7.4 网络安全情报分析与态势感知技术在线视频

同学们，大家好

这节课

我们来学习网络空间安全技术

这门课程的第四篇

网络空间安全管控技术体系

第7章网络空间安全管控技术体系

第4节网络安全情报分析与态势感知技术

在这一节里面

我们重点讨论三点

第一是网络安全情报分析与态势感知的作用

第二是网络安全情报分析技术

第三是网络安全态势感知技术

我们首先来看

网络安全情报分析与态势感知的作用

这个里面我们分两小点

第一是网络安全情报及其分析的概念

第二是网络安全情报分析的意义和作用

首先我们来看

网络安全情报及其分析的概念

所谓网络安全情报

是指某种基于证据的网络安全知识

包括环境上下文

机制、指标、影响和可行建议等信息

用于描述现有的或可能出现的威胁

从而实现对威胁的响应和预防

网络安全情报

是情报驱动攻防对抗的基础

在网络安全攻防对抗当中

发挥着至关重要的作用

接下来我们来看

网络安全情报分析的概念

在一定的分析基础上

实现的有关安全的智能情报

它的本质是通过智能化处理过程

得到安全情报

形成智能知识和能力

情报分析可以理解为

情报信息或情报的相关工作

我们还可以将情报理解为

智慧或者是智能

情报是指收集利用数据

或提取信息并进行评估的过程

以填补之前所发现的知识鸿沟

因此从这个角度来看

情报既是一种产品

也是一种过程

接下来我们来看

网络安全情报分析的意义和作用

网络安全情报分析

它处于网络安全滑动标尺模型的

比较靠右侧

因此我们可以说

它是网络安全防御体系构建的较高级阶段

它的作用是实现全天候、全方位

感知网络安全态势的能力

增强网络安全防御的能力

网络安全情报分析

对于安全防御体系能力的形成

至关重要

接下来我们来看一下

通过情报分析生成情报

以支持攻防对抗的若干环节

安全情报即可为攻击者所有

也可为防御者所有

在被动防御阶段

基于若干指标情报

实施检测和防御

在主动防御阶段

可以利用攻击者相关情报

来推动网络环境当中的

安全变化、流程和行动的实施

在攻击反制阶段

可根据情报

进行安全的威慑攻击能力的事件

接下来我们来具体讨论一下

网络安全情报分析技术

首先我们来看

网络安全情报分析的技术体系

网络安全情报分析

它的核心思想

是以威胁为中心

以情报来驱动攻防对抗

它的主要内容是要进行敌我分析

做到知己知彼

它的关键技术是风险评估

态势感知以及网络安全的情报分析

接下来我们来看

网络安全的情报分类

分为四大类

一是战略网络安全情报

战略网络安全情报

是为看待威胁环境

和业务问题提供全局视角

旨在告知高层决策

通常不涉及技术性情报

运营网络安全情报

是帮助高级安全人员

预测何时何地会发生攻击

并进行针对性防御

战术网络安全情报

是由应急响应人员

确保面对此类威胁攻击

做好响应和行动策略

技术网络安全情报

是以失陷标识为特征

可自动识别和阻断恶意攻击行为

是应用最广泛的网络安全情报类型

接下来我们来分析

网络安全情报来源

情报来源分为两类

一个是内部情报源

二是外部情报源

内部情报源可以参考被保护网络中的

各类安全数据和信息

作为安全数据来源

比如该信息系统内部所部署的网络

终端以及安全设备提供的日志数据

外部情报源相对来说更为复杂

也更为重要

比如说外部行业组织

相关安全厂商

所提供的威胁数据

网站、论坛、社交媒体上的公开信息

暗网、地下论坛等封闭消息源

网络安全情报生成的步骤

分为五大步

第一步是明确需求和目标

明确所需的网络安全情报类型

及其预期达到的目标

采集是指多源情报采集

分为内部数据和外部数据源

分析是指从多源、多维数据当中

提取信息

并进一步凝练为知识

这一步通常需要人和工具

来共同协同完成

第四步是传播共享

传播共享的对象

包括人员和安全系统

人员含管理层、IT人员、应急人员等

安全系统则包括

安全管理中心、网络安全情报平台等

第五步是评估和反馈

网络安全情报能否满足

安全防护的需求

需要通过评估和反馈来进行确认

接下来我们看

网络安全情报分析的模型

常用的网络安全情报分析模型有三种

一个是网络杀伤链

第二个是钻石模型

第三个是ATT&CK

网络杀伤链又称为攻击链

它分为7个阶段

包括侦查、武器化、交付、利用

部署、命令与控制

以及目标达成等7个阶段

钻石模型呢

是将社会科学原理应用于入侵分析的方法

可衡量、可测试和可重复

可对攻击活动

进行记录、合成和关联

ATT&CK是将已知攻击人的行为

转化为结构化的列表

汇总成12种战术和244种技术

全面呈现了攻击网络时

所采用的行为

网络杀伤链

也就是攻击链

和砖石模型

此前我们在讲述攻防对抗模型的时候

已经做过具体的介绍

接下来我们来看一下

网络安全情报的格式

使用结构化的方法

来记录事件的特征和证据

以提供情报

我们称为标准格式

那么具体的标准分为

国际常用标准和中国国家标准

国际常用标准有三种

