3dwoo大學簡體電腦書店
網絡空間安全防御與態勢感知
( 簡體 字)
作者:(美)亞歷山大·科特(Alexander Kott)類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵
出版社:機械工業出版社網絡空間安全防御與態勢感知 3dWoo書號: 50471
詢問書籍請說出此書號!
有庫存
NT售價: 495
出版日:12/1/2018
頁數:290
光碟數:0
站長推薦:
印刷:黑白印刷語系: ( 簡體 字 )
ISBN:9787111610533 加入購物車加到我的最愛 (請先登入會員)
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證, 繁體書的下載亦請直接連絡出版社)
譯者序
推薦序
前言
致謝和免責聲明
關于作者
第1章 理論基礎與當前挑戰 1
1.1 引言 1
1.2 網空態勢感知 3
1.2.1 態勢感知的定義 3
1.2.2 網空行動的態勢感知需求 4
1.2.3 態勢感知的認知機制 5
1.3 網空行動中態勢感知所面臨的挑戰 11
1.3.1 復雜和多變的系統拓撲結構 11
1.3.2 快速變化的技術 12
1.3.3 高噪信比 12
1.3.4 定時炸彈和潛伏攻擊 12
1.3.5 快速演化的多面威脅 13
1.3.6 事件發展的速度 13
1.3.7 非整合的工具 13
1.3.8 數據過載和含義欠載 14
1.3.9 自動化導致的態勢感知損失 14
1.3.10 對網空態勢感知挑戰的總結 14
1.4 網空態勢感知的研發需求 15
1.4.1 網絡空間的通用作戰態勢圖 15
1.4.2 動態變化大規模復雜網絡的可視化 17
1.4.3 對態勢感知決策者的支持 17
1.4.4 協同的人員與自主系統結合團隊 17
1.4.5 組件和代碼的檢驗和確認 18
1.4.6 積極控制 19
1.5 小結 19
參考文獻 20
第2章 傳統戰與網空戰 21
2.1 引言 21
2.1.1 從傳統戰場到虛擬戰場的過渡 22
2.1.2 態勢感知的重要性 24
2.1.3 傳統態勢感知 25
2.1.4 網空態勢感知 25
2.2 傳統態勢感知研究示例 25
2.2.1 DARPA的MDC2計劃 26
2.2.2 RAID計劃 27
2.3 傳統態勢感知與網空態勢感知之間具有指導意義的相似點與巨大差異 28
2.3.1 傳統態勢感知與網空態勢感知有力地影響任務結果 29
2.3.2 認知偏差會限制對可用信息的理解 30
2.3.3 信息的收集、組織與共享難以管理 32
2.3.4 協作具有挑戰性 33
2.3.5 共享的圖景無法保證共享的態勢感知 34
2.4 小結 34
參考文獻 35
第3章 形成感知 37
3.1 引言 37
3.2 網空防御過程 38
3.2.1 當前的網空環境 38
3.2.2 網空防御過程概覽 38
3.2.3 網空防御角色 40
3.3 態勢感知的多面性 41
3.4 相關領域的發展現狀 44
3.5 態勢感知框架 46
3.6 小結 49
參考文獻 50
第4章 全網感知 51
4.1 引言 51
4.1.1 網空態勢感知形成的過程 51
4.1.2 網空態勢感知的輸入和輸出 53
4.1.3 態勢感知理論模型 53
4.1.4 當前網空態勢感知存在的差距 54
4.2 在網絡上下文中的網空態勢感知 55
4.3 網絡運營及網空安全的態勢感知解決方案 55
4.4 態勢感知的生命周期 56
4.4.1 網絡感知 56
4.4.2 威脅/攻擊感知 57
4.4.3 運營/任務感知 57
4.5 對有效網空態勢感知的需求 58
4.6 對有效網空態勢感知的概述 59
4.6.1 對網絡進行計量以獲得有效網空態勢感知所需的數據 60
4.6.2 根據當前態勢感知預測將來 61
4.6.3 實現有效網空態勢感知的可能途徑 61
