【读书笔记】网空态势感知理论与模型(三)

7.3 方向3的研究成果(态势知识融合)

7.3.1 使用贝叶斯网络实现网空态势融合

提出了两种使用BN的网空态势感知的方法:

(1)构建跨层的贝叶斯网络,推断出云环境企业“孤岛”之间的隐蔽连接“桥梁”;

在云环境中实现网空态势感知,是一个非常重要的新兴研究领域。在孤立的企业网络“岛屿”之间可能会构建隐蔽连接的“桥梁”。通过隐性的“桥梁”,原先限制在企业网络内部的攻击路径,能够跨越至云环境中的另一个企业的网络。换句话,这些“隐性桥梁”实在云环境中不同网络之间存在的隐蔽信息隧道,而且安全传感器无法监测到这些隧道的存在,因此应该禁止此类隧道的存在。孤立的企业网络“岛屿”被这些隐蔽隧道连接在一起,通过这些隧道可以非法获取、传递或交换信息(数据、命令等)。

第一,可以通过公有云环境的独特功能构建“隐性桥梁”,允许云用户创建并与其他用户共享虚拟机镜像,不同租户拥有的虚拟机可以共存于同一台物理主机上。

第二,通过MulVal(一种攻击图生成工具)中制定新的交互规则来构建云环境级别的攻击图。通过攻击图可以发现由于"隐形桥梁"而发生的潜在攻击活动,并揭示之前可能被单个的企业网络层级攻击图所遗漏的隐藏的可能攻击路径。

第三,基于所构建的云环境层级的攻击图,通过识别出4种类型的不确定性,构建了跨层的贝叶斯网络。只要提供来自其他入侵步骤的支撑证据,跨层的贝叶斯网络就能够推断出“隐形桥梁”的存在。贝叶斯网络有2个输入:网络部署模型(网络连接、主机配置和漏洞信息等)和证据。贝叶斯网络的输出是特定事件发生的概率,如建立“隐形桥梁”的概率或Web服务器被攻击控制的概率。

(2)使用贝叶斯网络实现自动化的异构证据融合,已检测0Day攻击的路径。

大型企业网络中的网空态势感知是通过对多个数据源的综合分析而获得,所以证据融合是一项重要的网空态势感知能力。

在实践中,异构证据的融合主要依赖于安全分析人员使用手工制定的SIEM规则,而且制定高质量的SIEM规则的成本非常高。

攻击者和防御者之间存在的信息不对称关系,使得0Day难以发现。基于特征的检测方法假定每个漏洞都有一个可用的检测特征,因此无法对0Day漏洞进行检测。

考虑到对于0Day攻击利用行为的检测极为困难,一个更可行的策略是对0Day攻击路径进行识别。攻击行为有一系列串接在一起的攻击行为组成,这些行为组成了攻击路径。每个攻击链都是攻击利用行为的偏序集合,其中每个行为都攻击利用了某个漏洞。

通常情况下,0Day攻击链不太可能是“100%0Day”,即攻击链中的每个攻击利用行为都是对0Day的攻击利用。因此,防御方可以假设(1)攻击链中的非0Day攻击利用行为是可以被检测的(2)可检测到的攻击利用行为与攻击链中的0Day攻击利用行为具有某些连锁行为。因此,将一个路径上检测到的非0Day攻击利用片段连接起来,是发现同一攻击链上0Day攻击利用片段的有效方法。

告警关联与攻击图对于生成潜在攻击路径都可行,但在揭示0Day攻击路径方面作用有限。原因是他们只能进行同质证据融合,而在异质证据融合方面能力有限。

BN网络可以包含防护方所掌握的关于0Day攻击路径的所有类型的信息,同时具有弹性。关于0Day攻击的新知识,可以将其包含到BN网络中。如发现存在错误的知识,也可以轻松将其从中删除。

使用BN进行异质证据融合,设计、使用并评估了一个名为Zepro的系统原型,可以有效自动识别出0Day攻击路径。

----------------------

BN这么强大,后续得持续学习补充。

----------------------

7.4 方向4研究成果(可视化分析)

7.4.1 开发了一种网络流可视化工具,将相关联的网络流与Snort告警数据可视化为图表形式(如条形图、散点图)。

7.4.2 系综集合可视化,主要研究对于非常巨大的数据集进行可视化的问题。在网空安全环境中,系综集合可以是一批网络数据,其中每个成员代表特定类型的疑似攻击,或代表与某一特定类型的活动存在相关性的一批网络流量数据。

7.4.3 两个挑战:a) 设计出一种标识网络安全数据的方法,必须符合系综集合可视化技术对“系综集合成员”输入的要求。b)以现有的系综集合可视化方法为基础,采用视觉方法呈现网络流与snort告警数据,从而支持网络安全分析人员的工作。

应对挑战,开发了以两种不同方式在时变性系综集合成员中识别出模式的方法,使得上述方法更适用于网空态势感知领域,因为对网络数据的分析无一例外地都需要对时间维度进行考虑。

你可能感兴趣的:(安全,网空态势)