信息系統(tǒng)安全管理理論及應(yīng)用 教學(xué)課件 李建華信息系統(tǒng)安全管理理論及應(yīng)用 7 9 計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估理論

在線教務(wù)輔導(dǎo)網(wǎng)：://教材其余課件及動(dòng)畫(huà)素材請(qǐng)查閱在線教務(wù)輔導(dǎo)網(wǎng)QQ:349134187

或者直接輸入下面地址：計(jì)算機(jī)網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估理論主要內(nèi)容必要性概念起源根本概念網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估體系網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估分類態(tài)勢(shì)評(píng)估要點(diǎn)及關(guān)鍵技術(shù)平安隱患態(tài)勢(shì)評(píng)估方法主要內(nèi)容〔續(xù)〕平安效勞風(fēng)險(xiǎn)評(píng)估模型當(dāng)前平安威脅評(píng)估方法歷史平安威脅演化態(tài)勢(shì)分析方法平安態(tài)勢(shì)預(yù)警理論與方法1、必要性孤立的平安事件報(bào)警表達(dá)系統(tǒng)遭受的攻擊行為信息，但連續(xù)運(yùn)行的平安設(shè)備產(chǎn)生的報(bào)警量大，不相關(guān)報(bào)警多，平安管理員面對(duì)大量報(bào)警信息很難理解系統(tǒng)的平安威脅狀況，以致不能及時(shí)采取適宜的響應(yīng)措施，更是難以發(fā)現(xiàn)系統(tǒng)的平安威脅規(guī)律。2、概念起源信息融合領(lǐng)域中態(tài)勢(shì)評(píng)估==態(tài)勢(shì)感知態(tài)勢(shì)感知起源：概念來(lái)源于航天飛行中的人因〔HumanFactor〕研究，是對(duì)態(tài)勢(shì)進(jìn)行評(píng)估從而獲得決策執(zhí)行的過(guò)程。Endsley提出的態(tài)勢(shì)感知定義在特定的時(shí)間和空間下，對(duì)環(huán)境中各元素或?qū)ο蟮挠X(jué)察、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè)，以在環(huán)境對(duì)象和環(huán)境自身之間建立一個(gè)相互關(guān)系，通常由一些傳感器、位置信息、用戶規(guī)那么或是一些用于系統(tǒng)監(jiān)視和維護(hù)的工具所提供。因此，可以認(rèn)為態(tài)勢(shì)感知是對(duì)對(duì)象所處的環(huán)境狀態(tài)的一種理解領(lǐng)悟，包括相關(guān)的對(duì)象系統(tǒng)參數(shù)。在某種程度上，態(tài)勢(shì)感知提供了對(duì)復(fù)雜系統(tǒng)決策和操作性能的根底。只有正確地感知環(huán)境狀態(tài)，才能對(duì)操作對(duì)象提供下一步正確的決策。Endsley提出的適用于自動(dòng)化系統(tǒng)及人機(jī)接口系統(tǒng)的態(tài)勢(shì)感知方法將態(tài)勢(shì)感知分為三個(gè)層次的信息處理，即3個(gè)步驟：1〕覺(jué)察〔Perception〕：檢測(cè)和獲取環(huán)境中的重要線索或元素，這是態(tài)勢(shì)感知中根底的一步；2〕理解〔Comprehension〕：整合覺(jué)察到的數(shù)據(jù)和信息，分析其相關(guān)性；3〕預(yù)測(cè)〔Prediction〕：基于對(duì)環(huán)境信息的感知和理解，預(yù)測(cè)未來(lái)的開(kāi)展趨勢(shì)，這是態(tài)勢(shì)感知中最高層次的要求。Dominguez擴(kuò)展的態(tài)勢(shì)感知定義將態(tài)勢(shì)感知分為4個(gè)方面：1〕從環(huán)境中提取信息；2〕把當(dāng)前的信息和相關(guān)的內(nèi)部信息進(jìn)行整合，生成當(dāng)前狀態(tài)的視圖；3〕利用當(dāng)前的視圖去指導(dǎo)更進(jìn)一步的感知獲??；4〕對(duì)未來(lái)的事件做預(yù)測(cè)。根據(jù)Endsley及Dominguez等對(duì)態(tài)勢(shì)技術(shù)的研究成果，態(tài)勢(shì)評(píng)估往往又被認(rèn)為是態(tài)勢(shì)感知的一個(gè)層次。當(dāng)前，態(tài)勢(shì)評(píng)估技術(shù)是信息融合中最為活潑的研究領(lǐng)域之一。網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估起源：概念起源于軍事領(lǐng)域的戰(zhàn)場(chǎng)態(tài)勢(shì)評(píng)估，是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)平安態(tài)勢(shì)變化的平安要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的開(kāi)展趨勢(shì)的過(guò)程。“態(tài)勢(shì)〞作為一種狀態(tài)、一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一情況或狀態(tài)均不能稱為態(tài)勢(shì)。戰(zhàn)場(chǎng)態(tài)勢(shì)評(píng)估--針對(duì)海戰(zhàn)場(chǎng)，利用基于時(shí)間和空間上信息融合系統(tǒng)的態(tài)勢(shì)評(píng)估和威脅分析方法，首先進(jìn)行時(shí)間和空間確實(shí)認(rèn)和對(duì)準(zhǔn)，確定海戰(zhàn)場(chǎng)態(tài)勢(shì)的根本要素，對(duì)態(tài)勢(shì)進(jìn)行抽象和評(píng)估，為指揮員提供海戰(zhàn)場(chǎng)態(tài)勢(shì)的綜合勢(shì)圖，包括我方態(tài)勢(shì)的紅色視圖、敵方態(tài)勢(shì)的藍(lán)色視圖、及自然環(huán)境與海洋情況等海戰(zhàn)場(chǎng)態(tài)勢(shì)的白色視圖，為指揮員做決策提供依據(jù)。網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估--起源于TimBass的開(kāi)創(chuàng)性研究，將軍事領(lǐng)域中已成功應(yīng)用的數(shù)據(jù)融合來(lái)完成平安事件的融合處理，形成一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)行為的高層抽象，即網(wǎng)絡(luò)空間內(nèi)的平安態(tài)勢(shì)感知。網(wǎng)絡(luò)系統(tǒng)中的態(tài)勢(shì)感知分析平安設(shè)備提供的多源數(shù)據(jù)，提供網(wǎng)絡(luò)的實(shí)時(shí)運(yùn)行狀態(tài)〔包括大量的底層數(shù)據(jù)和系統(tǒng)信息，及海量平安事件經(jīng)過(guò)歸并融合后形成的一些具體的高層態(tài)勢(shì)信息〕，方便網(wǎng)絡(luò)的使用者和維護(hù)者有效地感知網(wǎng)絡(luò)的平安態(tài)勢(shì)，并根據(jù)態(tài)勢(shì)的變化做出相應(yīng)的決策調(diào)整和制訂應(yīng)變策略。3、根本概念信息融合信息融合來(lái)源于早期軍事領(lǐng)域的數(shù)據(jù)融合，又叫多傳感器數(shù)據(jù)融合，是對(duì)多源信息進(jìn)行處理的關(guān)鍵技術(shù)。通過(guò)對(duì)空間分布的多源信息，對(duì)所關(guān)心的目標(biāo)進(jìn)行檢測(cè)、關(guān)聯(lián)〔相關(guān)〕、跟蹤、估計(jì)和綜合等多級(jí)多功能處理，以更高精度、較高的概率或置信度得到人們所需要的目標(biāo)狀態(tài)和身份估計(jì)，以及完整、及時(shí)的態(tài)勢(shì)和威脅評(píng)估，從而為指揮員提供有用的決策信息。與單傳感器數(shù)據(jù)相比，綜合多個(gè)數(shù)據(jù)源除了具有統(tǒng)計(jì)優(yōu)勢(shì)之外，還能改進(jìn)檢測(cè)的準(zhǔn)確度，而且各種傳感器的互補(bǔ)特性為獲得更多的信息提供了技術(shù)支撐。信息融合的層次1〕像素級(jí)融合：通常對(duì)原始傳感器信息不進(jìn)行處理或只進(jìn)行很少的處理。在信息處理層次中像素級(jí)融合的層次較低，故也稱其為低級(jí)融合。2〕特征級(jí)融合：在各個(gè)傳感器提供的原始信息中，首先提取一組特征信息，形成特征矢量，并在對(duì)目標(biāo)進(jìn)行分類或其他處理前對(duì)各組信息進(jìn)行融合，一般稱為中級(jí)融合。3〕決策級(jí)融合：也稱高級(jí)融合，其利用來(lái)自各傳感器的信息對(duì)目標(biāo)屬性等進(jìn)行獨(dú)立處理，然后對(duì)各傳感器的處理結(jié)果進(jìn)行融合，從而得到整個(gè)系統(tǒng)的決策。決策級(jí)融合包括三種形式：決策融合、決策及其可信度融合、概率融合。JDL的數(shù)據(jù)融合處理模型