4.7 實現有效網空態勢感知 62
4.7.1 用例:有效網空態勢感知 63
4.7.2 實現全網感知 64
4.7.3 實現威脅/攻擊感知 69
4.7.4 實現任務/運營感知 72
4.8 未來方向 76
4.9 小結 77
參考文獻 78
第5章 認知能力與相關技術 79
5.1 引言 79
5.2 網空世界的挑戰及其對人類認知能力的影響 82
5.3 支持分析師檢測入侵行為的技術 84
5.4 ACT-R認知架構 85
5.5 基于實例的學習理論和認知模型 88
5.6 在理解網空認知需求方面的研究差距 90
5.6.1 認知差距:將認知架構機制映射至網空態勢感知 90
5.6.2 語義差距:整合認知架構與網空安全本體模型 91
5.6.3 決策差距:體現在網空世界中的學習、經驗累積和動態決策制定方面 93
5.6.4 對抗差距:體現在對抗性的網空態勢感知和決策制定方面 94
5.6.5 網絡差距:處理復雜網絡和網空戰 95
5.7 小結 97
參考文獻 98
第6章 認知過程 103
6.1 引言 103
6.2 文獻綜述 108
6.2.1 認知任務分析 108
6.2.2 基于案例推理 108
6.3 對認知推理過程進行信息采集和分析的系統化框架 111
6.3.1 分析推理過程的AOH概念模型 111
6.3.2 AOH對象及其彼此間關系可表達分析推理過程 112
6.3.3 對分析推理過程的信息采集 112
6.3.4 可從認知軌跡中提取出以AOH模型表達的推理過程 114
6.4 專業網絡分析師案例研究 115
6.4.1 采集認知軌跡的工具 115
6.4.2 為收集專業網絡分析師認知軌跡而展開的人員實驗 115
6.4.3 認知軌跡 118
6.4.4 不同水平分析師的認知軌跡有什么特點 122
6.5 小結 125
參考文獻 126
第7章 適應分析師的可視化技術 129
7.1 引言 129
7.2 可視化設計的形式化方法 131
7.3 網空態勢感知的可視化 132
7.3.1 對安全可視化的調研 133
7.3.2 圖表和地圖 134
7.3.3 點邊圖 134
7.3.4 時間軸 135
7.3.5 平行坐標系 135
7.3.6 樹形圖 137
7.3.7 層次可視化 138
7.4 可視化的設計理念 139
7.5 案例研究:對網絡告警的管理 140
7.5.1 基于Web的可視化 141
7.5.2 交互的可視化 141
7.5.3 分析師驅動的圖表 141
7.5.4 概覽+細節 143
7.5.5 關聯的視圖 144
7.5.6 分析過程示例 145
7.6 小結 148
參考文獻 148
第8章 推理與本體模型 150
8.1 引言 150
8.2 場景 151
8.3 場景中人員展開的分析 152
8.4 網空安全本體模型的使用概要 153
8.4.1 本體模型 153
8.4.2 基于本體模型的推導 155
8.4.3 規則 156
8.5 案例研究 157
8.5.1 網空安全本體模型 157
8.5.2 概述基于XML的標準 160
8.5.3 將網空安全XML提升為OWL 161
8.5.4 STIX本體模型 163
8.5.5 其他本體模型 166
8.6 APT測試用例 170
8.6.1 測試網絡 171
8.6.2 規則 173
8.6.3 基于推導的威脅檢測 174
8.7 網空安全領域中其他與本體模型相關的研究工作 174
8.8 經驗教訓和未來工作 176
8.9 小結 178
參考文獻 178
第9章 學習與語義 183
9.1 引言 183
9.2 NIDS機器學習工具的分類 185
9.3 機器學習中的輸出與內部語義 187
9.4 案例研究:ELIDe和漢明聚合 189
9.4.1 ELIDe 190
9.4.2 漢明距離聚合 192
9.5 小結 196
參考文獻 197
