前言
网络安全既涉及国家安全也涉及经济安全,目前世界各国每天都在进行着大量隐蔽的较量,网络安全的重要性不容忽视。5年前,我因偶然机遇进入网络空间安全领域,通过各种活动和项目实践见证了国家对网络安全重视程度的不断提升。这期间先后研究过威胁建模、信息安全风险评估与控制、流量检测和安全测试等方面,在持续学习和实践的同时,也与国内许多专家学者和企事业单位频繁接触,深感安全人员不能只关注具体点而忽略整体面。花大价钱购置一大批盒式设备“堆”在网络中的时代已经一去不复返,这只能带来虚假的安全感。安全的“短板效应”和“木桶理论”决定了我们必须以全局整体的视角去看待它,而且这种整体视角是基于动态博弈的暂时平衡。
网络安全的哲学已经从“努力防住”转变为“防范终将失效”,从“发现并修补漏洞”转变为“持续过程监控”,也就是说,无论你在网络和系统中投入多少,入侵者仍可能获胜。基于这个哲学前提,我们能做的就是在入侵者实现目标前尽可能地发现、识别并做出响应,及时分析情况和通报事件的发生,并以最小代价减轻入侵者的破坏,只要入侵者的目标未能达成即是相对安全的。网络安全态势感知就是这种思路的典型体现,通过获取海量数据与事件,直观、动态、全面、细粒度地提取各类网络攻击行为,并对其进行理解、分析、预测以及可视化,从而实现态势感知。它有助于安全团队发现传统安全平台和设备未能监测到的事件,将网络上似乎无关的事件关联起来,从而更有效地排查安全事件并做出响应。
虽然网络安全态势感知的概念早在若干年前就已被提及,但由于当时的技术和认知水平,其发展是有限的。随着时间的推移,以及数据量和数据形态的改变,老问题发生了新变化,需要我们重新审视它。尤其是近几年来,随着大数据技术的迅猛发展、数据处理和分析方法的不断创新,以大数据为平台框架进行安全分析(即数据驱动安全)逐渐成为热点。新技术的驱动给网络安全带来许多新的挑战,也迫使我们重新思考。只有不断更新知识,创造性地发现问题、研究问题和解决问题,才能跟上信息化时代的脚步。正如《人类简史》中所写:“人类近500年的科学革命意义重大,它并不是‘知识的革命’,而是‘无知的革命’。真正让科学革命起步的伟大发现,就是发现‘人类对于最重要的问题其实毫无所知’……现代科学愿意承认自己的无知,就让它比所有先前的知识体系更具活力、更有弹性,也更有求知欲。这一点大幅提升了人类理解世界如何运作的能力,以及创造新科技的能力。”
读者对象
本书的读者对象主要包括:
●网络安全领域的技术爱好者和学生
●网络运维管理、信息安全领域的从业人员
●网络空间安全等相关专业的本科生及研究生
●期望在网络安全领域就业的技术人员
●网络安全态势感知领域的研究人员
本书结构
本书分为四个部分:基础知识、态势提取、态势理解和态势预测。每章都会重点讨论相关理论、工具、技术和核心领域流程。我们将尽可能用通俗易懂的方式进行阐述,让新手和安全专家都能从中获得一些启发。本书所构建的框架和理论基于集体研究、经验以及合著者的观点,对于不同的话题和场景所给出的结论可能与他人不同。这是因为网络安全态势感知更多地是一门实践活动,不同人的认知和理解难以趋同,这也是完全正常的现象。
本书的内容框架如下:
第一部分:基础知识
第1章:开启网络安全态势感知的旅程
第2章:大数据平台和技术
第二部分:态势提取
第3章:网络安全数据范围
第4章:网络安全数据采集
第5章:网络安全数据预处理
第三部分:态势理解
第6章:网络安全检测与分析
第7章:网络安全态势指标构建
第8章:网络安全态势评估
第9章:网络安全态势可视化
第四部分:态势预测
第10章:典型的网络安全态势预测方法
第11章:网络安全态势智能预测
第12章:其他
本书涉及的网络安全态势感知主题众多,我们希望书中各章涵盖的内容能够具有一定的参考价值;同时希望读者能够获得愉悦且充沛的阅读体验,就如同我们在字斟句酌数易其稿、亲历从最开始寥寥数页的章节意向到成稿付梓形成手头这本书的过程中体会到的一样。
致谢
写书的过程是漫长而艰辛的!我有个习惯,就是无论在何种环境下都会不断告诫自己:“人不能贪图安逸,总要有一个目标,时不时给自己一些挑战,做一些有难度的事情。”从设定这样一个目标到谋划这件事情,再到搭建书的整体框架,对每个章节进行布局,完成初稿、中间修改和定稿的整个过程中,是心中的信念让我克服了人固有的惰性并坚持了下来。
当然,本书之所以能完成,离不开许多朋友直接或间接的帮助,我也想借此机会感谢他们。
感谢父母,在你们的影响下成长,使我成为一个独特的人。作为子女所能做的是,传承他们赋予的性格并分享他们给予的爱。
感谢我的家庭和可爱的女儿,家人给我的爱是浓厚的,对我非常重要,他们在生活中对我的关心和支持,让我有动力完成各种艰难的挑战。
感谢单位的领导和同事,他们给予我充分的信任和支持以开展这方面的研究和实践,并对我的研究工作提出了诸多宝贵意见和建议。
杜嘉薇