描述
开 本: 16开纸 张: 胶版纸包 装: 精装是否套装: 否国际标准书号ISBN: 9787121394843
本书作者长期从事网络安全态势感知等领域的研究工作,在业内具有较高知名度和影响力。
本书内容具有前瞻性、理论性和实践性, 适合网络安全领域的研究、教学以及开发人员阅读。
本书首先介绍网络安全态势感知的研究背景, 阐述网络安全态势感知系统的功能结构和关键技术, 然后基于资产、漏洞、威胁三个维度, 阐述网络安全态势感知的数据采集、认知模型、本体模型、网络安全度量指标体系、评估方法、态势预测和攻击溯源等技术,*后讲解网络安全态势可视化技术。本书具有前瞻性、理论性和实践性, 适合网络安全领域的研究、教学以及开发人员阅读。
第1章网络安全态势感知研究背景
11作战形态和作战内涵的变化
111作战形态的变化
112作战内涵的变化
12态势感知的概念及发展进程
121朴素的态势感知
122传统的态势感知
123网络安全态势感知
13网络安全态势感知的作用、意义、过程、相关角色、需求
131网络安全态势感知的作用
132网络安全态势感知的意义
133网络安全态势感知的过程
134网络安全态势感知中的相关角色
135网络安全态势感知的需求
14本章小结
参考文献
第2章网络安全态势感知系统及案例
21网络安全态势感知系统的功能结构
22网络安全态势感知系统的关键技术
221数据采集与特征提取
222攻击检测与分析
223态势评估与计算
224态势预测与溯源
225态势可视化
23典型的网络安全态势感知系统案例
231“龙虾计划”系统
232YHSAS网络安全态势分析系统
233其他典型系统
24本章小结
参考文献
第3章网络安全数据采集与融合
31网络安全数据采集的问题背景
311网络安全数据的特点及数据采集难点
312面向不同岗位角色、不同分析师的靶向数据采集
313网络安全数据采集示例
32面向网络安全态势感知的安全要素和安全特征
321资产维度数据
322漏洞维度数据
323威胁维度数据
33安全要素和安全特征的采集技术
331资产维度数据采集
332漏洞维度数据采集
333威胁维度数据采集
34网络安全数据融合
341数据清洗
342数据集成
343数据规约
344数据变换
35本章小结
参考文献
第4章网络安全态势感知的认知模型
41理解网络安全态势的意义和存在的难点
411理解网络安全态势的意义
412理解网络安全态势存在的难点
42人类认知过程中常用的认知模型
4213M认知模型
422ACT-R认知模型
423基于实例的认知模型
424SOAR认知模型
425其他认知模型
43基于MDATA的网络安全认知模型
431MDATA模型的概况
432MDATA模型的表示方法
433基于MDATA模型的网络安全认知模型构建
434基于MDATA模型的网络安全知识推演
435利用基于MDATA模型构建的网络安全知识库进行攻击检测
44本章小结
参考文献
第5章网络安全态势感知本体体系
51本体理论
511本体概念
512本体语言
513基于本体的推理
52网络安全态势感知系统相关的本体标准
521资产维度的标准
522漏洞维度的标准
523威胁维度的标准
524综合信息标准
53基于MDATA模型的网络安全态势感知本体模型
531基于MDATA模型的网络安全态势感知本体类
532基于MDATA模型的网络安全态势感知本体关系
533基于MDATA模型的网络安全态势感知本体模型推理
54本章小结
参考文献
第6章网络安全态势评估的要素和维度
61网络安全态势评估要素和维度的基本概念
611为什么需要明确网络安全态势评估要素和维度
612网络安全态势评估的维度
62漏洞维度的评估要素
621单个漏洞的评估要素
622网络漏洞的总体评估要素
63威胁维度的评估要素
631单个攻击的评估要素
632网络攻击的评估要素
64资产维度的评估要素
641工作任务的描述方法和工作任务重要程度的评估要素
642将工作任务映射到资产的模型
643资产的评估要素
65本章小结
参考文献
第7章网络安全态势评估的方法
71网络安全态势评估的基本概念
711为什么需要网络安全态势评估
712网络安全态势评估面临的主要挑战
72网络安全态势的定性评估
73网络安全态势的定量评估
731基于数学模型的量化评估方法
732基于知识推理的量化评估方法
733基于机器学习的量化评估方法
74本章小结
参考文献
第8章网络安全事件预测技术
81 网络安全事件预测的概念和背景
82传统的网络安全事件时间序列预测技术
821基于回归分析模型的预测技术
822基于小波分解表示的预测技术
823基于时序事件化的预测技术
824相关技术的实验对比分析
83基于知识推理的网络安全事件预测技术
831基于攻击图的预测技术
832基于攻击者能力与意图的预测技术
833基于攻击行为/模式学习的预测技术
84本章小结
参考文献
第9章网络攻击溯源技术
91网络攻击溯源的概念和背景
92传统的网络攻击溯源技术
921基于日志存储查询的溯源技术
922基于路由器输入调试的溯源技术
923基于修改网络传输数据的溯源技术
924攻击者及其组织溯源技术
93面向溯源的MDATA网络安全知识库维护方法
931基于MDATA网络安全知识库抽取架构
932溯源MDATA知识抽取过程
933溯源知识融合
94基于MDATA模型的攻击溯源方法
941基于MDATA模型的攻击溯源策略
942基于MDATA模型的攻击溯源算法
943一个基于MDATA模型的攻击溯源示例
95本章小结
参考文献
第10章网络安全态势可视化
101网络安全态势可视化的意义和挑战
1011网络安全态势可视化的背景及意义
1012网络安全态势可视化的挑战
102网络安全数据流的可视化分析技术
1021多源数据的可视化分析技术
1022流量数据Netflow的可视化分析技术
103网络安全态势评估的可视化技术
1031网络安全态势评估指数
1032基于电子地图展示网络安全态势评估指数的方法
104网络攻击行为分析的可视化技术
1041多视图协同的攻击行为可视化分析方法
1042预测攻击行为的可视化方法
105本章小结
参考文献
附录A缩略词表
网络空间是构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间开展各类与信息通信技术相关的活动。网络空间的领域边界由直接连向他国网络设备的本国网络设备端口集合构成。网络空间已经成为继陆、海、空、天之后的第五大活动空间,也成为国家之间的一个合作与对抗的新战场。网络空间主权是国家主权在位于其领土之上的信息通信基础设施所承载的网络空间的自然延伸。主权要素致使国家行为在网络空间逐渐占有支配地位,网络空间的主权碰撞,展示出国家间在网络空间日益严重的对抗态势。传统的针对个人、组织、机构乃至行业的网络攻击,也已上升到国家战略的层面。网络空间频频发生严重的安全事件,已经严重影响了社会与政权的稳定和人民生命财产的安全,印证了*总书记关于“没有网络安全就没有国家安全”的重要论断。
21世纪以来,电子技术、信息技术迅猛发展,深刻影响了经济社会发展和现代战争形态。网络环境已由单纯的互联网向涵盖互联网、物联网、传感网、工控网、移动互联网、天地互联网等在内的泛在网迅速拓展,攻击方式也由单一模式向复杂的APT(高级可持续威胁攻击)方向发展。网络攻击的对象由互联网设施转向工业控制设施,是当前网络攻击的一种新趋势。其中,震网病毒开启了针对物理隔离的工业控制网络攻击的先河;“乌克兰停电事件”也成为通过互联网攻击公共服务基础设施的一个经典。