第10章 影響評估 200
10.1 引言 200
10.1.1 高級威脅與影響評估的動機 201
10.1.2 已有的告警關聯研究 202
10.1.3 工作任務影響評估方面的已有研究成果 206
10.1.4 計算機網絡建模 208
10.2 自上而下的設計 209
10.2.1 模型設計——工作任務定義 211
10.2.2 模型設計——環境建模 213
10.2.3 可觀察對象設計 215
10.3 小結 216
參考文獻 218
第11章 攻擊預測 219
11.1 引言 219
11.2 用于威脅預測的網絡攻擊建模 222
11.2.1 基于攻擊圖和攻擊計劃的方法 222
11.2.2 通過預估攻擊者的能力、機會和意圖進行攻擊預測 223
11.2.3 通過學習攻擊行為/模式進行預測 225
11.3 待解決問題和初步研究 228
11.3.1 攻擊建模中混淆的影響 228
11.3.2 以資產為中心的攻擊模型生成 231
11.3.3 評價網絡攻擊預測系統的數據需求 236
11.4 小結 237
參考文獻 238
第12章 安全度量指標 241
12.1 引言 241
12.2 網空態勢感知的安全度量指標 242
12.2.1 安全度量指標:是什么、為何需要、如何度量 242
12.2.2 網絡空間中態勢感知的安全度量 245
12.3 網絡漏洞和攻擊風險評估 251
12.3.1 漏洞評估的安全度量指標 251
12.3.2 攻擊風險的建模與度量 254
12.4 網空影響與工作任務的相關性分析 255
12.4.1 從工作任務到資產的映射與建模 256
12.4.2 對工作任務的網空影響分析 259
12.5 資產的關鍵性分析與優先級排序 262
12.5.1 基于AHP的關鍵性分析 262
12.5.2 基于優先級的網格分析 263
12.6 未來工作 265
12.7 小結 266
參考文獻 266
第13章 工作任務的彈性恢復能力 269
13.1 引言 269
13.2 概覽:可彈性恢復網空防御 271
13.2.1 復雜系統中的彈性恢復行為 271
13.2.2 對以工作任務為中心和可彈性恢復網空防御的理解 271
13.2.3 相關研究成果回顧 272
13.3 基于網空態勢感知的可彈性恢復網空防御方法 273
13.3.1 通用的態勢感知與決策支持模型 273
13.3.2 整合的網空-物理態勢管理架構 275
13.4 對工作任務、網空基礎設施和網空攻擊的建模 276
13.4.1 工作任務建模 276
13.4.2 網空地形 278
13.4.3 面向影響的網空攻擊建模 279
13.5 網空態勢感知和可彈性恢復網空防御 280
13.5.1 網空態勢感知過程 280
13.5.2 對目標軟件的影響評估 281
13.5.3 工作任務影響評估 282
13.6 合理可能的未來任務影響評估 284
13.6.1 合理可能未來網空態勢的原理 284
13.6.2 合理可能的未來任務影響評估過程 286
13.7 通過適應調整取得工作任務的彈性恢復能力 287
13.7.1 聯邦式多代理系統的適應調整 287
13.7.2 保持適應調整策略的工作任務彈性恢復能力 288
13.8 小結 289
參考文獻 290
第14章 結束寄語 293
14.1 挑戰 293
14.1.1 網絡空間中的人類執行者 294
14.1.2 網空攻擊的高度不對稱性 294
14.1.3 人類認知與網空世界之間的復雜性失配 295
14.1.4 網空行動與工作任務之間的分離 296
14.2 未來的研究 296
本書是一部關于網絡空間安全防御與態勢感知的專題學術文章合集,全面覆蓋網絡空間安全態勢感知研究的理論要點,并包括豐富的面向實踐的實驗數據和經驗教訓資料,對從事網絡空間安全態勢感知研究與開發工作的讀者極具指導作用,對廣大網絡安全從業人員也有較大的參考價值。