一个是STIX 结构化威胁信息表达式

TAXII 情报信息的可信自动化交换

以及OpenIOC 开放失陷指标

中国国家标准

GB/T36643

《网络安全威胁信息格式规范》

对网络安全威胁信息模型

和网络安全威胁信息组建及其格式

作出了相应的标准规定

这个

就是GB/T36643

其中所阐明的威胁信息模型

分为八大组件和三大域

其中八大组件包括攻击活动、安全事件

攻击指标、可观测数据

威胁主体、攻击方法

攻击目标和应对措施

三大域代表着

事件域、对象域和方法域

我们来看一下

威胁信息模型三大域的作用

及其涉及的组件

对象域描述了

网络安全威胁的参与角色

包括威胁主体

也就是攻击者和攻击目标

也就是受害者

方法域描述了方法类元素

包括攻击方法

比如说攻击方法、技术和过程

以及应对措施

包括预警、检测等

事件域描述了网络安全威胁的事件

包括可观测数据、攻击指标

安全数据和相应的攻击活动

接下来我们来学习

网络安全态势感知技术

这一小节

我们分两点

一个是网络安全态势及其感知的概念

二是网络安全态势感知的关键技术

我们首先来看

网络安全态势及其感知的概念

态势态势，有态也有势

安全的态是指过去的安全事件和数据

以及现在的现状

针对告警或异常事件

进行误报识别、定性分析

了解攻击影响范围及其危害

确定缓解或清除方法等

安全的势是基于对已知攻击者意图

技战术特点以及攻击链

或者叫杀伤链的分析而得

来预测未来可能的安全事件或状态

并进行情报共享

网络安全态势感知

是指一种基于环境的、动态的

整体的洞悉安全风险的这么一种能力

从感知方式上来看

它是以安全大数据为基础

从全局视角提升对安全问题的发现识别

理解分析及响应处置的能力

它的目的和作用是旨在

大规模网络环境中

对能够引起网络态势发生变化的安全要素

进行获取、理解、显示

以及最近发展趋势的顺延性预测

进而进行安全的相关决策与行动

接下来我们来看

理解网络安全态势感知的三原则

首先是环境性

应用环境为范围较大

具有一定规模的网络

动态性它是指网络安全的态势

随时间而变

涵盖过去和当前的状态

以及对未来安全趋势的预测

第三个原则是整体性

各个要素关系服从系统整体性原理

不可割裂

接下来我们来看

网络安全态势感知三种能力需求

第一：持续监控能力

能够及时发现各种攻击威胁与异常

第二是分析及可视化能力

能够快速判别与威胁它的影响范围

攻击路径、目的手段

并支撑安全决策和响应

第三个是安全预警能力

目的是提升风险控制

应急响应和整体安全防护水平

接下来我们来讨论

网络安全态势感知的关键技术

包括态势认知和要素提取

它的难度在于

网络是庞大的

而且它是非线性

非常强的一种复杂系统

灵活性很强

在态势理解方面

对安全事件

尤其是对网络空间安全相关信息

进行汇聚融合

完成从数据到信息

从信息到网络安全情报的转化

态势预测是基于安全态势的历史信息

和当前状态

来预测网络未来安全状况的发展趋势

最后是可视化展现

生成网络安全综合态势图

使网络安全态势感知系统

它的分析处理数据可视化

以及态势实现可视化

我们具体来看一下

态势认知和要素提取技术

态势的感知的基础和前提

是态势认知和要素提取

要素分为时间维和数据维

时间维是已有实时或准实时数据

以及更长时间的数据

以发现多阶段攻击

比如说APT攻击

数据维是指数据来源

历史和实时网络数据、安全数据

数据的内容

包括网络流量、终端行为

以及内容载荷等

接下来我们来看一下

安全态势理解

安全态势理解的目标

是对各种安全要素数据进行分类

归并、关联分析等

融合处理和综合分析

定性、定量的分析

网络当前的安全状态

它的具体方法包括聚类分析

统计分析、规则分析

关联分析和序列模式分析

能够对检测到的恶意软件

或者叫恶意代码

安全世界等威胁项

进行相应的跟踪分析

它的目标其实

就是实现人、物、地、势

和关系的多维图谱

接下来我们来看一下

安全态势预测

它是态势感知的基本目标

是以已知来推未知

它的过程是基于逻辑

和知识的推理结果

通过已知安全信息来预测未来攻击

从已知威胁推演未知威胁

实现预测和判断

那么具体的预测方法

包括定性预测分析、时间序列分析

因果关系预测

机器学习、大数据分析等

在可视化展现方面

分为数据转化、图像映射

视图变换等关键技术

实现分析过程的可视化

和分析结果的可视化

我们图上给的这张PPT

就是一张生成的

网络安全综合态势图的展示图

同学们，通过对本节内容的学习

我们提请同学们思考以下三个问题

第一：如何从公开途径获取网络安全情报

我们将在本章第5节

专门讲授开放情报分析

第二：如何针对不同规模的网络信息系统

进行网络安全态势感知

第三：在我国网络安全保障实践当中

如何将网络安全情报分析

与态势感知技术二者结合起来

发挥其最大效用

这是我们请同学们思考的三个问题

同学们

我们这节课

就讲到这里

感谢观看，谢谢

下次再见