Código fuente del indicador de ataque trivial
En términos generales, el conocimiento de la situación puede obtener, comprender, mostrar y predecir la tendencia de desarrollo futuro de los elementos de seguridad que pueden provocar cambios en el estado del sistema en un entorno de sistema a gran escala. La introducción de operaciones conjuntas y guerras centradas en redes ha promovido el surgimiento y el desarrollo continuo de la conciencia situacional. Como plataforma importante y base material para lograr la conciencia situacional, los mapas situacionales tienen requisitos y características complejos para los datos y la información, lo que plantea un importante problema de big data. Pensar desde la perspectiva de big data y resolver los problemas de procesamiento de información que enfrenta la conciencia situacional son métodos importantes para estudiar la conciencia situacional en operaciones conjuntas. Al analizar los tipos de datos, las estructuras y las características de la conciencia situacional en operaciones conjuntas, se concluye que la conciencia situacional enfrenta desafíos de big data. Se discutieron preliminarmente los problemas que pueden necesitar solución y los requisitos de aplicación de la tecnología de la información de vanguardia. Finalmente, se estudian técnicas clave de procesamiento de datos e información. Esta investigación tiene un valor exploratorio importante para la investigación de "grandes datos" en el campo del procesamiento de información militar y la toma de decisiones digitales.
Materiales de referencia relevantes (extractos en línea):
1 Introducción
Con el rápido desarrollo de la tecnología informática y de las comunicaciones, la aplicación de las redes informáticas se está volviendo cada vez más más generalizada. La escala también es cada vez mayor. Las amenazas a la ciberseguridad y los riesgos de seguridad en múltiples capas también están aumentando. Las amenazas y pérdidas causadas por virus de red y ataques Dos/DDos están aumentando, y los ataques de red se están volviendo distribuidos, de gran escala y complejos. Depender únicamente de una única tecnología de protección de la seguridad de la red, como firewalls, detección de intrusiones, antivirus y control de acceso, ya no puede satisfacer las necesidades de seguridad de la red. Existe una necesidad urgente de nuevas tecnologías para detectar eventos anormales en la red de manera oportuna, comprender el estado de seguridad de la red en tiempo real y convertir las cosas que se han solucionado antes y después del evento en evaluación y predicción automáticas de antemano, reduciendo así riesgos de seguridad de la red y mejorar las capacidades de protección de la seguridad de la red.
La tecnología de conciencia situacional de ciberseguridad puede integrar varios factores de seguridad, reflejar dinámicamente la situación general de seguridad de la red y predecir y advertir las tendencias de desarrollo de la seguridad de la red. Las características únicas de la tecnología de big data, como el almacenamiento masivo, la computación paralela y las consultas eficientes, han creado oportunidades para avances en la tecnología de conciencia situacional de seguridad de redes a gran escala. Con la ayuda del análisis de big data, se pueden analizar, procesar y extraer en profundidad miles de registros de red y otra información automáticamente para analizar y evaluar el estado de seguridad de la red, percibiendo así eventos anormales y la situación general de seguridad en la red.
2 Conceptos relacionados con la situación de seguridad de la red
2.1 Conciencia situacional de la red
El concepto de conciencia situacional fue propuesto por Endsley en 1988. SA es la adquisición, comprensión y predicción a corto plazo de factores ambientales en un tiempo y espacio determinado. Todo el proceso de conciencia situacional se puede representar intuitivamente mediante el modelo de tres niveles que se muestra en la Figura 1.
La denominada situación de la red se refiere al estado actual y la tendencia cambiante de toda la red, que consiste en el estado operativo de varios equipos de la red, el comportamiento de la red y el comportamiento del usuario.
El conocimiento de la situación de red (CSA) fue propuesto por primera vez por Tim Bass en 1999. El conocimiento de la situación de la red es una tendencia de desarrollo reciente en la obtención, comprensión, visualización y predicción de factores de seguridad que pueden causar cambios en la situación de la red en entornos de red a gran escala.
