《网络空间安全防御与态势感知》PDF下载

  • 购买积分:11 如何计算积分?
  • 作  者:(美)亚历山大·科特,克里夫·王,罗伯特·F.厄巴彻编著
  • 出 版 社:北京:机械工业出版社
  • 出版年份:2019
  • ISBN:9787111610533
  • 页数:298 页
图书介绍:随着网络空间的快速变化和日益复杂,预防网络威胁已经成为企业的重要需求,安全防御与态势感知因此成为近年来的热点。本书由该领域的40位一线专家和学者联合撰写,对网络空间安全态势感知的发展背景、基础知识、常用工具、处理过程等做了详细介绍,可帮助从业人员形成全面的知识体系。

第1章 理论基础与当前挑战 1

1.1引言 1

1.2网空态势感知 3

1.2.1态势感知的定义 3

1.2.2网空行动的态势感知需求 4

1.2.3态势感知的认知机制 5

1.3网空行动中态势感知所面临的挑战 11

1.3.1复杂和多变的系统拓扑结构 11

1.3.2快速变化的技术 12

1.3.3高噪信比 12

1.3.4定时炸弹和潜伏攻击 12

1.3.5快速演化的多面威胁 13

1.3.6事件发展的速度 13

1.3.7非整合的工具 13

1.3.8数据过载和含义欠载 14

1.3.9自动化导致的态势感知损失 14

1.3.10对网空态势感知挑战的总结 14

1.4网空态势感知的研发需求 15

1.4.1网络空间的通用作战态势图 15

1.4.2动态变化大规模复杂网络的可视化 17

1.4.3对态势感知决策者的支持 17

1.4.4协同的人员与自主系统结合团队 17

1.4.5组件和代码的检验和确认 18

1.4.6积极控制 19

1.5小结 19

参考文献 20

第2章 传统战与网空战 21

2.1引言 21

2.1.1从传统战场到虚拟战场的过渡 22

2.1.2态势感知的重要性 24

2.1.3传统态势感知 25

2.1.4网空态势感知 25

2.2传统态势感知研究示例 25

2.2.1 DARPA的MDC2计划 26

2.2.2 RAID计划 27

2.3传统态势感知与网空态势感知之间具有指导意义的相似点与巨大差异 28

2.3.1传统态势感知与网空态势感知有力地影响任务结果 29

2.3.2认知偏差会限制对可用信息的理解 30

2.3.3信息的收集、组织与共享难以管理 32

2.3.4协作具有挑战性 33

2.3.5共享的图景无法保证共享的态势感知 34

2.4小结 34

参考文献 35

第3章 形成感知 37

3.1引言 37

3.2网空防御过程 38

3.2.1当前的网空环境 38

3.2.2网空防御过程概览 38

3.2.3网空防御角色 40

3.3态势感知的多面性 41

3.4相关领域的发展现状 44

3.5态势感知框架 46

3.6小结 49

参考文献 50

第4章 全网感知 51

4.1引言 51

4.1.1网空态势感知形成的过程 51

4.1.2网空态势感知的输入和输出 53

4.1.3态势感知理论模型 53

4.1.4当前网空态势感知存在的差距 54

4.2在网络上下文中的网空态势感知 55

4.3网络运营及网空安全的态势感知解决方案 55

4.4态势感知的生命周期 56

4.4.1网络感知 56

4.4.2威胁/攻击感知 57

4.4.3运营/任务感知 57

4.5对有效网空态势感知的需求 58

4.6对有效网空态势感知的概述 59

4.6.1对网络进行计量以获得有效网空态势感知所需的数据 60

4.6.2根据当前态势感知预测将来 61

4.6.3实现有效网空态势感知的可能途径 61

4.7实现有效网空态势感知 62

4.7.1用例:有效网空态势感知 63

4.7.2实现全网感知 64

4.7.3实现威胁/攻击感知 69

4.7.4实现任务/运营感知 72

4.8未来方向 76

4.9小结 77

参考文献 78

第5章 认知能力与相关技术 79

5.1引言 79

5.2网空世界的挑战及其对人类认知能力的影响 82

5.3支持分析师检测入侵行为的技术 84

5.4 ACT-R认知架构 85

5.5基于实例的学习理论和认知模型 88

5.6在理解网空认知需求方面的研究差距 90

5.6.1认知差距:将认知架构机制映射至网空态势感知 90

5.6.2语义差距:整合认知架构与网空安全本体模型 91

5.6.3决策差距:体现在网空世界中的学习、经验累积和动态决策制定方面 93

5.6.4对抗差距:体现在对抗性的网空态势感知和决策制定方面 94

5.6.5网络差距:处理复杂网络和网空战 95

5.7小结 97

参考文献 98

第6章 认知过程 103

6.1引言 103

6.2文献综述 108

6.2.1认知任务分析 108

6.2.2基于案例推理 108

6.3对认知推理过程进行信息采集和分析的系统化框架 111

6.3.1分析推理过程的AOH概念模型 111

6.3.2 AOH对象及其彼此间关系可表达分析推理过程 112

6.3.3对分析推理过程的信息采集 112

6.3.4可从认知轨迹中提取出以AOH模型表达的推理过程 114

6.4专业网络分析师案例研究 115

6.4.1采集认知轨迹的工具 115

6.4.2为收集专业网络分析师认知轨迹而展开的人员实验 115

6.4.3认知轨迹 118

6.4.4不同水平分析师的认知轨迹有什么特点 122

6.5小结 125

参考文献 126

第7章 适应分析师的可视化技术 129

