1、国内安全态势研究现状目录Contents01综述02论文03讨论结果共三篇“综述”01综述1.网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰 软件学报对目前网络安全态势感知的研究总结成三种观点:一:认为 NSSA 是网络安全事件应用大数据处理和可视化技术的汇总结果。如:传统的安全服务提供商(McAfee,Symantec)及新出现的重点关心 APT 攻击的企业(FireEye,Mandiant)等,通过公开一些技术报告记录 APT 的攻击实例。二:认为 NSSA 是基于网络安全事件融合计算的网络安全状态量化表达。三:认为 NSSA 作为一种网络安全管理
2、工具,是网络安全监测的一种实现形式,并提出了诸多模型。东南大学 计算机科学与工程学院;江苏省计算机网络重点实验室;计算机网络和信息集成教育部重点实验室网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰美国空军通信与信息中心的 Tim Bass 在 1999 年首次提出将态势感知技术应用于多个 NIDS 检测结果的数据融合分析,但是该文没有给出网络安全态势感知概念的明确定义,只是强调了数据融合是态势感知的核心手段.之后的研究中也很少有人直接对网络安全态势感知的概念进行直接的定义,而是使用意会的方式,这是导致这个领域研究中概念不统一的重要原因。该文将网络安全态
3、势感知的概念定义如下:网络安全态势感知 NSSA 是对网络系统安全状态的认知过程,包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取,识别出存在的各类网络活动以及其中异常活动的意图,从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解.网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰一个误区:态势感知经常被应用在在OODA环构成的控制过程环中,这类控制模型过去有很多研究成果,但是这些研究成果得到的不是态势感知模型,而是态势感知应用模型。态势感知模型只涉及OODA环中的认知域的活动。用这些模型来表示态势感知的
4、概念是不合适的。网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰态势感知是指在一定的时间和空间范围内,提取系统中的要素,理解这些要素的含义,并且预测其可能的效果.概括为三个层面:态势觉察(Situation Perception)、态势理解(Situation Comprehension)及态势投射(Situation Projection).根据这个定义,态势感知可以理解为一个认知过程,通过使用过去的经验和知识,识别、分析和理解当前的系统状况.分析人员对当前的态势进行感知,更新”状态知识”,然后再进行感知以致构成一个循环的映射过程.这个映射过程不是简单
5、的数据变换而是一种语义提取.因此感知的过程表现为不断地作认知映射以获取更多更详细的语义.态势感知是一个动态变化的过程,不同的人由于经验、知识等不同,得到的态势感知不尽相同。网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰该文给出网络安全态势感知的一般功能模型,包含网络安全态势觉察、网络安全态势理解、网络安全态势投射及可视化等模块.网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰网络安全态势网络安全态势觉察觉察目的:目的:辨识出系统中的活动。第一步:第一步:数据预处理数据预处理对网络中相关的检测设备与管理系统产生Ra
6、wData 进行降噪、规范化处理得到有效信息。第二步:活动建模第二步:活动建模对这些信息进行关联性分析,识别出系统中的主体、客体。第三第三步步:觉察结果:觉察结果分辨出其中异常的活动。网络安全态势网络安全态势理解理解任务:任务:在网络安全态势觉察的基础上,发现攻击活动,理解并关联攻击活动的语义,然后在此基础之上理解其意图.网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰网络网络安全态安全态投射投射任务:任务:在前两步的基础上,分析并评估攻击活动对当前系统中各个对象的威胁情况.这种投射包括发现这些攻击活动在对象上已经产生和可能产生(即预测)的效果.作用:作
