網(wǎng)絡安全態(tài)勢感知綜述

1、網(wǎng)絡平安態(tài)勢感知綜述席榮榮 云曉春 金舒原 .文章概述基于態(tài)勢感知的概念模型，詳細論述了態(tài)勢感知的三個主要研討內(nèi)容：網(wǎng)絡平安態(tài)勢要素提取、態(tài)勢了解和態(tài)勢預測，重點論述了各個研討點需處理的中心問題、主要算法以及各種算法的優(yōu)缺陷，最后對未來的開展進展了分析和展望。.概念概述1988年，Endsley首先提出了態(tài)勢感知的定義：在一定的時空范圍內(nèi)，認知、了解環(huán)境要素，并且對未來的開展趨勢進展預測。.概念概述1999年，Tim Bass提出：下一代網(wǎng)絡入侵檢測系統(tǒng)應該交融從大量的異構分布式網(wǎng)絡傳感器采集的數(shù)據(jù)，實現(xiàn)網(wǎng)絡空間的態(tài)勢感知?；跀?shù)據(jù)交融的JDL模型，提出了基于多傳感器數(shù)據(jù)交融的網(wǎng)絡態(tài)勢感知功能

2、模型?；诰W(wǎng)絡平安態(tài)勢感知的功能，本文將其研討內(nèi)容歸結為3個方面:網(wǎng)絡平安態(tài)勢要素的提取;網(wǎng)絡平安態(tài)勢的評價；網(wǎng)絡平安態(tài)勢的預測.1、網(wǎng)絡平安態(tài)勢要素的提取網(wǎng)絡平安態(tài)勢要素主要包括靜態(tài)的配置信息、動態(tài)的運轉信息以及網(wǎng)絡的流量信息。靜態(tài)的配置信息：網(wǎng)絡的拓撲信息，脆弱性信息和形狀信息等根本配置信息動態(tài)的運轉信息：從各種防護措施的日志采集和分析技術獲取的要挾信息等。.2、網(wǎng)絡平安態(tài)勢的了解在獲取海量網(wǎng)絡平安信息的根底上，解析信息之間的關聯(lián)性，對其進展交融，獲取宏觀的網(wǎng)絡平安態(tài)勢，本文稱為態(tài)勢評價。數(shù)據(jù)交融式態(tài)勢評價的中心。運用于態(tài)勢評價的數(shù)據(jù)交融算法，分為以下幾類：基于邏輯關系的交融方法基于數(shù)學模

3、型的交融方法基于概率統(tǒng)計的交融方法基于規(guī)那么推理的交融方法.基于邏輯關系的交融方法根據(jù)信息之間的內(nèi)在邏輯，對信息進展融和，警報關聯(lián)是典型的基于邏輯關系的交融方法。警報關聯(lián)是指基于警報信息之間的邏輯關系對其進展交融，從而獲取宏觀的攻擊態(tài)勢警報之間的邏輯關系：警報屬性特征的類似性預定義攻擊模型中的關聯(lián)性攻擊的前提和后繼條件之間的相關性.基于數(shù)學模型的交融方法綜合思索影響態(tài)勢的各項態(tài)勢要素，構造評定函數(shù)，建立態(tài)勢要素集合到態(tài)勢空間的映射關系。加權平均法是最常用、最有代表性、最簡單的基于數(shù)學模型的交融方法。加權平均法的交融函數(shù)通常由態(tài)勢要素和其重要性權值共同確定優(yōu)點：直觀缺陷：權值的選擇沒有一致的規(guī)范

4、，大多是根據(jù)閱歷確定。.基于概率統(tǒng)計的交融方法基于概率統(tǒng)計的交融方法，充分利用先驗知識的統(tǒng)計特性，結合信息的不確定性，建立態(tài)勢評價的模型，然后經(jīng)過模型評價網(wǎng)絡的平安態(tài)勢。常見基于概率統(tǒng)計的交融方法：貝葉斯網(wǎng)絡隱馬爾可夫模型.貝葉斯網(wǎng)絡貝葉斯公式： P(B)=貝葉斯網(wǎng)絡：一個貝葉斯網(wǎng)絡是一個有向無環(huán)圖DAG，其節(jié)點表示一個變量，邊代表變量之間的聯(lián)絡，節(jié)點存儲本節(jié)點相當于其父節(jié)點的條件概率分布。.貝葉斯網(wǎng)絡X1,X2.X7的結合概率分布：.隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的形狀不能直接察看到，但能經(jīng)過觀測向量序列察看到，每一個觀測向量是由一個具有相應概率密度分布的形狀序列產(chǎn)生。所