JDL參軍事應(yīng)用的角度，把來(lái)自許多傳感器和信息源的數(shù)據(jù)和信息加以聯(lián)合、相關(guān)和組合，以獲得精確的位置和身份估計(jì)，從而獲得對(duì)戰(zhàn)場(chǎng)和威脅及其重要程度適時(shí)的完整評(píng)價(jià)，并構(gòu)造了融合過(guò)程的通用模型，經(jīng)典的數(shù)據(jù)融合概念模型，包括四個(gè)層次〔級(jí)〕的數(shù)據(jù)融合處理1〕對(duì)象提取〔ObjectRefinement〕：通過(guò)不同的觀測(cè)設(shè)備采集的觀測(cè)數(shù)據(jù)，聯(lián)合起來(lái)形成對(duì)象描述，從而產(chǎn)生對(duì)象的軌跡，并融合該評(píng)估對(duì)象的類型、狀態(tài)和位置等屬性。2〕態(tài)勢(shì)提取〔SituationRefinement〕：通過(guò)把存在于態(tài)勢(shì)評(píng)估過(guò)程中的目標(biāo)聯(lián)系在一起形成態(tài)勢(shì)評(píng)估，或把目標(biāo)評(píng)估相互關(guān)聯(lián)。3〕威脅提取〔ThreatRefinement〕：考慮態(tài)勢(shì)評(píng)估可能出現(xiàn)的結(jié)果，形成威脅評(píng)估，或把它們與存在的威脅聯(lián)系在一起。4〕過(guò)程提取〔ProcessRefinement〕：確定如何提高上述三個(gè)過(guò)程的評(píng)估能力，怎樣控制傳感器來(lái)獲取最重要的數(shù)據(jù)，從而最大程度地提高評(píng)估能力。數(shù)據(jù)融合的White模型

對(duì)來(lái)自一個(gè)系統(tǒng)的具有相似或不同特征模式的多源檢測(cè)信息進(jìn)行互補(bǔ)集成，從而獲得當(dāng)前系統(tǒng)狀態(tài)的準(zhǔn)確判斷，在此根底上預(yù)測(cè)系統(tǒng)的未來(lái)狀態(tài)，為采取適當(dāng)?shù)南到y(tǒng)策略提供保障。此模型第一級(jí)為融合的位置和標(biāo)識(shí)估計(jì)，第二級(jí)為敵我軍事態(tài)勢(shì)估計(jì)，第三級(jí)為敵我兵力威脅估計(jì)。網(wǎng)絡(luò)空間數(shù)據(jù)融合處理的過(guò)程模型

網(wǎng)絡(luò)空間的數(shù)據(jù)融合處理模型參照J(rèn)DL的數(shù)據(jù)融合處理模型和White模型，態(tài)勢(shì)數(shù)據(jù)來(lái)自于網(wǎng)絡(luò)中分布傳感器采集到的原始數(shù)據(jù)。第0層和第1層處理模塊完成事件檢測(cè)功能；第2層態(tài)勢(shì)提取和第3層威脅提取模塊負(fù)責(zé)高層的抽象知識(shí)處理。第4層資源管理模塊在各層次模塊的處理過(guò)程中，進(jìn)行資源調(diào)配，以保證融合處理過(guò)程的效率和性能。