7、用:通过将态势感知的结果投射到确定的系统对象上,可以获得该对象在当前态势下的状态.解释:解释:尽管要感知的是系统中的活动,但感知的最终结果应表达为这些活动对系统对象的影响,不能仅止于活动的识别,因为系统因之而产生的反应是施加于对象的,而不是直接施加于活动本身.整体过程:整体过程:这是一个再认识的过程。融合从系统中观察到的各个对象的状态以构成态势,再看这个态势对系统各个对象的意义.网络安全态势感知综述 2016-11-24 作者:龚 俭;臧小东;苏 琪;胡晓艳;徐 杰可视化可视化理想情况下,网络安全态势感知将网络安全状况以可视化的形式表示成”谁在什么时候什么地方对谁产生什么样的影响”,(即 Wh
8、o、When、Where、Impact).目标:目标:研究人员可以观察在特定的时间段系统中某个攻击活动的情况,也可以观察所有活动的分布情况,这取决于具体的研究目标和需求。最终目的最终目的:了解自己,了解敌人(威胁).可视化可视化Who 是指辨识出的系统中的攻击活动;When 是指攻击活动在时间轴上的演化过程(侦查、隐藏、攻击、后门利用);Where 是指攻击活动的分布(即被管网络中哪些主机和服务器已被攻击);Impact 是指攻击活动对被管网络造成的影响,包括已造成的影响和潜在影响.未来的六大研究方向(1)海量异构测量数据的融合处理网络安全态势感知所依赖的原始测量数据可以来自源于不同型号、不同
9、实现技术、不同开发与生产者的网络运行管理系统、网络安全管理系统、主机管理系统和应用管理系统,这些系统产生异构的运行监测数据和日志数据,需要采用流式数据处理方式在不同的时间窗口内完成融合处理任务.目前这方面的研究明显是不够的,现有的大数据分析技术虽然可以提供一定的支持与借鉴,但这些方法对态势觉察的适用性还需要有针对性的研究.未来研究方向(2)不完全信息条件下的活动辨识这个问题是指在测量系统存在漏报、误报、以及信息缺失的前提下,如何尽可能准确地辨识出网络中存在的活动.这类研究可以认为是源自网络入侵检测领域,但在网络安全态势感知的范畴中被赋予了更为广泛的含义.互联网的流量具有重尾的特性,传统的研究往
10、往关注流量行为的典型部分和主要部分,例如像流量分类.但是在态势觉察中,不仅这些部分需要关注,小流量的零星行为也需要专注,例如 APT 检测的需要,而且不完全信息条件下这类活动的辨识更为困难.因此,这个领域需要更为精细的测量数据关联性分析方法.未来研究方向(3)网络活动的语义计算从目前的实践看,网络攻击的意图识别基本上手工完成的,即需要依靠人工经验的判断.鉴于人的能力约束和相关人力资源的不足,这种人工实现方式对于网络安全态势感知的大规模应用带来极大的限制.因此很有必要研究网络活动特征提取和意图识别的机器处理方法,以提高网络安全态势感知系统的自治能力.尽管网络入侵防范系统 IPS 领域的工作可以提
11、供一定的基础,但从实现不同时间粒度的网络安全态势感知以满足从毫秒级攻击自动响应到 APT 检测的不同需要的角度看都是远远不够的.未来研究方向(4)网络态势的可视化网络安全态势感知所处理的海量异构测量数据及其处理结果需要有合适的表示方式来加以表达和应用,可视化技术是一个公认的可行支持.HSARPA 在它的战略研究计划中也提到需要研究可扩展的可视化方法来支持态势感知数据的使用,包括带准确地理定位的可视化方法,支持 Drill-down 的可视化分析方法,以及适合不同用户使用和表达不同内容的可视化技术.未来研究方向(5)网络安全态势感知的协同网络空间安全需要全球合作,至少在国家的层面要求合作的网络安
12、全态势感知系统之间具有协同能力,就像 HSARPA 规划中所要求的那样.如果参照网络入侵检测领域的相关研究,对于合作机制的要求至少包括:配置互操作性(即合作各方具有信息交换能力),需要有类似 SNMP 和 IPFIX 这样的标准协议;共享信息的语法互操作性,需要有类似 IDMEF 的标准数据结构;语义互操作性,例如描述网络安全态势的标准测度及其取值,这在网络入侵检测领域还是空白.此外,由于合作各方可能存在信息访问限制,如何实现信息共享与隐私保护的平衡把握是需要研究的问题.未来研究方向(6)更为完善的态势投射方法目前的态势投射方法基本都是静态的,不能适应网络安全态势感知的过程需要.因此需要研究相
