網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述PPT通用課件

網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述席榮榮云曉春金舒原文章概述基于態(tài)勢(shì)感知的概念模型，詳細(xì)闡述了態(tài)勢(shì)感知的三個(gè)主要研究?jī)?nèi)容：網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)，重點(diǎn)論述了各個(gè)研究點(diǎn)需解決的核心問(wèn)題、主要算法以及各種算法的優(yōu)缺點(diǎn)，最后對(duì)未來(lái)的發(fā)展進(jìn)行了分析和展望。概念概述1999年，TimBass提出：下一代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知?；跀?shù)據(jù)融合的JDL模型，提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型?；诰W(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能，本文將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面:網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取;網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估；網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)1、網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取網(wǎng)絡(luò)安全態(tài)勢(shì)要素主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量信息。靜態(tài)的配置信息：網(wǎng)絡(luò)的拓?fù)湫畔?，脆弱性信息和狀態(tài)信息等基本配置信息動(dòng)態(tài)的運(yùn)行信息：從各種防護(hù)措施的日志采集和分析技術(shù)獲取的威脅信息等。2、網(wǎng)絡(luò)安全態(tài)勢(shì)的理解在獲取海量網(wǎng)絡(luò)安全信息的基礎(chǔ)上，解析信息之間的關(guān)聯(lián)性，對(duì)其進(jìn)行融合，獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)，本文稱(chēng)為態(tài)勢(shì)評(píng)估。數(shù)據(jù)融合式態(tài)勢(shì)評(píng)估的核心。應(yīng)用于態(tài)勢(shì)評(píng)估的數(shù)據(jù)融合算法，分為以下幾類(lèi)：基于邏輯關(guān)系的融合方法基于數(shù)學(xué)模型的融合方法基于概率統(tǒng)計(jì)的融合方法基于規(guī)則推理的融合方法基于邏輯關(guān)系的融合方法依據(jù)信息之間的內(nèi)在邏輯，對(duì)信息進(jìn)行融和，警報(bào)關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法。警報(bào)關(guān)聯(lián)是指基于警報(bào)信息之間的邏輯關(guān)系對(duì)其進(jìn)行融合，從而獲取宏觀的攻擊態(tài)勢(shì)警報(bào)之間的邏輯關(guān)系：警報(bào)屬性特征的相似性預(yù)定義攻擊模型中的關(guān)聯(lián)性攻擊的前提和后繼條件之間的相關(guān)性基于數(shù)學(xué)模型的融合方法綜合考慮影響態(tài)勢(shì)的各項(xiàng)態(tài)勢(shì)因素，構(gòu)造評(píng)定函數(shù)，建立態(tài)勢(shì)因素集合到態(tài)勢(shì)空間的映射關(guān)系。加權(quán)平均法是最常用、最有代表性、最簡(jiǎn)單的基于數(shù)學(xué)模型的融合方法。加權(quán)平均法的融合函數(shù)通常由態(tài)勢(shì)因素和其重要性權(quán)值共同確定優(yōu)點(diǎn)：直觀缺點(diǎn)：權(quán)值的選擇沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，大多是根據(jù)經(jīng)驗(yàn)確定。