IDS數(shù)據(jù)融合的層次

網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估定義普遍認(rèn)為是網(wǎng)絡(luò)平安態(tài)勢(shì)感知能力的獲取，即對(duì)底層各類平安事件進(jìn)行歸并、關(guān)聯(lián)以及融合等處理，并將處理后的信息以可視化圖形的形式提供給網(wǎng)絡(luò)管理人員。管理人員根據(jù)視圖提供的信息，判斷網(wǎng)絡(luò)當(dāng)前及未來(lái)可能的平安態(tài)勢(shì)開(kāi)展趨勢(shì)，進(jìn)而做出有效應(yīng)對(duì)措施。網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估與傳統(tǒng)研究領(lǐng)域內(nèi)的態(tài)勢(shì)感知1〕底層監(jiān)測(cè)對(duì)象不同傳統(tǒng)感知框架中，傳感器用來(lái)感應(yīng)電磁輻射、聲納、熱源、核粒子以及紅外線等等。而在計(jì)算機(jī)空間/網(wǎng)絡(luò)空間中，傳感器主要監(jiān)視的對(duì)象那么是網(wǎng)絡(luò)中的數(shù)據(jù)流。2〕關(guān)注目標(biāo)不同傳統(tǒng)態(tài)勢(shì)感知關(guān)注入侵設(shè)備的來(lái)源、速率、威脅及其針對(duì)的目標(biāo)，而網(wǎng)絡(luò)平安態(tài)勢(shì)感知那么關(guān)注一個(gè)入侵或入侵者的身份、其攻擊的頻度、威脅以及這些攻擊行為的目的。網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估與傳統(tǒng)研究領(lǐng)域內(nèi)的態(tài)勢(shì)感知〔續(xù)〕3〕流程和過(guò)程相似流程均沿著覺(jué)察→理解→預(yù)測(cè)的線路過(guò)程都是一個(gè)從數(shù)據(jù)→信息→知識(shí)的一個(gè)過(guò)程網(wǎng)絡(luò)平安態(tài)勢(shì)感知系統(tǒng)與IDSBass認(rèn)為下一代的入侵檢測(cè)系統(tǒng)或網(wǎng)絡(luò)管理系統(tǒng)將會(huì)被網(wǎng)絡(luò)空間的態(tài)勢(shì)感知系統(tǒng)所取代，但并不能認(rèn)為未來(lái)改進(jìn)型的IDS就是網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)。IDS作為態(tài)勢(shì)感知系統(tǒng)的底層組件和重要數(shù)據(jù)來(lái)源，二者之間既存在著聯(lián)系，又有一定的區(qū)別。網(wǎng)絡(luò)平安態(tài)勢(shì)感知系統(tǒng)與IDS〔續(xù)〕1〕主要職能不同--IDS通過(guò)實(shí)時(shí)監(jiān)測(cè)信息流，檢測(cè)網(wǎng)絡(luò)中存在的攻擊，進(jìn)而保護(hù)特定主機(jī)和信息資源。其從細(xì)節(jié)上關(guān)注網(wǎng)絡(luò)平安，對(duì)網(wǎng)絡(luò)內(nèi)的每次獨(dú)立的攻擊都進(jìn)行記錄和警告。而態(tài)勢(shì)感知系統(tǒng)是給網(wǎng)絡(luò)管理員提供當(dāng)前的網(wǎng)絡(luò)平安態(tài)勢(shì)狀況，并提交相關(guān)統(tǒng)計(jì)分析數(shù)據(jù)及報(bào)表，為保障網(wǎng)絡(luò)效勞的正常運(yùn)行提供決策依據(jù)。這個(gè)過(guò)程不僅包括對(duì)攻擊行為的檢測(cè)，也包括為提高網(wǎng)絡(luò)性能而進(jìn)行的維護(hù)，從一種更宏觀的角度詮釋網(wǎng)絡(luò)平安。網(wǎng)絡(luò)平安態(tài)勢(shì)感知系統(tǒng)與IDS〔續(xù)〕2〕分析數(shù)據(jù)源不同--IDS通過(guò)安裝在網(wǎng)絡(luò)中不同節(jié)點(diǎn)處的代理或Sensor獲取網(wǎng)絡(luò)數(shù)據(jù)，然后進(jìn)行融合、關(guān)聯(lián)分析，進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。數(shù)據(jù)來(lái)源較為單一，仍可視為同源數(shù)據(jù)。而態(tài)勢(shì)感知系統(tǒng)的分析數(shù)據(jù)來(lái)源那么是混合型的，入侵檢測(cè)系統(tǒng)、病毒檢測(cè)、防火墻等工具均可提供平安信息。態(tài)勢(shì)感知系統(tǒng)融合這些設(shè)備的不同格式的數(shù)據(jù)信息，進(jìn)行態(tài)勢(shì)分析和可視化顯示。網(wǎng)絡(luò)平安態(tài)勢(shì)感知系統(tǒng)與IDS〔續(xù)〕3〕規(guī)模和信息處理數(shù)量級(jí)不同--當(dāng)前，網(wǎng)絡(luò)帶寬增長(zhǎng)的速度已經(jīng)超過(guò)了計(jì)算機(jī)的處理速度。尤其對(duì)于入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，高速網(wǎng)絡(luò)中的攻擊行為實(shí)時(shí)檢測(cè)已經(jīng)成為一個(gè)困擾的難點(diǎn)問(wèn)題。與之對(duì)應(yīng)的是，態(tài)勢(shì)感知系統(tǒng)充分利用了多種數(shù)據(jù)采集設(shè)備，通過(guò)融合提高了數(shù)據(jù)源的完備性，同時(shí)通過(guò)多維視圖顯示，融入人的視覺(jué)處理能力，簡(jiǎn)化了系統(tǒng)的計(jì)算復(fù)雜度，提高了計(jì)算處理能力。網(wǎng)絡(luò)平安態(tài)勢(shì)感知系統(tǒng)與IDS〔續(xù)〕4〕檢測(cè)效率不同--當(dāng)前，IDS檢測(cè)攻擊的誤報(bào)率和漏報(bào)率極大地打擊了網(wǎng)絡(luò)用戶對(duì)其的信任，而且基于特征的IDS無(wú)法檢測(cè)出未知攻擊和潛在的惡意網(wǎng)絡(luò)行為。態(tài)勢(shì)感知系統(tǒng)卻能利用多源異構(gòu)數(shù)據(jù)的融合處理，彌補(bǔ)了IDS系統(tǒng)處理不確定度的劣勢(shì)，能夠提供動(dòng)態(tài)的網(wǎng)絡(luò)態(tài)勢(shì)狀況顯示，為管理員分析網(wǎng)絡(luò)攻擊行為、及時(shí)采取應(yīng)對(duì)策略提供了支撐。網(wǎng)絡(luò)平安態(tài)勢(shì)感知與平安評(píng)估從操作執(zhí)行過(guò)程來(lái)看，網(wǎng)絡(luò)平安態(tài)勢(shì)感知是一個(gè)實(shí)時(shí)過(guò)程，其作為網(wǎng)絡(luò)管理系統(tǒng)的一個(gè)實(shí)時(shí)處理單元存在，為網(wǎng)管人員提供及時(shí)的決策輔助，重在感知當(dāng)前的平安態(tài)勢(shì)及變化趨勢(shì)。而網(wǎng)絡(luò)平安評(píng)估是一個(gè)非實(shí)時(shí)過(guò)程，由評(píng)估人員周期性執(zhí)行，在迭代的過(guò)程中針對(duì)前次評(píng)估中存在的可能導(dǎo)致網(wǎng)絡(luò)風(fēng)險(xiǎn)的隱患進(jìn)行調(diào)整，重在為降低風(fēng)險(xiǎn)而采取的改進(jìn)措施。4、網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估體系融入平安態(tài)勢(shì)評(píng)估的空間完備性和時(shí)間連續(xù)性，從“內(nèi)、外〞兩個(gè)空間角度出發(fā)，沿“過(guò)去、現(xiàn)在、將來(lái)〞一條時(shí)間主線，借用多源信息融合技術(shù)，融合IDS報(bào)警、網(wǎng)絡(luò)性能指標(biāo)、漏洞檢測(cè)數(shù)據(jù)等多源行為信息，綜合評(píng)估網(wǎng)絡(luò)平安狀態(tài)及變化趨勢(shì)，即利用網(wǎng)絡(luò)平安屬性的歷史記錄，為用戶提供一個(gè)準(zhǔn)確的網(wǎng)絡(luò)平安狀態(tài)評(píng)判和網(wǎng)絡(luò)平安開(kāi)展趨勢(shì)，以便管理員了解當(dāng)前平安威脅狀況、歷史平安威脅演化，進(jìn)而預(yù)測(cè)未來(lái)平安威脅，即在網(wǎng)絡(luò)平安事件發(fā)生之前對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行預(yù)測(cè)，使網(wǎng)絡(luò)管理者能夠有目標(biāo)的進(jìn)行決策和防護(hù)準(zhǔn)備，做到防患于未然。態(tài)勢(shì)評(píng)估體系較好地實(shí)現(xiàn)了“分析現(xiàn)在，了解過(guò)去，預(yù)測(cè)未來(lái)〞的動(dòng)態(tài)評(píng)估。從時(shí)間上，可以掌握最近一個(gè)時(shí)段網(wǎng)絡(luò)的活動(dòng)狀況，支持實(shí)時(shí)方面更準(zhǔn)確的分析判斷。從空間上，融合系統(tǒng)內(nèi)部的脆弱信息和外部的威脅信息，提高評(píng)估結(jié)果的合理性。在日志分析方面，應(yīng)用數(shù)據(jù)挖掘技術(shù)，從對(duì)日志的簡(jiǎn)單分析開(kāi)展為戰(zhàn)略性分析，為用戶提供戰(zhàn)略性的指導(dǎo)和戰(zhàn)術(shù)性的解決方法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)平安現(xiàn)狀作出正確判斷的目標(biāo)。網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估可為防護(hù)體系提供決策依據(jù)，為監(jiān)控體系提供支持，為應(yīng)急響應(yīng)體系提供預(yù)測(cè)，其應(yīng)用實(shí)現(xiàn)了網(wǎng)絡(luò)平安體系中防護(hù)、監(jiān)控和應(yīng)急響應(yīng)的有機(jī)結(jié)合。4、網(wǎng)絡(luò)平安態(tài)勢(shì)評(píng)估分類IDS作為支撐網(wǎng)絡(luò)平安態(tài)勢(shì)感知的主要信息提供者，多傳感器數(shù)據(jù)融合技術(shù)作為主要的數(shù)據(jù)處理手段，態(tài)勢(shì)感知的結(jié)果是一個(gè)函數(shù)的話，那么這個(gè)x代表著IDS獲取的數(shù)據(jù)，采用的數(shù)據(jù)融合技術(shù)可以作為f的實(shí)現(xiàn)。根據(jù)態(tài)勢(shì)評(píng)估結(jié)果的描述形式定量描述—建立在風(fēng)險(xiǎn)分析根底之上的一個(gè)有意義的標(biāo)量值，比方某種平安系數(shù)、平安度或風(fēng)險(xiǎn)指數(shù)等。Bass指出，網(wǎng)絡(luò)平安風(fēng)險(xiǎn)是系統(tǒng)資產(chǎn)、攻擊對(duì)應(yīng)的威脅度以及漏洞攻擊后果嚴(yán)重程度的相關(guān)函數(shù)。定性描述—感知框架的研究和可視態(tài)勢(shì)根據(jù)評(píng)估時(shí)間當(dāng)前平安狀況評(píng)估歷史平安演化分析未來(lái)平安狀態(tài)預(yù)測(cè)根據(jù)數(shù)據(jù)源基于系統(tǒng)配置信息的平安隱患態(tài)勢(shì)評(píng)估基于系統(tǒng)運(yùn)行信息的平安威脅態(tài)勢(shì)評(píng)估

