網(wǎng)絡(luò)安全態(tài)勢感知綜述一

1、網(wǎng)絡(luò)安全態(tài)勢感知綜述一網(wǎng)絡(luò)安全態(tài)勢感知綜述網(wǎng)絡(luò)安全態(tài)勢感知綜述席榮榮 云曉春 金舒原 文章概述文章概述基于態(tài)勢感知的概念模型，詳細闡述了態(tài)勢感知的三個主要研究內(nèi)容：網(wǎng)絡(luò)安全態(tài)勢要素提取、態(tài)勢理解和態(tài)勢預(yù)測，重點論述了各個研究點需解決的核心問題、主要算法以及各種算法的優(yōu)缺點，最后對未來的發(fā)展進行了分析和展望。概念概述概念概述202X年，Endsley首先提出了態(tài)勢感知的定義：在一定的時空范圍內(nèi)，認知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進行預(yù)測。概念概述概念概述 202X年，Tim Bass提出：下一代網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù)，實現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢感知。 基于數(shù)

2、據(jù)融合的JDL模型，提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢感知功能模型。基于網(wǎng)絡(luò)安全態(tài)勢感知的功能，本文將其研究內(nèi)容歸結(jié)為3個方面:網(wǎng)絡(luò)安全態(tài)勢要素的提取;網(wǎng)絡(luò)安全態(tài)勢的評估；網(wǎng)絡(luò)安全態(tài)勢的預(yù)測1、網(wǎng)絡(luò)安全態(tài)勢要素的提取、網(wǎng)絡(luò)安全態(tài)勢要素的提取網(wǎng)絡(luò)安全態(tài)勢要素主要包括靜態(tài)的配置信息、動態(tài)的運行信息以及網(wǎng)絡(luò)的流量信息。靜態(tài)的配置信息：網(wǎng)絡(luò)的拓撲信息，脆弱性信息和狀態(tài)信息等基本配置信息動態(tài)的運行信息：從各種防護措施的日志采集和分析技術(shù)獲取的威脅信息等。2、網(wǎng)絡(luò)安全態(tài)勢的理解、網(wǎng)絡(luò)安全態(tài)勢的理解在獲取海量網(wǎng)絡(luò)安全信息的基礎(chǔ)上，解析信息之間的關(guān)聯(lián)性，對其進行融合，獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢，本文稱為態(tài)勢評估

3、。數(shù)據(jù)融合式態(tài)勢評估的核心。應(yīng)用于態(tài)勢評估的數(shù)據(jù)融合算法，分為以下幾類：基于邏輯關(guān)系的融合方法基于數(shù)學(xué)模型的融合方法基于概率統(tǒng)計的融合方法基于規(guī)則推理的融合方法基于邏輯關(guān)系的融合方法基于邏輯關(guān)系的融合方法依據(jù)信息之間的內(nèi)在邏輯，對信息進行融和，警報關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法。警報關(guān)聯(lián)是指基于警報信息之間的邏輯關(guān)系對其進行融合，從而獲取宏觀的攻擊態(tài)勢警報之間的邏輯關(guān)系：警報屬性特征的相似性預(yù)定義攻擊模型中的關(guān)聯(lián)性攻擊的前提和后繼條件之間的相關(guān)性基于數(shù)學(xué)模型的融合方法基于數(shù)學(xué)模型的融合方法綜合考慮影響態(tài)勢的各項態(tài)勢因素，構(gòu)造評定函數(shù)，建立態(tài)勢因素集合到態(tài)勢空間的映射關(guān)系。加權(quán)平均法是最常用

4、、最有代表性、最簡單的基于數(shù)學(xué)模型的融合方法。加權(quán)平均法的融合函數(shù)通常由態(tài)勢因素和其重要性權(quán)值共同確定優(yōu)點：直觀缺點：權(quán)值的選擇沒有統(tǒng)一的標(biāo)準(zhǔn)，大多是根據(jù)經(jīng)驗確定?；诟怕式y(tǒng)計的融合方法基于概率統(tǒng)計的融合方法基于概率統(tǒng)計的融合方法，充分利用先驗知識的統(tǒng)計特性，結(jié)合信息的不確定性，建立態(tài)勢評估的模型，然后通過模型評估網(wǎng)絡(luò)的安全態(tài)勢。常見基于概率統(tǒng)計的融合方法：貝葉斯網(wǎng)絡(luò)隱馬爾可夫模型貝葉斯網(wǎng)絡(luò)貝葉斯網(wǎng)絡(luò))()(BPABP貝葉斯公式： P(B)=貝葉斯網(wǎng)絡(luò)：一個貝葉斯網(wǎng)絡(luò)是一個有向無環(huán)圖（DAG），其節(jié)點表示一個變量，邊代表變量之間的聯(lián)系，節(jié)點存儲本節(jié)點相當(dāng)于其父節(jié)點的條件概率分布。貝葉斯網(wǎng)絡(luò)貝葉