La situación es un estado, una tendencia y un concepto general y global. No existe una situación o estado único que pueda denominarse situación. Por tanto, la comprensión de la situación pone especial énfasis en el entorno, la dinámica y el conjunto. El entorno se refiere al entorno de aplicación de la conciencia situacional, que es una red de cierta escala dentro de un alcance más amplio, lo que significa que la situación cambia con el tiempo, y la información situacional no solo incluye los estados pasados y presentes, sino que también predice la integridad de las tendencias futuras; es la relación entre entidades situacionales. La manifestación de las relaciones. Los cambios en el estado de algunas entidades de la red afectarán el estado de otras entidades de la red, afectando así la situación de toda la red.
2.2 Conciencia de la situación de seguridad de la red
La conciencia de la situación de seguridad de la red es el uso de tecnologías de fusión de datos, minería de datos, análisis inteligente y visualización para mostrar intuitivamente el estado de seguridad de la red en tiempo real. entorno y proporcionar una base para la seguridad de la red.
Los principales métodos para extraer características de la situación de seguridad de la red incluyen el proceso de jerarquía analítica, el proceso de jerarquía analítica difusa, el método Delphi y el método de análisis integral.
3.4 Tecnología de predicción de situaciones
La predicción de situaciones de ciberseguridad es una parte importante del conocimiento de la situación de seguridad de la red. Utiliza teorías científicas, métodos y diversas experiencias, juicios y conocimientos para especular, estimar y analizar. sus posibles cambios en un determinado periodo de tiempo en el futuro. La postura de seguridad de la red en diferentes períodos está interrelacionada y los cambios en la postura de seguridad tienen ciertas leyes inherentes. La postura de seguridad de la red futura se puede predecir, de modo que las políticas de seguridad se pueden configurar de manera predecible y se puede lograr una gestión dinámica de la seguridad de la red. y la seguridad de la red a gran escala puede evitar la ocurrencia de eventos. Los métodos de predicción de la situación de seguridad de la red incluyen principalmente métodos de predicción de redes neuronales, métodos de predicción de series de tiempo y métodos de predicción basados en la teoría gris.
3.5 Tecnología de visualización
La generación de la situación de seguridad de la red consiste en mostrar el estado actual y las tendencias futuras en función de los resultados del análisis de una gran cantidad de datos, pero es difícil de encontrar a través de los métodos tradicionales. texto o representación gráfica simple. Información útil y crítica. La tecnología de visualización es la teoría, el método y la tecnología que utiliza gráficos por computadora y tecnología de procesamiento de imágenes para convertir datos en gráficos o imágenes y mostrarlos en la pantalla para su procesamiento interactivo. Implica gráficos por computadora, procesamiento de imágenes, visión por computadora, diseño asistido por computadora y otros campos. Actualmente, muchos estudios han aplicado tecnología de visualización y herramientas de visualización al campo de la conciencia situacional. En cada etapa del conocimiento de la situación de seguridad de la red, aproveche al máximo los métodos de visualización para integrar la situación de seguridad de la red en un mapa de situación de seguridad de la red coherente, descubra rápidamente las amenazas a la seguridad de la red y comprenda intuitivamente la situación de la seguridad de la red.
4. Conciencia de la situación de seguridad de la red basada en registros de múltiples fuentes
Con la expansión de la escala de la red y el aumento de la complejidad de los ataques a la red, detección de intrusiones, firewalls y antivirus. y auditorías de seguridad, etc. Los dispositivos de seguridad son ampliamente utilizados en las redes. Aunque estos dispositivos de seguridad desempeñan un cierto papel en la seguridad de la red, tienen grandes limitaciones, que se reflejan principalmente en los siguientes aspectos: Primero, las alarmas y registros masivos de varios dispositivos de seguridad tienen niveles semánticos bajos y alta redundancia, y el espacio de almacenamiento es grande. y hay una gran cantidad de falsas alarmas, lo que hace que la información de alarma real se ahogue. En segundo lugar, la mayoría de los dispositivos de seguridad tienen una única función y generan información de alarma en diferentes formatos, lo que dificulta el análisis y la organización integral de la información y no pueden compartir información ni interactuar con los datos, lo que da como resultado que la eficacia protectora general de los dispositivos de seguridad no se utilice plenamente. . En tercer lugar, los resultados del procesamiento de cada dispositivo de seguridad solo pueden reflejar el estado operativo de un determinado aspecto de la red, y es difícil proporcionar información completa e intuitiva sobre el estado general de seguridad y las tendencias de la red. Para superar eficazmente estas limitaciones de la gestión de la seguridad de la red, proponemos un conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes.