態(tài)勢(shì)感知研究的分類描述并不是嚴(yán)格限定的。在實(shí)際的態(tài)勢(shì)感知獲取過(guò)程中，各項(xiàng)研究往往是交叉的。態(tài)勢(shì)感知結(jié)果的描述可以是定性、定量或是定性和定量描述混合，而且無(wú)論這種態(tài)勢(shì)結(jié)果是定量還是定性，最終呈現(xiàn)在網(wǎng)絡(luò)管理員面前的都是一些可視化圖形。6、態(tài)勢(shì)評(píng)估要點(diǎn)及關(guān)鍵技術(shù)現(xiàn)實(shí)中網(wǎng)絡(luò)系統(tǒng)的平安性涉及多方面因素，且每個(gè)因素都從一定側(cè)面反映系統(tǒng)的平安性能，任何一個(gè)指標(biāo)都無(wú)法完全反映目標(biāo)系統(tǒng)的整體平安性能。實(shí)際的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行平安評(píng)估時(shí)，必須將全體評(píng)估指標(biāo)的評(píng)估結(jié)果進(jìn)行綜合，才能得到關(guān)于目標(biāo)網(wǎng)絡(luò)信息系統(tǒng)平安性能的最終評(píng)價(jià)。對(duì)于同一層次上的評(píng)估指標(biāo)，評(píng)估過(guò)程是一個(gè)從多維空間到一個(gè)線段中的點(diǎn)或評(píng)價(jià)論域中的等級(jí)的映射過(guò)程，表示為：或其中，表示評(píng)估項(xiàng)〔評(píng)估指標(biāo)〕，A是綜合結(jié)果的取值區(qū)間，一般為[0,1]，適合于定量表示的綜合評(píng)估。表示等級(jí)論域，適合于定性評(píng)估結(jié)果的綜合。評(píng)估指標(biāo)的處理定量指標(biāo)的歸一化處理定性指標(biāo)的量化和歸一化處理1〕“是〞或“否〞這類最簡(jiǎn)單的定性評(píng)估結(jié)果，“是〞指定為“1〞，“否〞指定為“0〞。2〕一個(gè)有序的名稱集，如“很差、較差、一般、較好、很好〞這種最常見(jiàn)的定性指標(biāo)結(jié)果表示方式。根據(jù)它們的次序，粗略地分別分配一個(gè)整數(shù)來(lái)實(shí)現(xiàn)結(jié)果的量化，如使用“1、2、3、4、5〞與之對(duì)應(yīng)，然后把這些量化后的結(jié)果“1、2、3、4、5〞分別采用“0.1、0.3、0.5、0.7、0.9〞作為它們的歸一化值。綜合評(píng)估方法加權(quán)算術(shù)平均

適合處理定量評(píng)估項(xiàng)，是綜合評(píng)價(jià)領(lǐng)域最常用的方法，也是最簡(jiǎn)單的方法，表示為：

該方法易受到個(gè)別極端評(píng)估項(xiàng)的影響。

綜合評(píng)估方法加權(quán)幾何平均適合處理定量評(píng)估項(xiàng)，與加權(quán)算術(shù)平均相比，加權(quán)幾何平均能更進(jìn)一步反映全體評(píng)估項(xiàng)的作用，其計(jì)算公式為：

