当前各方关注的焦点。

    然而,无论是传统的安全攻击,如DDoS、溢出攻击、僵木蠕等,亦或是先进的APT攻击,所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中,形成一个个的信息孤岛,每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中,企业中的安全管理人员难以发现。安全事件都是在发生后,数据在网络上广为流传后企业才会发现曾经有过安全事件,但具体的时间、形式都难以察觉。

    绿盟安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据,可准确、高效地感知整个网络的安全状态以及发展趋势,从而对网络的资源作出合理的安全加固,对外部的攻击与危害行为可以及时的发现并进行应急响应,从而有效的实现防外及安内,保障信息系统安全。

    建设目标

    绿盟科技安全态势感知平台的建设,目的是达到以下目标:

    1.实现对DDOS态势的感知,并溯源;

    2.实现对已知入侵威胁安全态势的感知;

    3.实现对未知威胁安全态势的感知;

    4.实现对僵木蠕的态势感知,并溯源;

    5.实现对资产自身脆弱性的态势感知;

    6.实现对网站的安全态势监控。

    建设原则

    (一) 体系化设计原则

    基于信息网络的层次关系,遵循先进的安全理念,科学的安全体系和安全框架,各个组成部分推荐均符合当代信息技术发展形势,满足未来各种应用分析APP对安全态势感知平台的要求,提供针对各种已有数据源的接口支持。

    (二) 扩展性原则

    系统具有良好的扩展以及与其它应用系统的接口能力。产品具有良好的扩展性,能够快速响应需求的扩展,满足用户的进一步需要。

    (三) 开放性,兼容性原则

    各种设计规范、技术指标及产品均符合国际和工业标准,并可提供多厂家产品的支持能力。系统中所采用的所有产品都满足相关的国际标准和国家标准,是开放的可兼容系统,能与不同厂商的产品兼容,可以有效保护投资。

    (四) 安全性原则

    系统开发、建设及维护的全过程中,在代码安全、数据保密、系统安全防护措施上采取较严格的措施,进行缜密的权限、身份、帐号与信息加密管理,接受其他安全系统如统一身份认证系统、安全监控管理系统的管理,以保证系统和数据的安全。

    (五) 管理、操作、易维护性原则

    随着信息系统建设规模的不断扩大,系统的可管理性已成为系统能否实施的关键,系统为用户提供可解决问题并易于管理的系统。贯彻面向最终用户的原则,安装简便快捷,具有了友好的用户界面,操作简单、直观、灵活,易于学习和掌握,支持在线功能帮助。

    20160201045518630.jpg

      绿盟安全态势感知平台分为数据采集层、数据处理层、应用分析层和呈现层。

    数据采集层:获取与安全紧密关联的海量异构数据,包括网络flow流数据、安全设备的监测日志数据、资产的漏洞信息、配置信息等;此外还可采集恶意样本及威胁情报等相关数据。通过绿盟A接口或flume-ng将数据源的接入、收集及转发。

    大数据处理层:包括数据的传输、处理、存储及服务,数据经数据采集传感器进入大数据处理层,在数据存储之前会经过1~2次的数据清洗,用来进行数据增强、格式化、解析,数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供给APP用来搜索和分析使用。

    应用分析层:利用大数据处理层提供的数据即时访问接口,建立相应的安全分析模型、并利用相关机器学习算法,逻辑实现相关应用分析APP。

    呈现层:提取应用分析层输出的相关数据,实现APP统一的可视化呈现。

    20160201045522872.jpg

    采用大数据的底层架构,实现异构数据采集、存储、计算。对于HBase、Hive等大数据组件的深度整合,满足网络安全中对于数据有效性、数据完整性、数据及时性的约束要求。采用自主开发的数据路由功能,实现对于不同数据源的区别处理。以底层为基础,实现自主可控的系统架构。

    各类设备的日志信息和分析结果通过A接口导入安全态势感知平台。导入安全态势感知平台的数据经过ETL(Extract-Transform-Load,数据抽取、清洗、转换、装载)存入数据存储单元。元数据是数据转换ETL的策略和依据,同时元数据还会给通用数据访问接口提供访问控制约束。

