《网络态势感知_ppt》由会员分享,可在线阅读,更多相关《网络态势感知_ppt(20页珍藏版)》请在金锄头文库上搜索。
1、网络安全态势感知 态势认知 态势理解 态势预测网络安全态势认知功能:从网络中获取可用于态势感知的信息难点: (1)信息的全面性(Not available) (2)信息的准确性(Incorrect) (3)信息的模型化(Model)解决方法:网络安全态势感知的指标体系网络安全态势感知的指标体系一级指标二级指标脆弱性网络漏洞数目及等级网络拓扑 子网内各关键设备提供的服务种类及其版本 子网内各关键设备的操作系统类型及其版本 关键设备漏洞数目及等级 子网内各关键设备开放端口的总量威胁性报警数目子网带宽使用率 子网内安全事件历史发生频率网络安全态势感知的指标体系一级指标二级指标 威胁性子网内各关键设备
2、提供的服务种类及其版本 威胁性子网数据流入量 稳定性子网流量变化率 子网流入数据流总量 子网流出数据流总量 子网内不同协议数据包分布比值的变化率 子网内不同大小数据包分布比值的变化率认知过程的实现-数据采集网络基本信息: Nmap威胁性信息: Snort脆弱性信息:OpenVAS稳定性信息:Iptraf资产信息:Administrator input网络安全态势感知 态势认知 态势理解 态势预测网络安全态势理解功能:利用认知过程获取的网络信息,对 当前的网络安全态势的分析。难点:信息合并的模型(information consolidation model)解决方法:信息合并的方法理解过程的实
3、现-数据融合(1 )威胁性信息融合问题:警报量大误报率和漏报率高解决方法:警报成功的概率警报的严重程度 威胁性的量化TI = )理解过程的实现-数据融合(2 )稳定性信息量化ESI = 脆弱性信息量化VI = 理解过程的实现-数据融合(3 )网络安全值ST= 网络安全态势感知 态势认知 态势理解 态势预测网络安全态势的预测功能:根据网络安全态势的历史信息和当 前状态,对网络未来一段时间的发展趋势 进行预测难点:安全态势变化的规律性 解决方法:贝叶斯推理预测过程的实现 P(Si|T) = =P(Si), P(T|Si)训练样本学习获取存在的问题采集的信息是否全面?信息的模型化?(资产CIA属性)
4、威胁信息的融合及量化是否合理?DefinitionSituation Awareness“ the perception of the elements in the environment within a volume of time and space, the comprehension of their meaning and the projection of their status in the near future”-Endsley, 1988, design and evaluation for situation awareness enhancement数据格式Att
5、ributeDescriptionanalyzerThe information identifying the sensortimeThe time the alert are detectedalertnameThe information identifying the alertsourceIP The source IP of the events leading up to the alert sourceportThe source port of the events leading up to the alertdestinationIP The target IP of t
6、he events leading up to the alertdestinationportThe target port of the events leading up to the alertclassificationThe “type” of the alert, which determine how to distinguish the alertcompletionThe probability of the event success severity The impact of the event on the target Future WorksSystem modelEvent correlation and fusionDecision support based on uncertain informationAttacker modelingRoot cause analysis