4.1 Adquisición de elementos de conocimiento de la situación de seguridad de la red basados en registros de múltiples fuentes
El conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes es la información de registro proporcionada por varios dispositivos de seguridad implementados en el red Realice extracción, análisis y procesamiento para lograr el monitoreo en tiempo real de situaciones de red, identificar y advertir ataques de red potenciales y maliciosos, aprovechar al máximo la efectividad general de cada dispositivo de seguridad y mejorar las capacidades de gestión de seguridad de la red.
El conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes recopila principalmente registros de firewall, registros de detección de intrusiones, registros de host clave e información de vulnerabilidad del host en la entrada de la red. Al fusionar y analizar esta información de registro de diferentes dispositivos, podemos extraer de manera integral y profunda información real y efectiva relacionada con la situación de seguridad de la red, lo cual es diferente de analizar el estado de seguridad de la red basándose solo en una única fuente de registro.
En comparación con la situación, se puede mejorar la amplitud y precisión de la situación de seguridad de la red.
4.2 Utilice big data para el análisis y procesamiento de registros de múltiples fuentes
El conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes recopila varios métodos de detección y mecanismos de informe de eventos en varios dispositivos de seguridad. muchos datos. Sin embargo, esta información diaria original es masiva, redundante y errónea, y no puede utilizarse como fuente de información directa para el conocimiento de la situación. Debe procesarse mediante análisis de correlación y fusión de datos. ¿Qué tecnología se puede utilizar para analizar y procesar rápidamente estos datos masivos y diversos?
La aparición del big data ha ampliado los recursos informáticos y de almacenamiento.
La diversidad de big data en sí admite tres características: formatos de datos de varios tipos, almacenamiento de datos de gran capacidad y procesamiento rápido, que son exactamente lo que se necesita para el análisis y el procesamiento del conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes. El formato de datos de múltiples tipos de big data puede permitir el conocimiento de la situación de seguridad de la red para obtener más tipos de datos de registro, incluidos registros de red y dispositivos de seguridad, información de operación de la red, registros de servicios y aplicaciones, etc. El almacenamiento masivo de datos de big data es exactamente lo que se necesita para el almacenamiento y procesamiento de registros masivos. El rápido procesamiento de big data proporciona soporte técnico para un análisis de seguridad en profundidad del tráfico de red de alta velocidad y proporciona recursos informáticos para algoritmos de modelos altamente inteligentes. Por lo tanto, utilizamos la plataforma básica proporcionada por big data y el soporte técnico del procesamiento de big data para analizar y responder a la situación de seguridad de la red.