該方法易受到個(gè)別極端評(píng)估項(xiàng)的影響。

綜合評(píng)估方法混合平均在面對(duì)實(shí)際的綜合評(píng)估問(wèn)題時(shí)，混合平均指對(duì)某些評(píng)估項(xiàng)使用加權(quán)算術(shù)平均對(duì)其進(jìn)行綜合分析，而對(duì)另一些評(píng)估項(xiàng)使用加權(quán)幾何平均，然后對(duì)使用適宜的不同平均方法后的各評(píng)估項(xiàng)，經(jīng)過(guò)進(jìn)一步綜合得到最終的評(píng)估結(jié)果值。關(guān)鍵技術(shù)信息融合技術(shù)風(fēng)險(xiǎn)分析技術(shù)信息可視化技術(shù)事件過(guò)濾技術(shù)7、平安隱患態(tài)勢(shì)評(píng)估方法法國(guó)LAAS計(jì)算機(jī)平安研究學(xué)者R.Ortalo和Y.Deswarte基于平安分析工具COPS的數(shù)據(jù)，采用權(quán)限圖理論模型建模系統(tǒng)漏洞，并建立馬爾科夫數(shù)學(xué)模型，計(jì)算攻擊者擊敗系統(tǒng)平安目標(biāo)可能付出的平均代價(jià)，以定量度量系統(tǒng)平安，監(jiān)控運(yùn)行環(huán)境、系統(tǒng)配置、應(yīng)用、用戶行為等變化引起的系統(tǒng)平安的全局變化，給出系統(tǒng)平安隱患狀況的演化，以便管理員了解系統(tǒng)平安的變化。系統(tǒng)漏洞建模應(yīng)用權(quán)限圖建模系統(tǒng)漏洞，即在表示系統(tǒng)漏洞的權(quán)限圖中，節(jié)點(diǎn)X表示一個(gè)用戶或一組用戶擁有的權(quán)限集合。其中，一些高度敏感的權(quán)限集〔如超級(jí)用戶〕非常可能是黑客攻擊目標(biāo)，稱為目標(biāo)節(jié)點(diǎn)。攻擊者擁有的權(quán)限集，稱為攻擊者節(jié)點(diǎn)〔如insider〕。兩個(gè)節(jié)點(diǎn)之間的弧表示漏洞，擁有節(jié)點(diǎn)X權(quán)限的用戶可以利用漏洞獲取節(jié)點(diǎn)Y的權(quán)限，那么在節(jié)點(diǎn)X到節(jié)點(diǎn)Y之間存在一條弧。權(quán)限圖中的3類漏洞1〕與從保護(hù)方案直接繼承的權(quán)限子集相對(duì)應(yīng)的弧。例如Unix系統(tǒng)中，從組成員權(quán)限集的節(jié)點(diǎn)到組權(quán)限集節(jié)點(diǎn)的弧。2〕與直接的平安缺陷相對(duì)應(yīng)的弧，例如容易猜測(cè)的密碼、可以種植木馬的文件保護(hù)機(jī)制。3〕包含不與平安缺陷對(duì)應(yīng)的漏洞，指系統(tǒng)平安機(jī)制帶來(lái)的問(wèn)題。例如Unix系統(tǒng)中，.rhost文件帶來(lái)權(quán)限傳遞機(jī)制漏洞。典型的權(quán)限圖1〕X可以寫(xiě)Y的.rhosts文件；2〕X可猜Y的密碼；3〕X可修改Y的.tcshrc；4〕X是Y的一個(gè)成員；5〕Y使用X管理的某一程序；6〕X能修改Y擁有的setuid程序；7〕X在Y的.rhosts文件。節(jié)點(diǎn)表示用戶〔A、B、F〕或用戶組〔P1、Xadmin〕的權(quán)限集，節(jié)點(diǎn)insider表示任意注冊(cè)用戶的最小權(quán)限，節(jié)點(diǎn)之間的弧表示相應(yīng)的漏洞：漏洞利用難易度確定

為了計(jì)算黑客從攻擊者節(jié)點(diǎn)到達(dá)目標(biāo)節(jié)點(diǎn)的難易度，權(quán)限圖中每一條弧被分配一個(gè)權(quán)重，該值是一個(gè)綜合參數(shù)，表示成功率，與攻擊者執(zhí)行權(quán)限轉(zhuǎn)移需要的代價(jià)相對(duì)應(yīng)，包含了攻擊過(guò)程的幾個(gè)特點(diǎn)：攻擊工具的可用性、執(zhí)行攻擊需要的時(shí)間、可用的計(jì)算資源等。漏洞的利用難易度被劃分為四個(gè)級(jí)別。漏洞利用難易度確定〔續(xù)〕

級(jí)別弧權(quán)值備注10.1級(jí)別1相應(yīng)于最容易的攻擊，級(jí)別4對(duì)應(yīng)于非常難的攻擊。取值越大，攻擊難度越小。20.0130.00140.0001攻擊者行為假設(shè)全記憶假設(shè)〔TotalMemory，簡(jiǎn)稱TM〕：在攻擊的每一個(gè)階段，考慮攻擊的所有可能性，即來(lái)自權(quán)限圖中最新訪問(wèn)的節(jié)點(diǎn)以及已經(jīng)訪問(wèn)的節(jié)點(diǎn)的攻擊。無(wú)記憶假設(shè)〔Memoryless，簡(jiǎn)稱ML〕：在每一個(gè)最新訪問(wèn)的節(jié)點(diǎn)，攻擊者僅僅選擇從那個(gè)節(jié)點(diǎn)可以發(fā)起的根本攻擊。兩種黑客攻擊行為假設(shè)的區(qū)別：當(dāng)權(quán)限圖中添加新的漏洞時(shí)，對(duì)于攻擊者來(lái)說(shuō)，意味著將有另外一條路徑到達(dá)目標(biāo)。假設(shè)黑客按照TM攻擊行為模式，新漏洞的添加將減輕攻擊難度。但是，假設(shè)采用ML模式，因不具有后退嘗試其它路徑的能力，新的漏洞將會(huì)對(duì)攻擊產(chǎn)生正面或負(fù)面影響。尤其是這個(gè)新的漏洞利用難度低，但路徑中緊隨其后的利用難度非常大時(shí)，將會(huì)使黑客到達(dá)目標(biāo)的難度增加。與典型權(quán)限圖例子相對(duì)應(yīng)的攻擊狀態(tài)圖

評(píng)估算法使用與計(jì)算機(jī)平安演化特性相符的Markov數(shù)學(xué)模型計(jì)算攻擊者到達(dá)目標(biāo)的平均代價(jià)，以獲取系統(tǒng)平安狀況。假設(shè)：定義表示攻擊成功概率，在攻擊者花費(fèi)一定數(shù)量的代價(jià)e之前，某一根本攻擊的成功概率服從指數(shù)分布，即

