網(wǎng)絡安全態(tài)勢感知綜述

06六月2023網(wǎng)絡安全態(tài)勢感知綜述網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第1頁。文章概述基于態(tài)勢感知的概念模型，詳細闡述了態(tài)勢感知的三個主要研究內(nèi)容：網(wǎng)絡安全態(tài)勢要素提取、態(tài)勢理解和態(tài)勢預測，重點論述了各個研究點需解決的核心問題、主要算法以及各種算法的優(yōu)缺點，最后對未來的發(fā)展進行了分析和展望。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第2頁。概念概述1988年，Endsley首先提出了態(tài)勢感知的定義：在一定的時空范圍內(nèi)，認知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進行預測。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第3頁。概念概述1999年，TimBass提出：下一代網(wǎng)絡入侵檢測系統(tǒng)應該融合從大量的異構分布式網(wǎng)絡傳感器采集的數(shù)據(jù)，實現(xiàn)網(wǎng)絡空間的態(tài)勢感知。基于數(shù)據(jù)融合的JDL模型，提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡態(tài)勢感知功能模型。基于網(wǎng)絡安全態(tài)勢感知的功能，本文將其研究內(nèi)容歸結為3個方面:網(wǎng)絡安全態(tài)勢要素的提取;網(wǎng)絡安全態(tài)勢的評估；網(wǎng)絡安全態(tài)勢的預測網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第4頁。1、網(wǎng)絡安全態(tài)勢要素的提取網(wǎng)絡安全態(tài)勢要素主要包括靜態(tài)的配置信息、動態(tài)的運行信息以及網(wǎng)絡的流量信息。靜態(tài)的配置信息：網(wǎng)絡的拓撲信息，脆弱性信息和狀態(tài)信息等基本配置信息動態(tài)的運行信息：從各種防護措施的日志采集和分析技術獲取的威脅信息等。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第5頁。2、網(wǎng)絡安全態(tài)勢的理解在獲取海量網(wǎng)絡安全信息的基礎上，解析信息之間的關聯(lián)性，對其進行融合，獲取宏觀的網(wǎng)絡安全態(tài)勢，本文稱為態(tài)勢評估。數(shù)據(jù)融合式態(tài)勢評估的核心。應用于態(tài)勢評估的數(shù)據(jù)融合算法，分為以下幾類：基于邏輯關系的融合方法基于數(shù)學模型的融合方法基于概率統(tǒng)計的融合方法基于規(guī)則推理的融合方法網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第6頁?；谶壿嬯P系的融合方法依據(jù)信息之間的內(nèi)在邏輯，對信息進行融和，警報關聯(lián)是典型的基于邏輯關系的融合方法。警報關聯(lián)是指基于警報信息之間的邏輯關系對其進行融合，從而獲取宏觀的攻擊態(tài)勢警報之間的邏輯關系：警報屬性特征的相似性預定義攻擊模型中的關聯(lián)性攻擊的前提和后繼條件之間的相關性網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第7頁?；跀?shù)學模型的融合方法綜合考慮影響態(tài)勢的各項態(tài)勢因素，構造評定函數(shù)，建立態(tài)勢因素集合到態(tài)勢空間的映射關系。加權平均法是最常用、最有代表性、最簡單的基于數(shù)學模型的融合方法。加權平均法的融合函數(shù)通常由態(tài)勢因素和其重要性權值共同確定優(yōu)點：直觀缺點：權值的選擇沒有統(tǒng)一的標準，大多是根據(jù)經(jīng)驗確定。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第8頁。基于概率統(tǒng)計的融合方法基于概率統(tǒng)計的融合方法，充分利用先驗知識的統(tǒng)計特性，結合信息的不確定性，建立態(tài)勢評估的模型，然后通過模型評估網(wǎng)絡的安全態(tài)勢。常見基于概率統(tǒng)計的融合方法：貝葉斯網(wǎng)絡隱馬爾可夫模型網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第9頁。貝葉斯網(wǎng)絡貝葉斯公式：P(B)=貝葉斯網(wǎng)絡：一個貝葉斯網(wǎng)絡是一個有向無環(huán)圖（DAG），其節(jié)點表示一個變量，邊代表變量之間的聯(lián)系，節(jié)點存儲本節(jié)點相當于其父節(jié)點的條件概率分布。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第10頁。貝葉斯網(wǎng)絡X1,X2......X7的聯(lián)合概率分布：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第11頁。隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的狀態(tài)不能直接觀察到，但能通過觀測向量序列觀察到，每一個觀測向量是由一個具有相應概率密度分布的狀態(tài)序列產(chǎn)生。