資源描述:
《網(wǎng)絡安全態(tài)勢感知綜述.ppt》由會員上傳分享,免費在線閱讀���,更多相關內(nèi)容在行業(yè)資料-天天文庫�����。
1��、網(wǎng)絡安全態(tài)勢感知綜述席榮榮云曉春金舒原文章概述基于態(tài)勢感知的概念模型���,詳細闡述了態(tài)勢感知的三個主要研究內(nèi)容:網(wǎng)絡安全態(tài)勢要素提取、態(tài)勢理解和態(tài)勢預測���,重點論述了各個研究點需解決的核心問題���、主要算法以及各種算法的優(yōu)缺點,最后對未來的發(fā)展進行了分析和展望����。概念概述1988年,Endsley首先提出了態(tài)勢感知的定義:在一定的時空范圍內(nèi)��,認知����、理解環(huán)境因素��,并且對未來的發(fā)展趨勢進行預測�。概念概述1999年,TimBass提出:下一代網(wǎng)絡入侵檢測系統(tǒng)應該融合從大量的異構分布式網(wǎng)絡傳感器采集的數(shù)據(jù)�,實現(xiàn)網(wǎng)絡空間的態(tài)勢感知。基于數(shù)據(jù)融合的JDL模型���,提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡態(tài)勢感知功能
2、模型�。基于網(wǎng)絡安全態(tài)勢感知的功能�,本文將其研究內(nèi)容歸結(jié)為3個方面:網(wǎng)絡安全態(tài)勢要素的提取;網(wǎng)絡安全態(tài)勢的評估;網(wǎng)絡安全態(tài)勢的預測1�、網(wǎng)絡安全態(tài)勢要素的提取網(wǎng)絡安全態(tài)勢要素主要包括靜態(tài)的配置信息���、動態(tài)的運行信息以及網(wǎng)絡的流量信息����。靜態(tài)的配置信息:網(wǎng)絡的拓撲信息�����,脆弱性信息和狀態(tài)信息等基本配置信息動態(tài)的運行信息:從各種防護措施的日志采集和分析技術獲取的威脅信息等�。2�����、網(wǎng)絡安全態(tài)勢的理解在獲取海量網(wǎng)絡安全信息的基礎上,解析信息之間的關聯(lián)性�,對其進行融合�����,獲取宏觀的網(wǎng)絡安全態(tài)勢�,本文稱為態(tài)勢評估。數(shù)據(jù)融合式態(tài)勢評估的核心����。應用于態(tài)勢評估的數(shù)據(jù)融合算法,分為以下幾類:基于邏輯關系的融合方法
3����、基于數(shù)學模型的融合方法基于概率統(tǒng)計的融合方法基于規(guī)則推理的融合方法基于邏輯關系的融合方法依據(jù)信息之間的內(nèi)在邏輯�����,對信息進行融和��,警報關聯(lián)是典型的基于邏輯關系的融合方法���。警報關聯(lián)是指基于警報信息之間的邏輯關系對其進行融合����,從而獲取宏觀的攻擊態(tài)勢警報之間的邏輯關系:警報屬性特征的相似性預定義攻擊模型中的關聯(lián)性攻擊的前提和后繼條件之間的相關性基于數(shù)學模型的融合方法綜合考慮影響態(tài)勢的各項態(tài)勢因素,構造評定函數(shù)��,建立態(tài)勢因素集合到態(tài)勢空間的映射關系���。加權平均法是最常用、最有代表性����、最簡單的基于數(shù)學模型的融合方法。加權平均法的融合函數(shù)通常由態(tài)勢因素和其重要性權值共同確定優(yōu)點:直觀缺點:權值的
4���、選擇沒有統(tǒng)一的標準�,大多是根據(jù)經(jīng)驗確定����。基于概率統(tǒng)計的融合方法基于概率統(tǒng)計的融合方法�,充分利用先驗知識的統(tǒng)計特性���,結(jié)合信息的不確定性�,建立態(tài)勢評估的模型��,然后通過模型評估網(wǎng)絡的安全態(tài)勢����。常見基于概率統(tǒng)計的融合方法:貝葉斯網(wǎng)絡隱馬爾可夫模型貝葉斯網(wǎng)絡貝葉斯公式:P(B)=貝葉斯網(wǎng)絡:一個貝葉斯網(wǎng)絡是一個有向無環(huán)圖(DAG),其節(jié)點表示一個變量��,邊代表變量之間的聯(lián)系���,節(jié)點存儲本節(jié)點相當于其父節(jié)點的條件概率分布��。貝葉斯網(wǎng)絡X1,X2......X7的聯(lián)合概率分布:隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種�,它的狀態(tài)不能直接觀察到��,但能通過觀測向量序列觀察到�����,每一個觀測向量是由一個具
5����、有相應概率密度分布的狀態(tài)序列產(chǎn)生。所以�����,隱馬爾可夫模型是一個雙重隨機過程隱馬爾可夫模型隱馬爾可夫模型假設我們開始擲骰子,我們先從三個骰子里挑一個�,挑到每一個骰子的概率都是1/3。然后我們擲骰子���,得到一個數(shù)字����,1��,2���,3�����,4�����,5����,6,7�����,8中的一個����。不停的重復上述過程����,我們會得到一串數(shù)字,每個數(shù)字都是1�,2,3�����,4���,5,6�����,7,8中的一個��。例如我們可能得到這么一串數(shù)字(擲骰子10次):1635273524隱含狀態(tài)鏈有可能是:D6D8D8D6D4D8D6D6D4D8轉(zhuǎn)換概率(隱含狀態(tài))輸出概率:可見狀態(tài)之間沒有轉(zhuǎn)換概率���,但是隱含狀態(tài)和可見狀態(tài)之間有一個概率叫做輸出概率可見狀態(tài)鏈隱馬爾
6����、可夫模型隱馬爾可夫模型隱馬爾科夫的基本要素��,即一個五元組{S,N,A,B,PI}�����;S:隱藏狀態(tài)集合�;N:觀察狀態(tài)集合�����;A:隱藏狀態(tài)間的轉(zhuǎn)移概率矩陣��;B:輸出矩陣(即隱藏狀態(tài)到輸出狀態(tài)的概率)��;PI:初始概率分布(隱藏狀態(tài)的初始概率分布);優(yōu)缺點評價優(yōu)點:可以融合最新的證據(jù)信息和先驗知識��,過程清晰��,易于理解缺點:要求數(shù)據(jù)源大����,同時需要的存儲量和匹配計算的運算量也大�,容易造成位數(shù)爆炸�,影響實時性特征提取、模型構建和先驗知識的獲取有一定困難����?��;谝?guī)則推理的融合方法基于規(guī)則推理的融合方法�����,首先模糊量化多源多屬性信息的不確定性;然后利用規(guī)則進行邏輯推理���,實現(xiàn)網(wǎng)絡安全態(tài)勢的評估。D-S證據(jù)組
7、合方法和模糊邏輯是研究熱點D-S證據(jù)理論是一種不確定推理方法����,證據(jù)理論的主要特點是:滿足比貝葉斯概率論更弱的條件;具有直接表達“不確定”和“不知道”的能力·�����。概率分配函數(shù):設D為樣本空間���,其中具有n個元素,則D中元素所構成的子集的個數(shù)為2n個��。概率分配函數(shù)的作用是把D上的任意一個子集A都映射為[0��,1]上的一個數(shù)M(A)���。信任函數(shù):似然函數(shù):D-S證據(jù)理論信任區(qū)間:[Bel(A)�,pl(A)]表示命題A的信任區(qū)間����,Bel(A)表示信任函數(shù)為下限,pl(A)表示似真函數(shù)為上限模糊集
