应用案例 | 第三期:数据分析为网络安全保驾护航
来源: / 作者: / 时间:2023-06-09
随着大数据时代的到来和信息化加速发展,安全领域对于数据分析的的依赖性日益凸显。数据分析涉及安全的整个生命周期:事前、事中、事后,相互之间又彼此关联,像安全检测、态势感知、溯源分析、日志分析等等。作为一名网络安全从业者,我的工作内容就是保护服务器系统、网络和数据不受未经授权的访问、使用、泄露、破坏和干扰。
网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。
单凭一种或几种安全技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态及其变化趋势。
网络安全态势感知通过对影响网络安全的诸多要素进行获取、理解、评估以及预测,实现对网络安全性定量分析,是对网络安全性的精细度量的重要手段。态势感知成已经为网络安全新一代安全技术的焦点,对保障网络安全起着非常重要的作用。对于网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并且提供应对措施,以图表报表(数据分析可视化)的形式展现出来。
01、什么是态势感知?
由于研究领域不同,人们对于态势感知的定义和理解也有很大不同,我个人更倾向于Endsley博士所给出的动态环境中态势感知的通用定义:态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。
-
感知:感知和获取环境中的重要线索或元素;
-
理解:整合感知到的数据和信息,分析其相关性;
-
预测:基于对环境信息的感知和理解,预测相关知识未来发展趋势。
日常工作中,我需要保护公司的网站和用户数据不受到安全威胁。为了实现这一目标,我通常使用态势感知技术来分析网站的访问流量、网络日志、用户行为等信息。
那么首先我会使用数据采集工具来获取这些数据,并将其存储在一个数据仓库中;
接下来,使用数据分析工具来对这些数据进行处理和分析,比如机器学习算法来分析用户的登录行为,以便识别潜在的账号盗窃行为。利用数据可视化工具来生成报表和图表,展示分析结果。使用态势评估技术来评估网站的安全状况,并提出相应的措施。例如,我们可能会发现某些用户的登录行为异常,需要加强账号保护措施。或者可能会发现某些网络设备存在漏洞,需要及时升级补丁。
最后,使用态势预测技术来预测潜在的安全威胁,并采取相应的措施来预防这些威胁。例如,可能会发现某些黑客组织正在策划一次大规模的网络攻击,需要加强防御措施。
通过这种方式,可以使用态势感知技术来全面了解公司的网络安全状况,及时发现并预防潜在的安全威胁,从而保护公司和用户的数据安全。
态势感知可以分为五个过程,而这五个过程都是和数据分析有紧密联系的:
1、明确问题:确立现实状态和理想状态下的区别,明确分析目标以及期望达成的结果;
2、数据采集:通过数据分析第二步,“数据获取”对各种影响系统安全性能的要素进行检测采集获取,这是态势感知的前提;
3、态势理解:利用数据分析能力对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出影响网络安全的整体安全状况,这一步是态势感知基础;
4、态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的措施,这一步是态势感知的核心;
5、态势预测:通过对态势评估输出的数据,预测网络安全状况的发展趋势,这就是态势感知的目标。
02、模型选择(数据分析思维)
在网络安全态势感知的分析过程中,会应用到很多成熟分析模型,这些模型的分析方法虽然各不相同,但多数都包含了感知、理解和预测三个要素。例如Endsley模型,态势感知始于感知。OODA(循环对抗模型)是一个不断收集信息、评估决策和采取行动的过程,即攻击者与分析者都面临着这样的循环过程:在观察感知攻击与被攻击,在理解中调整并决策攻击与防御方法,预测对手下一个动作并发起行动,同时进入下一轮的观察。JDL(数据融合)模型:是信息融合系统中的一种信息处理方式,即通过JDL数据融合分析,能够实现对分析目标的感知、理解与影响评估、为后续的预测提供重要的分析基础和支撑,等等各种模型。
其实虽然成熟模型很多,但首先应该有使用模型的意识,即数据分析思维,我们在拿到安全分析项目以后,应该从数据分析开始入手,要有全局意识,比如在数据采集时,因尽可能考虑全面,网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等、只有这样态势评估结果才能准确,并且态势感知要能支持对不同的评估结果预测其发展趋势,预防大规模安全时间的发生,可以看到每一步都是有数据分析作为支持,比如预处理,数据探索,机器学习等等。
所以说网络安全与数据分析是分不开的,尤其是大数据时代的到来,网络安全面临着越来越多的挑战,因此我们必须高度重视大数据时代网络安全问题,应对好大数据分析处理工作。不断提高自己的数据分析思维水平,高效实施数据安全策略部署,确保程序安全、可靠的运行是我们追求的目标。