所以，隱馬爾可夫模型是一個雙重隨機過程網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第12頁。隱馬爾可夫模型網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第13頁。隱馬爾可夫模型假設我們開始擲骰子，我們先從三個骰子里挑一個，挑到每一個骰子的概率都是1/3。然后我們擲骰子，得到一個數(shù)字，1，2，3，4，5，6，7，8中的一個。不停的重復上述過程，我們會得到一串數(shù)字，每個數(shù)字都是1，2，3，4，5，6，7，8中的一個。例如我們可能得到這么一串數(shù)字（擲骰子10次）：1635273524隱含狀態(tài)鏈有可能是：D6D8D8D6D4D8D6D6D4D8轉換概率(隱含狀態(tài)）輸出概率：可見狀態(tài)之間沒有轉換概率，但是隱含狀態(tài)和可見狀態(tài)之間有一個概率叫做輸出概率可見狀態(tài)鏈網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第14頁。隱馬爾可夫模型網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第15頁。隱馬爾可夫模型隱馬爾科夫的基本要素，即一個五元組{S,N,A,B,PI}；S：隱藏狀態(tài)集合；N：觀察狀態(tài)集合； A：隱藏狀態(tài)間的轉移概率矩陣；B：輸出矩陣（即隱藏狀態(tài)到輸出狀態(tài)的概率）；PI：初始概率分布（隱藏狀態(tài)的初始概率分布）；網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第16頁。優(yōu)缺點評價優(yōu)點：可以融合最新的證據(jù)信息和先驗知識，過程清晰，易于理解缺點：要求數(shù)據(jù)源大，同時需要的存儲量和匹配計算的運算量也大，容易造成位數(shù)爆炸，影響實時性特征提取、模型構建和先驗知識的獲取有一定困難。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第17頁?；谝?guī)則推理的融合方法基于規(guī)則推理的融合方法，首先模糊量化多源多屬性信息的不確定性;然后利用規(guī)則進行邏輯推理，實現(xiàn)網(wǎng)絡安全態(tài)勢的評估。D-S證據(jù)組合方法和模糊邏輯是研究熱點網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第18頁。D-S證據(jù)理論是一種不確定推理方法，證據(jù)理論的主要特點是：滿足比貝葉斯概率論更弱的條件；具有直接表達“不確定”和“不知道”的能力·。概率分配函數(shù)：設Ｄ為樣本空間，其中具有ｎ個元素，則Ｄ中元素所構成的子集的個數(shù)為２ｎ個。概率分配函數(shù)的作用是把Ｄ上的任意一個子集Ａ都映射為[0，1]上的一個數(shù)Ｍ（Ａ）。信任函數(shù)：似然函數(shù)：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第19頁。D-S證據(jù)理論信任區(qū)間：[Bel(A)，pl(A)]表示命題A的信任區(qū)間，Bel(A)表示信任函數(shù)為下限，pl(A)表示似真函數(shù)為上限網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第20頁。模糊集合處理某一問題時對有關議題的限制范圍稱為該問題的論域。1、論域2、集合在論域中，具有某種屬性的事物的全體稱為集合。3、特征函數(shù)設A是論域U上的一個集合，對任何u∈U，令則稱CA(u)為集合A的特征函數(shù)。顯然有：A={u|CA(u)=1}網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第21頁。模糊集合4、隸屬函數(shù)設U是論域，μA是將任何u∈U映射為[0，1]上某個值的函數(shù)，即：μA：U→[0，1]u→μA(u)則稱μA為定義在U上的一個隸屬函數(shù)網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第22頁。模糊集合5、模糊集設A={μA(u)|u∈U},則稱A為論域U上的一個模糊集。當隸屬函數(shù)只取0,1時，隸屬函數(shù)就是特征函數(shù)。μA(u)稱為u對模糊集A的隸屬度。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第23頁。模糊集的表示方法模糊集合可以有以下兩種表示方法：1.扎德（Zadeh）表示法(1)當論域U為離散集合時，一個模糊集可以表示為：(2)當論域U為連續(xù)集合時，一個模糊集可以表示為：注：此處的積分和求和符號都不代表實際運算，只是一種表示方法而已。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第24頁。模糊集的表示方法2.序?qū)Ρ硎痉：械拿總€元素都可以表示成（元素、隸屬度）這樣一個序?qū)?，基于這種思想，模糊集可表示如下：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第25頁。模糊關系1.關系的定義關系是客觀世界存在的普遍現(xiàn)象。如父子關系、大小關系、屬于關系、二元關系、多元關系、多邊關系等等直積（笛卡爾積）體現(xiàn)了兩個集合之間的關系。