5、斯網(wǎng)絡(luò)X1,X2.X7的聯(lián)合概率分布：隱馬爾可夫模型隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的狀態(tài)不能直接觀察到，但能通過觀測向量序列觀察到，每個觀測向量都是通過某些概率密度分布表現(xiàn)為各種狀態(tài)，每一個觀測向量是由一個具有相應(yīng)概率密度分布的狀態(tài)序列產(chǎn)生。所以，隱馬爾可夫模型是一個雙重隨機過程隱馬爾可夫模型隱馬爾可夫模型假設(shè)我們開始擲骰子，我們先從三個骰子里挑一個，挑到每一個骰子的概率都是1/3。然后我們擲骰子，得到一個數(shù)字，1，2，3，4，5，6，7，8中的一個。不停的重復(fù)上述過程，我們會得到一串?dāng)?shù)字，每個數(shù)字都是1，2，3，4，5，6，7，8中的一個。例如我們可能得到這么一串?dāng)?shù)字（擲

6、骰子10次）：1 6 3 5 2 7 3 5 2 4 隱含狀態(tài)鏈有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8轉(zhuǎn)換概率(隱含狀態(tài)）輸出概率：可見狀態(tài)之間沒有轉(zhuǎn)換概率，但是隱含狀態(tài)和可見狀態(tài)之間有一個概率叫做輸出概率可見狀態(tài)鏈隱馬爾科夫的基本要素，即一個五元組S,N,A,B,PI；S：隱藏狀態(tài)集合；N：觀察狀態(tài)集合；A：隱藏狀態(tài)間的轉(zhuǎn)移概率矩陣；B：輸出矩陣（即隱藏狀態(tài)到輸出狀態(tài)的概率）；PI：初始概率分布（隱藏狀態(tài)的初始概率分布）； 優(yōu)缺點評價優(yōu)缺點評價優(yōu)點：可以融合最新的證據(jù)信息和先驗知識，過程清晰，易于理解缺點：1.要求數(shù)據(jù)源大，同時需要的存儲量和匹配計算的運算量也大

7、，容易造成位數(shù)爆炸，影響實時性2.特征提取、模型構(gòu)建和先驗知識的獲取有一定困難?；谝?guī)則推理的融合方法基于規(guī)則推理的融合方法基于規(guī)則推理的融合方法，首先模糊量化多源多屬性信息的不確定性; 然后利用規(guī)則進行邏輯推理，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的評估。D-S證據(jù)組合方法和模糊邏輯是研究熱點D-S證據(jù)理論證據(jù)理論是一種不確定推理方法，證據(jù)理論的主要特點是：滿足比貝葉斯概率論更弱的條件；具有直接表達“不確定”和“不知道”的能力。概率分配函數(shù)：設(shè) 為樣本空間，其中具有 個元素，則 中元素所構(gòu)成的子集的個數(shù)為個。概率分配函數(shù)的作用是把 上的任意一個子集 都映射為0，1上的一個數(shù) （）。信任函數(shù)：似然函數(shù)：信任區(qū)間 ：Bel(A)，pl(A)表示命題A的信任區(qū)間，Bel(A)表示信任函數(shù)為下限，pl(A)表示似真函數(shù)為 上限3、網(wǎng)絡(luò)安全態(tài)勢的預(yù)測、網(wǎng)絡(luò)安全態(tài)勢的預(yù)測網(wǎng)絡(luò)安全態(tài)勢的預(yù)測是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢的歷史信息和當(dāng)前狀態(tài)對網(wǎng)絡(luò)未來一段時間的發(fā)展趨勢進行預(yù)測。目前網(wǎng)絡(luò)安全態(tài)勢預(yù)測一般采用神經(jīng)網(wǎng)絡(luò)、時間序列預(yù)測法和支持向量機等方法LOREM IPSUM DOLORLorem ipsum dolor sit amet, consectetur adipisicing elit, sed do