Análisis de correlación. Los registros del firewall y los registros de detección de intrusiones en la red son descripciones del tráfico de eventos de seguridad que ingresa a la red. Para un posible evento de ataque, se generará una gran cantidad de registros y registros de alarmas relacionados, y existen muchas redundancias y correlaciones en estos registros. Por lo tanto, primero debemos realizar un análisis de correlación de fuente única en los registros originales obtenidos para transformar los registros originales masivos en eventos de seguridad intuitivos y comprensibles que pueden ser perjudiciales para la red. El conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes utiliza una correlación de alarmas basada en similitudes, que puede controlar mejor la cantidad de alarmas correlacionadas y ayudar a reducir la complejidad. El proceso de procesamiento es el siguiente: primero extraiga los atributos principales en el registro de alarmas para formar una alarma original; luego genere una alarma agregada mediante la agregación de alarmas repetidas; defina un método de cálculo de similitud para cada atributo de la alarma agregada y asigne un peso; dos agregaciones La similitud de la alarma se compara con el umbral de similitud para determinar si se excede la alarma, finalmente, el rango de direcciones y la información de alarma que pertenecen a la misma alarma se generan para generar un evento de seguridad;
Análisis de fusión. Los registros de múltiples fuentes tienen las características de redundancia y complementariedad. Con la ayuda de la tecnología de fusión de datos, el conocimiento de la situación puede permitir que múltiples fuentes de datos aprendan unas de otras, proporcionando así garantía para el proceso de detección y generando una situación de seguridad con mayor precisión. A través del proceso de correlación de alarmas de registro de fuente única, se obtienen los respectivos eventos de seguridad. Para eventos de seguridad de múltiples fuentes provenientes de firewalls y registros de detección de intrusiones, la teoría de evidencia D-S (propuesta por Dempster en 1967 y posteriormente popularizada y desarrollada por Shafer en 1976) se utiliza para fusionar y juzgar la confiabilidad de los eventos de seguridad para mejorar aún más la precisión y reducir falsas alarmas. La idea básica de aplicar la teoría de la evidencia D-S a la fusión de eventos de seguridad es: primero, estudiar métodos factibles de asignación de confianza inicial y asignar funciones de información a los firewalls y la detección de intrusiones, luego obtener la credibilidad de los eventos de seguridad fusionados a través de reglas de síntesis D-S.
Análisis de factores situacionales. A través del análisis de seguridad de los registros diarios de los equipos de seguridad de entrada a la red, solo se puede obtener la información de posibles ataques que ingresan a la red objetivo. Los eventos de seguridad que realmente tienen un impacto decisivo en la situación de seguridad de la red requieren un análisis exhaustivo de la base de conocimientos de ataques y de la red específica. ambiente. Se divide principalmente en tres pasos: el primer paso es obtener una base de conocimientos de ataques explotables mediante el estudio de una gran cantidad de ejemplos de ataques de red, que incluyen principalmente los principios, características y entornos de acción de varios ataques de red; los servicios de alojamiento analizan las vulnerabilidades clave del sistema host y las posibles vulnerabilidades, establecen una base de conocimientos sobre vulnerabilidades del entorno de red actual, analizan la estructura topológica y los indicadores de rendimiento del entorno de red actual y, en tercer lugar, obtienen una base de conocimientos sobre el entorno de red y confirman la eficacia de; eventos de seguridad a través de la base de conocimiento de vulnerabilidades, es decir, analizar el entorno de red actual. Ataques cibernéticos que han tenido un impacto en la red. En el proceso de generación de eventos de seguridad de la red y confirmación del evento de ataque, se extraen los elementos situacionales utilizados para evaluar toda la situación de seguridad de la red, que incluyen principalmente las amenazas a la seguridad que enfrenta toda la red, las amenazas a la seguridad que enfrentan las redes sucursales, las amenazas a la seguridad sufridas por los hosts y el alcance de estas amenazas.
5 Conclusión
Para resolver las amenazas y desafíos cada vez más graves a la seguridad de la red, la aplicación de tecnología de conciencia situacional a la seguridad de la red no solo puede comprender de manera integral la situación actual de la seguridad de la red, sino también predecirla. Tendencias futuras en ciberseguridad.
Sobre la base de la introducción de los conceptos y tecnologías relacionados con la situación de seguridad de la red, este artículo analiza el conocimiento de la situación de seguridad de la red basado en registros de múltiples fuentes, enfocándose en la adquisición de elementos de conocimiento de la situación de seguridad de la red basados en registros de múltiples fuentes y el uso de big data para analizar registros de múltiples fuentes Llevar a cabo análisis de correlación, análisis de fusión y análisis de elementos de situación, y otros contenidos relacionados requieren más discusión e investigación.