為深入解讀本書內容,本書第一譯者黃晟和安天首席架構師肖新光傾力作序。黃晟老師在序中系統回答了網絡空間防御為什么需要態勢感知、網絡空間安全態勢感知是什么、如何實現網絡空間安全態勢感知、如何圍繞網空防御人員實現態勢感知,以及支持實現態勢感知的系統形態是什么五個問題。肖新光老師的序則從對手的變化、視角的變化、思路的變化、效果的變化四個維度,以安天為例梳理了網絡安全企業在態勢感知技術解決方案研發和推廣實踐過程中的經驗和教訓。

本書主要內容:

網空態勢感知的重要性和主要特征

在網空防御過程的不同階段如何形成態勢感知

人類認知能力與態勢感知的融合

網空態勢感知的可視化

本體模型、機器學習與態勢感知應用

理解感知環境中的元素及其關系,并預測未來情境

態勢感知的量化評價方法

態勢管理以及工作任務的彈性恢復能力
Alexander Kott、Cliff Wang和Robert F. Erbacher

對于高度網絡化的社會,網絡空間安全已經成為我們所面臨的主要挑戰之一。個人、企業和政府越來越關心網絡犯罪、網絡間諜活動和網空戰爭對他們造成的成本消耗和威脅。在網空防御領域,態勢感知(SA)尤為重要。態勢感知與科學和技術相關,也與在相關環境下對實體和事件進行觀察、理解和預測的實踐相關;而在我們討論的上下文中,這個相關的環境就是網絡空間。在航空、工廠運營或應急管理等領域,達到態勢感知狀態并不容易。在相對“年輕”的網空防御領域,實體和事件這些概念與傳統物理現象有較大差異,這種情況下更難達到態勢感知狀態,而且也難以理解其含義。

我們(此處及后續的“我們”是指本書的所有合著者)以第1章作為全書的開頭,介紹網空行動操作員如何形成態勢感知,以及分析網空行動中支持態勢感知的要求。基于這一領域的獨特挑戰,我們確定了在研發方面的幾個關鍵推進點,并進一步探討了這些要點,從而提供工具以有效地支持網空行動操作員的態勢感知和決策制定。該章解釋了為什么網空態勢感知的形成對確保實現有效的網絡防御和安全的網空行動至關重要。系統拓撲結構高度復雜多變,相關技術飛速發展,噪信比高,從攻擊插入到實施破壞之間可能有較長的時間周期,多方面的威脅快速演變,事件發生的速度超出人類處理的極限,孤立非整合的工具達不到態勢感知的需求,數據過載而數據含義卻欠載,自動化所帶來的挑戰……上述諸多因素限制了當前網空行動中的網空態勢感知。

雖然在網空安全領域態勢感知是一個比較新的話題,但態勢感知在控制復雜企業的運營和傳統戰爭等方面的研究和應用卻有較長歷史。基于這一原因,態勢感知在傳統的軍事沖突或敵我交戰等方面,比在網空對抗中更廣為人知。通過探索傳統戰爭(也稱作動能戰)中態勢感知的內涵,我們可以獲得與網空沖突相關的見解和研究方向。這些內容是本書第2章的主題。這一章討論了傳統戰爭中態勢感知的本質,回顧了關于傳統態勢感知(KSA)的現有知識,然后將其與對網空態勢感知(CSA)的當前理解進行比較。我們發現傳統態勢感知和網空態勢感知所面臨的挑戰與機遇是相似的,或者至少在某些重要方面是在同一方向上的。關于兩者的相似之處,在傳統和網絡空間世界里,態勢感知都會嚴重影響到任務的完成效果。同樣,在傳統態勢感知和網空態勢感知中也存在認知偏差。作為兩者之間差異的一個例子,傳統態勢感知通常依賴于被普遍接受并廣泛使用的組織化表現形式,例如戰場的地形圖。目前,在網空態勢感知中還未出現這類通用的表現形式。

在討論了網空態勢感知的重要性和主要特征之后,我們進一步探討它是如何形成的。網空態勢感知的形成是一個復雜的過程,需要經過許多不同的階段并產生一系列不同的輸出。承擔不同角色的人員使用多樣化的規程和計算機化的工具來推動上述過程的進行。第3章將探討在網空防御過程的不同階段中如何形成態勢感知,并描述在態勢感知的生命周期中涉及的不同角色。此外,該章概述了網空防御的整體過程,進而識別出了在網空防御上下文中態勢感知的若干個獨特方面。該章還詳細描述了作者開發的網空態勢感知綜合框架,并概述了相關領域的現狀與發展。我們重點強調了網空態勢感知中五大關鍵功能的重要性:從攻擊中吸取經驗、指定優先級、設定度量指標、持續診斷與緩解以及自動化機制。

