《网络空间欺骗:构筑欺骗防御的科学基石》一3.1 简介

简介: 本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.1 简介,本节书摘来华章计算机《网络空间欺骗:构筑欺骗防御的科学基石》一书中的第2章,第2.4.3节, Cyber Deception: Building the Scientific Foundation 苏西尔·贾乔迪亚(Sushil Jajodia)V. S.苏夫拉曼尼(V. S. Subrahmanian)[美] 维平·斯沃尔(Vipin Swarup) 著 克利夫·王(Cliff Wang) 马多贺 雷程 译 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.1 简介

本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.1 简介,为了控制网络空间的主权,网络空间任务决策者和运营商需要了解他们的防御状况和防御方法。在动态战争中,军事计划策划者已经成功地形式化了弹药评估过程,并制定了量化各种性质的联合军火有效性(JMEM)手册[1]。
JMEM提供了关于不同类型武器的有效性预期定量信息,并已成为执行弹药或者任务分配、任务策划、任务执行和战斗力损伤评估的关键。已提出的JMEM概念可以扩展到电子战(EW)和隐形战役中[2,3]。
对网络空间弹药和防御的类似评估对于网络空间决策者来讲是十分有价值的,网络空间弹药的高级属性主要如下:
screenshot隐蔽性;
screenshot准确性;
screenshot可循环利用;
screenshot潜在和附带的损害;
screenshot持续性;
screenshot属性级别;
screenshot部署在新目标上的时间开销;
screenshot战斗伤害评估的难易程度;
screenshot可靠性。
在过去的几年中,网络空间弹药的这些或者其他的属性已经在文献[4]中被记录和描述。这些普遍被认同的相关属性是十分有用的。事实上,有限地量化网络空间操作能力被视为是阻碍其广泛应用的关键瓶颈。例如 David Sanger 在2014年2月的报告中写道[5]:
美国军事策划者在过去的两年半时间为总统先生奥巴马制定了(网络)措施后总结说,任何对叙利亚措施的有效攻击都必需要有足够长的时间,才能够产生效果和影响,并有针对性地防止已经受苦的人们的情况变得更糟糕。
由于这些和其他原因,整个军事和情报机构都被质疑,一个高级行政官员说:“坦白地说,效用是有限的”。
2015年美国国防部网络空间战略概述了5个目标,其中之一就是“构建和维护可行的网络空间措施……”。值得注意的是,为了与上述情况保持一致,这个目标不仅包括使用网络空间实现任务目标,而且要求“精准、尽量减少生命损失和财产破坏”[6]。在没有一个成熟的网络空间JMEM之前,我们只能冒着无法完全理解和预期其可能对我方第n级造成影响的风险下,使用网络空间弹药。
尽管近年来对网络空间JMEM的需求越来越大[7],但是在网络空间弹药属性的实际操作量化、度量和开发方面所做的研究相对较少(尽管美国国防部正为其预期的量化和度量进行努力)[8]。在2015年10月的网络空间风险标准峰会上,美国国防部秘书委员会办公室的运营测试和评估主任J.Michael Gilmore宣布成立一个计划办公室以应对以上的挑战,如果可能,它将是一个新兴科学[9]。
这些忧虑直接导致了对网络空间量化有效性相关挑战的科学创造支持和技术发展支持。正如我们需要知道飞机和陆地车辆的物理特性、雷达界面和机动性,才使得物理战斗空间感知具有意义,网络空间也需要知道通过“网络空间舆情感知”发掘未来网络实体相关的属性。换句话说,网络空间弹药的量化告诉我们填充网络空间战场关键对象的属性和动态的重要性。
在本章中,我们提出了特定网络空间操作环节上下文的隐蔽量化方法,并相信这些结果可以有助于协助攻击和防御操作。此外,这里开发的技术也可能适用于其他网络空间弹药属性,从而为更广泛地开展这种正式评估和联合规划活动打开大门。通过推进网络空间属性量化的基础科学和支撑技术,我们希望通过进一步追求网络空间JMEM,从而指导未来的网络空间操作。
我们的方法包括构建恶意软件模型,建模防御该恶意软件的目标环境,然后通过隐蔽微积分将其合并,以获得隐蔽得分。该隐蔽得分是对防御方可以检测恶意软件的概率的评估。图3.1描述了基本组成及各组件的关系。
screenshot
由于目标是量化隐蔽性,恶意软件模型由恶意软件产生的量化主机和网络可观测量组成。可观测量包括可观测的数据,比如CPU周期、存储器占用量、系统调用、网络业务类型和网络业务量。原则上可以包含使用标准方法度量的量化值,以及异常或者被污染的主机和网络入侵检测系统、恶意软件分析工具[10-12]。
我们的方法是开放式的且不知道哪些策略、行为或者签名(单独或者组合)被用于检测恶意软件。正如飞机隐形必须对特定的传感器现象(比如使用的RF波长、双基雷达与多基雷达等)进行评估,我们认为恶意软件的隐蔽性取决于防御者使用的网络传感器所能观测的现象。
防御基础设施的模型可以用类似于可靠性理论中可靠性框图(RBD)[13,14]的“隐蔽性框图”(CBD)来表征。隐蔽性框图是防御者用于通知管理员可能存在的恶意软件活动的警报逻辑图示描述方法。此类警报逻辑是现代信息安全管理(SIM)、安全事件管理(SEM)和安全信息和事件管理(SIEM)系统(比如ArcSight和Splunk [15,16])的组成部分。这些系统基本上用于私营或者政府部门所管辖的企业的安全操作中。基于传感器和日志报告制定时间组合时触发的规则生成警报。因此,这种规则的总集合是传感器和日志报告的连接和分离的正常形式表达。我们将这样的规则描述为布尔表达式或用于教学目的的CBD。
由于这种一般性,隐蔽性评估量化方法可以基于任何网络防御传感器条件和警报逻辑。
本章的剩余部分组织如下。3.2节描述了用于目标防御的量化建模方法。3.3节详细介绍了建模恶意软件的方法。3.4节给出了包含具体数值实例的隐蔽微积分描述。3.5节总结了本章,并讨论了该领域当前和未来的工作。

