網絡安全態(tài)勢感知綜述一

1、網絡安全態(tài)勢感知綜述一網絡安全態(tài)勢感知綜述網絡安全態(tài)勢感知綜述席榮榮 云曉春 金舒原 文章概述文章概述基于態(tài)勢感知的概念模型，詳細闡述了態(tài)勢感知的三個主要研究內容：網絡安全態(tài)勢要素提取、態(tài)勢理解和態(tài)勢預測，重點論述了各個研究點需解決的核心問題、主要算法以及各種算法的優(yōu)缺點，最后對未來的發(fā)展進行了分析和展望。概念概述概念概述202X年，Endsley首先提出了態(tài)勢感知的定義：在一定的時空范圍內，認知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進行預測。概念概述概念概述 202X年，Tim Bass提出：下一代網絡入侵檢測系統(tǒng)應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態(tài)勢感知。 基于數

2、據融合的JDL模型，提出了基于多傳感器數據融合的網絡態(tài)勢感知功能模型。基于網絡安全態(tài)勢感知的功能，本文將其研究內容歸結為3個方面:網絡安全態(tài)勢要素的提取;網絡安全態(tài)勢的評估；網絡安全態(tài)勢的預測1、網絡安全態(tài)勢要素的提取、網絡安全態(tài)勢要素的提取網絡安全態(tài)勢要素主要包括靜態(tài)的配置信息、動態(tài)的運行信息以及網絡的流量信息。靜態(tài)的配置信息：網絡的拓撲信息，脆弱性信息和狀態(tài)信息等基本配置信息動態(tài)的運行信息：從各種防護措施的日志采集和分析技術獲取的威脅信息等。2、網絡安全態(tài)勢的理解、網絡安全態(tài)勢的理解在獲取海量網絡安全信息的基礎上，解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態(tài)勢，本文稱為態(tài)勢評估

3、。數據融合式態(tài)勢評估的核心。應用于態(tài)勢評估的數據融合算法，分為以下幾類：基于邏輯關系的融合方法基于數學模型的融合方法基于概率統(tǒng)計的融合方法基于規(guī)則推理的融合方法基于邏輯關系的融合方法基于邏輯關系的融合方法依據信息之間的內在邏輯，對信息進行融和，警報關聯是典型的基于邏輯關系的融合方法。警報關聯是指基于警報信息之間的邏輯關系對其進行融合，從而獲取宏觀的攻擊態(tài)勢警報之間的邏輯關系：警報屬性特征的相似性預定義攻擊模型中的關聯性攻擊的前提和后繼條件之間的相關性基于數學模型的融合方法基于數學模型的融合方法綜合考慮影響態(tài)勢的各項態(tài)勢因素，構造評定函數，建立態(tài)勢因素集合到態(tài)勢空間的映射關系。加權平均法是最常用

4、、最有代表性、最簡單的基于數學模型的融合方法。加權平均法的融合函數通常由態(tài)勢因素和其重要性權值共同確定優(yōu)點：直觀缺點：權值的選擇沒有統(tǒng)一的標準，大多是根據經驗確定?；诟怕式y(tǒng)計的融合方法基于概率統(tǒng)計的融合方法基于概率統(tǒng)計的融合方法，充分利用先驗知識的統(tǒng)計特性，結合信息的不確定性，建立態(tài)勢評估的模型，然后通過模型評估網絡的安全態(tài)勢。常見基于概率統(tǒng)計的融合方法：貝葉斯網絡隱馬爾可夫模型貝葉斯網絡貝葉斯網絡)()(BPABP貝葉斯公式： P(B)=貝葉斯網絡：一個貝葉斯網絡是一個有向無環(huán)圖（DAG），其節(jié)點表示一個變量，邊代表變量之間的聯系，節(jié)點存儲本節(jié)點相當于其父節(jié)點的條件概率分布。貝葉斯網絡貝葉

5、斯網絡X1,X2.X7的聯合概率分布：隱馬爾可夫模型隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的狀態(tài)不能直接觀察到，但能通過觀測向量序列觀察到，每個觀測向量都是通過某些概率密度分布表現為各種狀態(tài)，每一個觀測向量是由一個具有相應概率密度分布的狀態(tài)序列產生。所以，隱馬爾可夫模型是一個雙重隨機過程隱馬爾可夫模型隱馬爾可夫模型假設我們開始擲骰子，我們先從三個骰子里挑一個，挑到每一個骰子的概率都是1/3。然后我們擲骰子，得到一個數字，1，2，3，4，5，6，7，8中的一個。不停的重復上述過程，我們會得到一串數字，每個數字都是1，2，3，4，5，6，7，8中的一個。例如我們可能得到這么一串數字（擲

6、骰子10次）：1 6 3 5 2 7 3 5 2 4 隱含狀態(tài)鏈有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8轉換概率(隱含狀態(tài)）輸出概率：可見狀態(tài)之間沒有轉換概率，但是隱含狀態(tài)和可見狀態(tài)之間有一個概率叫做輸出概率可見狀態(tài)鏈隱馬爾科夫的基本要素，即一個五元組S,N,A,B,PI；S：隱藏狀態(tài)集合；N：觀察狀態(tài)集合；A：隱藏狀態(tài)間的轉移概率矩陣；B：輸出矩陣（即隱藏狀態(tài)到輸出狀態(tài)的概率）；PI：初始概率分布（隱藏狀態(tài)的初始概率分布）； 優(yōu)缺點評價優(yōu)缺點評價優(yōu)點：可以融合最新的證據信息和先驗知識，過程清晰，易于理解缺點：1.要求數據源大，同時需要的存儲量和匹配計算的運算量也大

7、，容易造成位數爆炸，影響實時性2.特征提取、模型構建和先驗知識的獲取有一定困難。基于規(guī)則推理的融合方法基于規(guī)則推理的融合方法基于規(guī)則推理的融合方法，首先模糊量化多源多屬性信息的不確定性; 然后利用規(guī)則進行邏輯推理，實現網絡安全態(tài)勢的評估。D-S證據組合方法和模糊邏輯是研究熱點D-S證據理論證據理論是一種不確定推理方法，證據理論的主要特點是：滿足比貝葉斯概率論更弱的條件；具有直接表達“不確定”和“不知道”的能力。概率分配函數：設 為樣本空間，其中具有 個元素，則 中元素所構成的子集的個數為個。概率分配函數的作用是把 上的任意一個子集 都映射為0，1上的一個數 （）。信任函數：似然函數：信任區(qū)間 ：Bel(A)，pl(A)表示命題A的信任區(qū)間，Bel(A)表示信任函數為下限，pl(A)表示似真函數為 上限3、網絡安全態(tài)勢的預測、網絡安全態(tài)勢的預測網絡安全態(tài)勢的預測是指根據網絡安全態(tài)勢的歷史信息和當前狀態(tài)對網絡未來一段時間的發(fā)展趨勢進行預測。目前網絡安全態(tài)勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法LOREM IPSUM DOLORLorem ipsum dolor sit amet, consectetur adipisicing elit, sed do