网络安全态势感知综述

网络安全态势感知综述席荣荣云曉春金舒原1文章概述基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述了各个研究点需解决的核心问题、主要算法以及各种算法的优缺点，最后对未来的发展进行了 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和展望。2概念概述1988年，Endsley首先提出了态势感知的定义：在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测。概念概述1999年，TimBass提出：下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知。基于数据融合的JDL模型，提出了基于多传感器数据融合的网络态势感知功能模型。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面:网络安全态势要素的提取;网络安全态势的评估；网络安全态势的预测1、网络安全态势要素的提取网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息。静态的配置信息：网络的拓扑信息，脆弱性信息和状态信息等基本配置信息动态的运行信息：从各种防护措施的日志采集和分析技术获取的威胁信息等。网络脆弱性指的是网络中任何能够被用来作为攻击前提的特性。2、网络安全态势的理解在获取海量网络安全信息的基础上，解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势，本文称为态势评估。数据融合式态势评估的核心。应用于态势评估的数据融合算法，分为以下几类：基于逻辑关系的融合方法基于数学模型的融合方法基于概率统计的融合方法基于规则推理的融合方法基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和，警报关联是典型的基于逻辑关系的融合方法。警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势警报之间的逻辑关系：警报属性特征的相似性预定义攻击模型中的关联性攻击的前提和后继条件之间的相关性警报是一条消息，用来指示已检测到的异常或策略规则违例。基于数学模型的融合方法综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合到态势空间的映射关系。加权平均法是最常用、最有代 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 性、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定优点：直观缺点：权值的选择没有统一的标准，大多是根据经验确定。基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源，但是当前网络安全设备提供的信息，在一定程度上是不完整的#不精确的，甚至存在着矛盾，包含大量的不确定性信息，而态势评估必须借助这些信息来进行推理，因此直接基于数据源的融合方法具有一定的局限性基于概率统计的融合方法基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。常见基于概率统计的融合方法：贝叶斯网络隐马尔可夫模型贝叶斯网络贝叶斯公式：P(B)=贝叶斯网络：一个贝叶斯网络是一个有向无环图（DAG），其节点表示一个变量，边代表变量之间的联系，节点存储本节点相当于其父节点的条件概率分布。每个节点受其父节点所影响，即其父节点代表原因，子节点表示结果。在网络态势评估中，贝叶斯网络是一个有向无环图，节点V表示不同的态势和事件，每个节点对应一个条件概率分配表，节点间利用边E进行连接，反映态势和事件之间概率依赖关系，在某些节点获得证据信息后，贝叶斯网络在节点间传播和融合这些信息，从而获取新的态势信息贝叶斯网络X1,X2......X7的联合概率分布：隐马尔可夫模型隐马尔可夫模型是马尔可夫链的一种，它的状态不能直接观察到，但能通过观测向量序列观察到，每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以，隐马尔可夫模型是一个双重随机过程隐马尔可夫模型隐马尔可夫模型假设我们开始掷骰子，我们先从三个骰子里挑一个，挑到每一个骰子的概率都是1/3。然后我们掷骰子，得到一个数字，1，2，3，4，5，6，7，8中的一个。不停的重复上述过程，我们会得到一串数字，每个数字都是1，2，3，4，5，6，7，8中的一个。