    Kafka队列作为数据传输的一个存储通道,数据获取层和数据应用层之间的缓冲带,同时可作为某些业务逻辑处理的存储通道,如实时告警。

    数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供给WEB应用用来搜索和分析使用。

    前端的各种WEB应用通过多维分析服务、查询报表服务、数据挖掘服务等形式的服务使用通用数据访问接口访问存储的数据,最终实现基于异构多维数据的安全分析。

    各种WEB应用的分析结果可通过统一呈现门门户做二次统一汇总分析并做呈现。

    组网部署设计

    绿盟安全态势感知平台部署在企业内网,在内网的各核心路由器上部署网络入侵态势感知传感器,镜像全部网络流量,网络入侵态势感知传感器将获取的网络流量转化成Netflow,通过管理口发送给DDOS态势感知传感器做流量检测;通过FTP、POP3、SMTP协议还原,将过滤出的文件发送给APT攻击态势感知传感器做恶意文件检测。各传感器最终将检测得到的数据汇总到态势感知平台进行分析,并通过相应APP进行可视化呈现。

    其总体部署架构如图3所示。

    20160201045529393.jpg

    方案能力

    网络入侵态势感知

    网络入侵态势感知是国际上公认的难点,核心是海量日志的挖掘和决策支持系统的开发,发达国家这方面的研究比较领先。经过多年的研究,提出“基于对抗的智能态势感知预警模型”,解决海量日志挖掘的工作。吸收国外著名的kill chain击杀链和attack tree攻击树的相关研究,形成推理决策系统,借助大数据分析系统的分布式数据库,可以实现决策预警,真正的为企业服务。

    众所周知,IPS/IDS主要是基于攻击特征规则进行检测(绿盟科技IPS/IDS规则库拥有6400条规则),即IPS/IDS每次匹配到含有攻击特征数据包便产生一次攻击告警,1G流量下可产生120万条攻击告警。而传统的日志分析系统只会归并同规则事件的告警(部分IPS/IDS本身也支持),1G流量下可归并至12万条告警日志,意味着归并后运维人员还需要面对12万条告警日志!如图4所示。

    20160201045533108.jpg

    而绿盟科技的入侵威胁感知系统在传统的日志归并基础上,还构建了近100种攻击场景的行为模型,可自动化识别黑客当前处于哪种攻击行为。据统计,入侵威胁感知系统可将12万条告警日志自动化分析成500条左右的攻击行为告警。

    再基于攻击树的威胁计分,预警威胁较大的攻击源,促进防外决策,以及预警面临威胁较大的被攻击目标,促进安内决策。再攻击树的反向推理方法,发现入侵成功事件,促进事后响应。

    DDOS态势感知

    DDOS威胁一般称为网络氢弹,是目前国与国之间,竞争对手之间的主要攻击方式,成本低,见效大。DDOS攻击越来越频繁,尤其针对发达地区和重点业务,某省电信每天发生的DDOS攻击次数在100次左右。其次,DDOS攻击流量越来越大,从检测结果来看20%以上攻击在大于20G。2014年4月,监测到的某电信的单一IP攻击流量达到300G。因此,如何检测预警大型的DDOS攻击。是我们研究重点。在这个方面,网络异常流量检测,可以全目标检测(传统DFI设备为了提升性能,需要设定检测目标)。而且拥有自学习功能,可以降低80%以上误报,经过处理后,1500G出口的骨干网,形成告警完全是可以处置的。如图5。

    20160201045538316.jpg

    通过一段时间的机器学习得到其正常状态的流量上限。自学习过程中系统自动记录网络的流量变化特征,进行基础数据建模,按照可信范围的数据设置置信区间,通过对置信区间内的历史数据进行分析计算,得到流量的变化趋势和模型特征。为了保证学习的流量特征符合正态分布,系统支持开启日历模式的数据建模,如设置工作日、双休日等日历时间点,针对不同的时间点进行自学习建模。同时系统支持对生成的动态基线进行手动调整,和日历自学习模式相结合,共同保证动态基线的准确性。