基于概率統(tǒng)計(jì)的融合方法基于概率統(tǒng)計(jì)的融合方法，充分利用先驗(yàn)知識(shí)的統(tǒng)計(jì)特性，結(jié)合信息的不確定性，建立態(tài)勢(shì)評(píng)估的模型，然后通過(guò)模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。常見(jiàn)基于概率統(tǒng)計(jì)的融合方法：貝葉斯網(wǎng)絡(luò)隱馬爾可夫模型貝葉斯網(wǎng)絡(luò)貝葉斯公式：P(B)=貝葉斯網(wǎng)絡(luò)：一個(gè)貝葉斯網(wǎng)絡(luò)是一個(gè)有向無(wú)環(huán)圖（DAG），其節(jié)點(diǎn)表示一個(gè)變量，邊代表變量之間的聯(lián)系，節(jié)點(diǎn)存儲(chǔ)本節(jié)點(diǎn)相當(dāng)于其父節(jié)點(diǎn)的條件概率分布。貝葉斯網(wǎng)絡(luò)X1,X2......X7的聯(lián)合概率分布：隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的狀態(tài)不能直接觀察到，但能通過(guò)觀測(cè)向量序列觀察到，每一個(gè)觀測(cè)向量是由一個(gè)具有相應(yīng)概率密度分布的狀態(tài)序列產(chǎn)生。所以，隱馬爾可夫模型是一個(gè)雙重隨機(jī)過(guò)程隱馬爾可夫模型隱馬爾可夫模型假設(shè)我們開(kāi)始擲骰子，我們先從三個(gè)骰子里挑一個(gè)，挑到每一個(gè)骰子的概率都是1/3。然后我們擲骰子，得到一個(gè)數(shù)字，1，2，3，4，5，6，7，8中的一個(gè)。不停的重復(fù)上述過(guò)程，我們會(huì)得到一串?dāng)?shù)字，每個(gè)數(shù)字都是1，2，3，4，5，6，7，8中的一個(gè)。例如我們可能得到這么一串?dāng)?shù)字（擲骰子10次）：1635273524隱含狀態(tài)鏈有可能是：D6D8D8D6D4D8D6D6D4D8轉(zhuǎn)換概率(隱含狀態(tài)）輸出概率：可見(jiàn)狀態(tài)之間沒(méi)有轉(zhuǎn)換概率，但是隱含狀態(tài)和可見(jiàn)狀態(tài)之間有一個(gè)概率叫做輸出概率可見(jiàn)狀態(tài)鏈隱馬爾可夫模型隱馬爾可夫模型隱馬爾科夫的基本要素，即一個(gè)五元組{S,N,A,B,PI}；S：隱藏狀態(tài)集合；N：觀察狀態(tài)集合；

A：隱藏狀態(tài)間的轉(zhuǎn)移概率矩陣；B：輸出矩陣（即隱藏狀態(tài)到輸出狀態(tài)的概率）；PI：初始概率分布（隱藏狀態(tài)的初始概率分布）；優(yōu)缺點(diǎn)評(píng)價(jià)優(yōu)點(diǎn)：可以融合最新的證據(jù)信息和先驗(yàn)知識(shí)，過(guò)程清晰，易于理解缺點(diǎn)：要求數(shù)據(jù)源大，同時(shí)需要的存儲(chǔ)量和匹配計(jì)算的運(yùn)算量也大，容易造成位數(shù)爆炸，影響實(shí)時(shí)性特征提取、模型構(gòu)建和先驗(yàn)知識(shí)的獲取有一定困難?；谝?guī)則推理的融合方法基于規(guī)則推理的融合方法，首先模糊量化多源多屬性信息的不確定性;然后利用規(guī)則進(jìn)行邏輯推理，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。D-S證據(jù)組合方法和模糊邏輯是研究熱點(diǎn)D-S證據(jù)理論是一種不確定推理方法，證據(jù)理論的主要特點(diǎn)是：滿足比貝葉斯概率論更弱的條件；具有直接表達(dá)“不確定”和“不知道”的能力·。概率分配函數(shù)：設(shè)Ｄ為樣本空間，其中具有ｎ個(gè)元素，則Ｄ中元素所構(gòu)成的子集的個(gè)數(shù)為２ｎ個(gè)。概率分配函數(shù)的作用是把Ｄ上的任意一個(gè)子集Ａ都映射為[0，1]上的一個(gè)數(shù)Ｍ（Ａ）。信任函數(shù)：似然函數(shù)：D-S證據(jù)理論信任區(qū)間：[Bel(A)，pl(A)]表示命題A的信任區(qū)間，Bel(A)表示信任函數(shù)為下限，pl(A)表示似真函數(shù)為上限模糊集合處理某一問(wèn)題時(shí)對(duì)有關(guān)議題的限制范圍稱(chēng)為該問(wèn)題的論域。1、論域2、集合在論域中，具有某種屬性的事物的全體稱(chēng)為集合。3、特征函數(shù)設(shè)A是論域U上的一個(gè)集合，對(duì)任何u∈U，令則稱(chēng)CA(u)為集合A的特征函數(shù)。顯然有：