在普通集合中，設論域U和V，從U到V的一個關系定義為直積U×V的一個子集R，記作：例7設有集合A={1,2,5}，B={3,2}，求A、B的二元關系R解：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第26頁。模糊關系此處的關系R同樣為二元關系。隸屬函數(shù)表示形式為：其隸屬函數(shù)的映射：元素(u0,v0)的隸屬度為μR(u0,v0)，表示u0和v0具有關系R的程度2.模糊關系設論域U和V，則U×V的一個子集R，就是U到V的模糊關系，同樣記作：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第27頁。3、網(wǎng)絡安全態(tài)勢的預測網(wǎng)絡安全態(tài)勢的預測是指根據(jù)網(wǎng)絡安全態(tài)勢的歷史信息和當前狀態(tài)對網(wǎng)絡未來一段時間的發(fā)展趨勢進行預測。目前網(wǎng)絡安全態(tài)勢預測一般采用神經(jīng)網(wǎng)絡、時間序列預測法和支持向量機等方法網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第28頁?；贛arkov博弈模型的網(wǎng)絡安全態(tài)勢感知方法張勇譚小彬崔孝林網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第29頁。本文提出一種基于Markov博弈分析的網(wǎng)絡安全態(tài)勢感知方法，分析了威脅傳播對網(wǎng)絡系統(tǒng)的影響,準確全面地評估系統(tǒng)的安全性。對多傳感器檢測到的安全數(shù)據(jù)進行融合,得到資產(chǎn)、威脅和脆弱性的規(guī)范化數(shù)據(jù);對每個威脅,分析其傳播規(guī)律,建立相應的威脅傳播網(wǎng)絡;通過對威脅、管理員和普通用戶的行為進行博弈分析,建立三方參與的Markov博弈模型，從而實時動態(tài)的評估網(wǎng)絡安全態(tài)勢，并給出最佳加固方案網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第30頁。網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡設備運行狀況、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第31頁。威脅傳播分析網(wǎng)絡系統(tǒng)的各個節(jié)點相互連接,當系統(tǒng)中某個節(jié)點被成功攻擊后,威脅可以傳播到與該節(jié)點相關聯(lián)的其他節(jié)點,從而使這些節(jié)點遭受安全威脅.資產(chǎn)：對系統(tǒng)有價值的資源資產(chǎn)類型：主機、服務器、路由器、網(wǎng)關、防火墻、IDS......資產(chǎn)價值：包含資產(chǎn)保密性價值、完整性價值、可用性價值性能利用率：分5個等級，隨著等級的增長,性能利用率指數(shù)增長.威脅：對資產(chǎn)造成損害的外因網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第32頁。威脅類型：病毒、蠕蟲、木馬等惡意代碼和網(wǎng)絡攻擊,根據(jù)對系統(tǒng)的損害方式將威脅分為兩類：占網(wǎng)絡資源少的威脅,包括木馬、病毒和網(wǎng)絡攻擊等,對系統(tǒng)節(jié)點的保密性、完整性和可用性均有影響,大量耗費系統(tǒng)資源的威脅,以蠕蟲和DDoS攻擊為代表,主要對系統(tǒng)的可用性造成影響脆弱性：可以被威脅利用的薄弱環(huán)節(jié)通過對檢測數(shù)據(jù)的融合,得到系統(tǒng)中所有的資產(chǎn)、威脅和脆弱性數(shù)據(jù),構成資產(chǎn)集合、威脅集合和脆弱性集合.網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第33頁。威脅傳播網(wǎng)絡威脅傳播節(jié)點：系統(tǒng)中受威脅影響的節(jié)點,Node=(ida,valuea,pa,tf,vf)威脅傳播路徑:系統(tǒng)中傳播威脅的鏈路Path=（idas，idad,valuee,Pe,pe)Pe指路徑被切斷后對系統(tǒng)造成的損失,是路徑帶寬利用率,與資產(chǎn)的性能利用率類似,分為5個等級;pe表示威脅通過該路徑成功擴散的概率,分為5個等級,每提高一個等級,威脅成功傳播概率線性增加.威脅傳播網(wǎng)絡TPN:包含t所有的傳播節(jié)點和傳播路徑,用TPN（t）={Nodes,Paths}表示。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第34頁?；贛arkov博弈分析的態(tài)勢量化評估基于時間序列分析的態(tài)勢預測網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第35頁。Markov博弈模型的建立博弈三方:攻擊方：威脅

防守方：管理員 中立方：用戶狀態(tài)空間：TPN(t)的所有可能狀態(tài)組成狀態(tài)空間k時刻狀態(tài)空間為TPN(t,k)={si(k),ej(k)},i=1,2,.....Mj=1,2,.......N行為空間：博弈三方所有可能的行為集合攻擊方：ut防守方：uv，修補某個脆弱性、切斷某條傳播路徑或關閉某個網(wǎng)絡節(jié)點用戶：uc，簡化為網(wǎng)絡訪問率提高10%和降低10%

