下一代网络空间战略和下一代智能监控
null
null
摘要
下一代网络空间战略
今年5月16日,美国白宫发布了《网络空间国际战略》,这个战略必将深刻地影响全球信息安全领域。
下一代智能监控
监控体系正向下一代迈进。而下一代智能系统应当具有的10大共性特征中,智能存储记忆能够革命性地改变监控体系的应用。
null
网络空间战略
Strategy for Cyberspace
null
2009年的关注
奥巴马政府的报告
IBM提出智慧地球
null
奥巴马报告要点观察
明确Cyberspace网际空间
陆、海、空、太空、网际等五大空间并列
突出讲问题、威胁
强调政治、军事、经济、外交等手段共同协调
划定关键基础设施
电信、金融、电力、联邦政务
总统直辖的负责人和办公室
近期和中期行动计划
null
近期行动计划
任命网际安全政策高级协调官
为总统准备更新的国家战略
明确网际安全是总统的关键管理优先级,建立指标度量
任命隐私和公民自由官员
建立合适的跨部门机制
启动一个国家公众宣传和教育计划
发展并加强对于国际伙伴的保障
准备一个网际安全事件响应计划;启动与私营机构的合作
关注改变游戏规则的技术发展
建立基于网际安全的ID管理战略
null
中期行动计划
法律
预算计划
教育和研究
引入专家进入联邦政府
战略预警机制和事件响应能力
开发一套威胁场景和度量
建立政府和私营机构的良好机制,以应对事件
建立信息分享机制
保障应急通讯能力
保护隐私和公民自由
鼓励与研究机构和产业界的合作
研究开发框架和标准
建立可以互操作的ID管理
改进政府采购策略
null
关注
2009
2010
2011
null
白宫《网络空间国际战略》出炉
5月16日,在白宫网络空间安全协调官Howard A. Schmidt的官方博客 上,记录了其当天与国土安全部顾问John Brennan共同参与的发布会。
发布会上,国务卿希拉里.克林顿、司法部长Eric Holder、商务部长骆家辉、国土安全部长Janet Napolitano、副防务卿Bill Lynn等共同发布的《网络空间国际战略》 International Strategy for Cyberspace 。
null
网络空间战略嫁接意识形态
三个核心原则
基本自由、隐私、信息的自由流动
未来网络空间的关键特征
1. 开放促进创新
2. 互操作性确保全球的覆盖
3. 安全足以赢得人们的信任
4. 可靠足以支持他们的工作
null
其认为的“稳定来自于范式”
传统规范,需要继续支持网络空间形态
维护基本自由
尊重私有财产
重视隐私
防范不受犯罪侵害
自卫的权利
网络所特别带来的关注
全球互操作
网络稳定性
访问可靠(强调个人访问)
多干系方治理(不限于政府)
网络空间尽责
null
白宫为自己确定的角色和责任
外交:加强盟友关系。
这包含双边和多边盟友关系,也包含与国际组织和多干系方组织,也包含私营机构。
防务:防御和威慑。
所谓防御包括在加强本土和加强海外。特别在加强海外防御能力中提到了能够阻止would-be的攻击者,也就是有先发制人的策略;同时,明确提出建立全球性的事件响应能力。
所谓威慑是指确保对网络上的美国立即进行攻击,其必将承担风险。这里明确表示,有权力动用任何必要的工具,包括外交、信息、军事和经济手段。当然,在动用军事手段前会先尝试其他可能的选择。也就是这段文字最受媒体关注。
发展:构建繁荣和安全。
明确政府在发展问题上有责任也有权力直接插手。
构建技术能力、构建网络空间安全能力、构建政策关系。
null
7项战略政策
1. 经济:推动国际标准和创新,开放市场。确保网络空间继续满足我们的经济和创新的需要。
2. 保护我们的网络:加强安全、可靠性和容忍度。强壮的网络空间对于国家安全和经济安全都是至关重要的。
3. 法律执行:拓展合作和法律力度。提高网络空间的信心,追究破坏在线系统者。
4. 军事:准备应对21世纪安全挑战。我们承诺要保护我们的公民、盟友和利益,在其受到威胁时。
5. 互联网治理:推动有效和包容的多样结构。推进能够有效服务于所有互联网用户的互联网治理结构。
6. 国际发展:构建能力、安全和繁荣。在全球范围推广网络技术,提高我们共享网络的可靠性,在网络空间中构建有责任的参与者的大社区。
7. 互联网自由:支持根本的自由和隐私。在网络空间中,同时保护基本的自由和隐私。
null
Cyberspace 网络空间战略视角
在美国的总统令中定义过:
网络空间是信息技术基础设施的相互依赖网,包括互联网、电信网络、计算机系统、关键工业设施的嵌入式处理器和控制器。
这个术语也常常指人们之间进行信息交互的虚拟环境。
空间视角需要探索
null
