网络攻防学习笔记 Day95

网络安全保卫的三个主要环节是网络安全态势感知、网络安全事件处置和网络安全保卫效果评估。就是说，首先需要对网络安全态势进行感知，发现网络攻击并且评估这些攻击可能造成的危害；其次是网络安全事件处置，准确、实时遏制事件，找到攻击源头进行反击；最后对网络安全事件的发现和处置效果进行评估和反馈，不断提升网络安全保卫能力。

在网络安全态势感知领域还可区分“感知域”和“非感知域”两个空间：“感知域”是指对已知网络或愿意配合网络的安全态势感知，使之可以基于已知网络的资产、拓扑、漏洞和受到的攻击等信息进行网络安全态势研判；“非感知域”是指未知网络或不愿意配合网络的安全态势感知，难以获得资产、拓扑、漏洞等信息，甚至遭受攻击，其态势感知技术更具挑战性。

网络空间安全态势感知的发展分为“基本组件构建阶段”、“基本能力构建阶段”、“安全事件深度检测阶段”和“安全事件预测和溯源阶段”四个阶段。

网络安全态势感知系统的工作流程主要可以分为五大部分：一是数据获取，面向全网进行相关大数据采集、融合和管理；二是安全事件检测，基于所获取的数据进行网络安全事件检测；三是态势评估，基于事件检测结果所发现的安全事件进行网络安全态势评估；四是态势预测与溯源，基于安全事件检测所发现的重大安全事件进行预测和溯源，并与其他安全事件处置系统联动；五是态势可视化，以可视化的方式直观展示网络安全态势感知各个环节的结果。

网络安全态势感知定义为：对网络系统安全状态的认知过程，包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取，识别出存在的各类网络活动以及其中异常活动的意图，从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解。

防御者通过态势感知应能回答以下三组问题：

（1）网络中是否存在正在进行的攻击？这些攻击是谁发起的？在什么“地方”发起的？正在进行什么操作？

（2）攻击活动对网络或在网络上运行的业务系统会产生什么影响？会造成多大的损失？

（3）网络中曾经发生和正在发生的攻击行为的变化路线是什么？

防御者通过网络安全态势感知应能够回答以下问题：

（1）攻击者的目标是什么？攻击者可能采取什么策略？下一步会采取什么攻击行为？

（2）网络未来可能的安全态势是什么？

网络安全态势感知的意义包括以下四个方面：

（1）不断从攻击事件中汲取经验并用于指导防御活动。

（2）对网络进行持续地安全监测和协同评估。

（3）确定安全威胁风险等级和防御措施优先级。

（4）推动实现态势感知的自动化。

特征信息提取、当前状态分析、发展趋势预测是构成态势感知过程的三个主要阶段，三个阶段并非串行过程，而是同步并行的过程。

网络安全态势感知提出了“全面、准确、实时”三个要求：“全面”即全面感知，从全网角度感知网络安全事件；“准确”即准确感知，准确发现网络攻击、评估危害、预测和溯源；“实时”即实时感知，实时发现、评估、预测和溯源网络攻击。