5、以，隱馬爾可夫模型是一個雙重隨機過程.隱馬爾可夫模型.隱馬爾可夫模型假設我們開場擲骰子，我們先從三個骰子里挑一個，挑到每一個骰子的概率都是1/3。然后我們擲骰子，得到一個數(shù)字，1，2，3，4，5，6，7，8中的一個。不停的反復上述過程，我們會得到一串數(shù)字，每個數(shù)字都是1，2，3，4，5，6，7，8中的一個。例如我們能夠得到這么一串數(shù)字擲骰子10次：1 6 3 5 2 7 3 5 2 4 隱含形狀鏈有能夠是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8轉換概率(隱含形狀輸出概率：可見形狀之間沒有轉換概率，但是隱含形狀和可見形狀之間有一個概率叫做輸出概率可見形狀鏈.隱馬爾可夫模型.隱

6、馬爾可夫模型隱馬爾科夫的根本要素，即一個五元組S,N,A,B,PI；S：隱藏形狀集合；N：察看形狀集合；A：隱藏形狀間的轉移概率矩陣；B：輸出矩陣即隱藏形狀到輸出形狀的概率；PI：初始概率分布隱藏形狀的初始概率分布； .優(yōu)缺陷評價優(yōu)點：可以交融最新的證據(jù)信息和先驗知識，過程明晰，易于了解缺陷：要求數(shù)據(jù)源大，同時需求的存儲量和匹配計算的運算量也大，容易呵斥位數(shù)爆炸，影響實時性特征提取、模型構建和先驗知識的獲取有一定困難。.基于規(guī)那么推理的交融方法基于規(guī)那么推理的交融方法，首先模糊量化多源多屬性信息的不確定性; 然后利用規(guī)那么進展邏輯推理，實現(xiàn)網(wǎng)絡平安態(tài)勢的評價。D-S證據(jù)組合方法和模糊邏輯是研討

7、熱點.D-S證據(jù)實際是一種不確定推理方法，證據(jù)實際的主要特點是：滿足比貝葉斯概率論更弱的條件；具有直接表達“不確定和“不知道的才干。概率分配函數(shù)：設 為樣本空間，其中具有 個元素，那么 中元素所構成的子集的個數(shù)為個。概率分配函數(shù)的作用是把 上的恣意一個子集 都映射為0，1上的一個數(shù) 。信任函數(shù)：似然函數(shù)：.D-S證據(jù)實際信任區(qū)間 ：Bel(A)，pl(A)表示命題A的信任區(qū)間，Bel(A)表示信任函數(shù)為下限，pl(A)表示似真函數(shù)為 上限.模糊集合處置某一問題時對有關議題的限制范圍稱為該問題的論域。1、論域2、集合在論域中，具有某種屬性的事物的全體稱為集合。3、特征函數(shù)設A是論域U上的一個集合

8、，對任何uU，令那么稱CA(u)為集合A的特征函數(shù)。顯然有： A= u | CA(u) =1 .模糊集合4、隸屬函數(shù)設U是論域，A是將任何uU映射為0，1上某個值的函數(shù)，即： A ：U0，1 u A(u)那么稱A為定義在U上的一個隸屬函數(shù).模糊集合5、模糊集設A= A(u) | uU , 那么稱A為論域U上的一個模糊集。當隸屬函數(shù)只取0,1時，隸屬函數(shù)就是特征函數(shù)。A (u)稱為u對模糊集A的隸屬度。.模糊集的表示方法模糊集合可以有以下兩種表示方法：1. 扎德Zadeh表示法(1) 當論域U為離散集合時，一個模糊集可以表示為：(2) 當論域U為延續(xù)集合時，一個模糊集可以表示為：注：此處的積分和

9、求和符號都不代表實踐運算，只是一種表示方法而已。.模糊集的表示方法2. 序對表示法模糊集中的每個元素都可以表示成元素、隸屬度這樣一個序對，基于這種思想，模糊集可表示如下：.模糊關系1. 關系的定義關系是客觀世界存在的普遍景象。如父子關系、大小關系、屬于關系、二元關系、多元關系、多邊關系等等直積笛卡爾積表達了兩個集合之間的關系。在普通集合中，設論域U和V，從U到V的一個關系定義為直積UV的一個子集R，記作：例7 設有集合A=1,2,5，B=3,2，求A、B的二元關系R解：.模糊關系此處的關系R同樣為二元關系。隸屬函數(shù)表示方式為：其隸屬函數(shù)的映射：元素(u0,v0)的隸屬度為R(u0,v0) ，表