随着网络安全事件越来越频繁地爆发,其后果也越来越严重,使得国家必须像保卫陆、海、空、天一样来保卫网络空间的安全。网络安全保卫的三个主要环节是网络安全态势感知、网络安全事件处置和网络安全保卫效果评估。就是说,首先需要对网络安全态势进行感知,发现网络攻击并且评估这些攻击可能造成的危害;其次是网络安全事件处置,准确、实时遏制事件,找到攻击源头进行反击;后对网络安全事件的发现和处置效果进行评估和反馈,不断提升网络安全保卫能力。因此,网络安全态势感知是网络安全保卫的基础和前提。
态势感知(Situation Awareness,SA)早被用于军事领域。在军事领域,态势感知的目标是使指挥官了解敌我双方的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己知彼、百战不殆的目的。1988年,美国空军前首席科学家Mica REndsley首次给出态势感知的通用定义:“态势感知是在一定的时间和空间条件下,对环境因素的获取、理解以及对未来的发展趋势进行预测。”这个定义把“态势”一分为二:这里的“态”,指的是指当前的整体现状,需要评估安全信息和安全事件,确定攻击的真实性、类型、性质和危害;这里的“势”,是指发展趋势,需要对攻击事件进行深入分析,找出攻击的各个阶段、步骤和发起规模,从而预测未来安全事件的演变趋势。2000年以后,随着网络技术的发展,态势感知逐渐被引入网络安全领域,由此衍生出网络安全态势感知的概念、定义及其相关的计算模型。
一般来说,在网络安全态势感知领域还可区分“感知域”和“非感知域”两个空间:“感知域”是指对已知网络或愿意配合网络的安全态势感知,使之可以基于已知网络的资产、拓扑、漏洞和受到的攻击等信息进行网络安全态势研判;“非感知域”是指未知网络或不愿意配合网络的安全态势感知,难以获得资产、拓扑、漏洞等信息,甚至遭受攻击,其态势感知技术更具挑战性。网络安全态势感知的终极目标是知己知彼,但目前主要的态势感知工作大多是针对感知域开展的,非感知域还处于起步阶段。
态势感知系统应该有3个核心技术目标:一是全面,从全网的角度感知全局和全部的网络安全事件;二是准确,发现有效的网络攻击,去除虚警和误报;三是实时,网络攻击瞬间爆发,实时的检测和实时的评估是网络安全保卫的核心指标。这3个技术指标相互关联,缺一不可。
网络空间安全态势感知的发展分为“基本组件构建阶段”、“基本能力构建阶段”、“安全事件深度检测阶段”和“安全事件预测和溯源阶段”四个阶段。始于20世纪90年代末的“基本组件构建阶段”主要是研究、开发和部署基本的网络安全产品和工具,包括查杀病毒、入侵检测、防火墙等网络安全“老三样”设备,采用基本的安全策略等;始于21世纪初的“基本能力构建阶段”主要是在感知域上建立完备的数据采集、融合以及数据分析能力,基于监控数据进行实时的分析和展示,建立的网络安全运营中心;始于近10年前的“安全事件深度检测阶段”主要是进一步加固关键基础设施网络组件,对各种安全事件,包括APT在内的复杂攻击进行准确、有效的检测,给出网络安全态势感知的实时量化分析;始于5年前的“安全事件预测和溯源阶段”主要是融合感知域和非感知域的、基于全网有效攻击检测、脆弱性分析的实时量化网络安全态势评估,对重大网络安全事件发展趋势进行分析和预测,对网络安全事件进行攻击溯源等。
网络安全态势感知系统的工作流程主要可以分为五大部分:一是数据获取,面向全网进行相关大数据采集、融合和管理;二是安全事件检测,基于所获取的数据进行网络安全事件检测;三是态势评估,基于事件检测结果所发现的安全事件进行网络安全态势评估;四是态势预测与溯源,基于安全事件检测所发现的重大安全事件进行预测和溯源,并与其他安全事件处置系统联动;五是态势可视化,以可视化的方式直观展示网络安全态势感知各个环节的结果。