A={u|CA(u)=1}模糊集合4、隸屬函數(shù)設(shè)U是論域，μA是將任何u∈U映射為[0，1]上某個(gè)值的函數(shù)，即：μA：U→[0，1]u→μA(u)則稱(chēng)μA為定義在U上的一個(gè)隸屬函數(shù)模糊集合5、模糊集設(shè)A={μA(u)|u∈U},則稱(chēng)A為論域U上的一個(gè)模糊集。當(dāng)隸屬函數(shù)只取0,1時(shí)，隸屬函數(shù)就是特征函數(shù)。μA(u)稱(chēng)為u對(duì)模糊集A的隸屬度。模糊集的表示方法模糊集合可以有以下兩種表示方法：1.扎德（Zadeh）表示法(1)當(dāng)論域U為離散集合時(shí)，一個(gè)模糊集可以表示為：(2)當(dāng)論域U為連續(xù)集合時(shí)，一個(gè)模糊集可以表示為：注：此處的積分和求和符號(hào)都不代表實(shí)際運(yùn)算，只是一種表示方法而已。模糊集的表示方法2.序?qū)Ρ硎痉：械拿總€(gè)元素都可以表示成（元素、隸屬度）這樣一個(gè)序?qū)?，基于這種思想，模糊集可表示如下：模糊關(guān)系1.關(guān)系的定義關(guān)系是客觀世界存在的普遍現(xiàn)象。如父子關(guān)系、大小關(guān)系、屬于關(guān)系、二元關(guān)系、多元關(guān)系、多邊關(guān)系等等直積（笛卡爾積）體現(xiàn)了兩個(gè)集合之間的關(guān)系。在普通集合中，設(shè)論域U和V，從U到V的一個(gè)關(guān)系定義為直積U×V的一個(gè)子集R，記作：例7設(shè)有集合A={1,2,5}，B={3,2}，求A、B的二元關(guān)系R解：模糊關(guān)系此處的關(guān)系R同樣為二元關(guān)系。隸屬函數(shù)表示形式為：其隸屬函數(shù)的映射：元素(u0,v0)的隸屬度為μR(u0,v0)，表示u0和v0具有關(guān)系R的程度2.模糊關(guān)系設(shè)論域U和V，則U×V的一個(gè)子集R，就是U到V的模糊關(guān)系，同樣記作：3、網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來(lái)一段時(shí)間的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。目前網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)一般采用神經(jīng)網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法張勇譚小彬崔孝林本文提出一種基于Markov博弈分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，分析了威脅傳播對(duì)網(wǎng)絡(luò)系統(tǒng)的影響,準(zhǔn)確全面地評(píng)估系統(tǒng)的安全性。對(duì)多傳感器檢測(cè)到的安全數(shù)據(jù)進(jìn)行融合,得到資產(chǎn)、威脅和脆弱性的規(guī)范化數(shù)據(jù);對(duì)每個(gè)威脅,分析其傳播規(guī)律,建立相應(yīng)的威脅傳播網(wǎng)絡(luò);通過(guò)對(duì)威脅、管理員和普通用戶的行為進(jìn)行博弈分析,建立三方參與的Markov博弈模型，從而實(shí)時(shí)動(dòng)態(tài)的評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)，并給出最佳加固方案網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)威脅傳播分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)節(jié)點(diǎn)相互連接,當(dāng)系統(tǒng)中某個(gè)節(jié)點(diǎn)被成功攻擊后,威脅可以傳播到與該節(jié)點(diǎn)相關(guān)聯(lián)的其他節(jié)點(diǎn),從而使這些節(jié)點(diǎn)遭受安全威脅.