扫码订阅《中国信息安全》杂志
邮发代号 2-786
征订热线:010-82341063
一、监测预警工作基本框架
以在海关业务场景下所展开的监测预警工作为例,在该场景的监测预警工作中融合了多种技术,满足了海关安全检查、安全防御、应急响应、攻防演练和协同作战等多个场景的需求。如下图所示。
图 基于海关业务场景的监测预警工作基本框架
二、强化网络空间测绘,摸清家底认清风险
“只有摸清家底,才能认清风险”。关键信息基础设施安全监测预警首要的工作就是摸清关键信息基础设施的“家底”,即对关键信息基础设施资产情况进行全面的了解。网络空间测绘技术借鉴了地理测绘中的描绘方式,通过探测、数据挖掘和算法分析等,发现识别网络空间基础设施和设备,并基于地理信息和逻辑关系进行图形绘制,最终直观展现出网络空间资产、属性、状态和安全态势等信息。网络测绘技术能够基于多维度的信息对不同的设施资产进行深层次关联并还原拓扑结构,有利于高效的管理和监测。
三、完善安全信息收集,智能驱动研判分析
对安全监测预警来说,信息收集技术相当于伸向关键信息基础设施的“神经触手”,对各设施进行感知接触。信息收集技术是目标设施连接到安全监测预警系统的关键纽带,负责对设施的具体运行状态的信息和威胁信息进行收集,以驱动后续的分析研判,可分为两个方面:本身脆弱性信息和外部威胁信息。
四、探索异构形态蜜罐,提升欺骗防御能力
除了以上的信息采集技术,还可以使用一些方法在设施的外部或者边界进行信息采集。例如,从防火墙等防护设备中采集已拦截的威胁信息。此外,还可以通过设置蜜罐对威胁信息进行诱捕。蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为。蜜罐本身的设置就是为了引诱和搜集信息,因此蜜罐所产生的所有流量都预示着安全风险和恶意行为。近年来,蜜罐技术与人工智能技术相结合后表现出了更高的隐蔽性和学习性。还有些蜜罐技术与遗传演化计算结合,使蜜罐具备自适应、自组织、自演化等优势,从而可以更高效、隐蔽地对威胁信息进行收集。
五、平战结合态势感知,提升决策支撑能力
态势感知技术为检测预警技术提供类似“大脑”的功能,在收集到关键信息基础设施的多方信息后,对繁杂的信息进行处理、挖掘、分析和研判。包括对设施目前所处状态的评估和后续状态趋势的预测,以达到监测和预警的效果。
六、高效利用威胁情报,实现防御能力协同
威胁情报技术在安全监测预警中也是重要的一环,其在安全态势感知的过程中发挥着强大作用。威胁情报是从安全数据中提炼的与网络空间威胁相关的信息,如威胁来源、威胁能力、威胁意图、威胁目标和威胁手法等,还包括用于解决威胁或应对危害的知识,相应的数据共享交换机制及智能处理技术。威胁情报旨在为防御者提供有关于攻击者的知识,帮助防御者了解攻击者在防御者环境中的行动、攻击者的能力和攻击手法,进而从攻击者身上获得相关经验教训,以更好地识别威胁和做出响应,实现“一处发现、全局共享、全网防御”。在体系化的防护模式中,态势感知位于中上游环节,向下需要依托于一定的基础防护能力,向上需要广泛收集情报并有效利用,因此情报的应用是态势感知的重要环节。
七、及时准确预警通报,强化事件应急处置
对关键信息基础设施的环境要素、信息进行处理分析后,会产生来自不同设施以及不同时间节点的威胁告警信息,这些离散的初始告警信息需要经过预警通报技术进一步的分析和处理后,才能报送呈现给运营管理者。这其中的核心技术是告警关联。告警关联的方法可以根据不同的场景进行选取,其中基于模型语言的关联方法是在知识库中明确攻击事件关联关系,该类方法需要人工描述攻击场景,具有简单高效的特点,但只能识别已知的攻击场景。并且,该方法对于漏告警比较敏感,存在漏报时无法将告警信息有效关联的问题。基于隐马尔科夫模型的关联方法则适用于攻击步骤的时间跨度较大、有多种相似类型、难以准确提供复杂攻击训练数据的应用场景。基于相似度的关联方法是通过建立相似度评估函数,依赖告警信息的属性进行相似度评估实现告警关联。另外,针对不同时间节点的告警信息可使用时间序列方法来解决,如自然语言处理领域常用的 LSTM 方法等,对告警的时间依赖关系进行挖掘,以此来关联时序上的告警信息。大多数的告警关联系统都会将多种方法相结合,以适应和解决可能出现的各种意外情况。
(本文刊登于《中国信息安全》杂志2022年第9期)
《中国信息安全》杂志 倾情推出
“企业成长计划”
点击下图 了解详情
原文始发于微信公众号(中国信息安全):专题·关基保护 | 关键信息基础设施安全监测预警技术探析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论