本书是在贾焰和方滨兴的组织和策划下,由哈尔滨工业大学(深圳)计算机科学与技术学院、国防科技大学计算机学院和广州大学网络空间先进技术研究院等单位相关学者和专家,基于网络安全态势感知领域长期的科研和应用积累,以及广泛的资料调研和分析的基础上共同撰写的。
第1章网络安全态势感知研究背景由王乐和方滨兴负责执笔。该章重点介绍了网络安全态势感知的相关研究背景。讲述了态势感知由“有实无名”到传统态势感知,再到网络安全态势感知的概念发展过程,梳理了网络安全态势感知的作用。阐述了网络安全态势感知的形成过程,提出了网络安全态势感知的“全面感知、准确感知、实时感知”三个方面的要求。
第2章网络安全态势感知系统及案例由贾焰和王乐负责执笔。该章重点介绍了网络安全态势感知系统及案例,详细分析和阐述了网络安全态势感知系统的功能结构,以及实现网络安全态势感知系统的关键技术,分析了包括“龙虾计划”系统、YHSAS系统等在内的几个国内外典型的网络安全态势感知系统。
第3章网络安全数据采集与融合由顾钊铨和方滨兴负责执笔。该章重点介绍了涉及资产维度、漏洞维度、威胁维度的网络安全数据采集方法,讲解了对多源异构的网络安全数据的融合方法,论述了如何通过数据清洗、数据集成、数据规约、数据转换等方法,为分析师提供更有意义的网络安全数据,使其能更加有效地理解网络安全态势,检测潜在的网络攻击,预测网络安全态势的发展趋势。
第4章网络安全态势感知的认知模型由顾钊铨和贾焰负责执笔。该章从分析师理解网络安全态势的认知过程出发,介绍了多种常见的认知模型,提出了一种能对多源异构数据进行关联分析的MDATA模型,阐述了如何将MDATA模型构建的网络安全知识库应用到实用系统中,以实现针对网络安全态势全面、实时、准确的感知,给出了通过雾云计算架构对形成的网络安全知识库进行分布式协同计算的方法。
第5章网络安全态势感知本体体系主要由李润恒和贾焰负责执笔。该章首先建立了一个统一的概念体系,让所有参与态势感知的角色有统一的视角,其次介绍了网络安全态势感知的本体体系,定义了术语与术语间关系的一致性词汇集,定义了具有清晰语义的本体体系,包括网络安全态势感知的本体理论、相关的本体标准、基于MDATA的网络安全态势感知本体模型。
第6章网络安全态势评估的要素和维度由韩伟红和贾焰负责执笔。该章重点从漏洞、威胁和资产三个维度介绍了网络安全态势评估要素的选取方法。这三个维度分别从系统自身的脆弱性、由攻击造成的风险以及系统自身的资产价值等角度反映了网络安全态势。
第7章网络安全态势评估的方法主要由韩伟红和贾焰负责执笔。该章从定性评估和定量评估两个维度来介绍网络安全态势评估方法,其中定量的网络安全态势评估方法重点介绍了基于数学模型的量化评估方法、基于知识推理的量化评估方法和基于机器学习的量化评估方法。
第8章网络安全事件预测技术由李爱平和方滨兴负责执笔。该章介绍了网络安全事件预测的定义、背景、技术难点以及基本模型,讲解了传统的网络攻击预测技术,给出了基于知识推理的网络安全事件预测方法,以便于安全人员更好地预测网络关键资产即将面临的威胁。
第9章网络攻击溯源技术由李爱平和方滨兴负责执笔。该章介绍了网络攻击溯源的概念、研究内容和技术难点,讲解了传统的网络攻击溯源技术,提出了一种面向溯源的MDATA模型知识库构建技术,以及基于MDATA模型知识库的攻击溯源算法。
第10章网络安全态势可视化由李树栋和方滨兴负责执笔。该章介绍了网络安全态势可视化的意义和挑战,详细讲述了网络安全数据流分析的可视化技术、网络安全态势评估的可视化技术以及网络攻击行为分析的可视化技术。
另外,王晔负责全书的合稿和整理等工作,赵丽松、富军编辑对全书进行了认真的校对和修改。本书的撰写还得到了国内外相关专家学者和产学研单位的大力支持,在此一并表示感谢。
编著者
评论
还没有评论。