7.1引言 129

7.2可视化设计的形式化方法 131

7.3网空态势感知的可视化 132

7.3.1对安全可视化的调研 133

7.3.2图表和地图 134

7.3.3点边图 134

7.3.4时间轴 135

7.3.5平行坐标系 135

7.3.6树形图 137

7.3.7层次可视化 138

7.4可视化的设计理念 139

7.5案例研究:对网络告警的管理 140

7.5.1基于Web的可视化 141

7.5.2交互的可视化 141

7.5.3分析师驱动的图表 141

7.5.4概览+细节 143

7.5.5关联的视图 144

7.5.6分析过程示例 145

7.6小结 148

参考文献 148

第8章 推理与本体模型 150

8.1引言 150

8.2场景 151

8.3场景中人员展开的分析 152

8.4网空安全本体模型的使用概要 153

8.4.1本体模型 153

8.4.2基于本体模型的推导 155

8.4.3规则 156

8.5案例研究 157

8.5.1网空安全本体模型 157

8.5.2概述基于XML的标准 160

8.5.3将网空安全XML提升为OWL 161

8.5.4 STIX本体模型 163

8.5.5其他本体模型 166

8.6 APT测试用例 170

8.6.1测试网络 171

8.6.2规则 173

8.6.3基于推导的威胁检测 174

8.7网空安全领域中其他与本体模型相关的研究工作 174

8.8经验教训和未来工作 176

8.9 小结 178

参考文献 178

第9章 学习与语义 183

9.1引言 183

9.2 NIDS机器学习工具的分类 185

9.3机器学习中的输出与内部语义 187

9.4案例研究:ELIDe和汉明聚合 189

9.4.1 ELIDe 190

9.4.2汉明距离聚合 192

9.5小结 196

参考文献 197

第10章 影响评估 200

10.1引言 200

10.1.1高级威胁与影响评估的动机 201

10.1.2已有的告警关联研究 202

10.1.3工作任务影响评估方面的已有研究成果 206

10.1.4计算机网络建模 208

10.2自上而下的设计 209

10.2.1模型设计——工作任务定义 211

10.2.2模型设计——环境建模 213

10.2.3可观察对象设计 215

10.3小结 216

参考文献 218

第11章 攻击预测 219

11.1引言 219

11.2用于威胁预测的网络攻击建模 222

11.2.1基于攻击图和攻击计划的方法 222

11.2.2通过预估攻击者的能力、机会和意图进行攻击预测 223

11.2.3通过学习攻击行为/模式进行预测 225

11.3待解决问题和初步研究 228

11.3.1攻击建模中混淆的影响 228

11.3.2以资产为中心的攻击模型生成 231

11.3.3评价网络攻击预测系统的数据需求 236

11.4小结 237

参考文献 238

第12章 安全度量指标 241

12.1引言 241

12.2网空态势感知的安全度量指标 242

12.2.1安全度量指标:是什么、为何需要、如何度量 242

12.2.2网络空间中态势感知的安全度量 245

12.3网络漏洞和攻击风险评估 251

12.3.1漏洞评估的安全度量指标 251

12.3.2攻击风险的建模与度量 254

12.4网空影响与工作任务的相关性分析 255

12.4.1从工作任务到资产的映射与建模 256

12.4.2对工作任务的网空影响分析 259

12.5资产的关键性分析与优先级排序 262

12.5.1基于AHP的关键性分析 262

12.5.2基于优先级的网格分析 263

12.6未来工作 265

12.7小结 266

参考文献 266

第13章 工作任务的弹性恢复能力 269

13.1引言 269

13.2概览:可弹性恢复网空防御 271

13.2.1复杂系统中的弹性恢复行为 271

13.2.2对以工作任务为中心和可弹性恢复网空防御的理解 271

13.2.3相关研究成果回顾 272

13.3基于网空态势感知的可弹性恢复网空防御方法 273

13.3.1通用的态势感知与决策支持模型 273

13.3.2整合的网空-物理态势管理架构 273

13.4对工作任务、网空基础设施和网空攻击的建模 276

13.4.1工作任务建模 276

13.4.2网空地形 278

13.4.3面向影响的网空攻击建模 279

13.5网空态势感知和可弹性恢复网空防御 280

13.5.1网空态势感知过程 280

13.5.2对目标软件的影响评估 281

13.5.3工作任务影响评估 282

13.6合理可能的未来任务影响评估 284

13.6.1合理可能未来网空态势的原理 284

13.6.2合理可能的未来任务影响评估过程 286

13.7通过适应调整取得工作任务的弹性恢复能力 287

13.7.1联邦式多代理系统的适应调整 287

13.7.2保持适应调整策略的工作任务弹性恢复能力 288

13.8小结 289

参考文献 290

第14章 结束寄语 293

14.1挑战 293

14.1.1网络空间中的人类执行者 294

14.1.2网空攻击的高度不对称性 294

14.1.3人类认知与网空世界之间的复杂性失配 295

14.1.4网空行动与工作任务之间的分离 296

14.2未来的研究 296