13、应的动态态势投射方法,例如基于非合作不完全信息动态博弈理论设计带预警能力的态势投射方法.2.网络安全态势感知研究综述 2012-01-01网络安全态势要素的提取网络安全态势的评估网络安全态势的预测研究内容(按照功能划分)作者:席荣荣;云晓春;金舒原;张永铮 计算机应用 中国科学院计算技术研究所;近年来,研究者陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。按照功能可以分为以下三部分:a.网络安全态势要素的提取具体内容 目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息
14、和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。地位 准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。目前网络已经发展成一个庞大的非线性复杂系统,灵活性强,网络安全态势要素的提取难度大。研究现状1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。困难要素提取未来研究方向 在未来的研究中,需要具体分析安全态势要素及其关联
15、性,借鉴已有的成熟系统的表示方法,对网络安全态势建立形式化的描述。其中源于哲学概念的本体论方法是重要的研究方向。(本体论强调领域中的本质概念,同时强调这些本质概念之间的关联,能够将领域中的各种概念及概念之间的关系显式化,形式化地表达出来,从而表达出概念中包含的语义,增强对复杂系统的表示能力。)问题:问题:理论体系庞大,使用复杂,将其应用于网络安全态势的形式化描述需要进一步深入的研究。b.网络安全态势的评估基于逻辑关系的融合算法基于数学模型的融合算法基于概率统计的融合算法数据融合算法分类概念:在获取海量网络安全数据信息的基础上,摒弃研究单一的安全事件,通过解析解析信息之间的信息之间的关联性关联性
16、并对其进行融合融合,获取宏观的网络安全态势和网络安全的综合评估,达到辅助决策的目的。数据数据融合是融合是网络安全态势评估的核心核心。基于规则推理的融合算法基于逻辑关系的融合算法概念概念:依据信息之间的内在逻辑,对信息进行融和。常见方法常见方法:警报关联是典型的基于逻辑关系的融合方法。(警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观的攻击态势。警报之间的逻辑关系分为:警报属性特征的相似性,预定义攻击模型中的关联性,攻击的前提和后继条件之间的相关性。)局限性局限性:1)融合的数据源为单源数据;2)逻辑关系的获取难度大,如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存
17、在很大的难度;3)逻辑关系不能解释系统中存在的不确定性基于数学模型的融合算法概念概念:综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合 R 到态势空间 的映射关系。=f(r1,r2,rn),ri R(1 i n)为态势因素。常见方法常见方法:最具代表性的评定函数为加权平均。(加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。)局限性局限性:加权平均法中权值的选择没有统一的标准,大都是依据领域知识或者经验而定,缺少客观的依据。基于概率统计的融合算法概念概念:充分利用先验知识的统计特性,结合信息的不确定性,建立态势评估的模型
18、,然后通过模型评估网络的安全态势。常见方常见方法法:贝叶斯网络、隐马尔可夫模型是最常见的基于概率统计的融合方法。(在网络态势评估中,贝叶斯网络是一个有向无环图G=V,E,节点 V 表示不同的态势和事件,每个节点对应一个条件概率分配表,节点间利用边 E 进行连接,反映态势和事件之间概率依赖关系,在某些节点获得证据信息后,贝叶斯网络在节点间传播和融合这些信息,从而获取新的态势信息。隐马尔可夫模型相当于动态的贝叶斯网络,它是一种采用双重随机过程的统计模型。在网络态势评估中,将网络安全状态的转移过程定义为隐含状态序列,按照时序获取的态势因素定义为观察值序列,利用观察值序列和隐含状态序列训练 隐马尔可夫
