現(xiàn)有關于高級持續(xù)性威脅的研究大多聚焦于威脅的檢測發(fā)現(xiàn),對威脅的描述刻畫并不全面.網絡安全態(tài)勢感知從整體角度出發(fā),為決策者提供清晰的網絡狀態(tài),有助于對威脅的全面認知.雖然國內外學者圍繞態(tài)勢感知開展了大量研究,但大多關注自身狀態(tài),僅僅達到"知己"的效果,"知彼"方面的研究相對較少.在態(tài)勢感知模型的基礎上,結合殺傷鏈模型、ATT&CK框架等相關研究,提出面向高級持續(xù)性威脅的態(tài)勢感知概念模型.從敵我2方面綜合討論態(tài)勢獲取、理解、預測等環(huán)節(jié)的功能任務和相關技術,給出各環(huán)節(jié)形式化定義,為高級持續(xù)性威脅的認知及檢測提供理論基礎. 

【文章來源】：信息安全研究. 2020,6(06)

【文章頁數(shù)】：9 頁

【部分圖文】：

態(tài)勢感知研究分類

態(tài)勢感知動態(tài)模型：在Endsley提出態(tài)勢感知模型后，隨著人們對于此概念認知的不斷深化，相關研究逐漸向多元化的方向發(fā)展，一些學者對態(tài)勢感知的定義進行了些許修改和補充，認為態(tài)勢感知是對當前態(tài)勢的理解和認識，它能夠使人們作出更加及時、準確的態(tài)勢評估，從而幫助人們作出適當?shù)臎Q策[22]．也有學者認為態(tài)勢感知關注我們對于過去和現(xiàn)在態(tài)勢的認識程度，并且感知未來的發(fā)展方向以及不同決策對未來態(tài)勢發(fā)展所帶來的影響．針對上述觀點，Endsley指出，態(tài)勢感知、決策制定、決策執(zhí)行是3個不同的步驟，受不同因素的影響，所以要分布進行研究，并在態(tài)勢感知的基礎上，提出了態(tài)勢感知動態(tài)模型，如圖1所示．隨后，大量學者以此模型為基礎，展開了較為深入的研究[23-24].態(tài)勢感知研究分類：態(tài)勢感知的應用領域十分廣泛，從起初的軍事領域延伸到交通、氣象、醫(yī)療等諸多行業(yè)．其中，針對網絡空間態(tài)勢感知而言，根據(jù)實際應用場景、應用規(guī)模、研究方向、輸入輸出等的差異，可以細分為多個領域、多個層級、多個方向的態(tài)勢感知模型．如圖2所示：應用場景包括傳統(tǒng)互聯(lián)網、移動網、物聯(lián)網、暗網、工控網、衛(wèi)星網等；應用規(guī)�？梢詾閱挝患�、行業(yè)級、地區(qū)級、國家級、空天級；研究內容包括資產態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢等．從上述工作可以看出，目前的研究方向多以自身目標為主，理解態(tài)勢發(fā)展，度量安全威脅，優(yōu)化防護策略，降低攻擊損失．但是，上述研究均未考慮攻擊方的因素，僅僅完成了“知己”的目標，在“知彼”方面的相關研究相對較少．本研究旨在從敵方角度分析態(tài)勢，提出面向APT的態(tài)勢感知概念模型，分析APT攻擊目的目標，理解APT組織攻擊手段，預測APT攻擊發(fā)展趨勢，制定APT攻擊防護措施，在充分保護自身目標的同時，達到對境外APT組織的精準畫像．

態(tài)勢理解環(huán)節(jié)旨在深入理解APT攻擊的前因后果，前因即回答攻擊因何而發(fā)生，后果即分析攻擊造成哪些影響．在APT攻擊態(tài)勢感知模型的態(tài)勢理解階段，主要從攻擊場景還原、攻擊影響評估2方面展開工作．在攻擊場景還原方面，通過對攻擊殺傷鏈模型中的7個重要步驟進行逐一分析，達到對攻擊事件的深度理解，進而還原攻擊場景、歸納總結APT組織攻擊手段．在APT攻擊影響評估方面，從直接影響和間接影響2方面進行分析，其中，直接影響指攻擊造成的目標網絡可用性、可控性、機密性、可鑒別性不同程度的損害評估；間接影響指由于目標遭受攻擊進而引發(fā)的更廣泛的社會影響、政治影響、經濟影響、外交影響等．基于對當前態(tài)勢的深入理解，態(tài)勢預測的主要目的是從敵我2方面，對當前環(huán)境的態(tài)勢作出合理的預測．其中，從受攻擊目標的角度出發(fā)，綜合分析APT攻擊事件的嚴重性，結合系統(tǒng)自身的潛在問題，采用風險傳播模型、攻防協(xié)同演化模型等從時間、空間的維度分析推理安全事件的發(fā)展趨勢；從APT組織的角度出發(fā)，結合已知的慣用手法，分析預測APT組織的習慣特點，包括目標選擇偏好、風險承受能力、攻擊戰(zhàn)術戰(zhàn)法、人員武器規(guī)模等信息，進一步補全和完善APT組織畫像．模型的最后一個階段是應急響應階段，包括態(tài)勢共享、決策支持以及策略執(zhí)行．態(tài)勢共享的主要目的是將態(tài)勢理解以及態(tài)勢預測的輸出面向所有涉事目標進行共享交互．通過可視化界面展示的方式，共享APT攻擊場景的還原結果、攻擊損害評估結果、風險傳播趨勢以及攻擊組織畫像等信息．在決策支持階段，以最優(yōu)化理論為指導，將問題抽象成相應的數(shù)學模型并計算最優(yōu)解，從事件銷控、攻擊反制、事件預防3個方面制定最優(yōu)防護策略．最后通過分發(fā)聯(lián)動機制協(xié)調網絡內主體共同執(zhí)行．


本文編號：3117236