    僵木蠕态势感知

    在办公网等内网环境中,僵尸网络、木马、蠕虫病毒(统称僵木蠕)的威胁是首要威胁,僵木蠕引起的arp,DDOS断网等问题成为主要问题,更不用说由僵木蠕导致的APT泄密等事件了。在这个场景下,我们采用业界领先的防病毒引擎,通过对网络流量监控,发现僵木蠕的传播,并通过僵木蠕态势监控,实现僵尸网络发现、打击及效果评估。

    APT攻击态势感知

    已知攻击检测,我们可以用入侵检测设备,防病毒,但是针对目前越来越严重的APT攻击,我们需要更先进的技术手段和方法。威胁分析系统,可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。因此,在整个防护体系中,未知的0day攻击,APT攻击态势感知,我们依靠未知威胁态势感知传感器通过对web、邮件、客户端软件等方式进入内网的各种恶意软件进行检测,利用多种应用层及文件层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。如图6。

    20160201045542948.jpg

      脆弱性态势

    绿盟安全态势感知平台依托于漏洞扫描设备,对企业信息系统漏洞风险进行评估,形成企业信息系统全生命周期的脆弱性态势感知,协助企业做好系统上线前、后的风险态势呈现,杜绝系统带病入网、运行,对存在风险的系统进行及时的修补,并对修补后的再次审核结果进行呈现,确保系统自身的安全运行。

    网站安全态势

    网站作为企业对外的窗口,面临的安全威胁也最多,因此,有必要部署专门的网站监控设备形成网站安全态势监控,同时与绿盟云端监测服务相结合,监控网站漏洞,平稳度,挂马,篡改,敏感内容,并有效进行运维管理,从而避免因为网站出现问题导致公众问题。

    溯源追踪

    如何在海量网络中追踪溯源DDOS攻击,网络入侵攻击是业界难点和重点,采用DFI模式开发网络溯源系统,针对APT攻击,DDOS攻击,僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源,如,DDOS攻击可以溯源到链路,物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报,可以挖掘更多信息,重要的是,提供了在海量数据下的溯源难题。可以在低成本下,还原任何IP的流量。

    网络攻击溯源追踪具体包括以下两个功能。

    (一) 流量分析溯源

    在企业的网络中发生流量型的网络安全事件时,并已确认安全事件相关资产IP地址和时间段信息,此时通过系统该模块可实现对该时间段、IP地址等相关的流量分析溯源取证;另外在企业发生流量型的安全事件时,也可通过该模块中渐进式数据挖掘、统计报表等子模块实现流量攻击的溯源和取证。

    (二) 安全溯源

    在企业的业务系统发生遭受网络攻击事件时,根据遭受攻击的类型和安全溯源的需求,通过溯源追踪实现DDoS溯源和僵木蠕溯源。

    DDOS溯源: 企业发生DDoS攻击时,可通过DDoS告警日志信息判断网内DDoS攻击还是网内向网外发起DDoS攻击还是网外向网内发起DDoS攻击,进而通过溯源功能确定DDoS发起IP地址及遭受攻击的IP和业务系统。

    僵木蠕溯源:定期对采集的企业各网络区域流量信息进行智能C&C主控分析,可溯源到企业网络内部与僵尸网络通信的可疑“肉鸡”;另外在其他安全检测防护系统发现僵尸网络通讯时确定控制服务器IP和端口后也可通过该功能溯源企业内僵尸主机情况。

    关键技术及优势

    灵活的数据采集

    绿盟安全态势感知平台能够采集多种数据源,包括但不限于网络设备,如交换机、路由器、网关等;安全设备,如防火墙、入侵防护、网闸、防毒墙等;安全系统,如身份认证系统、集中授权系统等;应用系统,如邮件系统、OA系统、数据库系统、中间件系统等;业务系统,如ERP系统、CRM系统等。