例如我们可能得到这么一串数字（掷骰子10次）：1635273524隐含状态链有可能是：D6D8D8D6D4D8D6D6D4D8转换概率(隐含状态）输出概率：可见状态之间没有转换概率，但是隐含状态和可见状态之间有一个概率叫做输出概率可见状态链隐马尔可夫模型隐马尔可夫模型隐马尔科夫的基本要素，即一个五元组{S,N,A,B,PI}；S：隐藏状态集合；N：观察状态集合； A：隐藏状态间的转移概率矩阵；B：输出矩阵（即隐藏状态到输出状态的概率）；PI：初始概率分布（隐藏状态的初始概率分布）；优缺点评价优点：可以融合最新的证据信息和先验知识，过程清晰，易于理解缺点：要求数据源大，同时需要的存储量和匹配计算的运算量也大，容易造成位数爆炸，影响实时性特征提取、模型构建和先验知识的获取有一定困难。基于规则推理的融合方法基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性;然后利用规则进行逻辑推理，实现网络安全态势的评估。D-S证据组合方法和模糊逻辑是研究热点在网络态势评估中，首先对单源数据进行局部评估，然后选取相应的模型参数，对局部评估结果建立隶属度函数，将其划分到相应的模糊集合，实现具体值的模糊化，将结果进行量化。量化后，如果某个状态属性值超过了预先设定的阈值，则将局部评估结果作为因果推理的输入，通过模糊规则推理对态势进行分类识别，从而完成对当前态势的评估D-S证据理论是一种不确定推理方法，证据理论的主要特点是：满足比贝叶斯概率论更弱的条件；具有直接表达“不确定”和“不知道”的能力·。概率分配函数：设Ｄ为样本空间，其中具有ｎ个元素，则Ｄ中元素所构成的子集的个数为２ｎ个。概率分配函数的作用是把Ｄ上的任意一个子集Ａ都映射为[0，1]上的一个数Ｍ（Ａ）。信任函数：似然函数：D-S证据理论信任区间：[Bel(A)，pl(A)]表示命题A的信任区间，Bel(A)表示信任函数为下限，pl(A)表示似真函数为上限模糊集合处理某一问题时对有关议题的限制范围称为该问题的论域。1、论域2、集合在论域中，具有某种属性的事物的全体称为集合。3、特征函数设A是论域U上的一个集合，对任何u∈U，令则称CA(u)为集合A的特征函数。显然有：A={u|CA(u)=1}21模糊集合4、隶属函数设U是论域，μA是将任何u∈U映射为[0，1]上某个值的函数，即：μA：U→[0，1]u→μA(u)则称μA为定义在U上的一个隶属函数22模糊集合5、模糊集设A={μA(u)|u∈U},则称A为论域U上的一个模糊集。当隶属函数只取0,1时，隶属函数就是特征函数。μA(u)称为u对模糊集A的隶属度。23模糊集的表示方法模糊集合可以有以下两种表示方法：1.扎德（Zadeh）表示法(1)当论域U为离散集合时，一个模糊集可以表示为：(2)当论域U为连续集合时，一个模糊集可以表示为：注：此处的积分和求和符号都不代表实际运算，只是一种表示方法而已。24模糊集的表示方法2.序对表示法模糊集中的每个元素都可以表示成（元素、隶属度）这样一个序对，基于这种思想，模糊集可表示如下：25模糊关系1.关系的定义关系是客观世界存在的普遍现象。如父子关系、大小关系、属于关系、二元关系、多元关系、多边关系等等直积（笛卡尔积）体现了两个集合之间的关系。在普通集合中，设论域U和V，从U到V的一个关系定义为直积U×V的一个子集R，记作：例7设有集合A={1,2,5}，B={3,2}，求A、B的二元关系R解：26模糊关系此处的关系R同样为二元关系。隶属函数表示形式为：其隶属函数的映射：元素(u0,v0)的隶属度为μR(u0,v0)，表示u0和v0具有关系R的程度2.模糊关系设论域U和V，则U×V的一个子集R，就是U到V的模糊关系，同样记作：273、网络安全态势的预测网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法基于Markov博弈模型的网络安全态势感知方法张勇谭小彬崔孝林本文提出一种基于Markov博弈分析的网络安全态势感知方法，分析了威胁传播对网络系统的影响,准确全面地评估系统的安全性。对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 化数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通用户的行为进行博弈分析,建立三方参与的Markov博弈模型，从而实时动态的评估网络安全态势，并给出最佳加固 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势(1)数据采集:通过多传感器监测网络系统的运行状况,检测大量的原始安全数据;(2)态势理解:采用规范化分析、冗余检测和冲突检测等方法,分析原始数据,得到规范化的数据集;(3)态势评估:采用态势评估算法,分析态势理解模块的数据,定量描述系统的安全态势;(4)态势预测:采用态势预测算法,分析态势的变化规律,预测系统安全态势变化趋势;(5)加固方案生成:分析系统最薄弱的节点,给出加固方案,指导管理员提高系统安全性.威胁传播分析网络系统的各个节点相互连接,当系统中某个节点被成功攻击后,威胁可以传播到与该节点相关联的其他节点,从而使这些节点遭受安全威胁.资产：对系统有价值的资源资产类型：主机、服务器、路由器、网关、防火墙、IDS......