下一代智能监控
null
2009年得到高层重视的两件事
奥巴马政府的报告
IBM提出智慧地球
null
智慧Everything
null
IBM提出的智慧地球的3个I
null
下一代智能系统的十大共性特征
null
下一代智能系统10大特征
计算平台
具有高性能计算能力;例如云计算,网格计算、分布式计算等。具备对海量数据进行大规模运算的能力
思维
主要指智能计算,包括遗传算法、神经网络、自学习能力等等。具备由已知知识通过该能力生成新知识的特点。
知识
包括各种领域的知识系统。例如包含业务感知和应用感知的全协议理解;
基于词法、语法、语义层面的内容知识等。
null
下一代智能系统10大特征
输入系统(感知)
包括无所不在的前端探头,即各种各样的数据获取工具及技术;也包括各种各样的多媒质接入。整个智能系统的输入系统应该是跨领域的多样化的并且兼容各种输入方式。
输出系统(反应)
包括神经性反射和智能反映有机结合的响应体。也可以理解为基于简单规则的自反应输出及经过分析计算后的输出结果
互联互通(协同)
类似于神经网络的神经元。智能系统的各部件或各智能系统之间存在多种方式的互联互通,如移动计算。
null
下一代智能系统10大特征
存储能力(记忆)
存储系统作为职能系统重要的基础组成部分可以按照存储时间、层次不同、存储的数据对象不同等分为前端存储和后端存储。
人机交互
包含于智能计算、互联互通、输入输出等多个部件之中的丰富的人机交互功能。提供可靠的人为参与方式及专家系统。同时包含丰富直观的可视化展现功能。
自治
除去上述对外的功能特点之外,智能系统应该具备自我管理能力。包括系统健壮性、容忍性、弹性等等。
未知能力
null
下一代智能系统的十大共性特征
null
信息安全保障技术中的【监控】
null
探寻检测的真谛
蜜罐
宏观分析
APT
null
null
探寻检测的真谛
检测的一般抽象模型
检测机制
检测对象
检测结论
检测依据
null
探究检测的真谛
关于漏报率和误报率的悖论
判据过程及其计算复杂度
null
探究检测的真谛
计算复杂度的收简
null
探究检测的真谛
特征库
特征使用的计算复杂度 << 特征获取的计算复杂度
特征可积累、可共享、可升级
特征库是一种知识库,需要知件理论
特征可生产
腰
null
探究检测的真谛
高端检测
宏观高端检测——宏观监控
微观高端检测——APT类分析
腰
脖子
null
宏观监控示例:地址熵
null
高级、复杂、持续的目的性攻击示例
使用CAP反馈码完成回传
IM即时通讯CAP反馈码
Step 1 – 盗取登录数据
Step 2 – 扰乱OLB站点的日志
Step 3 – CAP尝试
Step 4 – HTML 注入
Step 5 – 盗取CAP反应
Step 6 – 完成CAP反馈码回传
null
威胁用例、威胁场景
威胁的环境Environment:前提、假设、条件等
威胁的来源Agent:包括攻击者、误用者、故障源、自然(灾害)等
威胁的对象Object:攻击目标和破坏对象,也就是要被保护的对象
威胁的内因——脆弱性Vulnerability:自身保护不当的地方
威胁的过程Process
威胁的途径Route:指威胁必须通过才能实现的一些部分。比如,要通过网络、要在物理上接近设备、要欺骗人等等。
威胁的时序Sequence:威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上,一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。
威胁的结果——事件Event/Incident:威胁具体实现之后所造成的结果
威胁的可能性:威胁产生结果变成事件的概率。
威胁的影响范围:威胁产生结果后的影响大小。以及影响进一步扩散的特性。
null
提升检测能力
高端检测
宏观高端检测——宏观监控
微观高端检测——APT类分析
通过智能记忆(存储)来提升检测能力
腰
脖子
null
智能记忆监控系统
智能记忆监控系统的特点
旁路检测产品从基于实时时间点的检测,变成了基于实时滑动时间窗的检测
Time Machine:对于需要详细分析的数据,可以加载任意的检测策略、配置任意事件特征,进行反复回放和深度调查
null
应用场景分析
Hacker
服务器
实时IDS
CTM
历史IDS
1.攻击者利用最新的漏洞进行攻击
2. 实时IDS缺乏
攻击特征,未能检测
3. CTM对流量进行了存储
4.分析人员加载最新的特征,通过
对历史数据的回放实现检测
null
下一代智能监控系统
宏观监控
APT检测
特征库
可视化
智能存储
null
谢谢
null
�
