網(wǎng)絡空間安全防御與態(tài)勢感知

譯者序
推薦序
前言
致謝和免責聲明
關于作者
第1章　理論基礎與當前挑戰(zhàn) 1
1.1　引言 1
1.2　網(wǎng)空態(tài)勢感知 3
1.2.1　態(tài)勢感知的定義 3
1.2.2　網(wǎng)空行動的態(tài)勢感知需求 4
1.2.3　態(tài)勢感知的認知機制 5
1.3　網(wǎng)空行動中態(tài)勢感知所面臨的挑戰(zhàn) 11
1.3.1　復雜和多變的系統(tǒng)拓撲結構 11
1.3.2　快速變化的技術 12
1.3.3　高噪信比 12
1.3.4　定時炸彈和潛伏攻擊 12
1.3.5　快速演化的多面威脅 13
1.3.6　事件發(fā)展的速度 13
1.3.7　非整合的工具 13
1.3.8　數(shù)據(jù)過載和含義欠載 14
1.3.9　自動化導致的態(tài)勢感知損失 14
1.3.10　對網(wǎng)空態(tài)勢感知挑戰(zhàn)的總結 14
1.4　網(wǎng)空態(tài)勢感知的研發(fā)需求 15
1.4.1　網(wǎng)絡空間的通用作戰(zhàn)態(tài)勢圖 15
1.4.2　動態(tài)變化大規(guī)模復雜網(wǎng)絡的可視化 17
1.4.3　對態(tài)勢感知決策者的支持 17
1.4.4　協(xié)同的人員與自主系統(tǒng)結合團隊 17
1.4.5　組件和代碼的檢驗和確認 18
1.4.6　積極控制 19
1.5　小結 19
參考文獻 20
第2章　傳統(tǒng)戰(zhàn)與網(wǎng)空戰(zhàn) 21
2.1　引言 21
2.1.1　從傳統(tǒng)戰(zhàn)場到虛擬戰(zhàn)場的過渡 22
2.1.2　態(tài)勢感知的重要性 24
2.1.3　傳統(tǒng)態(tài)勢感知 25
2.1.4　網(wǎng)空態(tài)勢感知 25
2.2　傳統(tǒng)態(tài)勢感知研究示例 25
2.2.1　DARPA的MDC2計劃 26
2.2.2　RAID計劃 27
2.3　傳統(tǒng)態(tài)勢感知與網(wǎng)空態(tài)勢感知之間具有指導意義的相似點與巨大差異 28
2.3.1　傳統(tǒng)態(tài)勢感知與網(wǎng)空態(tài)勢感知有力地影響任務結果 29
2.3.2　認知偏差會限制對可用信息的理解 30
2.3.3　信息的收集、組織與共享難以管理 32
2.3.4　協(xié)作具有挑戰(zhàn)性 33
2.3.5　共享的圖景無法保證共享的態(tài)勢感知 34
2.4　小結 34
參考文獻 35
第3章　形成感知 37
3.1　引言 37
3.2　網(wǎng)空防御過程 38
3.2.1　當前的網(wǎng)空環(huán)境 38
3.2.2　網(wǎng)空防御過程概覽 38
3.2.3　網(wǎng)空防御角色 40
3.3　態(tài)勢感知的多面性 41
3.4　相關領域的發(fā)展現(xiàn)狀 44
3.5　態(tài)勢感知框架 46
3.6　小結 49
參考文獻 50
第4章　全網(wǎng)感知 51
4.1　引言 51
4.1.1　網(wǎng)空態(tài)勢感知形成的過程 51
4.1.2　網(wǎng)空態(tài)勢感知的輸入和輸出 53
4.1.3　態(tài)勢感知理論模型 53
4.1.4　當前網(wǎng)空態(tài)勢感知存在的差距 54
4.2　在網(wǎng)絡上下文中的網(wǎng)空態(tài)勢感知 55
4.3　網(wǎng)絡運營及網(wǎng)空安全的態(tài)勢感知解決方案 55
4.4　態(tài)勢感知的生命周期 56
4.4.1　網(wǎng)絡感知 56
4.4.2　威脅/攻擊感知 57
4.4.3　運營/任務感知 57
4.5　對有效網(wǎng)空態(tài)勢感知的需求 58
4.6　對有效網(wǎng)空態(tài)勢感知的概述 59
4.6.1　對網(wǎng)絡進行計量以獲得有效網(wǎng)空態(tài)勢感知所需的數(shù)據(jù) 60
4.6.2　根據(jù)當前態(tài)勢感知預測將來 61
4.6.3　實現(xiàn)有效網(wǎng)空態(tài)勢感知的可能途徑 61
