网络态势感知_PPT

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

子网流出数据流总量
子网内不同协议数据包分布比值的变化率 子网内不同大小数据包分布比值的变化率
认知过程的实现----数据采集



网络基本信息: Nmap 威胁性信息: Snort 脆弱性信息:OpenVAS 稳定性信息:Iptraf 资产信息:Administrator input
网络安全态势感知
Attribute analyzer time alertname sourceIP sourceport destinationIP destinationport classification completion severity
Description The information identifying the sensor The time the alert are detected The information identifying the alert The source IP of the events leading up to the alert The source port of the events leading up to the alert The target IP of the events leading up to the alert The target port of the events leading up to the alert The “type” of the alert, which determine how to distinguish the alert The probability of the event success The impact of the event on the target


态势认知 态势理解 态势预测
网络安全态势理解



功能:利用认知过程获取的网络信息,对 当前的网络安全态势的分析。 难点: 信息合并的模型 (information consolidation model) 解决方法: 信息合并的方法
理解过程的实现----数据融合(1)
威胁性信息融合 问题:警报量大 误报率和漏报率高 解决方法: 警报成功的概率 警报的严重程度 威胁性的量化
数据格式
Future Works



System model Event correlation and fusion Decision support based on uncertain information Attacker modeling Root cause analysis
预测过程的实现

P(Si|T) =
=

P(Si), P(T|Si)训练样本学习获取
存在的问题
采集的信息是否全面? 信息的模型化?(资产CIA属性) 威胁信息的融合及量化是否合理?

Definition
Situation Awareness “ the perception of the elements in the environment within a volume of time and space, the comprehension of their meaning and the projection of their status in the near future” -------Endsley, 1988, design and evaluation for situation awareness enhancement
TI =
)
理解过程的实现----数据融合(2)

稳定性信息量化 E SI =
脆弱性信息量化 VI =

理解过程的实现----数据融合(3)

网络安全值
ST=
网络安全态势感知


态势认知 态势理解 态势预测
网络安全态势的预测



功能:根据网络安全态势的历史信息和当 前状态,对网络未来一段时间的发展趋势 进行预测 难点: 安全态势变化的规律性 解决方法: 贝叶斯推理
网络安全态来自百度文库感知


态势认知 态势理解 态势预测
网络安全态势认知
功能:从网络中获取可用于态势感知的信息 难点: (1)信息的全面性(Not available) (2)信息的准确性(Incorrect) (3)信息的模型化(Model) 解决方法: 网络安全态势感知的指标体系

网络安全态势感知的指标体系
一级指标 二级指标
脆弱性
网络漏洞数目及等级
网络拓扑 子网内各关键设备提供的服务种类及其版本
子网内各关键设备的操作系统类型及其版本
关键设备漏洞数目及等级 子网内各关键设备开放端口的总量 威胁性 报警数目 子网带宽使用率 子网内安全事件历史发生频率
网络安全态势感知的指标体系
一级指标 威胁性 稳定性 二级指标 子网内各关键设备提供的服务种类及其版本 威胁性子网数据流入量 子网流量变化率 子网流入数据流总量
相关文档
最新文档