19、模型隐马尔可夫模型,然后运用模型评估网络的安全态势。)局限性局限性:1)统计模型的建立需要依赖一个较大的数据源,在实际工作中会占有很大的工作量。2)模型需要的存储量和匹配计算的运算量相对较大,容易造成维数爆炸的问题,影响态势评估的实时性;3)特征提取、模型构建和先验知识的获取都存在一定的困难。基于规则推理的融合算法概念概念:首先模糊量化多源多属性信息的不确定性;然后利用规则进行逻辑推理,实现网络安全态势的评估。常见方常见方法法:目前 D-S 证据组合方法和模糊逻辑是研究热点。(D-S 证据组合方法在网络态势评估中,首先建立证据和命题之间的逻辑关系,即态势因素到态势状态的汇聚方式,确定基本概率分
20、配;然后根据到来的证据,即每一则事件发生的上报信息,使用证据合成规则进行证据合成,得到新的基本概率分配,并把合成后的结果送到决策逻辑进行判断,将具有最大置信度的命题作为备选命题。当不断有事件发生时,这个过程便得以继续,直到备选命题的置信度超过一定的阈值,证据达到要求,即认为该命题成立,态势呈现某种状态。模糊逻辑在网络态势评估中,首先对单源数据进行局部评估,然后选取相应的模型参数,对局部评估结果建立隶属度函数,将其划分到相应的模糊集合,实现具体值的模糊化,将结果进行量化。量化后,如果某个状态属性值超过了预先设定的阈值,则将局部评估结果作为因果推理的输入,通过模糊规则推理对态势进行分类识别,从而完
21、成对当前态势的评估。)局限性局限性:1)计算复杂度高。2)当证据出现冲突时,方法的准确性会受到严重的影响。四种融合方法比较 基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源,但是当前网络安全设备提供的信息,在一定程度上是不完整的、不精确的,甚至存在着矛盾,包含大量的不确定性信息,而态势评估必须借助这些信息来进行推理,因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息,最好的解决办法是利用对象的统计特性和概率模型进行操作,即基于概率统计的融合算法。而当先验概率很难获得时,不需要精确了解概率分布的基于规则推理的融合方法更为有效。融合方法未来研究方向 方向方向:1)结合
22、网络态势感知多源数据融合的特点,对具体问题具体分析,有针对性地对目前已经存在的各种数据融合方法进行改进和优化。2)可以结合各种算法的利弊综合利用,以提高态势评估的准确率。目标:目标:在保证准确性的前提下,提高算法的性能,尽量降低额外的网络负载,提高系统的容错能力。c.网络安全态势的预测神经网络时间序列预测法支持向量机常用方法基于规则推理的融合算法神经网络概念概念:神经网络是目前最常用的网络态势预测方法。(算法:首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。)优点优点:1)具有自学习、自适应性和非线性处
23、理的优点。2)神经网络内部神经元之间复杂的连接和可变的连接权值矩阵,使得模型运算中存在高度的冗余,因此网络具有良好的容错性和稳健性。缺点缺点:难以提供可信的解释,训练时间长,过度拟合或者训练不足等。时间序列预测法概念概念:时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律,将这种规律延伸到未来,从而对未来的态势做出预测。(算法:在网络安全态势预测中,将根据态势评估获取的网络安全态势值 x 抽象为时间序列 t 的函数,即:x=f(t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列 x=xi|xi R,i=1,2,L,预测过程就是通过序列
24、的前 N 个时刻的态势值预测出后 M 个态势值。)优点优点:时间序列预测法实际应用比较方便,可操作性较好。缺点缺点:要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂的。支持向量机概念概念:支持向量机是一种基于统计学习理论的模式识别方法。(基本原理:通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。)三种预测方法比较神经网络神经网络算法算法 主要依靠经验风险最小化原则,容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时,学习过程误差
