網(wǎng)絡安全態(tài)勢感知 提取、理解和預測
定 價:69 元
叢書名:網(wǎng)絡空間安全技術叢書
- 作者:杜嘉薇��,周穎�,郭榮華,索國偉 著
- 出版時間:2018/7/1
- ISBN:9787111603757
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:284
- 紙張:膠版紙
- 版次:1
- 開本:16開
本書按照網(wǎng)絡空間安全態(tài)勢感知的工作過程——提取���、理解和預測��,介紹了如何通過獲取海量數(shù)據(jù)與事件�����,直觀�����、動態(tài)���、全面、細粒度地提取出各類網(wǎng)絡攻擊行為�����,并對其進行理解����、分析�����、預測以及可視化����,從而實現(xiàn)態(tài)勢感知��。本書有助于幫助安全團隊發(fā)現(xiàn)傳統(tǒng)安全平臺和設備未能發(fā)現(xiàn)的事件��,并將網(wǎng)絡上似乎無關的事件關聯(lián)起來���,從而更有效地對安全事件做出響應�����。
前 言網(wǎng)絡安全既涉及國家安全也涉及經濟安全,目前世界各國每天都在進行著大量隱蔽的較量���,網(wǎng)絡安全的重要性不容忽視��。5年前����,我因偶然機遇進入網(wǎng)絡空間安全領域,通過各種活動和項目實踐見證了國家對網(wǎng)絡安全重視程度的不斷提升����。這期間先后研究過威脅建模、信息安全風險評估與控制��、流量檢測和安全測試等方面���,在持續(xù)學習和實踐的同時����,也與國內許多專家學者和企事業(yè)單位頻繁接觸��,深感安全人員不能只關注具體點而忽略整體面�。花大價錢購置一大批盒式設備“堆”在網(wǎng)絡中的時代已經一去不復返�����,這只能帶來虛假的安全感���。安全的“短板效應”和“木桶理論”決定了我們必須以全局整體的視角去看待它��,而且這種整體視角是基于動態(tài)博弈的暫時平衡����。
網(wǎng)絡安全的哲學已經從“努力防住”轉變?yōu)椤胺婪督K將失效”,從“發(fā)現(xiàn)并修補漏洞”轉變?yōu)椤俺掷m(xù)過程監(jiān)控”���,也就是說�,無論你在網(wǎng)絡和系統(tǒng)中投入多少���,入侵者仍可能獲勝���;谶@個哲學前提��,我們能做的就是在入侵者實現(xiàn)目標前盡可能地發(fā)現(xiàn)����、識別并做出響應,及時分析情況和通報事件的發(fā)生�,并以最小代價減輕入侵者的破壞,只要入侵者的目標未能達成即是相對安全的�。網(wǎng)絡安全態(tài)勢感知就是這種思路的典型體現(xiàn)�,通過獲取海量數(shù)據(jù)與事件,直觀��、動態(tài)、全面���、細粒度地提取各類網(wǎng)絡攻擊行為���,并對其進行理解、分析�、預測以及可視化,從而實現(xiàn)態(tài)勢感知����。它有助于安全團隊發(fā)現(xiàn)傳統(tǒng)安全平臺和設備未能監(jiān)測到的事件,將網(wǎng)絡上似乎無關的事件關聯(lián)起來�,從而更有效地排查安全事件并做出響應。
雖然網(wǎng)絡安全態(tài)勢感知的概念早在若干年前就已被提及����,但由于當時的技術和認知水平,其發(fā)展是有限的��。隨著時間的推移��,以及數(shù)據(jù)量和數(shù)據(jù)形態(tài)的改變����,老問題發(fā)生了新變化�,需要我們重新審視它����。尤其是近幾年來,隨著大數(shù)據(jù)技術的迅猛發(fā)展��、數(shù)據(jù)處理和分析方法的不斷創(chuàng)新����,以大數(shù)據(jù)為平臺框架進行安全分析(即數(shù)據(jù)驅動安全)逐漸成為熱點。新技術的驅動給網(wǎng)絡安全帶來許多新的挑戰(zhàn)�����,也迫使我們重新思考����。只有不斷更新知識,創(chuàng)造性地發(fā)現(xiàn)問題�����、研究問題和解決問題�����,才能跟上信息化時代的腳步�。正如《人類簡史》中所寫:“人類近500年的科學革命意義重大,它并不是‘知識的革命’��,而是‘無知的革命’��。真正讓科學革命起步的偉大發(fā)現(xiàn)���,就是發(fā)現(xiàn)‘人類對于最重要的問題其實毫無所知’……現(xiàn)代科學愿意承認自己的無知��,就讓它比所有先前的知識體系更具活力����、更有彈性�,也更有求知欲。這一點大幅提升了人類理解世界如何運作的能力��,以及創(chuàng)造新科技的能力������!