10、示u0和v0具有關系R的程度2. 模糊關系設論域U和V，那么UV 的一個子集R，就是U到V的模糊關系，同樣記作：.3、網(wǎng)絡平安態(tài)勢的預測網(wǎng)絡平安態(tài)勢的預測是指根據(jù)網(wǎng)絡平安態(tài)勢的歷史信息和當前形狀對網(wǎng)絡未來一段時間的開展趨勢進展預測。目前網(wǎng)絡平安態(tài)勢預測普通采用神經(jīng)網(wǎng)絡、時間序列預測法和支持向量機等方法.基于 Markov 博弈模型的網(wǎng)絡平安態(tài)勢感知方法 張勇 譚小彬 崔孝林.本文提出一種基于 Markov 博弈分析的網(wǎng)絡平安態(tài)勢感知方法，分析了要挾傳播對網(wǎng)絡系統(tǒng)的影響,準確全面地評價系統(tǒng)的平安性。對多傳感器檢測到的平安數(shù)據(jù)進展交融,得到資產(chǎn)、要挾和脆弱性的規(guī)范化數(shù)據(jù);對每個要挾,分析其傳播規(guī)律

11、,建立相應的要挾傳播網(wǎng)絡;經(jīng)過對要挾、管理員和普通用戶的行為進展博弈分析,建立三方參與的 Markov 博弈模型，從而實時動態(tài)的評價網(wǎng)絡平安態(tài)勢，并給出最正確加固方案.網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡設備運轉情況、網(wǎng)絡行為以及用戶行為等要素所構成的整個網(wǎng)絡當前形狀和變化趨勢.要挾傳播分析網(wǎng)絡系統(tǒng)的各個節(jié)點相互銜接,當系統(tǒng)中某個節(jié)點被勝利攻擊后,要挾可以傳播到與該節(jié)點相關聯(lián)的其他節(jié)點,從而使這些節(jié)點蒙受平安要挾.資產(chǎn)：對系統(tǒng)有價值的資源資產(chǎn)類型：主機、效力器、路由器、網(wǎng)關、防火墻、IDS.資產(chǎn)價值：包含資產(chǎn)嚴密性價值、完好性價值、可用性價值性能利用率：分5個等級，隨著等級的增長,性能利用率指數(shù)增長. 要挾

12、：對資產(chǎn)呵斥損害的外因. 要挾類型：病毒、蠕蟲、木馬等惡意代碼和網(wǎng)絡攻擊,根據(jù)對系統(tǒng)的損害方式將要挾分為兩類：占網(wǎng)絡資源少的要挾,包括木馬、病毒和網(wǎng)絡攻擊等,對系統(tǒng)節(jié)點的嚴密性、完好性和可用性均有影響,大量耗費系統(tǒng)資源的要挾,以蠕蟲和 DDoS 攻擊為代表,主要對系統(tǒng)的可用性呵斥影響脆弱性：可以被要挾利用的薄弱環(huán)節(jié)經(jīng)過對檢測數(shù)據(jù)的交融,得到系統(tǒng)中一切的資產(chǎn)、要挾和脆弱性數(shù)據(jù),構成資產(chǎn)集合、要挾集合和脆弱性集合. .要挾傳播網(wǎng)絡要挾傳播節(jié)點：系統(tǒng)中受要挾影響的節(jié)點, Node=(ida, valuea, pa, tf, vf)要挾傳播途徑: 系統(tǒng)中傳播要挾的鏈路 Path=idas，idad,

13、valuee, Pe, pe)Pe指途徑被切斷后對系統(tǒng)呵斥的損失,是途徑帶寬利用率,與資產(chǎn)的性能利用率類似,分為 5 個等級;pe表示要挾經(jīng)過該途徑勝利分散的概率,分為 5 個等級,每提高一個等級,要挾勝利傳播概率線性添加. 要挾傳播網(wǎng)絡TPN:包含 t 一切的傳播節(jié)點和傳播途徑,用TPNt=Nodes,Paths表示。.基于 Markov博弈分析的態(tài)勢量化評價基于時間序列分析的態(tài)勢預測.Markov博弈模型的建立 博弈三方: 攻擊方：要挾 防守方：管理員 中立方：用戶形狀空間：TPN(t)的一切能夠形狀組成形狀空間 k時辰形狀空間為 TPN(t,k)=si(k), ej(k),i=1,2,.

