网络安全态势感知综述ppt课件

《网络安全态势感知综述ppt课件》由会员分享，可在线阅读，更多相关《网络安全态势感知综述ppt课件（47页珍藏版）》请在金锄头文库上搜索。

1、.,网络安全态势感知综述,席荣荣 云曉春 金舒原,.,文章概述,基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述了各个研究点需解决的核心问题、主要算法以及各种算法的优缺点，最后对未来的发展进行了分析和展望。,.,概念概述,1988年，Endsley首先提出了态势感知的定义：在一定的时空范围内，认 知、理解环境因素，并且对未来的发展趋势进行预测。,.,概念概述,1999年，Tim Bass提出：下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知。 基于数据融合的JDL模型，提出了基于多传感器

2、数据融合的网络态势感知功能模型。 基于网络安全态势感知的功能，本文将其研究内容归结为3个方面: 网络安全态势要素的提取; 网络安全态势的评估； 网络安全态势的预测,.,1、网络安全态势要素的提取,网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息。 静态的配置信息：网络的拓扑信息，脆弱性信息和状态信息等基本配置信息 动态的运行信息：从各种防护措施的日志采集和分析技术获取的威胁信息等。,.,2、网络安全态势的理解,在获取海量网络安全信息的基础上，解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势，本文称为态势评估。数据融合式态势评估的核心。 应用于态势评估的数据融合

3、算法，分为以下几类： 基于逻辑关系的融合方法 基于数学模型的融合方法 基于概率统计的融合方法 基于规则推理的融合方法,.,基于逻辑关系的融合方法,依据信息之间的内在逻辑，对信息进行融和，警报关联是典型的基于逻辑关系的融合方法。 警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势 警报之间的逻辑关系： 警报属性特征的相似性 预定义攻击模型中的关联性 攻击的前提和后继条件之间的相关性,.,基于数学模型的融合方法,综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合到态势空间的映射关系。 加权平均法是最常用、最有代表性、最简单的基于数学模型的融合方法。 加权平均法的

4、融合函数通常由态势因素和其重要性权值共同确定 优点：直观 缺点：权值的选择没有统一的标准，大多是根据经验确定。,.,基于概率统计的融合方法,基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。 常见基于概率统计的融合方法： 贝叶斯网络 隐马尔可夫模型,贝叶斯网络,贝叶斯公式： P(B)=,贝叶斯网络：一个贝叶斯网络是一个有向无环图（DAG），其节点表示一个变量，边代表变量之间的联系，节点存储本节点相当于其父节点的条件概率分布。,.,贝叶斯网络,X1,X2.X7的联合概率分布：,.,隐马尔可夫模型,隐马尔可夫模型是马尔可夫链

5、的一种，它的状态不能直接观察到，但能通过观测向量序列观察到，每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以，隐马尔可夫模型是一个双重随机过程,.,隐马尔可夫模型,.,隐马尔可夫模型,假设我们开始掷骰子，我们先从三个骰子里挑一个，挑到每一个骰子的概率都是1/3。然后我们掷骰子，得到一个数字，1，2，3，4，5，6，7，8中的一个。不停的重复上述过程，我们会得到一串数字，每个数字都是1，2，3，4，5，6，7，8中的一个。例如我们可能得到这么一串数字（掷骰子10次）：1 6 3 5 2 7 3 5 2 4 隐含状态链有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D

6、8 转换概率(隐含状态） 输出概率：可见状态之间没有转换概率，但是隐含状态和可见状态之间有一个概率叫做输出概率,可见状态链,.,隐马尔可夫模型,.,隐马尔可夫模型,隐马尔科夫的基本要素，即一个五元组S,N,A,B,PI； S：隐藏状态集合； N：观察状态集合； A：隐藏状态间的转移概率矩阵； B：输出矩阵（即隐藏状态到输出状态的概率）； PI：初始概率分布（隐藏状态的初始概率分布）；,.,优缺点评价,优点：可以融合最新的证据信息和先验知识，过程清晰，易于理解 缺点： 要求数据源大，同时需要的存储量和匹配计算的运算量也大，容易造成位数爆炸，影响实时性 特征提取、模型构建和先验知识的获取有一定困难

