面向高级持续性威胁的态势感知概念模型
发布时间:2021-04-03 22:53
现有关于高级持续性威胁的研究大多聚焦于威胁的检测发现,对威胁的描述刻画并不全面.网络安全态势感知从整体角度出发,为决策者提供清晰的网络状态,有助于对威胁的全面认知.虽然国内外学者围绕态势感知开展了大量研究,但大多关注自身状态,仅仅达到"知己"的效果,"知彼"方面的研究相对较少.在态势感知模型的基础上,结合杀伤链模型、ATT&CK框架等相关研究,提出面向高级持续性威胁的态势感知概念模型.从敌我2方面综合讨论态势获取、理解、预测等环节的功能任务和相关技术,给出各环节形式化定义,为高级持续性威胁的认知及检测提供理论基础.
【文章来源】:信息安全研究. 2020,6(06)
【文章页数】:9 页
【部分图文】:
态势感知研究分类
态势感知动态模型:在Endsley提出态势感知模型后,随着人们对于此概念认知的不断深化,相关研究逐渐向多元化的方向发展,一些学者对态势感知的定义进行了些许修改和补充,认为态势感知是对当前态势的理解和认识,它能够使人们作出更加及时、准确的态势评估,从而帮助人们作出适当的决策[22].也有学者认为态势感知关注我们对于过去和现在态势的认识程度,并且感知未来的发展方向以及不同决策对未来态势发展所带来的影响.针对上述观点,Endsley指出,态势感知、决策制定、决策执行是3个不同的步骤,受不同因素的影响,所以要分布进行研究,并在态势感知的基础上,提出了态势感知动态模型,如图1所示.随后,大量学者以此模型为基础,展开了较为深入的研究[23-24].态势感知研究分类:态势感知的应用领域十分广泛,从起初的军事领域延伸到交通、气象、医疗等诸多行业.其中,针对网络空间态势感知而言,根据实际应用场景、应用规模、研究方向、输入输出等的差异,可以细分为多个领域、多个层级、多个方向的态势感知模型.如图2所示:应用场景包括传统互联网、移动网、物联网、暗网、工控网、卫星网等;应用规模可以为单位级、行业级、地区级、国家级、空天级;研究内容包括资产态势、漏洞态势、威胁态势等.从上述工作可以看出,目前的研究方向多以自身目标为主,理解态势发展,度量安全威胁,优化防护策略,降低攻击损失.但是,上述研究均未考虑攻击方的因素,仅仅完成了“知己”的目标,在“知彼”方面的相关研究相对较少.本研究旨在从敌方角度分析态势,提出面向APT的态势感知概念模型,分析APT攻击目的目标,理解APT组织攻击手段,预测APT攻击发展趋势,制定APT攻击防护措施,在充分保护自身目标的同时,达到对境外APT组织的精准画像.
态势理解环节旨在深入理解APT攻击的前因后果,前因即回答攻击因何而发生,后果即分析攻击造成哪些影响.在APT攻击态势感知模型的态势理解阶段,主要从攻击场景还原、攻击影响评估2方面展开工作.在攻击场景还原方面,通过对攻击杀伤链模型中的7个重要步骤进行逐一分析,达到对攻击事件的深度理解,进而还原攻击场景、归纳总结APT组织攻击手段.在APT攻击影响评估方面,从直接影响和间接影响2方面进行分析,其中,直接影响指攻击造成的目标网络可用性、可控性、机密性、可鉴别性不同程度的损害评估;间接影响指由于目标遭受攻击进而引发的更广泛的社会影响、政治影响、经济影响、外交影响等.基于对当前态势的深入理解,态势预测的主要目的是从敌我2方面,对当前环境的态势作出合理的预测.其中,从受攻击目标的角度出发,综合分析APT攻击事件的严重性,结合系统自身的潜在问题,采用风险传播模型、攻防协同演化模型等从时间、空间的维度分析推理安全事件的发展趋势;从APT组织的角度出发,结合已知的惯用手法,分析预测APT组织的习惯特点,包括目标选择偏好、风险承受能力、攻击战术战法、人员武器规模等信息,进一步补全和完善APT组织画像.模型的最后一个阶段是应急响应阶段,包括态势共享、决策支持以及策略执行.态势共享的主要目的是将态势理解以及态势预测的输出面向所有涉事目标进行共享交互.通过可视化界面展示的方式,共享APT攻击场景的还原结果、攻击损害评估结果、风险传播趋势以及攻击组织画像等信息.在决策支持阶段,以最优化理论为指导,将问题抽象成相应的数学模型并计算最优解,从事件销控、攻击反制、事件预防3个方面制定最优防护策略.最后通过分发联动机制协调网络内主体共同执行.
