資源描述:
《網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述席榮榮云曉春金舒原文章概述基于態(tài)勢(shì)感知的概念模型,詳細(xì)闡述了態(tài)勢(shì)感知的三個(gè)主要研究?jī)?nèi)容:網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè),重點(diǎn)論述了各個(gè)研究點(diǎn)需解決的核心問題、主要算法以及各種算法的優(yōu)缺點(diǎn),最后對(duì)未來的發(fā)展進(jìn)行了分析和展望。概念概述1988年,Endsley首先提出了態(tài)勢(shì)感知的定義:在一定的時(shí)空范圍內(nèi),認(rèn)知、理解環(huán)境因素,并且對(duì)未來的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。概念概述1999年,TimBass提出:下一代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù),實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感
2、知?;跀?shù)據(jù)融合的JDL模型,提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型?;诰W(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能,本文將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面:網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取;網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估;網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)1、網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取網(wǎng)絡(luò)安全態(tài)勢(shì)要素主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量信息。靜態(tài)的配置信息:網(wǎng)絡(luò)的拓?fù)湫畔?,脆弱性信息和狀態(tài)信息等基本配置信息動(dòng)態(tài)的運(yùn)行信息:從各種防護(hù)措施的日志采集和分析技術(shù)獲取的威脅信息等。2、網(wǎng)絡(luò)安全態(tài)勢(shì)的理解在獲取海量網(wǎng)絡(luò)安全信息的基礎(chǔ)上,解析信息之間的關(guān)聯(lián)性,
3、對(duì)其進(jìn)行融合,獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì),本文稱為態(tài)勢(shì)評(píng)估。數(shù)據(jù)融合式態(tài)勢(shì)評(píng)估的核心。應(yīng)用于態(tài)勢(shì)評(píng)估的數(shù)據(jù)融合算法,分為以下幾類:基于邏輯關(guān)系的融合方法基于數(shù)學(xué)模型的融合方法基于概率統(tǒng)計(jì)的融合方法基于規(guī)則推理的融合方法基于邏輯關(guān)系的融合方法依據(jù)信息之間的內(nèi)在邏輯,對(duì)信息進(jìn)行融和,警報(bào)關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法。警報(bào)關(guān)聯(lián)是指基于警報(bào)信息之間的邏輯關(guān)系對(duì)其進(jìn)行融合,從而獲取宏觀的攻擊態(tài)勢(shì)警報(bào)之間的邏輯關(guān)系:警報(bào)屬性特征的相似性預(yù)定義攻擊模型中的關(guān)聯(lián)性攻擊的前提和后繼條件之間的相關(guān)性基于數(shù)學(xué)模型的融合方法綜合