某一根本攻擊成功的平均花費(fèi)代價(jià)為：METF定義：攻擊者到達(dá)指定平安目標(biāo)的平均代價(jià)，取值為在通向平安目標(biāo)的每個(gè)狀態(tài)花費(fèi)代價(jià)的加權(quán)和，其加權(quán)值為訪問(wèn)這些狀態(tài)的概率。METF值越大，系統(tǒng)平安越好。在狀態(tài)j的平均花費(fèi)代價(jià)Ej：狀態(tài)j輸出轉(zhuǎn)移概率之和的倒數(shù)，計(jì)算公式為：

k為初始狀態(tài)時(shí)的平均花費(fèi)代價(jià)METFk：?jiǎn)温窂降腗arkov模型

對(duì)于TM和ML的黑客行為假設(shè)，METF的計(jì)算公式均為：多路徑的Markov模型8、平安效勞風(fēng)險(xiǎn)評(píng)估模型基于效勞在系統(tǒng)中所占的比重和漏洞的威脅程度，給出一個(gè)基于效勞重要性和漏洞威脅的綜合風(fēng)險(xiǎn)分析評(píng)估模型，評(píng)估目標(biāo)系統(tǒng)所提供效勞的風(fēng)險(xiǎn)，定量分析目標(biāo)系統(tǒng)的平安隱患狀況。變量定義風(fēng)險(xiǎn)評(píng)估函數(shù)為實(shí)現(xiàn)對(duì)目標(biāo)平安狀況的定量分析，定義目標(biāo)系統(tǒng)所提供效勞的最后風(fēng)險(xiǎn)評(píng)估結(jié)果的函數(shù)為：9、當(dāng)前平安威脅評(píng)估方法基于網(wǎng)絡(luò)流量的實(shí)時(shí)定量評(píng)估攻擊足跡定性評(píng)估方法其它方法

基于網(wǎng)絡(luò)流量的實(shí)時(shí)定量評(píng)估評(píng)估原理基于DoS攻擊的最終目標(biāo)使某一網(wǎng)絡(luò)組件〔Server、Router或Link〕運(yùn)行在不可接受的方式，模擬通過(guò)溫度、血壓衡量生物健康狀態(tài)的原理，提出基于網(wǎng)絡(luò)性能度量指標(biāo)的平安評(píng)估方法，根據(jù)脆弱指數(shù)〔VulnerabilityIndex，簡(jiǎn)稱VI〕把網(wǎng)絡(luò)系統(tǒng)平安狀態(tài)劃分為：正?！睳ormal〕、不確定〔Uncertain〕或脆弱〔Vulnerability〕3種狀態(tài)，以量化攻擊或冗錯(cuò)對(duì)網(wǎng)絡(luò)性能及網(wǎng)絡(luò)效勞的影響。系統(tǒng)框架基于代理的實(shí)時(shí)在線脆弱性評(píng)估系統(tǒng)在客戶端、效勞器、路由器配置采集代理，實(shí)時(shí)計(jì)算脆弱度量指標(biāo)值。同時(shí)，代理之間可通過(guò)數(shù)據(jù)和通訊層進(jìn)行交互。進(jìn)一步，脆弱分析引擎計(jì)算組件或系統(tǒng)脆弱影響因子。計(jì)算方法客戶端、效勞器、路由器的組件影響因子1〕數(shù)據(jù)傳輸速率影響因子2〕緩沖區(qū)利用率影響因子3〕連接隊(duì)列長(zhǎng)度影響因子客戶端、路由器的系統(tǒng)影響因子運(yùn)行在不平安狀態(tài)的組件數(shù)與網(wǎng)絡(luò)組件總數(shù)之比，對(duì)所有網(wǎng)絡(luò)組件影響因子的加權(quán)獲得。正常運(yùn)行條件的上限仿真測(cè)試網(wǎng)絡(luò)拓?fù)?---使用SSFNet工具，搭建由6個(gè)客戶端網(wǎng)絡(luò)、5個(gè)效勞器組成的仿真網(wǎng)絡(luò)，節(jié)點(diǎn)對(duì)之間的速率為100Mbps，核心骨干網(wǎng)由7個(gè)路由器組成，并配有TCP/IP協(xié)議用于簡(jiǎn)單文件傳輸。參數(shù)設(shè)置在300s時(shí)，路由器4工作異常，路由器3接口2的緩沖區(qū)劇烈增加，到400s時(shí)到達(dá)250000字節(jié)，CIF到達(dá)35％。0號(hào)網(wǎng)絡(luò)客戶端的傳輸速率下降到70Kbps，每一客戶端的CIF低于30％。而且，一半以上的核心路由器運(yùn)行在不可接受的緩沖區(qū)利用狀態(tài)。實(shí)驗(yàn)結(jié)果1〕路由器3的平均緩沖區(qū)及CIF2〕0號(hào)客戶端的傳輸速率及CIF3〕系統(tǒng)影響因子攻擊足跡定性評(píng)估方法攻擊足跡一段時(shí)間內(nèi)黑客采取的漸進(jìn)行動(dòng)集合，即動(dòng)作序列，包括目標(biāo)系統(tǒng)類型、初始攻擊和最終攻擊的執(zhí)行方式、及黑客獲取目標(biāo)系統(tǒng)訪問(wèn)后的活動(dòng)。通過(guò)分析攻擊足跡，可以了解黑客滲透計(jì)算機(jī)網(wǎng)絡(luò)的方法，識(shí)別個(gè)人或團(tuán)體組織發(fā)起威脅的級(jí)別，進(jìn)而根據(jù)威脅級(jí)別給予相應(yīng)措施，確定入侵者類型。典型的3段式入侵模型入侵者滲透計(jì)算機(jī)系統(tǒng)時(shí)經(jīng)歷的根本過(guò)程，包括3個(gè)階段：1〕目標(biāo)識(shí)別，取決于黑客動(dòng)機(jī)及選擇標(biāo)準(zhǔn)；2〕目標(biāo)選擇與信息收集，即通過(guò)開(kāi)源情報(bào)或掃描器獲取網(wǎng)絡(luò)拓?fù)洌?〕系統(tǒng)滲透，包括目標(biāo)系統(tǒng)上脆弱點(diǎn)評(píng)估和利用。入侵者造成的威脅嚴(yán)重度與其技術(shù)能力密切相關(guān)，而黑客的技術(shù)能力往往表達(dá)于黑客從起點(diǎn)到終點(diǎn)采用的攻擊路線，即不同技術(shù)水平黑客的攻擊足跡不同。發(fā)動(dòng)同一攻擊獲取目標(biāo)系統(tǒng)非法訪問(wèn)的3條攻擊足跡

3條不同威脅度的攻擊足跡均以執(zhí)行“DNSzonetransfer〞攻擊開(kāi)始，給入侵者提供目標(biāo)網(wǎng)絡(luò)運(yùn)行的主機(jī)數(shù)及類型，供黑客選擇目標(biāo)。1〕低威脅度的足跡黑客針對(duì)目標(biāo)系統(tǒng)采用ICMPPing掃描，顯示目標(biāo)系統(tǒng)接收網(wǎng)絡(luò)數(shù)據(jù)包。接著運(yùn)行TCPstrobe程序確定端口號(hào)，結(jié)果顯示運(yùn)行rcpbind，由此判定系統(tǒng)具有statd攻擊的脆弱點(diǎn)。最后，運(yùn)行攻擊機(jī)的statd攻擊腳本，獲取目標(biāo)機(jī)的非法訪問(wèn)。該方法使用的ping探測(cè)很容易被檢測(cè)到，TCPstrobe掃描需要建立全連接，產(chǎn)生的流量大。而且使用腳本收集目標(biāo)主機(jī)信息、發(fā)動(dòng)攻擊，這種依賴簡(jiǎn)單的腳本方法顯示出入侵者對(duì)網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的技術(shù)知識(shí)非常有限。因此，此攻擊腳本的威脅級(jí)別判為低。