资产价值：包含资产保密性价值、完整性价值、可用性价值性能利用率：分5个等级，随着等级的增长,性能利用率指数增长.威胁：对资产造成损害的外因资产的性能利用率是资产所在主机的内存、CPU、可支持连接数等性能的利用率的综合加权对已检测到某脆弱性但未检测到利用该脆弱性的威胁,根据威胁等级的定义[16],认为该威胁以pt概率发生威胁类型：病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损害方式将威胁分为两类：占网络资源少的威胁,包括木马、病毒和网络攻击等,对系统节点的保密性、完整性和可用性均有影响,大量耗费系统资源的威胁,以蠕虫和DDoS攻击为代表,主要对系统的可用性造成影响脆弱性：可以被威胁利用的薄弱环节通过对检测数据的融合,得到系统中所有的资产、威胁和脆弱性数据,构成资产集合、威胁集合和脆弱性集合.脆弱性的影响表示该脆弱性引发的安全事件对资产价值的影响,是一个向量结构,包含对资产保密性价值、完整性价值和可用性价值的影响脆弱性的类型包括管理配置脆弱性、漏洞等如果检测到某脆弱性,认为该脆弱性以pv的概率被相应威胁成功利用;威胁传播网络威胁传播节点：系统中受威胁影响的节点,Node=(ida,valuea,pa,tf,vf)威胁传播路径:系统中传播威胁的链路Path=（idas，idad,valuee,Pe,pe)Pe指路径被切断后对系统造成的损失,是路径带宽利用率,与资产的性能利用率类似,分为5个等级;pe表示威胁通过该路径成功扩散的概率,分为5个等级,每提高一个等级,威胁成功传播概率线性增加.威胁传播网络TPN:包含t所有的传播节点和传播路径,用TPN（t）={Nodes,Paths}表示。对于威胁集合的每个威胁t,如果某个网络节点存在t,则t可以通过网络传播到与该节点相邻的其他节点.根据资产集合、脆弱性集合和网络结构信息,首先确定t的分布状态,即每个节点是否存在t,是否存在t利用的脆弱性,t通过每条路径传播的概率;然后分析t可能的转播路径和系统的变化状态.威胁的分布状态用威胁传播节点表示,威胁下一步可能的转播方向用威胁传播路径表示威胁传播节点集包含系统所有受t影响的资产,可以设置包含系统所有资产;威胁传播路径集包含系统所有可以传播t的链路,可以设置包含系统所有链路.根据这两个集合建立t的传播网络,t的一步行为指t通过威胁传播网络,以一定的概率传播到当前被感染节点的邻居节点.每个威胁通过与之对应的威胁传播网络一步一步地传播到系统其他部分.基于Markov博弈分析的态势量化评估基于时间序列分析的态势预测态势量化评估部分是态势感知的核心.首先,数据采集模块检测的安全数据被融合归类到资产集合、威胁集合、脆弱性集合和网络结构信息,这些数据以规范化数据集的格式保存在数据库中,可以被实时地存取和修改;接着,对威胁集合中的每个威胁建立TPN;然后,对威胁、管理员和普通用户的行为进行Markov博弈分析,评估单个威胁的保密性态势,并给出最佳加固方案;最后,对威胁集合中的所有威胁的保密性态势综合分析评估出系统保密性态势;以同样的方法评估系统完整性态势和系统可用性态势,根据不同的应用背景和需求,对保密性、完整性、可用性态势加权,评估整个系统当前状态的安全态势.Markov博弈模型的建立博弈三方:攻击方：威胁 防守方：管理员 中立方：用户状态空间：TPN(t)的所有可能状态组成状态空间k时刻状态空间为TPN(t,k)={si(k),ej(k)},i=1,2,.....Mj=1,2,.......N行为空间：博弈三方所有可能的行为集合攻击方：ut防守方：uv，修补某个脆弱性、切断某条传播路径或关闭某个网络节点用户：uc，简化为网络访问率提高10%和降低10%ut是威胁t的一步传播,t以一定概率按照TPN(t)传播到系统的其他部分,每次只可能传播到当前感染节点的邻居节点转移概率：随着博弈各方的行为选择,系统的状态不断变化 p(TPN(t,k+1)|TPN(t,k),utk,uvk,uck)描述系统状态变化规律报酬函数：博弈结束后各方的得失攻击方：用对系统的损害表示防守方：用管理员采取安全措施后所能减少的损害表示中立方：用所有普通用户对系统服务的利用程度表示博弈过程博弈过程是各方参与者根据系统当前状态从行为空间中选取一个行为,然后系统转移到新的状态,参与者再根据新状态做决策,依此反复进行。参与者根据己方报酬函数的最大化选择策略对于攻击方：t为第一类威胁时,t对节点i的保密性、完整性和可用性均有损害,记为Vt(si(k))=pt*pv*(u*valueai),对TPN(t,k)中所有节点按同样的方式计算t为第二类攻击时，t对节点i及其相关路径的可用性造成损害,对i可用性造成的损害为Vt(si(k))=pt*pv*Δρai*valueai，valueai取节点可用性价值分量Vt(ej(k))=pt*pv*Δρej*valueej为t对第j条路径的可用性损害其中,i∈ΦN表示受t影响的节点集,j∈Φi表示节点i的相关路径集.