- 網(wǎng)絡(luò)安全態(tài)勢感知:提取、理解和預(yù)測
- 杜嘉薇等
- 2008字
- 2019-03-28 10:07:17
前言
網(wǎng)絡(luò)安全既涉及國家安全也涉及經(jīng)濟安全,目前世界各國每天都在進行著大量隱蔽的較量,網(wǎng)絡(luò)安全的重要性不容忽視。5年前,我因偶然機遇進入網(wǎng)絡(luò)空間安全領(lǐng)域,通過各種活動和項目實踐見證了國家對網(wǎng)絡(luò)安全重視程度的不斷提升。這期間先后研究過威脅建模、信息安全風(fēng)險評估與控制、流量檢測和安全測試等方面,在持續(xù)學(xué)習(xí)和實踐的同時,也與國內(nèi)許多專家學(xué)者和企事業(yè)單位頻繁接觸,深感安全人員不能只關(guān)注具體點而忽略整體面。花大價錢購置一大批盒式設(shè)備“堆”在網(wǎng)絡(luò)中的時代已經(jīng)一去不復(fù)返,這只能帶來虛假的安全感。安全的“短板效應(yīng)”和“木桶理論”決定了我們必須以全局整體的視角去看待它,而且這種整體視角是基于動態(tài)博弈的暫時平衡。
網(wǎng)絡(luò)安全的哲學(xué)已經(jīng)從“努力防住”轉(zhuǎn)變?yōu)椤胺婪督K將失效”,從“發(fā)現(xiàn)并修補漏洞”轉(zhuǎn)變?yōu)椤俺掷m(xù)過程監(jiān)控”,也就是說,無論你在網(wǎng)絡(luò)和系統(tǒng)中投入多少,入侵者仍可能獲勝。基于這個哲學(xué)前提,我們能做的就是在入侵者實現(xiàn)目標(biāo)前盡可能地發(fā)現(xiàn)、識別并做出響應(yīng),及時分析情況和通報事件的發(fā)生,并以最小代價減輕入侵者的破壞,只要入侵者的目標(biāo)未能達成即是相對安全的。網(wǎng)絡(luò)安全態(tài)勢感知就是這種思路的典型體現(xiàn),通過獲取海量數(shù)據(jù)與事件,直觀、動態(tài)、全面、細粒度地提取各類網(wǎng)絡(luò)攻擊行為,并對其進行理解、分析、預(yù)測以及可視化,從而實現(xiàn)態(tài)勢感知。它有助于安全團隊發(fā)現(xiàn)傳統(tǒng)安全平臺和設(shè)備未能監(jiān)測到的事件,將網(wǎng)絡(luò)上似乎無關(guān)的事件關(guān)聯(lián)起來,從而更有效地排查安全事件并做出響應(yīng)。
雖然網(wǎng)絡(luò)安全態(tài)勢感知的概念早在若干年前就已被提及,但由于當(dāng)時的技術(shù)和認知水平,其發(fā)展是有限的。隨著時間的推移,以及數(shù)據(jù)量和數(shù)據(jù)形態(tài)的改變,老問題發(fā)生了新變化,需要我們重新審視它。尤其是近幾年來,隨著大數(shù)據(jù)技術(shù)的迅猛發(fā)展、數(shù)據(jù)處理和分析方法的不斷創(chuàng)新,以大數(shù)據(jù)為平臺框架進行安全分析(即數(shù)據(jù)驅(qū)動安全)逐漸成為熱點。新技術(shù)的驅(qū)動給網(wǎng)絡(luò)安全帶來許多新的挑戰(zhàn),也迫使我們重新思考。只有不斷更新知識,創(chuàng)造性地發(fā)現(xiàn)問題、研究問題和解決問題,才能跟上信息化時代的腳步。正如《人類簡史》中所寫:“人類近500年的科學(xué)革命意義重大,它并不是‘知識的革命’,而是‘無知的革命’。真正讓科學(xué)革命起步的偉大發(fā)現(xiàn),就是發(fā)現(xiàn)‘人類對于最重要的問題其實毫無所知’……現(xiàn)代科學(xué)愿意承認自己的無知,就讓它比所有先前的知識體系更具活力、更有彈性,也更有求知欲。這一點大幅提升了人類理解世界如何運作的能力,以及創(chuàng)造新科技的能力。”
讀者對象
本書的讀者對象主要包括:
●網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)愛好者和學(xué)生
●網(wǎng)絡(luò)運維管理、信息安全領(lǐng)域的從業(yè)人員
●網(wǎng)絡(luò)空間安全等相關(guān)專業(yè)的本科生及研究生
●期望在網(wǎng)絡(luò)安全領(lǐng)域就業(yè)的技術(shù)人員