2〕中威脅度的足跡入侵者首先使用DNS信息選擇目標(biāo)，接著使用queso操作系統(tǒng)指紋工具向目標(biāo)機(jī)的某一端口發(fā)送一系列數(shù)據(jù)包，以識(shí)別操作系統(tǒng)類型。進(jìn)一步使用“nmap-sS-P0–p〞收集網(wǎng)絡(luò)效勞信息，獲取目標(biāo)機(jī)運(yùn)行sunrpc后臺(tái)程序。最后，發(fā)動(dòng)statd攻擊。該方法使用的獲取網(wǎng)絡(luò)效勞方法，采用半開(kāi)掃描技術(shù)，不易被發(fā)現(xiàn)，網(wǎng)絡(luò)流量大大減小，相應(yīng)的威脅級(jí)別判為中。3〕高威脅度的足跡入侵者使用各種搜索引擎和社會(huì)工程攻擊的方法獲取目標(biāo)機(jī)的硬件類型、操作系統(tǒng)類型及版本號(hào)、目標(biāo)及其它網(wǎng)絡(luò)的配置信息，接著針對(duì)具體端口使用nmap掃描獲取其后臺(tái)程序狀態(tài)，最后發(fā)動(dòng)相應(yīng)攻擊。該方法隱蔽性好、收集的情報(bào)多、流量小，相應(yīng)的威脅級(jí)別判為高。其它方法基于入侵類型的威脅評(píng)估Snort根據(jù)入侵行為類型，把報(bào)警劃分為高、中、低三個(gè)優(yōu)先級(jí)層次，企圖獲得管理員/用戶權(quán)限的攻擊、檢測(cè)到shellcode攻擊等劃分為高優(yōu)先級(jí)，引起拒絕效勞和信息泄露的攻擊劃分為中優(yōu)先級(jí)，網(wǎng)絡(luò)掃描、未知的網(wǎng)絡(luò)流量、一般的ICMP事件劃分為低優(yōu)先級(jí)?；趫?bào)警類型的評(píng)價(jià)方法沒(méi)有考慮根本入侵之間的因果關(guān)系、沒(méi)有進(jìn)行攻擊成功與失敗的判斷。ClasstypeDescriptionPriorityAttempted-adminAttemptedadminiatratorprivilegegainhighAttempted-userAttempteduserprivilegegainhighKickass-pornSCORE!Getthelotion!highPolicy-violationPotentialcorporateprivacyviolationhighShellcode-detectExecutablecodewasdetectedhighSuccessful-adminSuccessfuladministratorprivilegegainhighSuccessful-userSuccessfuluserprivilegegainhighTrojan-activityAnetworkTrojanwasdetectedhighUnsuccessful-userUnsuccessfuluserprivilegegainhighWeb-application-attackWebapplicationattackhighAttempted-dosAttempteddenialofservicemediumAttempted-reconAttemptedinformationleakmediumBad-unkownPotentiallybadtrafficmediumDefault-login-attemptAttempttologinbyadefaultusernameandpasswordmediumDenial-of-serviceDetectionofadenialofserviceattackmediumMisc-attackMiscattackmediumNon-standard-protocolDetectionofanon-standardprotocoloreventmediumRpc-portmap-decodeDecodeofanRPCquerymediumSuccessful-dosDenialofservicemediumSuccessful-recon-largescaleLargescaleinformationleakmediumSuccessful-recon-limitedInformationleakmediumSuspicious-filename-detectAsuspiciousfilenamewasdetectedmediumClasstypeDescriptionPrioritySuspicious-loginAnattemptedloginusingasuspicioususernamewasdetectedmediumSystem-call-detectAsystemcallwasdetectedmediumUnusual-client-port-connectionAclientwasusingunusualportmediumWeb-application-activityAccesstoapotentiallyvulnerablewebapplicationmediumIcmp-eventGenericICMPeventlowMisc-activityMiscactivitylowNetwork-scanDetectionofanetworkscanlowNot-suspiciousNotsuspicioustrafficlowProtocol-commanddetectGenericprotocolcommanddecodelowString-detectAsuspiciousstringwasdetectedlowunknownUnknowntrafficlowTcp-connectionATCPconnectionwasdetectedVerylow基于任務(wù)影響的威脅分析方法基于系統(tǒng)相關(guān)性、用戶興趣度、任務(wù)影響、攻擊結(jié)果等要素，對(duì)報(bào)警流中每個(gè)報(bào)警的威脅程度進(jìn)行定量排列，以別離出具有高威脅度的報(bào)警，即優(yōu)先級(jí)高、系統(tǒng)具有相關(guān)脆弱點(diǎn)并且攻擊成功的報(bào)警。事件的威脅等級(jí)取決于事件后果、事件相關(guān)性和事件優(yōu)先級(jí)3個(gè)要素。其中，事件相關(guān)性指事件發(fā)生所依賴的系統(tǒng)效勞、端口、應(yīng)用程序、脆弱的操作系統(tǒng)和硬件是否存在，事件優(yōu)先級(jí)取決于攻擊代碼的興趣度及資產(chǎn)〔用戶、網(wǎng)絡(luò)效勞、主機(jī)、協(xié)議、文件〕價(jià)值?；诓┺恼摰耐{評(píng)估攻擊者和防衛(wèi)者作為博弈雙方，依據(jù)策略矩陣計(jì)算雙方的盈利得失〔威脅〕。進(jìn)一步根據(jù)盈利得失決定下一招〔move〕的策略，即什么時(shí)間發(fā)動(dòng)哪一種攻擊。攻擊者常用的策略主要有：Speed、Stealth、Overwhelmingforce、Indirection、Random、LeastResistance、Easiesttofind。防衛(wèi)者常用的策略主要有：Dissuasion、Deception、Prevention、DetectionandReaction、Repair、Exploitation、CaptureandPunishment、CoverUp、ConstantChange。策略矩陣DeceptionPreventionDetectRepairExploitCaptureCoverupChangeSpeed-5/5-1/55/-35/-6-1/1-8/28/15/-6Stealth3/-33/-33/21/0-4/5-3/57/-23/2Force2/41/52/32/5-2/3-8/58/-54/0Indirect1/33/-25/-55/-51/-12/-28/23/2當(dāng)攻擊者采用speed策略、防衛(wèi)者采用detect策略時(shí)，對(duì)攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是5和－3；當(dāng)攻擊者采用stealth策略、防衛(wèi)者采用prevention策略時(shí)，對(duì)攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是3和－3；當(dāng)攻擊者采用stealth策略、防衛(wèi)者采用exploit策略時(shí)，對(duì)攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是－4和5。10、歷史平安威脅演化態(tài)勢(shì)分析方法基于入侵檢測(cè)系統(tǒng)的日志庫(kù)和系統(tǒng)資源的使用，結(jié)合效勞、主機(jī)自身的重要性，按照網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，提出一種層次化平安威脅態(tài)勢(shì)定量評(píng)估模型及其相應(yīng)的量化計(jì)算方法，對(duì)效勞、主機(jī)和局域網(wǎng)系統(tǒng)三個(gè)層次進(jìn)行平安威脅態(tài)勢(shì)評(píng)估，滿足不同層次平安監(jiān)管人員的需要，實(shí)現(xiàn)網(wǎng)絡(luò)平安威脅態(tài)勢(shì)的定量評(píng)估，給出歷史平安威脅演化態(tài)勢(shì)圖。層次化評(píng)估模型

