网络态势感知
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全态势感知的概念与理解
➢理解: • 1)NSSA是通过对网络中各种活动的行为辨识、意图理解和影响
评估来对网络安全性进行定量分析的一种手段,以便网络管理系 统能够宏观把握整个网络的安全状况,并合理、有效地进行响应; 简单来说就是了解自己,了解敌人; • 2)NSSA是一种网络安全管理工具,是网络安全检测的一种实现 形式。
网络态势投射现存的问题
• 1)由于同一攻击活动在不同的层面具有不同的语义,使得对系 统评估的准确性较低;
• 2)由于现有的评估结果相对简单,使得系统的评估粒度较低; • 3)由于对于系统的评估具有很强的主观性,使得不同评估方法
之间的语义交换存在障碍,从而不同网络态势感知系统间的信息 存在共享和协同的问题; • 4)由于现阶段研究基本几种在相对简单的静态损失评估方面, 使得对动态攻击行为的评估研究不足。
网络安全态势觉察研究中存在的问题
• 1)觉察结果的分辨率随着攻击活动差生的痕迹信息量越多,其 越容易产生不同信息之间的关联;
• 2)觉察效率随着网络规模的不断扩大及异构程度的不断Baidu Nhomakorabea加, 使得关联方法趋于复杂化,扩展性能变差;
网络安全态势理解研究内容
➢基本任务:基于识别出攻击活动的特征,进一步分析攻击活动的 语义及它们之间可能的关联关系来推断攻击者的意图。
• 3)由于使用的方法是基于态势觉察提供的直接观察数据,在数 据的融合处理上只是简单初步的,所以在攻击者身份的识别和攻 击活动的溯源等方面能力薄弱。
网络安全态势投射研究内容
➢基本任务:基于识别出的攻击活动,评估已经出现的攻击行为对被管 网络产生的危害和可能要发生的攻击行为对被管网络的潜在威胁。
➢常用的投射方法: • 1)基于知识推理法:基于专家知识和经验建立评估模型,通过逻辑推
• 1)攻击行为的预测: • 特征:分析攻击行为间的逻辑关系,并以此推断攻击行为的可能
变化,常用的建模方法有马尔可夫模型法、时间序列分析法、机 器学习法、博弈论法。 • 2)攻击目的的理解: • 特征:基于被管对象中资产的功能及重要性,推断攻击者的攻击 意图和进行攻击溯源,常用建模方法是基于动态后向传播的神经 网络和协方差相结合的方法
网络安全态势理解现存的问题
• 1)由于使用的相关建模方法是从历史数据中得出关联性,在此 关联性基础上进行分析,这就使得传统方法对与一些新的攻击行 为及相似的攻击行为的变体均需要额外处理,使得准确性大大降 低;
• 2)由于攻击活动的始终处在动态变化中,并且攻击活动所产生 的痕迹等相关信息量巨大,而传统的方法未必可行,因此需要对 警报进行优化和聚类‘
➢概念:感知大量的时间和空间中的环境因素,理解他们的意义, 并预测他们在不久将来的状态;总的可以概括成:感知、理解、 预测;简而言之就是始终掌握你周围复杂、动态环境的变化。
网络安全态势感知的概念与理解
➢概念: • 1)对网络安全状态的认知过程,包括从系统中测量到的原始数
据逐步进行融合处理实现对系统背景的状况及活动语义的提取, 识别出存在各类网络活动以及其中异常活动的意图,从而获得据 此表征网络安全态势及对网络正常行为影响的了解。 • 2)NSSA任务包括网络安全态势觉察、网络安全态势理解、网络 安全投射3个层面。
➢ 结语
NSSA是一个完整的认知过程,它不仅是将网络安全要素进行简单 的汇总和叠加,而是根据不同用户需求以一系列具有理论支撑的模 型为依据,找出个安全要素之间的内在关系,实时的分析网络安全 状况;但由于在现有的网络安全事件融合计算中的网络安全状态量 化表达的观点,均未完整的反映其目标和任务,导致至今为止尚未 形成完整的体系和明确一致的目标。
网络安全态势感知探索重点
➢现存关键问题: • 1)海量异构测量数据的融合处理 • 2)不完全信息条件下的活动辨识 • 3)网络活动的语义计算 • 4)网络态势的可视化 • 5)网络安全态势感知的协同 • 6)更为完善的态势投射方法
网络安全态势感知探索重点
➢研究方向 • 1)网络入侵检测领域研究的延伸 • 2)网络测量 • 3)网络流量行为学 • 4)网络管理技术 • 5)大数据处理技术 • 6)流式数据处理技术 • 7)可视化技术
谢谢观看!
理分析整个网络的安全态势,常用方法有基于图模型推理法、基于证 据理论推理法; • 2)统计法:基于综合考虑影响网络安全态势的诸多因素,构建评价函 数,实现态势要素和整个网络态势空间的映射,常用方法有权重分析 法、层次分析法; • 3)灰度理论法:基于系统中已知的部分信息,将不确定性系统作为研 究对象,在此基础提取有用信息,灰色系统通过累加或逆累加建模, 常用建模方法将无偏灰度理论和马尔可夫理论相结合法。
网络安全态势感知 (NSSA)
报告内容:
➢1、态势感知的由来及概念; ➢2、网络安全态势感知的概念与理解; ➢3、网络安全态势觉察; ➢4、网络安全态势理解; ➢5、网络安全态势投射; ➢6、网络安全态势感知探索重点;
态势感知的由来及概念
➢由来:态势感知最早来源于美国军方对抗中的研究,目标是了解 双方情况,以便能作出快速而正确的决策,达到知己知彼,百战 不殆的目的;
网络安全态势觉察研究内容
➢基本任务:辨识出系统中所有活动以及这些活动的规律及特征; ➢研究热点方案: • 1)基于先验知识: • 特征:基于专家经验和知识定义知识库,常用建模方法是基于场
景的方法。 • 2)不基于先验知识的方法: • 特征:通过数据挖掘、机器学习等技术分析警报之间的关系,以
还原完整的攻击过程,常用建模方法有相似性法、因果关联法、 交叉关联法。