网络安全态势感知综述课件.ppt

〉 对于防守方：管理员对节点 i 实施安全措施会带来两方面的影响 : 减少威胁 t 的损害和影响网络性能 安全措施对 i 节点可用性的影响： 对 i 相关路径的性能影响为： 其中 ,V v (e j (k))= Δρ ej * value ej 为对第 j 条路径的影响 〉 安全措施减少 t 的损害与威胁类型有关 : 〉 t 为一类威胁时 , 减少 t 的损害为 ?V t (s i (k)), 从而 , 防守方的一步报酬用公式 (2a) 表示 : 〉 t 为二类威胁时 , 减少 t 的损害为 〉 对于中立方 , 普通用户根据网络的延迟、服务的可访问性等改变访问率 . 中立 方的一步报酬为 N 个节点和 M 条路径的利用率之和 , 用公式 (3) 表示 : 〉 威胁通过 TPN(t,k) 向未感染的节点传播，根据以上对于两类威胁统一用公 式 (4) 表示： 〉 中立方： 例子博弈过程 1. k 时刻 , 只在节点 1 上检测到 t, 系统处于状态 A; 2. k+1 时刻 ,t 向节点 3 传播 , 管理员加固节点 3, 普通用户访问率不变 . 系统如 果跳转到状态 B, 表示加固方案执行没有成功并且威胁成功传播 ; 如果跳转 到状态 C, 表示加固方案执行成功或 t 在该方向传播失败 ; 3. k+2 时刻 , 以状态 B 为例 ,t 向节点 2 、节点 4 、节点 1 传播 , 管理员加固节 点 1, 普通用户访问率不变 . 系统如果跳转到状态 D, 表示威胁成功传播到节 点 2 和节点 4, 节点 1 加固方案执行成功或 t 在该方向传播失败 . 网络安全态势感知综述 文章概述 〉 基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网 络安全态势要素提取、态势理解和态势预测，重点论述了各个研究点需解 决的核心问题、主要算法以及各种算法的优缺点，最后对未来的发展进行 了分析和展望。 概念概述 〉 1988 年， Endsley 首先提出了态势感知的定义：在一定的时空范围内，认 知、理解环境因素，并且对未来的发展趋势进行预测。 概念概述 〉 1999 年， Tim Bass 提出：下一代网络入侵检测系统应该融合从大量的异构分布式网络传 感器采集的数据，实现网络空间的态势感知。 〉 基于数据融合的 JDL 模型，提出了基于多传感器数据融合的网络态势感知功能模型。 〉 基于网络安全态势感知的功能，本文将其研究内容归结为 3 个方面 : ? 网络安全态势要素的提取 ; ? 网络安全态势的评估； ? 网络安全态势的预测 1 、网络安全态势要素的提取 〉 网络安全态势要素主要包括 静态的配置信息 、 动态的运行信息 以及 网络的 流量信息 。 ? 静态的配置信息：网络的拓扑信息，脆弱性信息和状态信息等基本配置信息 ? 动态的运行信息：从各种防护措施的日志采集和分析技术获取的威胁信息等。 2 、网络安全态势的理解 〉 在获取海量网络安全信息的基础上，解析信息之间的关联性，对其进行融 合，获取宏观的网络安全态势，本文称为态势评估。数据融合式态势评估 的核心。 〉 应用于态势评估的数据融合算法，分为以下几类： ? 基于 逻辑关系 的融合方法 ? 基于 数学模型 的融合方法 ? 基于 概率统计 的融合方法 ? 基于 规则推理 的融合方法 基于逻辑关系的融合方法 〉 依据信息之间的内在逻辑，对信息进行融和，警报关联是典型的基于逻辑 关系的融合方法。 〉 警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观 的攻击态势 〉 警报之间的逻辑关系： ? ? ? 警报属性特征的相似性 预定义攻击模型中的关联性 攻击的前提和后继条件之间的相关性 基于数学模型的融合方法 〉 综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合到 态势空间的映射关系。 〉 加权平均法是最常用、最有代表性、最简单的基于数学模型的融合方法。 〉 加权平均法的融合函数通常由态势因素和其重要性权值共同确定 〉 优点：直观 〉 缺点：权值的选择没有统一的标准，大多是根据经验确定。 基于概率统计的融合方法 〉 基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不 确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。 〉 常见基于概率统计的融合方法： ? 贝叶斯网络 ? 隐马尔可