模型從上到下分為網(wǎng)絡(luò)系統(tǒng)、主機(jī)、效勞和攻擊/漏洞四個(gè)層次，采取“自下而上、先局部后整體〞的評(píng)估策略。以入侵檢測(cè)傳感器的攻擊報(bào)警和漏洞信息為原始數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)資源的耗用，在攻擊層統(tǒng)計(jì)分析攻擊嚴(yán)重程度和攻擊發(fā)生次數(shù)兩個(gè)指標(biāo)的相應(yīng)值，以及網(wǎng)絡(luò)帶寬占用率，發(fā)現(xiàn)各個(gè)主機(jī)系統(tǒng)所提供效勞存在的威脅情況，在此根底上綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)中各主機(jī)的平安狀況，最后根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，評(píng)估整個(gè)局域網(wǎng)系統(tǒng)LAN的平安威脅態(tài)勢(shì)。態(tài)勢(shì)指數(shù)計(jì)算1〕效勞級(jí)攻擊對(duì)效勞的平安威脅不僅與威脅強(qiáng)度和攻擊嚴(yán)重程度相關(guān)，還與效勞的正常訪問(wèn)量有密切關(guān)系，而且不同時(shí)段內(nèi)效勞的正常訪問(wèn)量不同，即同一攻擊事件在不同時(shí)間段內(nèi)對(duì)效勞造成不同的影響。

2〕主機(jī)級(jí)

3〕系統(tǒng)級(jí)

實(shí)驗(yàn)測(cè)試分析

1〕IP2主機(jī)的rpc、www效勞的平安威脅態(tài)勢(shì)圖a.系統(tǒng)開(kāi)通的rpc效勞受到比較頻繁攻擊，說(shuō)明rpc效勞可能存在較多或較易攻破的漏洞，值得管理員檢查這個(gè)效勞的設(shè)置情況。b.2004年11月3日～4日、11月6日～7日、11月10日～13日和11月19日～22日是攻擊比較密集的時(shí)間段，這些時(shí)間段根本都是周末前后。這一方面說(shuō)明周末相對(duì)于平時(shí)來(lái)說(shuō)，更容易遭受黑客的攻擊，需要更加小心防范。另一方面說(shuō)明發(fā)動(dòng)這些攻擊的黑客可能不是全職黑客，在周末不上班時(shí)發(fā)動(dòng)攻擊，便于縮小黑客范圍。2〕IP2、IP4主機(jī)的平安威脅態(tài)勢(shì)圖a.在周末前后主機(jī)容易受到攻擊，因此周末前后時(shí)間段中，網(wǎng)絡(luò)系統(tǒng)中主機(jī)的平安應(yīng)該更加重視。b.對(duì)于某一臺(tái)主機(jī)而言，通常它在前后2~3天中持續(xù)危險(xiǎn)程度比較高。因此，對(duì)于系統(tǒng)管理員而言，當(dāng)某天發(fā)現(xiàn)某一臺(tái)主機(jī)遭受了攻擊，在隨后幾天內(nèi)仍應(yīng)該對(duì)該主機(jī)保持高度重視，黑客可能還會(huì)對(duì)它進(jìn)行攻擊，或者利用它作為跳板來(lái)對(duì)其它主機(jī)進(jìn)行攻擊。3〕系統(tǒng)級(jí)平安威脅態(tài)勢(shì)圖a.網(wǎng)絡(luò)系統(tǒng)在周末前后的危險(xiǎn)指數(shù)明顯高于非周末時(shí)期，這提示系統(tǒng)管理員必須對(duì)周末時(shí)期的系統(tǒng)平安更加重視。b.通常系統(tǒng)會(huì)在連續(xù)幾天中，威脅指數(shù)持續(xù)偏高。這提示系統(tǒng)管理員一旦發(fā)現(xiàn)系統(tǒng)受到比較明顯的攻擊，在之后的幾天需要繼續(xù)保持注意，因?yàn)殡S后這幾天系統(tǒng)遭受攻擊的可能性比較高。11、平安態(tài)勢(shì)預(yù)警理論與方法基于統(tǒng)計(jì)的入侵行為預(yù)警基于規(guī)劃識(shí)別的入侵目的預(yù)測(cè)基于目標(biāo)樹(shù)的入侵意圖預(yù)測(cè)基于自適應(yīng)灰色Verhulst模型的網(wǎng)絡(luò)平安態(tài)勢(shì)預(yù)測(cè)其他預(yù)警方法基于統(tǒng)計(jì)的入侵行為預(yù)警HoneyNet組織采用統(tǒng)計(jì)過(guò)程控制法〔statisticalprocesscontrols，簡(jiǎn)稱SPC〕，統(tǒng)計(jì)黑客過(guò)去的行為，預(yù)測(cè)將來(lái)時(shí)間段內(nèi)可能發(fā)生的入侵行為。1〕統(tǒng)計(jì)每一事件每天發(fā)生的次數(shù)count；2〕計(jì)算每一事件的3DMA，并把相應(yīng)的count和3DMA值標(biāo)注在控制圖。定義事件i的第t天的發(fā)生次數(shù)為，其3DMA計(jì)算公式為：3〕計(jì)算2-sigma控制限值，即每一事件每天發(fā)生次數(shù)平均值m_count的標(biāo)準(zhǔn)差乘2。定義分析事件的天數(shù)為n，那么事件i的2-sigma控制限值的計(jì)算公式為：

4〕當(dāng)某時(shí)刻3DMA值超出控制限時(shí)或者3DMA值連續(xù)3天以上增加時(shí)，發(fā)出預(yù)警通知。

HoneyNet組織2000.4～2001.2數(shù)據(jù)統(tǒng)計(jì)分析結(jié)果從第61天到68天3DMA超出控制限值，發(fā)出預(yù)警通告。事實(shí)上，在第68天產(chǎn)生使用rpc.statd的企圖訪問(wèn)，接著第153天、170天觀察到111端口的異?；顒?dòng)，177天rpc.statd緩沖區(qū)溢出攻擊成功發(fā)生?；谀繕?biāo)樹(shù)的入侵意圖預(yù)測(cè)具有一定企圖黑客的攻擊步驟按照一定的順序出現(xiàn)，而且攻擊工具的選擇及應(yīng)用還取決于網(wǎng)絡(luò)環(huán)境和來(lái)自于目標(biāo)的響應(yīng)。使用樹(shù)的形式來(lái)描述入侵者的攻擊策略，利用目標(biāo)樹(shù)〔GoalTree〕推理預(yù)測(cè)入侵意圖。典型的IPSpoof攻擊典型的邏輯攻擊序