    所有接入数据源没有品牌限制,没有型号限制,任何设备都可采用Syslog、Webservice、Snmp等标准协议进行数据采集。同时亦支持对于网络Flow流数据的采集,支持Netflow等多种Flow协议。

    同时,对于缺少数据发送功能的设备提供相应的数据采集器。采集器旁路到网络中进行数据采集工作,包括网络设备数据、安全设备数据、应用系统数据等。

    高效的数据存储

    针对数据的业务需求,按照数据的不同类型采用多种数据存储机制。

    l 分布式存储

    针对海量数据数据多源性、高速性、增长性等特点,同时满足数据的安全性、稳定性等要求,采用非结构化的分布式存储技术。这样的技术能够将来自数据端的数据请求分布在集群中的每个计算节点上进行处理,极大的提高数据处理性能。

    2 结构化存储

    针对范式化的数据存储,采用标准化的数据存储方式,能够将规范有效的对数据进行保存,同时能够对要求定期更新、数据结构复杂、实时性要求高、且数据量不庞大数据给予很好的满足。

    3 索引存储

    满足频繁查询数据且查询结果快速呈现的需求,即数据的即席查询。索引存储作为即席查询的底层技术支撑,能够达到数亿条记录秒级返回200条结果的效果。

    强大的分析引擎

    平台中预制图计算引擎,流计算引擎,离线计算引擎,关联分析引擎。这些预制引擎构成分析平台的核心功能并且对专项分析提供基础能力,如风险分析、脆弱性分析、态势分析、溯源分析。

    分析引擎采用分布式进行横向扩展,面临海量数据量时能够实现按需扩展,将分析引擎分散到其他更多的机器中,实现按需进行计算资源扩展。

    多维可视化呈现

    实现配置型可视化展现,安全分析人员不需要进行代码编辑便可将查询结果以可视化方式进行展现。以拖拽及配置方式进行可视化呈现,同时仪表盘之间能够实现联动以及下钻等强互动性操作。

    可视化展现支持多种常见图形,如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式,如热力图、散点图、图标叠加等。

    不仅支持简单的关键字查询,同时在查询中能够进行统计计算,包括平均值计算等在内的多种运算规则。查询时能够以多维度进行筛选,例如时间维度、设备维度、数据类型维度等。支持图形化查询结果展示,关键字排序,关键字高亮等技术。对于关键字能够实现按需扩充,对于缺少的关键字段能够进行补充扩展。

    灵活的应用扩展

    提供APP store功能,所需安全应用提供在线、离线安装。分享来自全国安全专家亲手炮制的安全分析应用。安全应用均有相应团队进行技术保障和技术升级,在使用过程中能够与安全专家进行经验分享。安全应用具备开箱即用功能,安装安全应用后能够即可使用。

    通过SDK包可以为企业量身打造安全分析应用,不需要借助第三方公司企业自身便可进行安全应用的开发。同时安全应用可上传至云端绿盟安全应用市场由安全专家检验该应用的可用性及通用性。


    本文转自d1net(转载)

    展开全文
  • 态势感知后台

    2020-07-21 09:56:33
    通过基于深度学习的态势感知,对未知的危险进行预测,有效的防护系统的安全性
  • 态势感知的简单理解

    2020-10-17 22:02:48
    简单理解态势感知的感念 态势感知是一个抽象的概念,它所要做的工作就是预测 它是指针对某一系统,通过采集系统自身因素以及环境因素,对其加以理解和分析,并进一步预测系统未来运行状态的发展趋势。例如对于电网...