25、易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,陷入维数灾难,泛化性能不高。时间序列时间序列预测预测法法 在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是不理想。支持支持向量向量机机 有效避免了上述算法所面临的问题,预测绝对误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。预测算法未来研究方向 方向:方向:未来的研究应建立在基于因果关系的分析之上。方法方法:通过分析网络系统中各因素之间存在的某种前因后果关系,找出影响某种结果的几个因素,然后利用各因素的变化预测整个网络安全态势的变化。困难:困
26、难:基于因果关系的数学模型的建立存在很大的难度,需要进一步深入的研究。解决思路:解决思路:模式识别的研究已经比较广泛,它为态势预测算法奠定了理论基础,可以结合模式识别的理论,将其很好地应用于态势预测中。3.网络安全态势感知研究 2010-07-15具体方法 基于Bass 于 1999 年首次提出网络态势感知(cyberspace situational awareness,简称 CSA)的概念,提出了一个网络态势感知研究框架,介绍了研究历程,指出了研究重点以及存在的问题,并将现有评估方法分为 3 类:基于数学模型的方法、基于知识推理的方法、基于模式识别的方法.然后详细讨论了模型、知识表示和评估
27、方法这 3 方面的研究内容,总结存在的共性问题,着重评价了每种评估方法的基本思路、评估过程和优缺点,并进行了对比分析.随后介绍了网络态势感知在安全、传输、生存性、系统评价等领域的应用研究.最后指出了网络态势感知的发展方向,并从问题体系、技术体系和应用体系 3 方面作了总结.提出背景 随着 Internet 规模的迅速扩大,复杂性和不确定性也随之增加,基于融合的网络态势感知必将成为网络管理的发展方向.在分析现有网络管理不足以及发展需求的基础上,介绍了网络态势感知的起源、概念、目标和特点.作者:龚正虎;卓莹 软件学报 国防科学技术大学计算机学院;按照团队进行分类,每个团队按照时间顺序从前往后排列0
28、2论文张永张永铮团队铮团队1 分类:弱点分类方法基于特权提升的多维量化属性弱点分类法的研究(2004/7/25 通信学报)效果 本文提出的弱点分类法在多侧面细层次上的量化支持、弱点间特权提升关系的发掘以及攻击复杂性等方面具有独特的作用,对进一步的安全评估以及其他安全实践工作具有重大意义。具体方法 在分析国际上典型的弱点分类方法的基础上,提出了一种基于特权提升的多维量化属性的弱点分类法,并以三个弱点为例,分析了该弱点分类法的特点,给出了弱点的风险评估算式以及风险评估级的划分。提出背景 目前的分类方法普遍都存在着以下缺点:(1)缺少量化支持或量化粗糙,无法在更细的层次上区分弱点的轻重缓急,使用户对
29、弱点造成的危害很模糊;(2)无法体现各种弱点之间的访问权限提升关系,缺乏对用户的警示作用,表面上较轻但实际上可能由一系列特权提升而带来严重后果的一些弱点往往易被忽视;(3)无法表达弱点被成功利用的难易程度,而实际上,攻击方法越简单,那么弱点被攻击者成功利用的可能性就越大。作者:张永铮;云晓春;胡铭曾哈尔滨工业大学计算机网络与信息安全技术研究中心;哈尔滨工业大学计算机网络与信息安全技术研究中心 2 分类:安全性分析模型计算机网络安全性分析建模研究(2005/12/25 通信学报)效果 全面考察了系统中的各个安全实体与安全要素,不但适用于单机系统的安全分析,也可用于网络信息系统的安全评估;既可采用
30、定性评估的方式,也可通过引入弱点攻击复杂性的概念来进行定量的分析。具体方法 从安全需求的类别、等级和面临的主要威胁出发,分析了系统设备、访问权限、主体连接关系和弱点,从攻击者目的是提升特权的角度对攻击作了形式化的描述。针对计算机系统的安全故障树方法和网络信息系统的攻击图方法应用了这一安全分析建模工作。提出背景 安全性分析研究工作需要把计算机网络与安全相关的系统资源和安全因素抽取出来建立一种面向安全性分析的安全模型。作者:张涛;胡铭曾;云晓春;张永铮哈尔滨工业大学计算机网络与信息安全技术研究中心;哈尔滨工业大学计算机网络与信息安全技术研究中心3 分类:风险传播用于评估网络信息系统的风险传播模型(