●網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的研究人員
本書結(jié)構(gòu)
本書分為四個部分:基礎(chǔ)知識、態(tài)勢提取、態(tài)勢理解和態(tài)勢預(yù)測。每章都會重點討論相關(guān)理論、工具、技術(shù)和核心領(lǐng)域流程。我們將盡可能用通俗易懂的方式進行闡述,讓新手和安全專家都能從中獲得一些啟發(fā)。本書所構(gòu)建的框架和理論基于集體研究、經(jīng)驗以及合著者的觀點,對于不同的話題和場景所給出的結(jié)論可能與他人不同。這是因為網(wǎng)絡(luò)安全態(tài)勢感知更多地是一門實踐活動,不同人的認知和理解難以趨同,這也是完全正常的現(xiàn)象。
本書的內(nèi)容框架如下:
第一部分:基礎(chǔ)知識
第1章:開啟網(wǎng)絡(luò)安全態(tài)勢感知的旅程
第2章:大數(shù)據(jù)平臺和技術(shù)
第二部分:態(tài)勢提取
第3章:網(wǎng)絡(luò)安全數(shù)據(jù)范圍
第4章:網(wǎng)絡(luò)安全數(shù)據(jù)采集
第5章:網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理
第三部分:態(tài)勢理解
第6章:網(wǎng)絡(luò)安全檢測與分析
第7章:網(wǎng)絡(luò)安全態(tài)勢指標(biāo)構(gòu)建
第8章:網(wǎng)絡(luò)安全態(tài)勢評估
第9章:網(wǎng)絡(luò)安全態(tài)勢可視化
第四部分:態(tài)勢預(yù)測
第10章:典型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法
第11章:網(wǎng)絡(luò)安全態(tài)勢智能預(yù)測
第12章:其他
本書涉及的網(wǎng)絡(luò)安全態(tài)勢感知主題眾多,我們希望書中各章涵蓋的內(nèi)容能夠具有一定的參考價值;同時希望讀者能夠獲得愉悅且充沛的閱讀體驗,就如同我們在字斟句酌數(shù)易其稿、親歷從最開始寥寥數(shù)頁的章節(jié)意向到成稿付梓形成手頭這本書的過程中體會到的一樣。
致謝
寫書的過程是漫長而艱辛的!我有個習(xí)慣,就是無論在何種環(huán)境下都會不斷告誡自己:“人不能貪圖安逸,總要有一個目標(biāo),時不時給自己一些挑戰(zhàn),做一些有難度的事情。”從設(shè)定這樣一個目標(biāo)到謀劃這件事情,再到搭建書的整體框架,對每個章節(jié)進行布局,完成初稿、中間修改和定稿的整個過程中,是心中的信念讓我克服了人固有的惰性并堅持了下來。
當(dāng)然,本書之所以能完成,離不開許多朋友直接或間接的幫助,我也想借此機會感謝他們。
感謝父母,在你們的影響下成長,使我成為一個獨特的人。作為子女所能做的是,傳承他們賦予的性格并分享他們給予的愛。
感謝我的家庭和可愛的女兒,家人給我的愛是濃厚的,對我非常重要,他們在生活中對我的關(guān)心和支持,讓我有動力完成各種艱難的挑戰(zhàn)。
感謝單位的領(lǐng)導(dǎo)和同事,他們給予我充分的信任和支持以開展這方面的研究和實踐,并對我的研究工作提出了諸多寶貴意見和建議。
杜嘉薇
- 特種木馬防御與檢測技術(shù)研究
- CSO進階之路:從安全工程師到首席安全官
- Rootkit和Bootkit:現(xiàn)代惡意軟件逆向分析和下一代威脅
- 可信計算3.0工程初步
- .NET安全攻防指南(上冊)
- 諸神之眼:Nmap網(wǎng)絡(luò)安全審計技術(shù)揭秘
- Testing and Securing Android Studio Applications
- 可信計算3.0工程初步(第二版)
- Kerberos域網(wǎng)絡(luò)安全從入門到精通
- 信息安全等級保護測評與整改指導(dǎo)手冊
- 黑客攻防實戰(zhàn)從入門到精通
- Learning Pentesting for Android Devices
- 企業(yè)數(shù)據(jù)安全防護指南
- 云計算安全防護技術(shù)
- 一本書讀透金融科技安全