資產(chǎn)：對(duì)系統(tǒng)有價(jià)值的資源資產(chǎn)類(lèi)型：主機(jī)、服務(wù)器、路由器、網(wǎng)關(guān)、防火墻、IDS......資產(chǎn)價(jià)值：包含資產(chǎn)保密性價(jià)值、完整性價(jià)值、可用性價(jià)值性能利用率：分5個(gè)等級(jí)，隨著等級(jí)的增長(zhǎng),性能利用率指數(shù)增長(zhǎng).威脅：對(duì)資產(chǎn)造成損害的外因

威脅類(lèi)型：病毒、蠕蟲(chóng)、木馬等惡意代碼和網(wǎng)絡(luò)攻擊,根據(jù)對(duì)系統(tǒng)的損害方式將威脅分為兩類(lèi)：占網(wǎng)絡(luò)資源少的威脅,包括木馬、病毒和網(wǎng)絡(luò)攻擊等,對(duì)系統(tǒng)節(jié)點(diǎn)的保密性、完整性和可用性均有影響,大量耗費(fèi)系統(tǒng)資源的威脅,以蠕蟲(chóng)和DDoS攻擊為代表,主要對(duì)系統(tǒng)的可用性造成影響脆弱性：可以被威脅利用的薄弱環(huán)節(jié)通過(guò)對(duì)檢測(cè)數(shù)據(jù)的融合,得到系統(tǒng)中所有的資產(chǎn)、威脅和脆弱性數(shù)據(jù),構(gòu)成資產(chǎn)集合、威脅集合和脆弱性集合.威脅傳播網(wǎng)絡(luò)威脅傳播節(jié)點(diǎn)：系統(tǒng)中受威脅影響的節(jié)點(diǎn),Node=(ida,valuea,pa,tf,vf)威脅傳播路徑:系統(tǒng)中傳播威脅的鏈路Path=（idas，idad,valuee,Pe,pe)Pe指路徑被切斷后對(duì)系統(tǒng)造成的損失,是路徑帶寬利用率,與資產(chǎn)的性能利用率類(lèi)似,分為5個(gè)等級(jí);pe表示威脅通過(guò)該路徑成功擴(kuò)散的概率,分為5個(gè)等級(jí),每提高一個(gè)等級(jí),威脅成功傳播概率線性增加.威脅傳播網(wǎng)絡(luò)TPN:包含t所有的傳播節(jié)點(diǎn)和傳播路徑,用TPN（t）={Nodes,Paths}表示。Markov博弈模型的建立博弈三方:攻擊方：威脅

防守方：管理員 中立方：用戶狀態(tài)空間：TPN(t)的所有可能狀態(tài)組成狀態(tài)空間

k時(shí)刻狀態(tài)空間為

TPN(t,k)={si(k),ej(k)},i=1,2,.....Mj=1,2,.......N行為空間：博弈三方所有可能的行為集合攻擊方：ut防守方：uv，修補(bǔ)某個(gè)脆弱性、切斷某條傳播路徑或關(guān)閉某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)用戶：uc，簡(jiǎn)化為網(wǎng)絡(luò)訪問(wèn)率提高10%和降低10%

轉(zhuǎn)移概率：隨著博弈各方的行為選擇,系統(tǒng)的狀態(tài)不斷變化 p(TPN(t,k+1)|TPN(t,k),utk,uvk,uck)描述系統(tǒng)狀態(tài)變化規(guī)律報(bào)酬函數(shù)：博弈結(jié)束后各方的得失攻擊方：用對(duì)系統(tǒng)的損害表示防守方：用管理員采取安全措施后所能減少的損害表示中立方：用所有普通用戶對(duì)系統(tǒng)服務(wù)的利用程度表示博弈過(guò)程博弈過(guò)程是各方參與者根據(jù)系統(tǒng)當(dāng)前狀態(tài)從行為空間中選取一個(gè)行為,然后系統(tǒng)轉(zhuǎn)移到新的狀態(tài),參與者再根據(jù)新?tīng)顟B(tài)做決策,依此反復(fù)進(jìn)行。