讀者對象本書的讀者對象主要包括:
網(wǎng)絡安全領域的技術愛好者和學生網(wǎng)絡運維管理、信息安全領域的從業(yè)人員網(wǎng)絡空間安全等相關專業(yè)的本科生及研究生期望在網(wǎng)絡安全領域就業(yè)的技術人員網(wǎng)絡安全態(tài)勢感知領域的研究人員本書結構本書分為四個部分:基礎知識、態(tài)勢提取�����、態(tài)勢理解和態(tài)勢預測�����。每章都會重點討論相關理論�����、工具�、技術和核心領域流程。我們將盡可能用通俗易懂的方式進行闡述����,讓新手和安全專家都能從中獲得一些啟發(fā)。本書所構建的框架和理論基于集體研究��、經驗以及合著者的觀點���,對于不同的話題和場景所給出的結論可能與他人不同��。這是因為網(wǎng)絡安全態(tài)勢感知更多地是一門實踐活動����,不同人的認知和理解難以趨同,這也是完全正常的現(xiàn)象�。
本書的內容框架如下:
第一部分:基礎知識 第1章:開啟網(wǎng)絡安全態(tài)勢感知的旅程 第2章:大數(shù)據(jù)平臺和技術第二部分:態(tài)勢提取 第3章:網(wǎng)絡安全數(shù)據(jù)范圍 第4章:網(wǎng)絡安全數(shù)據(jù)采集 第5章:網(wǎng)絡安全數(shù)據(jù)預處理第三部分:態(tài)勢理解 第6章:網(wǎng)絡安全檢測與分析 第7章:網(wǎng)絡安全態(tài)勢指標構建 第8章:網(wǎng)絡安全態(tài)勢評估 第9章:網(wǎng)絡安全態(tài)勢可視化第四部分:態(tài)勢預測 第10章:典型的網(wǎng)絡安全態(tài)勢預測方法 第11章:網(wǎng)絡安全態(tài)勢智能預測 第12章:其他本書涉及的網(wǎng)絡安全態(tài)勢感知主題眾多,我們希望書中各章涵蓋的內容能夠具有一定的參考價值���;同時希望讀者能夠獲得愉悅且充沛的閱讀體驗,就如同我們在字斟句酌數(shù)易其稿����、親歷從最開始寥寥數(shù)頁的章節(jié)意向到成稿付梓形成手頭這本書的過程中體會到的一樣。
致謝寫書的過程是漫長而艱辛的�����!我有個習慣�,就是無論在何種環(huán)境下都會不斷告誡自己:“人不能貪圖安逸,總要有一個目標��,時不時給自己一些挑戰(zhàn)��,做一些有難度的事情�。”從設定這樣一個目標到謀劃這件事情����,再到搭建書的整體框架�,對每個章節(jié)進行布局��,完成初稿�、中間修改和定稿的整個過程中,是心中的信念讓我克服了人固有的惰性并堅持了下來���。
當然��,本書之所以能完成�,離不開許多朋友直接或間接的幫助�,我也想借此機會感謝他們。
感謝父母���,在你們的影響下成長���,使我成為一個獨特的人。作為子女所能做的是���,傳承他們賦予的性格并分享他們給予的愛�����。
感謝我的家庭和可愛的女兒�,家人給我的愛是濃厚的,對我非常重要����,他們在生活中對我的關心和支持,讓我有動力完成各種艱難的挑戰(zhàn)���。
感謝單位的領導和同事���,他們給予我充分的信任和支持以開展這方面的研究和實踐����,并對我的研究工作提出了諸多寶貴意見和建議。
杜嘉薇
目 錄
前言
第一部分 基礎知識
第1章 開啟網(wǎng)絡安全態(tài)勢感知的旅程 2
1.1 引言 2
1.2 網(wǎng)絡安全簡史 3
1.2.1 計算機網(wǎng)絡 3
1.2.2 惡意代碼 4
1.2.3 漏洞利用 6
1.2.4 高級持續(xù)性威脅 7
1.2.5 網(wǎng)絡安全設施 8
1.3 網(wǎng)絡安全態(tài)勢感知 10
1.3.1 為什么需要態(tài)勢感知 10
1.3.2 態(tài)勢感知的定義 12
1.3.3 網(wǎng)絡安全態(tài)勢感知的定義 13
1.3.4 網(wǎng)絡安全態(tài)勢感知參考模型 14
1.3.5 網(wǎng)絡安全態(tài)勢感知的周期 17
1.4 我國網(wǎng)絡安全態(tài)勢感知政策和發(fā)展 19
1.4.1 我國網(wǎng)絡安全態(tài)勢感知政策 19
1.4.2 我國網(wǎng)絡安全態(tài)勢感知的曲線發(fā)展歷程 20