本文编号:3117236
【文章来源】:信息安全研究. 2020,6(06)
【文章页数】:9 页
【部分图文】:
态势感知研究分类
态势感知动态模型:在Endsley提出态势感知模型后,随着人们对于此概念认知的不断深化,相关研究逐渐向多元化的方向发展,一些学者对态势感知的定义进行了些许修改和补充,认为态势感知是对当前态势的理解和认识,它能够使人们作出更加及时、准确的态势评估,从而帮助人们作出适当的决策[22].也有学者认为态势感知关注我们对于过去和现在态势的认识程度,并且感知未来的发展方向以及不同决策对未来态势发展所带来的影响.针对上述观点,Endsley指出,态势感知、决策制定、决策执行是3个不同的步骤,受不同因素的影响,所以要分布进行研究,并在态势感知的基础上,提出了态势感知动态模型,如图1所示.随后,大量学者以此模型为基础,展开了较为深入的研究[23-24].态势感知研究分类:态势感知的应用领域十分广泛,从起初的军事领域延伸到交通、气象、医疗等诸多行业.其中,针对网络空间态势感知而言,根据实际应用场景、应用规模、研究方向、输入输出等的差异,可以细分为多个领域、多个层级、多个方向的态势感知模型.如图2所示:应用场景包括传统互联网、移动网、物联网、暗网、工控网、卫星网等;应用规模可以为单位级、行业级、地区级、国家级、空天级;研究内容包括资产态势、漏洞态势、威胁态势等.从上述工作可以看出,目前的研究方向多以自身目标为主,理解态势发展,度量安全威胁,优化防护策略,降低攻击损失.但是,上述研究均未考虑攻击方的因素,仅仅完成了“知己”的目标,在“知彼”方面的相关研究相对较少.本研究旨在从敌方角度分析态势,提出面向APT的态势感知概念模型,分析APT攻击目的目标,理解APT组织攻击手段,预测APT攻击发展趋势,制定APT攻击防护措施,在充分保护自身目标的同时,达到对境外APT组织的精准画像.
态势理解环节旨在深入理解APT攻击的前因后果,前因即回答攻击因何而发生,后果即分析攻击造成哪些影响.在APT攻击态势感知模型的态势理解阶段,主要从攻击场景还原、攻击影响评估2方面展开工作.在攻击场景还原方面,通过对攻击杀伤链模型中的7个重要步骤进行逐一分析,达到对攻击事件的深度理解,进而还原攻击场景、归纳总结APT组织攻击手段.在APT攻击影响评估方面,从直接影响和间接影响2方面进行分析,其中,直接影响指攻击造成的目标网络可用性、可控性、机密性、可鉴别性不同程度的损害评估;间接影响指由于目标遭受攻击进而引发的更广泛的社会影响、政治影响、经济影响、外交影响等.基于对当前态势的深入理解,态势预测的主要目的是从敌我2方面,对当前环境的态势作出合理的预测.其中,从受攻击目标的角度出发,综合分析APT攻击事件的严重性,结合系统自身的潜在问题,采用风险传播模型、攻防协同演化模型等从时间、空间的维度分析推理安全事件的发展趋势;从APT组织的角度出发,结合已知的惯用手法,分析预测APT组织的习惯特点,包括目标选择偏好、风险承受能力、攻击战术战法、人员武器规模等信息,进一步补全和完善APT组织画像.模型的最后一个阶段是应急响应阶段,包括态势共享、决策支持以及策略执行.态势共享的主要目的是将态势理解以及态势预测的输出面向所有涉事目标进行共享交互.通过可视化界面展示的方式,共享APT攻击场景的还原结果、攻击损害评估结果、风险传播趋势以及攻击组织画像等信息.在决策支持阶段,以最优化理论为指导,将问题抽象成相应的数学模型并计算最优解,从事件销控、攻击反制、事件预防3个方面制定最优防护策略.最后通过分发联动机制协调网络内主体共同执行.
本文编号:3117236
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3117236.html