    简单理解态势感知的感念

    态势感知是一个抽象的概念,它所要做的工作就是预测
    

    它是指针对某一系统,通过采集系统自身因素以及环境因素,对其加以理解和分析,并进一步预测系统未来运行状态的发展趋势。例如对于电网的态势感知过程主要分为电网态势要素采集、电网实时态势理解、电网未来台式预测三个阶段,整个过程涉及当前时刻和未来时刻两个时间层面。

    1. 态势要素的采集
    2. 实时的态势理解
    3. 未来的态势预测
    展开全文
  • 云安全:浅谈态势感知

    千次阅读 2019-04-13 22:53:23
    "态势感知"于美国空军提出,包括“感知、理解、预测”三个层次。在目前的一些安全系统中,实际仅做到了“感知”。借用客户一句话,安全的核心技术实际还在国外,今天从我们自己做起,来点滴学习安全知识。 一、...
  • 态势感知

    千次阅读 2018-01-18 17:14:12
    想要了解态势感知具体是研究哪些内容,首先要做的当然是要去百度一下,百度百科上只给了一句话——“在大规模系统环境中,对能够引起系统态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。...
  • 网络世界里的态势感知,听上去有些玄幻。有人觉得这是一种俯视世界的上帝视角;有人觉得这是一种禅定参悟的境界。 而在真正的网络安全从业者眼里,态势感知远不是这么浪漫。甚至它可以被概括为:谁特么在搞我,他...
  • 态势感知与深度态势感知的区别

    千次阅读 2019-02-18 00:31:20
    态势感知(即在一定的时间和空间内对环境中的各组成成分的感知、理解,进而预知这些成分的随后变化状况。)深度态势感知(即在不定的时间和空间内对情境中的各组成成分的感知、理解,...
  • 态势感知系列(1):从态势感知到全方位态势感知Last Modified @2017/12/2 1 引言随着2016年的419讲话中提到要“全天候全方位感知网络安全态势”,在安全业界,“态势感知”骤然变成了热词。到现在,几乎所有的...
  • 网络空间安全态势感知技术

    千次阅读 2019-06-07 23:49:52
    网络空间安全态势感知技术 1.1网络安全的重要性 经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的...
  • 深度态势感知

    千次阅读 2018-02-20 09:27:16
    1、引 言从某种意义上说,人类文明是一个人类对世界和自己不断认知的过程,所为认知就是对有用的数据---信息进行采集过滤、加工处理、预测输出、调整反馈的全过程,纵观人类最早的美索不达米亚文明(距今6000多年)...
  • IBM如何看待SOC和态势感知

    千次阅读 2017-10-21 10:31:29
    ...S->Security(安全),即SOC处理的事件或流程应该是与企业网络安全相关的;...O->Operations(运营),代表着一种动态的动作,包括但不限于实时的检测和响应;...C->Center(中心),体系化的建设,多领域安全...
  • 【摘要】人工智能研究的难点是对认知的解释与建构,而认知研究的关键问题则是自主和意识现象的破解。本文首先介绍了认知科学及态势感知发展的历程,回顾了人机交互中心理与认知学科的...
  • rapheal+servlet 态势感知

    2020-07-29 14:20:24
    rapheal+servlet 态势感知rapheal+servlet 态势感知rapheal+servlet 态势感知rapheal+servlet 态势感知rapheal+servlet 态势感知
  • 2018年,全球知名的社交平台Facebook一年出现两次大型数据泄露事件,总泄露客户信息高达到7900万条。而安德玛、万豪集团、华住集团等也相继有媒体爆出严重的信息泄露事件。但上述事件仅仅是网络安全事件的冰山一角,...
  • 2015 年度云盾态势感知报告聚焦在数据中心云计算用户面临的高级 持续威胁、定向 Web 应用攻击、面向系统的暴力破解以及主机恶意文件四 个方面的新威胁和安全趋势.
  • 实时分析态势感知大数据日志

    千次阅读 2019-04-28 00:20:00
    目前,阿里云态势感知与日志服务打通,对外开放平台依赖或者产生的日志,包括网络、主机、安全三大类共14种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的...
  • 安全态势感知

    千次阅读 2018-11-21 16:17:44
     态势感知的基础是对报警和元数据的收集,为达到“全方位全天候”的目标,需要在流量、内容、终端三个方面,利用实时数据和历史数据进行检测。但单纯报警的可视化展示并不是真正的“态”。要呈现当前的“态”,需要...
1 2 3 4 5 ... 20
收藏数 5,925
精华内容 2,370
关键字:

态势感知