7、。,.,基于规则推理的融合方法,基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性; 然后利用规则进行逻辑推理，实现网络安全态势的评估。 D-S证据组合方法和模糊逻辑是研究热点,.,D-S证据理论,是一种不确定推理方法，证据理论的主要特点是：满足比贝叶斯概率论更弱的条件；具有直接表达“不确定”和“不知道”的能力。 概率分配函数：设 为样本空间，其中具有 个元素，则 中元素所构成的子集的个数为个。概率分配函数的作用是把 上的任意一个子集 都映射为0，1上的一个数 （）。 信任函数： 似然函数：,.,D-S证据理论,信任区间 ：Bel(A)，pl(A)表示命题A的信任区间，Bel(A)表

8、示信任函数为下限，pl(A)表示似真函数为 上限,.,模糊集合,处理某一问题时对有关议题的限制范围称为该问题的论域。,1、论域,2、集合,在论域中，具有某种属性的事物的全体称为集合。,3、特征函数,设A是论域U上的一个集合，对任何uU，令,则称CA(u)为集合A的特征函数。显然有：,A= u | CA(u) =1 ,.,模糊集合,4、隶属函数,设U是论域，A是将任何uU映射为0，1上某个值的函数，即： A ：U0，1 u A(u) 则称A为定义在U上的一个隶属函数,.,模糊集合,5、模糊集,设A= A(u) | uU , 则称A为论域U上的一个模糊集。,当隶属函数只取0,1时，隶属函数就是特征

9、函数。,A (u)称为u对模糊集A的隶属度。,.,模糊集的表示方法,模糊集合可以有以下两种表示方法：,1. 扎德（Zadeh）表示法,(1) 当论域U为离散集合时，一个模糊集可以表示为：,(2) 当论域U为连续集合时，一个模糊集可以表示为：,注：此处的积分和求和符号都不代表实际运算，只是一种表示方法而已。,.,模糊集的表示方法,2. 序对表示法,模糊集中的每个元素都可以表示成（元素、隶属度）这样一个序对，基于这种思想，模糊集可表示如下：,.,模糊关系,1. 关系的定义,关系是客观世界存在的普遍现象。如父子关系、大小关系、属于关系、二元关系、多元关系、多边关系等等,直积（笛卡尔积）体现了两个集合

10、之间的关系。在普通集合中，设论域U和V，从U到V的一个关系定义为直积UV的一个子集R，记作：,例7 设有集合A=1,2,5，B=3,2，求A、B的二元关系R,解：,.,模糊关系,此处的关系R同样为二元关系。隶属函数表示形式为：,其隶属函数的映射：,元素(u0,v0)的隶属度为R(u0,v0) ，表示u0和v0具有关系R的程度,2. 模糊关系,设论域U和V，则UV 的一个子集R，就是U到V的模糊关系，同样记作：,.,3、网络安全态势的预测,网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。 目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向

11、量机等方法,.,基于 Markov 博弈模型的网络安全态势感知方法,张勇 谭小彬 崔孝林,.,本文提出一种基于 Markov 博弈分析的网络安全态势感知方法，分析了威胁传播对网络系统的影响,准确全面地评估系统的安全性。 对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通用户的行为进行博弈分析,建立三方参与的 Markov 博弈模型，从而实时动态的评估网络安全态势，并给出最佳加固方案,.,网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势,.,威胁传播分

