网络安全态势感知综述复习课程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其隶属函数的映射:R (u, v) [0,1]
元素(u0,v0)的隶属度为μR(u0,v0) ,表示u0和v0具有关系R的 程度
3、网络安全态势的预测
〉 网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络 未来一段时间的发展趋势进行预测。
〉 目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机 等方法
〉 应用于态势评估的数据融合算法,分为以下几类:
• 基于逻辑关系的融合方法 • 基于数学模型的融合方法 • 基于概率统计的融合方法 • 基于规则推理的融合方法
基于逻辑关系的融合方法
〉 依据信息之间的内在逻辑,对信息进行融和,警报关联是典型的基于逻辑 关系的融合方法。
〉 警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观 的攻击态势
〉 警报之间的逻辑关系:
• 警报属性特征的相似性
• 预定义攻击模型中的关联性
• 攻击的前提和后继条件之间的相关性
基于数学模型的融合方法
〉 综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合到 态势空间的映射关系。
〉 加权平均法是最常用、最有代表性、最简单的基于数学模型的融合方法。 〉 加权平均法的融合函数通常由态势因素和其重要性权值共同确定 〉 优点:直观 〉 缺点:权值的选择没有统一的标准,大多是根据经验确定。
网络安全态势感知综述
席荣荣 云曉春 金舒原
文章概述
〉 基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网 络安全态势要素提取、态势理解和态势预测,重点论述了各个研究点需解 决的核心问题、主要算法以及各种算法的优缺点,最后对未来的发展进行 了分析和展望。
பைடு நூலகம்念概述
〉 1999年,Tim Bass提出:下一代网络入侵检测系统应该融合从大量的异构分布式网络传 感器采集的数据,实现网络空间的态势感知。
隐马尔可夫模型
隐马尔可夫模型是马尔可夫链的一种,它的状态不能直接观察到,但能通过观测向量序 列观察到,每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以,隐 马尔可夫模型是一个双重随机过程
隐马尔可夫模型
隐马尔可夫模型
〉 假设我们开始掷骰子,我们先从三个骰子里挑一个,挑到每一个骰子的概 率都是1/3。然后我们掷骰子,得到一个数字,1,2,3,4,5,6,7,8 中的一个。不停的重复上述过程,我们会得到一串数字,每个数字都是1, 2,3,4,5,6,7,8中的一个。例如我们可能得到这么一串数字(掷骰 子10次):1 6 3 5 2 7 3 5 2 4 可见状态链
〉 隐含状态链有可能是:D6 D8 D8 D6 D4 D8 D6 D6 D4 D8 〉 转换概率(隐含状态)
〉 输出概率:可见状态之间没有转换概率,但是隐含状态和可见状态之间有 一个概率叫做输出概率
隐马尔可夫模型
隐马尔可夫模型
〉 隐马尔科夫的基本要素,即一个五元组{S,N,A,B,PI};
• S:隐藏状态集合; • N:观察状态集合; • A:隐藏状态间的转移概率矩阵; • B:输出矩阵(即隐藏状态到输出状态的概率); • PI:初始概率分布(隐藏状态的初始概率分布);
• 静态的配置信息:网络的拓扑信息,脆弱性信息和状态信息等基本配置信息 • 动态的运行信息:从各种防护措施的日志采集和分析技术获取的威胁信息等。
2、网络安全态势的理解
〉 在获取海量网络安全信息的基础上,解析信息之间的关联性,对其进行融 合,获取宏观的网络安全态势,本文称为态势评估。数据融合式态势评估 的核心。
〉 D-S证据组合方法和模糊逻辑是研究热点
D-S证据理论
〉 是一种不确定推理方法,证据理论的主要特点是:满足比贝叶斯概率论更 弱的条件;具有直接表达“不确定”和“不知道”的能力·。
〉 概率分配函数:设 D 为样本空间,其中具有 n个元素,则 D中元素所构 成的子集的个数为2n个。概率分配函数的作用是把 D上的任意一个子集 A都映射为[0,1]上的一个数 M(A)。
〉 基于数据融合的JDL模型,提出了基于多传感器数据融合的网络态势感知功能模型。 〉 基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:
• 网络安全态势要素的提取; • 网络安全态势的评估; • 网络安全态势的预测
1、网络安全态势要素的提取
〉 网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的 流量信息。
〉 信任函数:
〉 似然函数:
D-S证据理论
〉 信任区间 :[Bel(A),pl(A)]表示命题A的信任区间,Bel(A)表示信任函数为 下限,pl(A)表示似真函数为 上限
模糊关系
2. 模糊关系 设论域U和V,则U×V 的一个子集R,就是U到V的模糊关 系,同样记作:
U RV
此处的关系R同样为二元关系。隶属函数表示形式为: R (u, v), u U , v V
基于 Markov 博弈模型的网络安全态势感知 方法
张勇 谭小彬 崔孝林
〉 本文提出一种基于 Markov 博弈分析的网络安全态势感知方法,分析了威 胁传播对网络系统的影响,准确全面地评估系统的安全性。
〉 对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化 数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、 管理员和普通用户的行为进行博弈分析,建立三方参与的 Markov 博弈模型, 从而实时动态的评估网络安全态势,并给出最佳加固方案
优缺点评价
〉 优点:可以融合最新的证据信息和先验知识,过程清晰,易于理解 〉 缺点:
1. 要求数据源大,同时需要的存储量和匹配计算的运算量也大,容易造成位数爆炸,影 响实时性
2. 特征提取、模型构建和先验知识的获取有一定困难。
基于规则推理的融合方法
〉 基于规则推理的融合方法,首先模糊量化多源多属性信息的不确定性; 然后 利用规则进行逻辑推理,实现网络安全态势的评估。
基于概率统计的融合方法
〉 基于概率统计的融合方法,充分利用先验知识的统计特性,结合信息的不 确定性,建立态势评估的模型,然后通过模型评估网络的安全态势。
〉 常见基于概率统计的融合方法:
• 贝叶斯网络 • 隐马尔可夫模型
贝叶斯网络
P( AB)
贝叶斯公式: P(B)=
P(B)
贝叶斯网络:一个贝叶斯网络是一个 有向无环图(DAG),其节点表示 一个变量,边代表变量之间的联系, 节点存储本节点相当于其父节点的条 件概率分布。
元素(u0,v0)的隶属度为μR(u0,v0) ,表示u0和v0具有关系R的 程度
3、网络安全态势的预测
〉 网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络 未来一段时间的发展趋势进行预测。
〉 目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机 等方法
〉 应用于态势评估的数据融合算法,分为以下几类:
• 基于逻辑关系的融合方法 • 基于数学模型的融合方法 • 基于概率统计的融合方法 • 基于规则推理的融合方法
基于逻辑关系的融合方法
〉 依据信息之间的内在逻辑,对信息进行融和,警报关联是典型的基于逻辑 关系的融合方法。
〉 警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观 的攻击态势
〉 警报之间的逻辑关系:
• 警报属性特征的相似性
• 预定义攻击模型中的关联性
• 攻击的前提和后继条件之间的相关性
基于数学模型的融合方法
〉 综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合到 态势空间的映射关系。
〉 加权平均法是最常用、最有代表性、最简单的基于数学模型的融合方法。 〉 加权平均法的融合函数通常由态势因素和其重要性权值共同确定 〉 优点:直观 〉 缺点:权值的选择没有统一的标准,大多是根据经验确定。
网络安全态势感知综述
席荣荣 云曉春 金舒原
文章概述
〉 基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网 络安全态势要素提取、态势理解和态势预测,重点论述了各个研究点需解 决的核心问题、主要算法以及各种算法的优缺点,最后对未来的发展进行 了分析和展望。
பைடு நூலகம்念概述
〉 1999年,Tim Bass提出:下一代网络入侵检测系统应该融合从大量的异构分布式网络传 感器采集的数据,实现网络空间的态势感知。
隐马尔可夫模型