1.5 國外先進的網(wǎng)絡安全態(tài)勢感知經驗 21
1.5.1 美國網(wǎng)絡安全態(tài)勢感知建設方式 21
1.5.2 美國網(wǎng)絡安全國家戰(zhàn)略 21
1.5.3 可信互聯(lián)網(wǎng)連接 22
1.5.4 信息安全持續(xù)監(jiān)控 23
1.5.5 可借鑒的經驗 24
1.6 網(wǎng)絡安全態(tài)勢感知建設意見 24
第2章 大數(shù)據(jù)平臺和技術 26
2.1 引言 26
2.2 大數(shù)據(jù)基礎 27
2.2.1 大數(shù)據(jù)的定義和特點 27
2.2.2 大數(shù)據(jù)關鍵技術 28
2.2.3 大數(shù)據(jù)計算模式 28
2.3 大數(shù)據(jù)應用場景 29
2.4 大數(shù)據(jù)主流平臺框架 30
2.4.1 Hadoop 30
2.4.2 Spark 32
2.4.3 Storm 33
2.5 大數(shù)據(jù)生態(tài)鏈的網(wǎng)絡安全態(tài)勢感知應用架構 34
2.6 大數(shù)據(jù)采集與預處理技術 34
2.6.1 傳感器 36
2.6.2 網(wǎng)絡爬蟲 37
2.6.3 日志收集系統(tǒng) 39
2.6.4 數(shù)據(jù)抽取工具 40
2.6.5 分布式消息隊列系統(tǒng) 42
2.7 大數(shù)據(jù)存儲與管理技術 46
2.7.1 分布式文件系統(tǒng) 46
2.7.2 分布式數(shù)據(jù)庫 50
2.7.3 分布式協(xié)調系統(tǒng) 53
2.7.4 非關系型數(shù)據(jù)庫 55
2.7.5 資源管理調度 57
2.8 大數(shù)據(jù)處理與分析技術 64
2.8.1 批量數(shù)據(jù)處理 64
2.8.2 交互式數(shù)據(jù)分析 67
2.8.3 流式計算 71
2.8.4 圖計算 74
2.8.5 高級數(shù)據(jù)查詢語言Pig 75
2.9 大數(shù)據(jù)可視化技術 76
2.9.1 大數(shù)據(jù)可視化含義 76
2.9.2 基本統(tǒng)計圖表 76
2.9.3 大數(shù)據(jù)可視化分類 77
2.9.4 高級分析工具 77
2.10 國外先進的大數(shù)據(jù)實踐經驗 78
2.10.1 大數(shù)據(jù)平臺 78
2.10.2 網(wǎng)絡分析態(tài)勢感知能力 79
第二部分 態(tài)勢提取
第3章 網(wǎng)絡安全數(shù)據(jù)范圍 82
3.1 引言 82
3.2 完整內容數(shù)據(jù) 82
3.3 提取內容數(shù)據(jù) 85
3.4 會話數(shù)據(jù) 86
3.5 統(tǒng)計數(shù)據(jù) 88
3.6 元數(shù)據(jù) 90
3.7 日志數(shù)據(jù) 93
3.8 告警數(shù)據(jù) 98
第4章 網(wǎng)絡安全數(shù)據(jù)采集 100
4.1 引言 100
4.2 制定數(shù)據(jù)采集計劃 100
4.3 主動式采集 102
4.3.1 通過SNMP采集數(shù)據(jù) 102
4.3.2 通過Telnet采集數(shù)據(jù) 103
4.3.3 通過SSH采集數(shù)據(jù) 103
4.3.4 通過WMI采集數(shù)據(jù) 104
4.3.5 通過多種文件傳輸協(xié)議采集數(shù)據(jù) 104
4.3.6 利用JDBC/ODBC采集數(shù)據(jù)庫信息 105
4.3.7 通過代理和插件采集數(shù)據(jù) 106
4.3.8 通過漏洞和端口掃描采集數(shù)據(jù) 107
4.3.9 通過“蜜罐”和“蜜網(wǎng)”采集數(shù)據(jù) 107
4.4 被動式采集 108
4.4.1 通過有線和無線采集數(shù)據(jù) 108
4.4.2 通過集線器和交換機采集數(shù)據(jù) 110
4.4.3 通過Syslog采集數(shù)據(jù) 112
4.4.4 通過SNMP Trap采集數(shù)據(jù) 112