12、析,网络系统的各个节点相互连接,当系统中某个节点被成功攻击后,威胁可以传播到与该节点相关联的其他节点,从而使这些节点遭受安全威胁. 资产：对系统有价值的资源 资产类型：主机、服务器、路由器、网关、防火墙、IDS. 资产价值：包含资产保密性价值、完整性价值、可用性价值 性能利用率：分5个等级，随着等级的增长,性能利用率指数增长. 威胁：对资产造成损害的外因,.,威胁类型：病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损害方式将威胁分为两类： 占网络资源少的威胁,包括木马、病毒和网络攻击等,对系统节点的保密性、完整性和可用性均有影响, 大量耗费系统资源的威胁,以蠕虫和 DDoS 攻击为代表,主

13、要对系统的可用性造成影响 脆弱性：可以被威胁利用的薄弱环节 通过对检测数据的融合,得到系统中所有的资产、威胁和脆弱性数据,构成资产集合、威胁集合和脆弱性集合.,.,威胁传播网络,威胁传播节点：系统中受威胁影响的节点, Node=(ida, valuea, pa, tf, vf) 威胁传播路径: 系统中传播威胁的链路 Path=（idas，idad, valuee, Pe, pe) Pe指路径被切断后对系统造成的损失,是路径带宽利用率,与资产的性能利用率类似,分为 5 个等级; pe表示威胁通过该路径成功扩散的概率,分为 5 个等级,每提高一个等级,威胁成功传播概率线性增加. 威胁传播网络TPN

14、:包含 t 所有的传播节点和传播路径,用TPN（t）=Nodes,Paths表示。,.,基于 Markov 博弈分析的态势量化评估,基于时间序列分析的态势预测,.,Markov博弈模型的建立,博弈三方: 攻击方：威胁 防守方：管理员 中立方：用户 状态空间：TPN(t)的所有可能状态组成状态空间 k时刻状态空间为 TPN(t,k)=si(k), ej(k),i=1,2,.M j=1,2,.N 行为空间：博弈三方所有可能的行为集合 攻击方：ut 防守方：uv， 修补某个脆弱性、切断某条传播路径或关闭某个网络节点 用户： uc，简化为网络访问率提高 10%和降低 10%,.,转移概率：随着博弈各方

15、的行为选择,系统的状态不断变化 p(TPN(t, k+1)|TPN(t, k),utk,uvk,uck)描述系统状态变化规律 报酬函数：博弈结束后各方的得失 攻击方：用对系统的损害表示 防守方：用管理员采取安全措施后所能减少的损害表示 中立方：用所有普通用户对系统服务的利用程度表示,.,博弈过程,博弈过程是各方参与者根据系统当前状态从行为空间中选取一个行为,然后系统转移到新的状态,参与者再根据新状态做决策,依此反复进行。参与者根据己方报酬函数的最大化选择策略 对于攻击方：t 为第一类威胁时,t 对节点 i 的保密性、完整性和可用性均有损害,记为Vt(si(k)=pt*pv*(u*valueai

16、), 对 TPN(t,k)中所有节点按同样的方式计算 t为第二类攻击时，t 对节点 i 及其相关路径的可用性造成损害,对 i 可用性造成的损害为 Vt(si(k)=pt*pv*ai *valueai，valueai取节点可用性价值分量Vt(ej(k)=pt*pv*ej*valueej为 t 对第 j 条路径的可用性损害,.,对于防守方：管理员对节点 i 实施安全措施会带来两方面的影响:减少威胁 t 的损害和影响网络性能 安全措施对i节点可用性的影响： 对 i 相关路径的性能影响为： 其中,Vv(ej(k)= ej * valueej为对第 j 条路径的影响,.,安全措施减少 t 的损害与威胁类型有关: t 为一类威胁时,减少 t 的损害为Vt(si(k),从而,防守方的一步报酬用公式(2a)表示: t 为二类威胁时,减少 t 的损害为 对于中立方,普通用户根据网络的延迟、服务的可访问性等改变访问率.中立方的一步报酬为 N 个节点和M 条路径的利用率之和,用公式(3)表示:,.,威胁通过