对于防守方：管理员对节点i实施安全措施会带来两方面的影响:减少威胁t的损害和影响网络性能安全措施对i节点可用性的影响：对i相关路径的性能影响为：其中,Vv(ej(k))=Δρej*valueej为对第j条路径的影响Δρai为实施安全措施前后对节点性能利用率的改变量,valueai取节点可用性价值分量安全措施减少t的损害与威胁类型有关:t为一类威胁时,减少t的损害为−Vt(si(k)),从而,防守方的一步报酬用公式(2a)表示:t为二类威胁时,减少t的损害为对于中立方,普通用户根据网络的延迟、服务的可访问性等改变访问率.中立方的一步报酬为N个节点和M条路径的利用率之和,用公式(3)表示:威胁通过TPN(t,k)向未感染的节点传播，根据以上对于两类威胁统一用公式(4)表示：中立方：例子博弈过程k时刻,只在节点1上检测到t,系统处于状态A;k+1时刻,t向节点3传播,管理员加固节点3,普通用户访问率不变.系统如果跳转到状态B,表示加固方案执行没有成功并且威胁成功传播;如果跳转到状态C,表示加固方案执行成功或t在该方向传播失败;k+2时刻,以状态B为例,t向节点2、节点4、节点1传播,管理员加固节点1,普通用户访问率不变.系统如果跳转到状态D,表示威胁成功传播到节点2和节点4,节点1加固方案执行成功或t在该方向传播失败.系统k时刻,t为一类威胁时,t的保密性态势和完整性态势的评估方法类似,不计中立方行为的影响,用公式(6a)表示,相应的加固方案用公式(7a)表示:系统k时刻,在对t的可用性态势评估时,需要考虑中立方行为的影响,并且需要区分t属于不同类型的威胁,可用性态势用公式(6b)表示,相应的加固方案用公式(7b)表示.其中,*表示1或者2:态势评量化估算法网络安全态势评估算法主要包括3个步骤:检测数据融合、威胁传播网络(TPN)建立、Markov博弈模型评估。算法1.网络安全态势量化评估算法.输入:数据采集模块检测到的各类安全数据;输出:网络安全态势.1.对检测模块测得得安全数据进行融合,得到资产集合、威胁集合、脆弱性集合和网络结构信息;2.根据检测模块得到的网络信息,综合资产集合、威胁集合和脆弱性集合,对威胁集合中每个威胁t建立该威胁的威胁传播网络TPN(t);3.根据TPN(t),对t建立Markov博弈模型,计算t的保密性损害,评估t的保密性态势;4.根据TPN(t),对t建立Markov博弈模型,分析管理员应对t保密性损害的最佳加固方案;5.按照步骤(3)、步骤(4)类似的方法,评估t的完整性态势和可用性态势,并分析相应的最佳加固方案；6.将威胁集合中所有威胁保密性损害求和,评估网络保密性态势;7.按照步骤(6)同样的计算方法,评估系统的完整性态势和可用性态势;8.根据不同应用需求,采用加权模型评估网络的整体安全态势.其中,B是基数,根据资产、威胁和脆弱性的等级关系[16],取B=5.子算法2.单个威胁保密性态势评估算法.输入:威胁集合中某个威胁的TPN(t);输出:该威胁保密性态势A.令k=K,取R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0,0tku=;B.如果k=0,则跳转到步骤E;否则,令k=k−1后进入下一步;C.对每个TPN状态和每个历史依次计算公式(4);D.返回步骤B;E.该威胁保密性态势按照公式(6a)计算输出子算法3.单个威胁的保密性最佳加固方案生成算法.输入:威胁集合中某个威胁的TPN(t);输出:防守方对最大损害的最佳加固方案.A.令k=K,取R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0;B.如果k=0,则跳转到步骤E;否则,令k=k−1后进入下一步;C.对每个TPN状态和每个历史依次计算公式(4);D.返回步骤B;E.防守方最佳加固方案按照公式(7a)生成输出.实验分析网络中的FTP和HTTP两个服务器通过交换机放置通过防火墙相隔离.远程办公室主机经交换机相连后远程访问公司网络,NetScreen204是带防火墙的路由器,Internet用户通过该路由器访问公司网络资源,整个公司部署一个硬件IDS.在DMZ区;内网办公区主机由交换机划分为2个VLAN,并与外界首先建立威胁t的TPN,如图6所示,传播节点和传播路径由检测模块测得.态势感知系统首先进行安全数据检测,包括对每个网络节点部署资产识别,对每个主机和两个服务器部署恶意代码检测和脆弱性扫描,对IDS、防火墙、路由器和交换机部署渗透测试和在线测试,同时收集IDS报警日志数据;接着,根据检测数据融合得到资产集合、威胁集合、脆弱性集合.然后,对威胁集合中的每个威胁建立TPN,根据TPN建立Markov博弈模型,分析威胁的安全态势;最后,由每个威胁的安全态势评估网络安全态势.下面以威胁集合中的某个威胁t的保密性态势评估过程为例进行描述.谢谢！放映结束感谢各位的批评指导！让我们共同进步母爱母爱是伞，为你遮风挡雨。母爱是衣，为你送去温暖。母爱是灯，为你送去光明。母爱是光，照亮你的心灵。 在寒冷的年代里，母爱是温暖。在温暖的年代里，母爱是关怀。在文明的年代里，母爱是道德。在欢乐的年代里，母爱是幸福。