14、M j=1,2,.N行為空間：博弈三方一切能夠的行為集合攻擊方：ut防守方：uv， 修補某個脆弱性、切斷某條傳播途徑或封鎖某個網(wǎng)絡節(jié)點用戶： uc，簡化為網(wǎng)絡訪問率提高 10%和降低 10% .轉移概率：隨著博弈各方的行為選擇,系統(tǒng)的形狀不斷變化p(TPN(t, k+1)|TPN(t, k),utk,uvk,uck)描畫系統(tǒng)形狀變化規(guī)律報酬函數(shù)：博弈終了后各方的得失攻擊方：用對系統(tǒng)的損害表示防守方：用管理員采取平安措施后所能減少的損害表示中立方：用一切普通用戶對系統(tǒng)效力的利用程度表示.博弈過程博弈過程是各方參與者根據(jù)系統(tǒng)當前形狀從行為空間中選取一個行為,然后系統(tǒng)轉移到新的形狀,參與者再根據(jù)新形

15、狀做決策,依此反復進展。參與者根據(jù)己方報酬函數(shù)的最大化選擇戰(zhàn)略對于攻擊方：t 為第一類要挾時,t 對節(jié)點 i 的嚴密性、完好性和可用性均有損害,記為Vt(si(k)=pt*pv*(u*valueai), 對 TPN(t,k)中一切節(jié)點按同樣的方式計算t為第二類攻擊時，t 對節(jié)點 i 及其相關途徑的可用性呵斥損害,對 i 可用性呵斥的損害為 Vt(si(k)=pt*pv*ai *valueai，valueai取節(jié)點可用性價值分量Vt(ej(k)=pt*pv*ej*valueej為 t 對第 j 條途徑的可用性損害.對于防守方：管理員對節(jié)點 i 實施平安措施會帶來兩方面的影響:減少要挾 t 的損害

16、和影響網(wǎng)絡性能平安措施對i節(jié)點可用性的影響：對 i 相關途徑的性能影響為：其中,Vv(ej(k)= ej * valueej為對第 j 條途徑的影響.平安措施減少 t 的損害與要挾類型有關: t 為一類要挾時,減少 t 的損害為Vt(si(k),從而,防守方的一步報酬用公式(2a)表示: t 為二類要挾時,減少 t 的損害為對于中立方,普通用戶根據(jù)網(wǎng)絡的延遲、效力的可訪問性等改動訪問率.中立方的一步報酬為 N 個節(jié)點和M 條途徑的利用率之和,用公式(3)表示:.要挾經(jīng)過 TPN(t,k)向未感染的節(jié)點傳播，根據(jù)以上對于兩類要挾一致用公式(4)表示：中立方：.例子博弈過程k 時辰,只在節(jié)點 1

17、上檢測到 t,系統(tǒng)處于形狀 A; k+1 時辰,t 向節(jié)點 3 傳播,管理員加固節(jié)點 3,普通用戶訪問率不變.系統(tǒng)假設跳轉到形狀 B,表示加固方案執(zhí)行沒有勝利并且要挾勝利傳播;假設跳轉到形狀 C,表示加固方案執(zhí)行勝利或 t 在該方向傳播失敗; k+2 時辰,以形狀 B 為例,t 向節(jié)點 2、節(jié)點 4、節(jié)點 1 傳播,管理員加固節(jié)點 1,普通用戶訪問率不變.系統(tǒng)假設跳轉到形狀 D,表示要挾勝利傳播到節(jié)點 2 和節(jié)點 4,節(jié)點 1 加固方案執(zhí)行勝利或 t 在該方向傳播失敗. .系統(tǒng) k 時辰,t 為一類要挾時,t 的嚴密性態(tài)勢和完好性態(tài)勢的評價方法類似,不計中立方行為的影響,用公式(6a)表示,相

18、應的加固方案用公式(7a)表示:系統(tǒng) k 時辰,在對 t 的可用性態(tài)勢評價時,需求思索中立方行為的影響,并且需求區(qū)分 t 屬于不同類型的要挾,可用性態(tài)勢用公式(6b)表示,相應的加固方案用公式(7b)表示.其中,*表示 1 或者 2:.態(tài)勢評量化估算法網(wǎng)絡平安態(tài)勢評價算法主要包括 3 個步驟:檢測數(shù)據(jù)交融、要挾傳播網(wǎng)絡(TPN)建立、Markov 博弈模型評價。算法 1. 網(wǎng)絡平安態(tài)勢量化評價算法.輸入:數(shù)據(jù)采集模塊檢測到的各類平安數(shù)據(jù); 輸出:網(wǎng)絡平安態(tài)勢. 1. 對檢測模塊測得得平安數(shù)據(jù)進展交融,得到資產(chǎn)集合、要挾集合、脆弱性集合和網(wǎng)絡構造信息; 2. 根據(jù)檢測模塊得到的網(wǎng)絡信息,綜合資產(chǎn)集合、要挾集合和脆弱性集合,對要挾集合中每個要挾 t 建立該要挾的要挾傳播網(wǎng)絡 TPN(t); 3. 根據(jù) TPN(t),對 t 建立 Markov 博弈模型,計算 t 的嚴密性損害,評價 t 的嚴密性態(tài)勢; 4. 根據(jù) TPN(t),對 t 建立 Markov 博弈模型,分析管理員應對 t 嚴密性損害的最正確加固方案; .5. 按照步驟(3)、步驟