网络态势感知-PPT共21页PPT资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
难点: 安全态势变化的规律性
解决方法: 贝叶斯推理
预测过程的实现
P(Si|T) =
=
P(Si), P(T|Si)训练样本学习获取
存在的问题
采集的信息是否全面? 信息的模型化?(资产CIA属性) 威胁信息的融合及量化是否合理?
Thanks !
Definition
Situation Awareness “ the perception of the elements in the
environment within a volume of time and space, the comprehension of their meaning and the projection of their status in the near future”
-------Endsley, 1988, design and evaluation for situation awareness enhancement
destinationport The target port of the events leading up to the alert
classification completion
The “type” of the alert, which determine how to distinguish the alert
威胁性的量化
TI =
)
理解过程的实现----数据融合(2)
稳定性信息量化 E SI =
脆弱性信息量化 VI =
理解过程的实现----数据融合(3)
网络安全值 ST=
网络安全态势感知
态势认知 态势理解 态势预测
网络安全态势的预测
功能:根据网络安全态势的历史信息和当 前状态,对网络未来一段时间的发展趋势 进行预测
网络安全态势感知的指标体系
一级指标 威胁性
稳定性
二级指标 子网内各关键设备提供的服务种类及其版本 威胁性子网数据流入量 子网流量变化率 子网流入数据流总量 子网流出数据流总量 子网内不同协议数据包分布比值的变化率 子网内不同大小数据包分布比值的变化率
认知过程的实现----数据采集
网络基本信息: Nmap 威胁性信息: Snort 脆弱性信息:OpenVAS 稳定性信息:Iptraf 资产信息:Administrator input
The probability of the event success
severity
The impact of the event on the target
Future Works
System model Event correlation and fusion Decision support based on uncertain information Attacker modeling Root cause analysis
更多精品资请访问
更多品资源请访问
网络安全态势认知
功能:从网络中获取可用于态势感知的信息 难点: (1)信息的全面性(Not available) (2)信息的准确性(Incorrect) (3)信息的模型化(Model) 解决方法:
网络安全态势感知的指标体系
网络安全态势感知的指标体系
一级指标 脆弱性
威胁性
二级指标 网络漏洞数目及等级 网络拓扑 子网内各关键设备提供的服务种类及其版本 子网内各关键设备的操作系统类型及其版本 关键设备漏洞数目及等级 子网内各关键设备开放端口的总量 报警数目 子网带宽使用率 子网内安全事件历史发生频率
sourceIP
The source IP of the events leading up to the alert
sourceport
The source port of the events leading up to the alert
destinationIP
The target IP of the events leading up to the alert
网络安全态势感知
态势认知 态势理解 态势预测
网络安全态势理解
功能:利用认知过程获取的网络信息,对 当前的网络安全态势的分析。
难点: 信息合并的模型 (information consolidation model)
解决方法: 信息合并的方法
理解过程的实现----数据融合(1)
威胁性信息融合 问题:警报量大 误报率和漏报率高 解决方法: 警报成功的概率 警报的严重程度
Attribute
Description
数据格式 analyzer
The information identifying the sensor
time
The time the alert are detected
wenku.baidu.com
alertname
The information identifying the alert
解决方法: 贝叶斯推理
预测过程的实现
P(Si|T) =
=
P(Si), P(T|Si)训练样本学习获取
存在的问题
采集的信息是否全面? 信息的模型化?(资产CIA属性) 威胁信息的融合及量化是否合理?
Thanks !
Definition
Situation Awareness “ the perception of the elements in the
environment within a volume of time and space, the comprehension of their meaning and the projection of their status in the near future”
-------Endsley, 1988, design and evaluation for situation awareness enhancement
destinationport The target port of the events leading up to the alert
classification completion
The “type” of the alert, which determine how to distinguish the alert
威胁性的量化
TI =
)
理解过程的实现----数据融合(2)
稳定性信息量化 E SI =
脆弱性信息量化 VI =
理解过程的实现----数据融合(3)
网络安全值 ST=
网络安全态势感知
态势认知 态势理解 态势预测
网络安全态势的预测
功能:根据网络安全态势的历史信息和当 前状态,对网络未来一段时间的发展趋势 进行预测
网络安全态势感知的指标体系
一级指标 威胁性
稳定性
二级指标 子网内各关键设备提供的服务种类及其版本 威胁性子网数据流入量 子网流量变化率 子网流入数据流总量 子网流出数据流总量 子网内不同协议数据包分布比值的变化率 子网内不同大小数据包分布比值的变化率
认知过程的实现----数据采集
网络基本信息: Nmap 威胁性信息: Snort 脆弱性信息:OpenVAS 稳定性信息:Iptraf 资产信息:Administrator input
The probability of the event success
severity
The impact of the event on the target
Future Works
System model Event correlation and fusion Decision support based on uncertain information Attacker modeling Root cause analysis
更多精品资请访问
更多品资源请访问
网络安全态势认知
功能:从网络中获取可用于态势感知的信息 难点: (1)信息的全面性(Not available) (2)信息的准确性(Incorrect) (3)信息的模型化(Model) 解决方法:
网络安全态势感知的指标体系
网络安全态势感知的指标体系
一级指标 脆弱性
威胁性
二级指标 网络漏洞数目及等级 网络拓扑 子网内各关键设备提供的服务种类及其版本 子网内各关键设备的操作系统类型及其版本 关键设备漏洞数目及等级 子网内各关键设备开放端口的总量 报警数目 子网带宽使用率 子网内安全事件历史发生频率
sourceIP
The source IP of the events leading up to the alert
sourceport
The source port of the events leading up to the alert
destinationIP
The target IP of the events leading up to the alert
网络安全态势感知
态势认知 态势理解 态势预测
网络安全态势理解
功能:利用认知过程获取的网络信息,对 当前的网络安全态势的分析。
难点: 信息合并的模型 (information consolidation model)
解决方法: 信息合并的方法
理解过程的实现----数据融合(1)
威胁性信息融合 问题:警报量大 误报率和漏报率高 解决方法: 警报成功的概率 警报的严重程度
Attribute
Description
数据格式 analyzer
The information identifying the sensor
time
The time the alert are detected
wenku.baidu.com
alertname
The information identifying the alert