參與者根據(jù)己方報(bào)酬函數(shù)的最大化選擇策略對(duì)于攻擊方：t為第一類(lèi)威脅時(shí),t對(duì)節(jié)點(diǎn)i的保密性、完整性和可用性均有損害,記為Vt(si(k))=pt*pv*(u*valueai),對(duì)TPN(t,k)中所有節(jié)點(diǎn)按同樣的方式計(jì)算t為第二類(lèi)攻擊時(shí)，t對(duì)節(jié)點(diǎn)i及其相關(guān)路徑的可用性造成損害,對(duì)i可用性造成的損害為Vt(si(k))=pt*pv*Δρa(bǔ)i*valueai，valueai取節(jié)點(diǎn)可用性價(jià)值分量Vt(ej(k))=pt*pv*Δρej*valueej為t對(duì)第j條路徑的可用性損害對(duì)于防守方：管理員對(duì)節(jié)點(diǎn)i實(shí)施安全措施會(huì)帶來(lái)兩方面的影響:減少威脅t的損害和影響網(wǎng)絡(luò)性能安全措施對(duì)i節(jié)點(diǎn)可用性的影響：對(duì)i相關(guān)路徑的性能影響為：其中,Vv(ej(k))=Δρej*valueej為對(duì)第j條路徑的影響安全措施減少t的損害與威脅類(lèi)型有關(guān):t為一類(lèi)威脅時(shí),減少t的損害為?Vt(si(k)),從而,防守方的一步報(bào)酬用公式(2a)表示:t為二類(lèi)威脅時(shí),減少t的損害為對(duì)于中立方,普通用戶根據(jù)網(wǎng)絡(luò)的延遲、服務(wù)的可訪問(wèn)性等改變?cè)L問(wèn)率.中立方的一步報(bào)酬為N個(gè)節(jié)點(diǎn)和M條路徑的利用率之和,用公式(3)表示:威脅通過(guò)TPN(t,k)向未感染的節(jié)點(diǎn)傳播，根據(jù)以上對(duì)于兩類(lèi)威脅統(tǒng)一用公式(4)表示：中立方：例子博弈過(guò)程k時(shí)刻,只在節(jié)點(diǎn)1上檢測(cè)到t,系統(tǒng)處于狀態(tài)A;k+1時(shí)刻,t向節(jié)點(diǎn)3傳播,管理員加固節(jié)點(diǎn)3,普通用戶訪問(wèn)率不變.系統(tǒng)如果跳轉(zhuǎn)到狀態(tài)B,表示加固方案執(zhí)行沒(méi)有成功并且威脅成功傳播;如果跳轉(zhuǎn)到狀態(tài)C,表示加固方案執(zhí)行成功或t在該方向傳播失敗;k+2時(shí)刻,以狀態(tài)B為例,t向節(jié)點(diǎn)2、節(jié)點(diǎn)4、節(jié)點(diǎn)1傳播,管理員加固節(jié)點(diǎn)1,普通用戶訪問(wèn)率不變.系統(tǒng)如果跳轉(zhuǎn)到狀態(tài)D,表示威脅成功傳播到節(jié)點(diǎn)2和節(jié)點(diǎn)4,節(jié)點(diǎn)1加固方案執(zhí)行成功或t在該方向傳播失敗.系統(tǒng)k時(shí)刻,t為一類(lèi)威脅時(shí),t的保密性態(tài)勢(shì)和完整性態(tài)勢(shì)的評(píng)估方法類(lèi)似,不計(jì)中立方行為的影響,用公式(6a)表示,相應(yīng)的加固方案用公式(7a)表示:系統(tǒng)k時(shí)刻,在對(duì)t的可用性態(tài)勢(shì)評(píng)估時(shí),需要考慮中立方行為的影響,并且需要區(qū)分t屬于不同類(lèi)型的威脅,可用性態(tài)勢(shì)用公式(6b)表示,相應(yīng)的加固方案用公式(7b)表示.其中,*表示1或者2:態(tài)勢(shì)評(píng)量化估算法網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法主要包括3個(gè)步驟:檢測(cè)數(shù)據(jù)融合、威脅傳播網(wǎng)絡(luò)(TPN)建立、Markov博弈模型評(píng)估。算法1.網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估算法.輸入:數(shù)據(jù)采集模塊檢測(cè)到的各類(lèi)安全數(shù)據(jù);輸出:網(wǎng)絡(luò)安全態(tài)勢(shì).1.對(duì)檢測(cè)模塊測(cè)得得安全數(shù)據(jù)進(jìn)行融合,得到資產(chǎn)集合、威脅集合、脆弱性集合和網(wǎng)絡(luò)結(jié)構(gòu)信息;2.根據(jù)檢測(cè)模塊得到的網(wǎng)絡(luò)信息,綜合資產(chǎn)集合、威脅集合和脆弱性集合,對(duì)威脅集合中每個(gè)威脅t建立該威脅的威脅傳播網(wǎng)絡(luò)TPN(t);3.根據(jù)TPN(t),對(duì)t建立Markov博弈模型,計(jì)算t的保密性損害,評(píng)估t的保密性態(tài)勢(shì);4.根據(jù)