隐马尔可夫模型是马尔可夫链的一种,它的状态不能直接观察到,但能通过观测向量序 列观察到,每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以,隐 马尔可夫模型是一个双重随机过程
隐马尔可夫模型
隐马尔可夫模型
〉 假设我们开始掷骰子,我们先从三个骰子里挑一个,挑到每一个骰子的概 率都是1/3。然后我们掷骰子,得到一个数字,1,2,3,4,5,6,7,8 中的一个。不停的重复上述过程,我们会得到一串数字,每个数字都是1, 2,3,4,5,6,7,8中的一个。例如我们可能得到这么一串数字(掷骰 子10次):1 6 3 5 2 7 3 5 2 4 可见状态链
〉 隐含状态链有可能是:D6 D8 D8 D6 D4 D8 D6 D6 D4 D8 〉 转换概率(隐含状态)
〉 输出概率:可见状态之间没有转换概率,但是隐含状态和可见状态之间有 一个概率叫做输出概率
隐马尔可夫模型
隐马尔可夫模型
〉 隐马尔科夫的基本要素,即一个五元组{S,N,A,B,PI};
• S:隐藏状态集合; • N:观察状态集合; • A:隐藏状态间的转移概率矩阵; • B:输出矩阵(即隐藏状态到输出状态的概率); • PI:初始概率分布(隐藏状态的初始概率分布);
• 静态的配置信息:网络的拓扑信息,脆弱性信息和状态信息等基本配置信息 • 动态的运行信息:从各种防护措施的日志采集和分析技术获取的威胁信息等。
2、网络安全态势的理解
〉 在获取海量网络安全信息的基础上,解析信息之间的关联性,对其进行融 合,获取宏观的网络安全态势,本文称为态势评估。数据融合式态势评估 的核心。
〉 D-S证据组合方法和模糊逻辑是研究热点
D-S证据理论
〉 是一种不确定推理方法,证据理论的主要特点是:满足比贝叶斯概率论更 弱的条件;具有直接表达“不确定”和“不知道”的能力·。
〉 概率分配函数:设 D 为样本空间,其中具有 n个元素,则 D中元素所构 成的子集的个数为2n个。概率分配函数的作用是把 D上的任意一个子集 A都映射为[0,1]上的一个数 M(A)。
〉 基于数据融合的JDL模型,提出了基于多传感器数据融合的网络态势感知功能模型。 〉 基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:
• 网络安全态势要素的提取; • 网络安全态势的评估; • 网络安全态势的预测
1、网络安全态势要素的提取
〉 网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的 流量信息。
〉 信任函数:
〉 似然函数:
D-S证据理论
〉 信任区间 :[Bel(A),pl(A)]表示命题A的信任区间,Bel(A)表示信任函数为 下限,pl(A)表示似真函数为 上限
模糊关系
2. 模糊关系 设论域U和V,则U×V 的一个子集R,就是U到V的模糊关 系,同样记作:
U RV
此处的关系R同样为二元关系。隶属函数表示形式为: R (u, v), u U , v V
基于 Markov 博弈模型的网络安全态势感知 方法
张勇 谭小彬 崔孝林
〉 本文提出一种基于 Markov 博弈分析的网络安全态势感知方法,分析了威 胁传播对网络系统的影响,准确全面地评估系统的安全性。
〉 对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化 数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、 管理员和普通用户的行为进行博弈分析,建立三方参与的 Markov 博弈模型, 从而实时动态的评估网络安全态势,并给出最佳加固方案
优缺点评价
〉 优点:可以融合最新的证据信息和先验知识,过程清晰,易于理解 〉 缺点:
1. 要求数据源大,同时需要的存储量和匹配计算的运算量也大,容易造成位数爆炸,影 响实时性
2. 特征提取、模型构建和先验知识的获取有一定困难。
基于规则推理的融合方法
〉 基于规则推理的融合方法,首先模糊量化多源多属性信息的不确定性; 然后 利用规则进行逻辑推理,实现网络安全态势的评估。
基于概率统计的融合方法
〉 基于概率统计的融合方法,充分利用先验知识的统计特性,结合信息的不 确定性,建立态势评估的模型,然后通过模型评估网络的安全态势。
〉 常见基于概率统计的融合方法:
• 贝叶斯网络 • 隐马尔可夫模型
贝叶斯网络
P( AB)
贝叶斯公式: P(B)=
P(B)
贝叶斯网络:一个贝叶斯网络是一个 有向无环图(DAG),其节点表示 一个变量,边代表变量之间的联系, 节点存储本节点相当于其父节点的条 件概率分布。