4、考慮影響態(tài)勢(shì)的各項(xiàng)態(tài)勢(shì)因素,構(gòu)造評(píng)定函數(shù),建立態(tài)勢(shì)因素集合到態(tài)勢(shì)空間的映射關(guān)系。加權(quán)平均法是最常用、最有代表性、最簡(jiǎn)單的基于數(shù)學(xué)模型的融合方法。加權(quán)平均法的融合函數(shù)通常由態(tài)勢(shì)因素和其重要性權(quán)值共同確定優(yōu)點(diǎn):直觀缺點(diǎn):權(quán)值的選擇沒有統(tǒng)一的標(biāo)準(zhǔn),大多是根據(jù)經(jīng)驗(yàn)確定。基于概率統(tǒng)計(jì)的融合方法基于概率統(tǒng)計(jì)的融合方法,充分利用先驗(yàn)知識(shí)的統(tǒng)計(jì)特性,結(jié)合信息的不確定性,建立態(tài)勢(shì)評(píng)估的模型,然后通過模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。常見基于概率統(tǒng)計(jì)的融合方法:貝葉斯網(wǎng)絡(luò)隱馬爾可夫模型貝葉斯網(wǎng)絡(luò)貝葉斯公式:P(B)=貝葉斯網(wǎng)絡(luò):一個(gè)貝葉
5、斯網(wǎng)絡(luò)是一個(gè)有向無環(huán)圖(DAG),其節(jié)點(diǎn)表示一個(gè)變量,邊代表變量之間的聯(lián)系,節(jié)點(diǎn)存儲(chǔ)本節(jié)點(diǎn)相當(dāng)于其父節(jié)點(diǎn)的條件概率分布。貝葉斯網(wǎng)絡(luò)X1,X2......X7的聯(lián)合概率分布:隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種,它的狀態(tài)不能直接觀察到,但能通過觀測(cè)向量序列觀察到,每一個(gè)觀測(cè)向量是由一個(gè)具有相應(yīng)概率密度分布的狀態(tài)序列產(chǎn)生。所以,隱馬爾可夫模型是一個(gè)雙重隨機(jī)過程隱馬爾可夫模型隱馬爾可夫模型假設(shè)我們開始擲骰子,我們先從三個(gè)骰子里挑一個(gè),挑到每一個(gè)骰子的概率都是1/3。然后我們擲骰子,得到一個(gè)數(shù)字,1,2,
6、3,4,5,6,7,8中的一個(gè)。不停的重復(fù)上述過程,我們會(huì)得到一串?dāng)?shù)字,每個(gè)數(shù)字都是1,2,3,4,5,6,7,8中的一個(gè)。例如我們可能得到這么一串?dāng)?shù)字(擲骰子10次):1635273524隱含狀態(tài)鏈有可能是:D6D8D8D6D4D8D6D6D4D8轉(zhuǎn)換概率(隱含狀態(tài))輸出概率:可見狀態(tài)之間沒有轉(zhuǎn)換概率,但是隱含狀態(tài)和可見狀態(tài)之間有一個(gè)概率叫做輸出概率可見狀態(tài)鏈隱馬爾可夫模型隱馬爾可夫模型隱馬爾科夫的基本要素,即一個(gè)五元組{S,N,A,B,PI};S:隱藏狀態(tài)集合;N:觀察狀態(tài)集合;A:隱藏狀態(tài)間的轉(zhuǎn)移概率
7、矩陣;B:輸出矩陣(即隱藏狀態(tài)到輸出狀態(tài)的概率);PI:初始概率分布(隱藏狀態(tài)的初始概率分布);優(yōu)缺點(diǎn)評(píng)價(jià)優(yōu)點(diǎn):可以融合最新的證據(jù)信息和先驗(yàn)知識(shí),過程清晰,易于理解缺點(diǎn):要求數(shù)據(jù)源大,同時(shí)需要的存儲(chǔ)量和匹配計(jì)算的運(yùn)算量也大,容易造成位數(shù)爆炸,影響實(shí)時(shí)性特征提取、模型構(gòu)建和先驗(yàn)知識(shí)的獲取有一定困難。基于規(guī)則推理的融合方法基于規(guī)則推理的融合方法,首先模糊量化多源多屬性信息的不確定性;然后利用規(guī)則進(jìn)行邏輯推理,實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。D-S證據(jù)組合方法和模糊邏輯是研究熱點(diǎn)D-S證據(jù)理論是一種不確定推理方法,證據(jù)理
8、論的主要特點(diǎn)是:滿足比貝葉斯概率論更弱的條件;具有直接表達(dá)“不確定”和“不知道”的能力·。概率分配函數(shù):設(shè)D為樣本空間,其中具有n個(gè)元素,則D中元素所構(gòu)成的子集的個(gè)數(shù)為2n個(gè)。概率分配函數(shù)的作用是把D上的任意一個(gè)子集A都映射為[0,1]上的一個(gè)數(shù)M(A)。信任函數(shù):似然函數(shù):D-S證據(jù)理論信任區(qū)間:[Bel(A),pl(A)]表示命題A的信任區(qū)間,Bel(A)表示信任函數(shù)為下限,pl(A)表示似真函數(shù)為上限模糊集