4.4.5 通過NetFlow/IPFIX/sFlow采集流數(shù)據(jù) 113
4.4.6 通過Web Service/MQ采集數(shù)據(jù) 114
4.4.7 通過DPI/DFI采集和檢測數(shù)據(jù) 115
4.5 數(shù)據(jù)采集工具 116
4.6 采集點部署 117
4.6.1 需考慮的因素 117
4.6.2 關注網(wǎng)絡出入口點 118
4.6.3 掌握IP地址分布 118
4.6.4 靠近關鍵資產 119
4.6.5 創(chuàng)建采集全景視圖 119
第5章 網(wǎng)絡安全數(shù)據(jù)預處理 121
5.1 引言 121
5.2 數(shù)據(jù)預處理的主要內容 121
5.2.1 數(shù)據(jù)審核 121
5.2.2 數(shù)據(jù)篩選 122
5.2.3 數(shù)據(jù)排序 122
5.3 數(shù)據(jù)預處理方法 123
5.4 數(shù)據(jù)清洗 123
5.4.1 不完整數(shù)據(jù) 124
5.4.2 不一致數(shù)據(jù) 124
5.4.3 噪聲數(shù)據(jù) 124
5.4.4 數(shù)據(jù)清洗過程 125
5.4.5 數(shù)據(jù)清洗工具 126
5.5 數(shù)據(jù)集成 126
5.5.1 數(shù)據(jù)集成的難點 126
5.5.2 數(shù)據(jù)集成類型層次 127
5.5.3 數(shù)據(jù)集成方法模式 128
5.6 數(shù)據(jù)歸約 129
5.6.1 特征歸約 130
5.6.2 維歸約 130
5.6.3 樣本歸約 131
5.6.4 數(shù)量歸約 131
5.6.5 數(shù)據(jù)壓縮 132
5.7 數(shù)據(jù)變換 132
5.7.1 數(shù)據(jù)變換策略 133
5.7.2 數(shù)據(jù)變換處理內容 133
5.7.3 數(shù)據(jù)變換方法 133
5.8 數(shù)據(jù)融合 135
5.8.1 數(shù)據(jù)融合與態(tài)勢感知 135
5.8.2 數(shù)據(jù)融合的層次分類 136
5.8.3 數(shù)據(jù)融合相關算法 137
第三部分 態(tài)勢理解
第6章 網(wǎng)絡安全檢測與分析 142
6.1 引言 142
6.2 入侵檢測 143
6.2.1 入侵檢測通用模型 143
6.2.2 入侵檢測系統(tǒng)分類 144
6.2.3 入侵檢測的分析方法 146
6.2.4 入侵檢測技術的現(xiàn)狀和發(fā)展趨勢 151
6.3 入侵防御 152
6.3.1 入侵防御產生的原因 152
6.3.2 入侵防御的工作原理 153
6.3.3 入侵防御系統(tǒng)的類型 154
6.3.4 入侵防御與入侵檢測的區(qū)別 155
6.4 入侵容忍 156
6.4.1 入侵容忍的產生背景 156
6.4.2 入侵容忍的實現(xiàn)方法 156
6.4.3 入侵容忍技術分類 157
6.4.4 入侵容忍與入侵檢測的區(qū)別 157
6.5 安全分析 158
6.5.1 安全分析流程 158
6.5.2 數(shù)據(jù)包分析 160
6.5.3 計算機/網(wǎng)絡取證 163
6.5.4 惡意軟件分析 164
第7章 網(wǎng)絡安全態(tài)勢指標構建 167
7.1 引言 167
7.2 態(tài)勢指標屬性的分類 168
7.2.1 定性指標 168
7.2.2 定量指標 169
7.3 網(wǎng)絡安全態(tài)勢指標的提取 169
7.3.1 指標提取原則和過程 170
7.3.2 網(wǎng)絡安全屬性的分析 172
7.3.3 網(wǎng)絡安全態(tài)勢指標選取示例 178
7.4 網(wǎng)絡安全態(tài)勢指標體系的構建 179
7.4.1 指標體系的構建原則 179
7.4.2 基礎運行維指標 179
7.4.3 脆弱維指標 180
7.4.4 風險維指標 181
7.4.5 威脅維指標 182
7.4.6 綜合指標體系和指數(shù)劃分 183
7.5 指標的合理性檢驗 184
