MDATA模型(Multi-dimensional Data Association and Threat Analysis,多维数据关联和威胁分析模型)目的是解决网络安全态势感知中数据分布广、网络安全知识因具有时空特性而难以表示等难题。
数据结构
超语义图=<Entity,Relation,Property>
Entity: 实体集合
- 主要实体(Primary Entity,PE):实体之间通过 Relation 进行连接.
- 次要实体(Secondary Entity,SE:对主要实体的描述,次要实体和主要实体通过属性进行连接.
Relation: 关系集合可以表示为 < R,Time-Zone,Spatial,T-S>
- TimeZone表示关系R的时区特性;
- Spatial表示关系R的空间特性;
- T-S表示关系R的时空融合特性
Property: 属性集合可以表示为 < P,Time-Zone,Spatial,T-S> 同关系集合也具有时间特性、空间特性、时空融合特性。
不同维度的结构
资产维度
- PE: 操作系统、服务器、硬件、软件、文件系统、IP
- SE: 型号、版本号
- Time-Zone: 时间区间
- Spatial: 端口号、地理位置、部门、所属人
在关系层面,不同资产之间的关联关系可能随着时间、空间发生变化,如某终端之间的连接关系随着网络拓扑的改变而发生改变,因此关系会存在时间和空间上的特性。
漏洞维度
- PE: 影响设备(资产PE)、攻击方式、漏洞类型、危害等级
- SE: 版本号
在漏洞层面,漏洞与资产存在关联关系,即某资产是否存在对应的漏洞。在构造漏洞知识库的同时,也将根据对应的补丁信息构造相关联的补丁知识,分析师可以判断存在漏洞的系统是否已安装了相应的补丁,从而对系统的资产状态进行有效评估。
攻击行为维度
夜龙APT攻击:
攻击者利用HTTP GET Request漏洞(CVE-2010-2309),对Web服务器实施SQL注入攻击、命令执行攻击,而这些攻击行为会被相应的防御设备察觉并提示告警信息.
topsec和snort 安全设备均会察觉SQL注入攻击行为,并发出相应的告警信息,此处记录告警信息的编号分别为topsec-7XXX和snort-19XXX,snort入侵检测设备也能发现命令执行攻击行为,发出的告警信息为snort-1XXXX.
攻击者通过SQL注入和命令执行攻击服务器,六边形为关系节点,在“攻击”关系节点上增加了空间特性,即源地址、目的地址,按MDATA模型中对关系节点的重定义,两个关系节点可以分别记为SQL注入-攻击-Web服务器A 和 命令执行-攻击-Web服务器A。两种攻击方式会触发相应的防御设备
- PE:攻击方式(同漏洞PE)、服务器(同资产PE)
- SE: 告警编号
- R: 空间特性-(src_ip,dst_ip)
- P: 攻击方式的描述、特点
在攻击行为层面,攻击者采用的攻击方式是主要实体,攻击方法和漏洞存在利用关系,而攻击方法具体的描述、特点等为相关属性,这些关系和属性均存在时空特性。
总结
网络安全态势感知的核心是建立认知模型,以便对网络安全态势进行全面、准确、实时的理解。由于网络安全态势感知中存在数据体量大、更新快、时效性强、时空高度关联等特性,MDATA模型,是一个用于理解网络安全态势的认知模型,能实现对已知攻击事件全面、准确、实时的检测,是理解网络安全态势的基石。