4.7　實現(xiàn)有效網(wǎng)空態(tài)勢感知 62
4.7.1　用例：有效網(wǎng)空態(tài)勢感知 63
4.7.2　實現(xiàn)全網(wǎng)感知 64
4.7.3　實現(xiàn)威脅/攻擊感知 69
4.7.4　實現(xiàn)任務/運營感知 72
4.8　未來方向 76
4.9　小結 77
參考文獻 78
第5章　認知能力與相關技術 79
5.1　引言 79
5.2　網(wǎng)空世界的挑戰(zhàn)及其對人類認知能力的影響 82
5.3　支持分析師檢測入侵行為的技術 84
5.4　ACT-R認知架構 85
5.5　基于實例的學習理論和認知模型 88
5.6　在理解網(wǎng)空認知需求方面的研究差距 90
5.6.1　認知差距：將認知架構機制映射至網(wǎng)空態(tài)勢感知 90
5.6.2　語義差距：整合認知架構與網(wǎng)空安全本體模型 91
5.6.3　決策差距：體現(xiàn)在網(wǎng)空世界中的學習、經(jīng)驗累積和動態(tài)決策制定方面 93
5.6.4　對抗差距：體現(xiàn)在對抗性的網(wǎng)空態(tài)勢感知和決策制定方面 94
5.6.5　網(wǎng)絡差距：處理復雜網(wǎng)絡和網(wǎng)空戰(zhàn) 95
5.7　小結 97
參考文獻 98
第6章　認知過程 103
6.1　引言 103
6.2　文獻綜述 108
6.2.1　認知任務分析 108
6.2.2　基于案例推理 108
6.3　對認知推理過程進行信息采集和分析的系統(tǒng)化框架 111
6.3.1　分析推理過程的AOH概念模型 111
6.3.2　AOH對象及其彼此間關系可表達分析推理過程 112
6.3.3　對分析推理過程的信息采集 112
6.3.4　可從認知軌跡中提取出以AOH模型表達的推理過程 114
6.4　專業(yè)網(wǎng)絡分析師案例研究 115
6.4.1　采集認知軌跡的工具 115
6.4.2　為收集專業(yè)網(wǎng)絡分析師認知軌跡而展開的人員實驗 115
6.4.3　認知軌跡 118
6.4.4　不同水平分析師的認知軌跡有什么特點 122
6.5　小結 125
參考文獻 126
第7章　適應分析師的可視化技術 129
7.1　引言 129
7.2　可視化設計的形式化方法 131
7.3　網(wǎng)空態(tài)勢感知的可視化 132
7.3.1　對安全可視化的調(diào)研 133
7.3.2　圖表和地圖 134
7.3.3　點邊圖 134
7.3.4　時間軸 135
7.3.5　平行坐標系 135
7.3.6　樹形圖 137
7.3.7　層次可視化 138
7.4　可視化的設計理念 139
7.5　案例研究：對網(wǎng)絡告警的管理 140
7.5.1　基于Web的可視化 141
7.5.2　交互的可視化 141
7.5.3　分析師驅(qū)動的圖表 141
7.5.4　概覽+細節(jié) 143
7.5.5　關聯(lián)的視圖 144
7.5.6　分析過程示例 145
7.6　小結 148
參考文獻 148
第8章　推理與本體模型 150
8.1　引言 150
8.2　場景 151
8.3　場景中人員展開的分析 152
8.4　網(wǎng)空安全本體模型的使用概要 153
8.4.1　本體模型 153
8.4.2　基于本體模型的推導 155
8.4.3　規(guī)則 156
8.5　案例研究 157
8.5.1　網(wǎng)空安全本體模型 157
8.5.2　概述基于XML的標準 160
8.5.3　將網(wǎng)空安全XML提升為OWL 161
8.5.4　STIX本體模型 163
8.5.5　其他本體模型 166
8.6　APT測試用例 170
8.6.1　測試網(wǎng)絡 171
8.6.2　規(guī)則 173
8.6.3　基于推導的威脅檢測 174
8.7　網(wǎng)空安全領域中其他與本體模型相關的研究工作 174
8.8　經(jīng)驗教訓和未來工作 176
8.9　小結 178
參考文獻 178
第9章　學習與語義 183
9.1　引言 183
9.2　NIDS機器學習工具的分類 185
9.3　機器學習中的輸出與內(nèi)部語義 187
9.4　案例研究：ELIDe和漢明聚合 189
9.4.1　ELIDe 190