網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第36頁。轉移概率：隨著博弈各方的行為選擇,系統(tǒng)的狀態(tài)不斷變化 p(TPN(t,k+1)|TPN(t,k),utk,uvk,uck)描述系統(tǒng)狀態(tài)變化規(guī)律報酬函數(shù)：博弈結束后各方的得失攻擊方：用對系統(tǒng)的損害表示防守方：用管理員采取安全措施后所能減少的損害表示中立方：用所有普通用戶對系統(tǒng)服務的利用程度表示網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第37頁。博弈過程博弈過程是各方參與者根據(jù)系統(tǒng)當前狀態(tài)從行為空間中選取一個行為,然后系統(tǒng)轉移到新的狀態(tài),參與者再根據(jù)新狀態(tài)做決策,依此反復進行。參與者根據(jù)己方報酬函數(shù)的最大化選擇策略對于攻擊方：t為第一類威脅時,t對節(jié)點i的保密性、完整性和可用性均有損害,記為Vt(si(k))=pt*pv*(u*valueai),對TPN(t,k)中所有節(jié)點按同樣的方式計算t為第二類攻擊時，t對節(jié)點i及其相關路徑的可用性造成損害,對i可用性造成的損害為Vt(si(k))=pt*pv*Δρai*valueai，valueai取節(jié)點可用性價值分量Vt(ej(k))=pt*pv*Δρej*valueej為t對第j條路徑的可用性損害網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第38頁。對于防守方：管理員對節(jié)點i實施安全措施會帶來兩方面的影響:減少威脅t的損害和影響網(wǎng)絡性能安全措施對i節(jié)點可用性的影響：對i相關路徑的性能影響為：其中,Vv(ej(k))=Δρej*valueej為對第j條路徑的影響網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第39頁。安全措施減少t的損害與威脅類型有關:t為一類威脅時,減少t的損害為?Vt(si(k)),從而,防守方的一步報酬用公式(2a)表示:t為二類威脅時,減少t的損害為對于中立方,普通用戶根據(jù)網(wǎng)絡的延遲、服務的可訪問性等改變訪問率.中立方的一步報酬為N個節(jié)點和M條路徑的利用率之和,用公式(3)表示:網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第40頁。威脅通過TPN(t,k)向未感染的節(jié)點傳播，根據(jù)以上對于兩類威脅統(tǒng)一用公式(4)表示：中立方：網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第41頁。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第42頁。例子博弈過程k時刻,只在節(jié)點1上檢測到t,系統(tǒng)處于狀態(tài)A;k+1時刻,t向節(jié)點3傳播,管理員加固節(jié)點3,普通用戶訪問率不變.系統(tǒng)如果跳轉到狀態(tài)B,表示加固方案執(zhí)行沒有成功并且威脅成功傳播;如果跳轉到狀態(tài)C,表示加固方案執(zhí)行成功或t在該方向傳播失敗;k+2時刻,以狀態(tài)B為例,t向節(jié)點2、節(jié)點4、節(jié)點1傳播,管理員加固節(jié)點1,普通用戶訪問率不變.系統(tǒng)如果跳轉到狀態(tài)D,表示威脅成功傳播到節(jié)點2和節(jié)點4,節(jié)點1加固方案執(zhí)行成功或t在該方向傳播失敗.網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第43頁。網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第44頁。系統(tǒng)k時刻,t為一類威脅時,t的保密性態(tài)勢和完整性態(tài)勢的評估方法類似,不計中立方行為的影響,用公式(6a)表示,相應的加固方案用公式(7a)表示:系統(tǒng)k時刻,在對t的可用性態(tài)勢評估時,需要考慮中立方行為的影響,并且需要區(qū)分t屬于不同類型的威脅,可用性態(tài)勢用公式(6b)表示,相應的加固方案用公式(7b)表示.其中,*表示1或者2:網(wǎng)絡安全態(tài)勢感知綜述全文共50頁，當前為第45頁。態(tài)勢評量化估算法網(wǎng)絡安全態(tài)勢評估算法主要包括3個步驟:檢測數(shù)據(jù)融合、威脅傳播網(wǎng)絡(TPN)建立、Markov博弈模型評估。算法1.網(wǎng)絡安全態(tài)勢量化評估算法.輸入:數(shù)據(jù)采集模塊檢測到的各類安全數(shù)據(jù);輸出:網(wǎng)絡安全態(tài)勢.1.對檢測模塊測得得安全數(shù)據(jù)進行融合,得到資產(chǎn)集合、威脅集合、脆弱性集合和網(wǎng)絡結構信息;2.根據(jù)檢測模塊得到的網(wǎng)絡信息,綜合資產(chǎn)集合、威脅集合和脆弱性集合,對威脅集合中每個威脅t建立該威脅的威脅傳播網(wǎng)絡TPN(t);3.根據(jù)TPN(t),對t建立Markov博弈模型,計算t的保密性損害,評估t的保密性態(tài)勢;4.根據(jù)TPN(t)