原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.1 简介

相关文章
|
6月前
|
监控 安全 网络安全
|
6月前
|
SQL 机器学习/深度学习 分布式计算
Spark【基础知识 01】【简介】(部分图片来源于网络)
【2月更文挑战第12天】Spark【基础知识 01】【简介】(部分图片来源于网络)
70 2
|
6月前
|
消息中间件 Kubernetes 网络协议
Cilium 系列 -15-7 层网络 CiliumNetworkPolicy 简介
Cilium 系列 -15-7 层网络 CiliumNetworkPolicy 简介
|
6月前
|
消息中间件 NoSQL Linux
workFlow c++异步网络库编译教程与简介
搜狗公司C++服务器引擎,编程范式。支撑搜狗几乎所有后端C++在线服务,包括所有搜索服务,云输入法,在线广告等,每日处理数百亿请求。这是一个设计轻盈优雅的企业级程序引擎,可以满足大多数后端与嵌入式开发需求。 编程范式 结构化并发与任务隐藏回调与内存回收机制
127 0
|
5月前
|
机器学习/深度学习
【从零开始学习深度学习】33.语言模型的计算方式及循环神经网络RNN简介
【从零开始学习深度学习】33.语言模型的计算方式及循环神经网络RNN简介
【从零开始学习深度学习】33.语言模型的计算方式及循环神经网络RNN简介
|
6月前
|
数据可视化 数据挖掘
【视频】复杂网络分析CNA简介与R语言对婚礼数据聚类社区检测和可视化|数据分享
【视频】复杂网络分析CNA简介与R语言对婚礼数据聚类社区检测和可视化|数据分享
|
25天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
5月前
|
机器学习/深度学习
【从零开始学习深度学习】37. 深度循环神经网络与双向循环神经网络简介
【从零开始学习深度学习】37. 深度循环神经网络与双向循环神经网络简介
|
25天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
|
3月前
|
网络协议 安全 网络安全
网络术语、接口和协议简介
网络术语、接口和协议简介
53 1
下一篇
无影云桌面