第4章將繼續圍繞“如何形成感知”這一主題,同時專注于面向全網整體網絡視圖的一種特定類型的態勢感知。我們使用“宏觀態勢感知”這個術語來表示基于網絡整體動態的一種態勢感知,這種態勢感知將網絡視為單一“有機體”,并對個體元素或個體事件進行匯總觀察;這與網空態勢感知正好相反,網空態勢感知聚焦于網絡資產或網絡行為的單個原子級元素,例如單個可疑網絡包、對潛在入侵行為的告警或易受攻擊的計算機等。另一方面,原子級的事件可能對整個網絡的運行產生廣泛的影響。這意味著網空態勢感知的范圍必須同時涵蓋“微觀”視角與“宏觀”視角。獲得全網感知的過程包含對網絡資產和防御能力的發現與枚舉,以及對威脅和攻擊的感知。我們認為有效的網空態勢感知必須聚焦于對決策制定、協同機制和資源管理的完善,并討論了達到有效全網態勢感知的方法。

因為人類認知能力以及相關支撐技術是網空態勢感知的核心,所以這是第5章的重點內容。為了闡明人類態勢感知中信息整合技術和計算表達方面的挑戰和方法,該章聚焦于入侵檢測的過程。我們認為有效開發能夠以符合人類認知的方式形成網空態勢感知的技術和過程,需要引入認知模型,即形成態勢感知和處理決策制定信息所涉及的認知結構和機制的動態與可自適應計算表達。雖然經常認為可視化和機器學習是加強網空態勢感知的重要方法,但是我們指出當前狀態下它們在態勢感知方面的發展和應用存在一些局限。目前,我們在理解網空態勢感知的認知需求方面存在一些知識差距,包括:缺少一個在認知架構下的網絡態勢感知理論模型;決策差距,表現在網絡空間中的學習機制、經驗和動態決策制定方面;語義差距,涉及能夠在安全社區中形成共同認識的一種通用語言以及一套基本概念。

因為認識到我們對網空分析師的認知推理過程的理解有限,所以第6章將重點討論彌合這一知識差距的方法。首先,這一章總結了基于先前認知任務分析成果而產生的對網空分析師認知過程的理解。然后,討論了采集記錄“細粒度”認知推理過程的重要性和挑戰。接著,通過呈現一個對網空分析師的認知推理過程進行非侵入式采集記錄和體系化分析的框架,闡述解決上述挑戰的方法。該框架包含一個概念模型,非侵入式采集記錄網空分析師認知軌跡的實踐方法,以及通過分析認知軌跡來提取網空分析師的推理過程的實踐方法。該框架可以用于開展提取專業網空分析師認知推理過程的實驗研究。當有可用的認知軌跡時,就可以分析其特性并與分析師的表現做出比較。

在許多領域中,數據可視化和分析產品有助于分析復雜的系統和活動。分析師通過圖像來利用其視覺觀察能力識別出數據中的特征,并應用其領域知識。同樣,我們也可以預期采用類似的方式幫助網空分析師在實踐中形成復雜網絡的態勢感知。第5章介紹了與可視化相關的主題,包括以網空分析師為代表的用戶的重要作用,以及可視化的誤區和局限性等。第7章將詳細介紹用于網空態勢感知的可視化。首先,該章概述科學可視化和信息可視化,以及近期用于網空態勢感知的可視化系統。然后,基于與專家級網空分析師所展開的大量討論,我們為待選的可視化系統推導整理出一系列要求。最后,對一個能夠滿足上述要求并且基于Web的工具進行案例研究,以結束該章內容。

可視化的重要性并不會弱化算法分析在實現網空態勢感知方面的關鍵作用。算法能夠對大量的網空觀察結果和數據進行推理,并推斷出有助于分析師和決策者形成態勢感知的重要情境特征。為了實現推理并使推理結果有益于其他算法和人類用戶,算法的輸入與輸出需要遵循包含明確術語定義及其相互關系的一致詞匯表,即需要一個具有清晰語義和標準的本體模型。這是第8章的重點主題。第5章中提到了語義的重要性,這里將詳細討論在網空行動中如何應用基于本體模型的推斷來確定威脅的來源、目標和企圖,以確定潛在的行動方案和對未來可能造成的影響。由于在網空安全領域不存在一套綜合全面的本體模型,因此該章將展示如何利用現有的網空安全相關標準和標記語言開發一個本體模型。