9.4.2　漢明距離聚合 192
9.5　小結 196
參考文獻 197
第10章　影響評估 200
10.1　引言 200
10.1.1　高級威脅與影響評估的動機 201
10.1.2　已有的告警關聯(lián)研究 202
10.1.3　工作任務影響評估方面的已有研究成果 206
10.1.4　計算機網(wǎng)絡建模 208
10.2　自上而下的設計 209
10.2.1　模型設計——工作任務定義 211
10.2.2　模型設計——環(huán)境建模 213
10.2.3　可觀察對象設計 215
10.3　小結 216
參考文獻 218
第11章　攻擊預測 219
11.1　引言 219
11.2　用于威脅預測的網(wǎng)絡攻擊建模 222
11.2.1　基于攻擊圖和攻擊計劃的方法 222
11.2.2　通過預估攻擊者的能力、機會和意圖進行攻擊預測 223
11.2.3　通過學習攻擊行為/模式進行預測 225
11.3　待解決問題和初步研究 228
11.3.1　攻擊建模中混淆的影響 228
11.3.2　以資產(chǎn)為中心的攻擊模型生成 231
11.3.3　評價網(wǎng)絡攻擊預測系統(tǒng)的數(shù)據(jù)需求 236
11.4　小結 237
參考文獻 238
第12章　安全度量指標 241
12.1　引言 241
12.2　網(wǎng)空態(tài)勢感知的安全度量指標 242
12.2.1　安全度量指標：是什么、為何需要、如何度量 242
12.2.2　網(wǎng)絡空間中態(tài)勢感知的安全度量 245
12.3　網(wǎng)絡漏洞和攻擊風險評估 251
12.3.1　漏洞評估的安全度量指標 251
12.3.2　攻擊風險的建模與度量 254
12.4　網(wǎng)空影響與工作任務的相關性分析 255
12.4.1　從工作任務到資產(chǎn)的映射與建模 256
12.4.2　對工作任務的網(wǎng)空影響分析 259
12.5　資產(chǎn)的關鍵性分析與優(yōu)先級排序 262
12.5.1　基于AHP的關鍵性分析 262
12.5.2　基于優(yōu)先級的網(wǎng)格分析 263
12.6　未來工作 265
12.7　小結 266
參考文獻 266
第13章　工作任務的彈性恢復能力 269
13.1　引言 269
13.2　概覽：可彈性恢復網(wǎng)空防御 271
13.2.1　復雜系統(tǒng)中的彈性恢復行為 271
13.2.2　對以工作任務為中心和可彈性恢復網(wǎng)空防御的理解 271
13.2.3　相關研究成果回顧 272
13.3　基于網(wǎng)空態(tài)勢感知的可彈性恢復網(wǎng)空防御方法 273
13.3.1　通用的態(tài)勢感知與決策支持模型 273
13.3.2　整合的網(wǎng)空-物理態(tài)勢管理架構 275
13.4　對工作任務、網(wǎng)空基礎設施和網(wǎng)空攻擊的建模 276
13.4.1　工作任務建模 276
13.4.2　網(wǎng)空地形 278
13.4.3　面向影響的網(wǎng)空攻擊建模 279
13.5　網(wǎng)空態(tài)勢感知和可彈性恢復網(wǎng)空防御 280
13.5.1　網(wǎng)空態(tài)勢感知過程 280
13.5.2　對目標軟件的影響評估 281
13.5.3　工作任務影響評估 282
13.6　合理可能的未來任務影響評估 284
13.6.1　合理可能未來網(wǎng)空態(tài)勢的原理 284
13.6.2　合理可能的未來任務影響評估過程 286
13.7　通過適應調(diào)整取得工作任務的彈性恢復能力 287
13.7.1　聯(lián)邦式多代理系統(tǒng)的適應調(diào)整 287
13.7.2　保持適應調(diào)整策略的工作任務彈性恢復能力 288
13.8　小結 289
參考文獻 290
第14章　結束寄語 293
14.1　挑戰(zhàn) 293
14.1.1　網(wǎng)絡空間中的人類執(zhí)行者 294
14.1.2　網(wǎng)空攻擊的高度不對稱性 294
14.1.3　人類認知與網(wǎng)空世界之間的復雜性失配 295
14.1.4　網(wǎng)空行動與工作任務之間的分離 296
14.2　未來的研究 296