7.6 指標的標準化處理 185
7.6.1 定量指標的標準化 186
7.6.2 定性指標的標準化 188
第8章 網(wǎng)絡安全態(tài)勢評估 189
8.1 引言 189
8.2 網(wǎng)絡安全態(tài)勢評估的內涵 190
8.3 網(wǎng)絡安全態(tài)勢評估的基本內容 190
8.4 網(wǎng)絡安全態(tài)勢指數(shù)計算基本理論 192
8.4.1 排序歸一法 192
8.4.2 層次分析法 193
8.5 網(wǎng)絡安全態(tài)勢評估方法分類 194
8.6 網(wǎng)絡安全態(tài)勢評估常用的融合方法 196
8.6.1 基于邏輯關系的融合評價方法 196
8.6.2 基于數(shù)學模型的融合評價方法 197
8.6.3 基于概率統(tǒng)計的融合評價方法 204
8.6.4 基于規(guī)則推理的融合評價方法 207
第9章 網(wǎng)絡安全態(tài)勢可視化 212
9.1 引言 212
9.2 數(shù)據(jù)可視化基本理論 213
9.2.1 數(shù)據(jù)可視化一般流程 213
9.2.2 可視化設計原則與步驟 214
9.3 什么是網(wǎng)絡安全態(tài)勢可視化 216
9.4 網(wǎng)絡安全態(tài)勢可視化形式 217
9.4.1 層次化數(shù)據(jù)的可視化 217
9.4.2 網(wǎng)絡數(shù)據(jù)的可視化 217
9.4.3 可視化系統(tǒng)交互 219
9.4.4 安全儀表盤 220
9.5 網(wǎng)絡安全態(tài)勢可視化的前景 221
第四部分 態(tài)勢預測
第10章 典型的網(wǎng)絡安全態(tài)勢預測方法 224
10.1 引言 224
10.2 灰色理論預測 225
10.2.1 灰色系統(tǒng)理論的產生及發(fā)展 225
10.2.2 灰色理論建立依據(jù) 226
10.2.3 灰色預測及其類型 226
10.2.4 灰色預測模型 227
10.3 時間序列預測 234
10.3.1 時間序列分析的基本特征 235
10.3.2 時間序列及其類型 235
10.3.3 時間序列預測的步驟 236
10.3.4 時間序列分析方法 238
10.4 回歸分析預測 240
10.4.1 回歸分析的定義和思路 241
10.4.2 回歸模型的種類 241
10.4.3 回歸分析預測的步驟 242
10.4.4 回歸分析預測方法 242
10.5 總結 245
第11章 網(wǎng)絡安全態(tài)勢智能預測 246
11.1 引言 246
11.2 神經網(wǎng)絡預測 247
11.2.1 人工神經網(wǎng)絡概述 247
11.2.2 神經網(wǎng)絡的學習方法 248
11.2.3 神經網(wǎng)絡預測模型類型 249
11.2.4 BP神經網(wǎng)絡結構和學習原理 252
11.3 支持向量機預測 254
11.3.1 支持向量機方法的基本思想 254
11.3.2 支持向量機的特點 255
11.3.3 支持向量回歸機的分類 257
11.3.4 支持向量機核函數(shù)的選取 260
11.4 人工免疫預測 261
11.4.1 人工免疫系統(tǒng)概述 262
11.4.2 人工免疫模型相關機理 262
11.4.3 人工免疫相關算法 264
11.5 復合式攻擊預測 267
11.5.1 基于攻擊行為因果關系的復合式攻擊預測方法 268
11.5.2 基于貝葉斯博弈理論的復合式攻擊預測方法 269
11.5.3 基于CTPN的復合式攻擊預測方法 270
11.5.4 基于意圖的復合式攻擊預測方法 272
第12章 其他 274
12.1 引言 274
12.2 網(wǎng)絡安全人員 274
12.2.1 網(wǎng)絡安全人員范圍 274
12.2.2 需要具備的技能 275
12.2.3 能力級別分類 277
12.2.4 安全團隊建設 278
12.3 威脅情報分析 279
12.3.1 網(wǎng)絡威脅情報 279
12.3.2 威脅情報來源 280
12.3.3 威脅情報管理 281
12.3.4 威脅情報共享 282
參考文獻 283
書單推薦