第9章進一步闡述了與推理相關的問題,并聚焦于機器學習這一對網空信息處理非常重要的特定類型算法。該章繼續圍繞本體模型和語義進行討論,探討了算法的有效性與算法產出物的語義清晰度之間的折中關系。通常情況下,不易于從機器學習算法中提取有意義的上下文信息,因為那些具有高準確性的算法經常使用人類難以理解的表達方式。另一方面,那些使用更易于理解的詞匯進行表達的算法可能不太準確,會產生更多的虛假告警(誤報)并給分析師帶來困惑。因此,算法的內部語義與其輸出的外部語義之間存在折中關系。該章將通過兩個案例研究來闡明這種折中關系。網空態勢感知系統的開發人員必須意識到這些折中關系,并設法妥善處理。

如第1章所述,第2級態勢感知稱為“理解”,用于確定某個情境中各元素相對于其他元素和網絡總體目標的重要性,以及它們之間的關系。這也常常稱為態勢理解,包含根據觀察到的信息所解讀的“那意味著什么”問題。本書之前的章節沒有重點討論這一層級的態勢感知。因此,第10章對第2級網空態勢感知“理解”進行具體闡述。該章解釋了理解情境中不同元素之間重要關系的有效途徑是專注于分析這些元素如何影響網絡的任務。這需要提出并解答一系列問題,包括:疑似攻擊之間有什么關系,疑似攻擊與網絡組件的剩余能力有什么關系,以及攻擊導致的服務中斷和服務降級會如何影響任務的元素和任務的總體目標。

在討論了第2級態勢感知后,第11章繼續討論第3級態勢感知。態勢感知的最高層級是預測,包含推斷當前情境將如何演化至未來情境,以及對情境中未來元素的預期。在網空態勢感知的上下文中,對未來的網空攻擊或網空攻擊未來階段的預測至關重要。攻擊過程通常需要較長的時間周期,涉及大量的偵察、攻擊利用和混淆活動,以達到網空間諜活動或破壞的目的。對未來攻擊行動的預期通常以當前觀察到的惡意活動為推導基礎。該章回顧了現有最先進的網絡攻擊預測技術,然后解釋了如何評估正在進行的攻擊策略,并據此預測網絡關鍵資產即將面對的威脅。這些預測需要根據網絡和系統的漏洞信息分析可能的攻擊路徑,需要了解攻擊者的行為模式,需要持續地學習或了解新的模式,以及需要有能力看穿攻擊者的混淆和欺騙行為。

前幾章主要圍繞如何提高網空態勢感知以及討論所面臨的挑戰。然而,我們目前還未提到如何對可能實現的改進進行量化評價。實際上,為了取得對網絡安全的準確評估,并提供足夠的網空態勢感知,簡單但有含義的度量指標是必不可少的,正如第12章所述。“如果無法度量,則無法有效管理。”這句格言也闡明了這一理念。如果缺乏良好的度量指標和相應的評價方法,安全分析師和網空運行人員就無法準確地評估和度量網絡的安全狀態以及判斷網絡運行是否成功。特別注意該章探討的兩個不同的問題:如何定義和使用度量指標,并將其作為量化特征來表達網絡的安全狀態;如何從防御者角度出發定義和使用度量指標來衡量網空態勢感知。

本書最后幾章討論了實現網空態勢感知的最終目標。第13章指出,網空態勢感知的最終目標是實現態勢管理,即持續調整網絡及網絡所支撐的任務,以確保任務能夠繼續實現目標。事實上,前幾章強調網空態勢感知存在于具體任務的上下文中,并且服務于任務目標。能夠“吸收”攻擊并繼續恢復到可接受執行水平的任務稱為彈性恢復任務。網空態勢感知的目的是維護任務的彈性恢復能力。該章解釋了以任務為中心的彈性網空防御應當基于兩個相互作用的動態過程的集體行為和自適應行為,這兩個動態過程是網絡空間中的網空態勢管理,以及物理空間中的任務態勢管理。還討論了這種互相自適應過程的架構和支撐技術。采用這種架構,即使支撐任務的網絡受到網空攻擊的破壞,任務依然可以持續進行。
pagetop