31、2007/1/30 软件学报)具体方法 该模型主要包括风险网络和风险传播算法.风险网络描述了网络系统的访问关系结构和风险态势,风险传播算法则给出了风险的运动规则.效果 本文以一实例阐明了该模型在网络风险评估中的应用,验证了传播算法的正确性。提出背景 现有工作主要从攻击的角度评估网络安全性,且大多数属于定性分析,而本文将从风险以及定量分析的角度展开研究.在此方面,传统方法是将自动弱点扫描工具获得的弱点实施量化后进行风险累加,但这种方法往往忽略了风险的传播性这一事实:由于计算机的高度互联,受害计算机引起的风险可能会传播给其他主机甚至整个网络,使得那些原本不直接具有风险的计算机,因受害计算机的风险传
32、播,而遭到安全威胁.作者:张永铮;方滨兴;迟悦;云晓春哈尔滨工业大学计算机网络与信息安全技术研究中心;哈尔滨工业大学计算机网络与信息安全技术研究中心 4 分类:网络节点关联性、网络风险评估网络风险评估中网络节点关联性的研究(2007/2/28 计算机学报)效果 通过深入地分析和对比可以看出,利用NNC可以将若干孤立的弱点联系起来,有助于分析网络的安全风险;此外,NNC在包含各协议层连通性的基础上丰富了网络节点间独有的特权关系,利用NNC也有助于提高检测网络弱点和网络攻击的准确性.具体方法 文中引入了网络节点关联性(NNC)的概念,通过对实践过程中若干种访问情景的分析,提出了NNC的分类方法,然
33、后讨论了NNC的发现方法,并举例阐明了NNC在网络风险评估中的应用及作用.提出背景 在网络风险评估领域中,为了提高评估的准确性,很多研究工作中都引入了网络节点间的连通性,然而,这种性质还不足以表达出各节点间基于物理连通关系之上的某种特殊的逻辑关系,如一方对另一方独有资源的控制关系.作者:张永铮;方滨兴;迟悦;云晓春中国科学院计算技术研究所信息智能与信息安全研究中心;哈尔滨工业大学计算机网络与信息安全技术研究中心;哈尔滨工业大学计算机网络与信息安全技术研究中心5 分类:告警关联方法基于模式挖掘和聚类分析的自适应告警关联(2009/8/15 计算机研究与发展)效果 使用MIT Lincoln实验室
34、提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势.具体方法 在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.提出背景 大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果
35、关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.作者:田志宏;张永铮;张伟哲;李洋;叶建伟哈尔滨工业大学计算机科学与技术学院;中国科学院计算技术研究所信息智能与信息安全中心;中国移动通信研究院网络所;7 分类:大规模网络安全事件协同联动(挖掘关联性)网络设备协同联动模型(2011/2/15 计算机学报)效果 通过该模型实现了一个面向国家基础网络的网络安全协同联动系统.为追踪、分析互联网的大规模安全事件提供了有力平台.具体方法 基于通用图灵机思想,提出了一个处理大规模网络安全事件的协同联动模型。在形式定义的基础上,从人机交互角度分析模型层次结构,由不同部件构建模型系统结
36、构,并实现了面向基础网络的协同联动系统。提出背景 现有的方法是在互联网上划分出一个域,在这个域中按照事先设置的固定模式,集中管理或防御.然而,互联网本身是一个开放、互通的网络空间,目前,以建立僵尸网络、发动分布式拒绝服务攻击等为代表的群体性网络恶意行为大规模调用分布在整个互联网的资源,仅对某个安全域的防护,无法深入分析这些群体性恶意行为.另外,发生在不同地理位置、不同时间段的安全事件是否由同一组织所为,不同类别的安全事件是否存在着关联性,诸多安全事件信息结合在一起能否挖掘出更深层次的安全隐患.作者:臧天宁;云晓春;张永铮;门朝光;孙建亮哈尔滨工程大学计算机科学与技术学院;中国科学院计算技术研究
37、所;国家计算机网络应急技术处理协调中心;6 分类:协同联动一个通用的网络安全协同联动体系模型(2011/7/5 计算机工程)效果 实验结果表明,该协同联动体系模型具有良好的通用性、可扩展性和实际应用性,其相应系统能够有效地完成单源、多源安全事件的协同联动工作,挖掘多源安全事件之间的关联关系。具体方法 基于冯诺伊曼体系提出一个网络安全协同联动通用体系模型,实现一个协同联动系统,并通过真实数据的实验验证体系模型及系统的有效性。提出背景 现有的研究工作还面临着以下 2 个问题:(1)单一技术的孤立研究已很难大幅度降低网络安全事件的误报率和漏报率,比如入侵检测;(2)单一技术手段已很难满足日益复杂的应
38、用需求,比如针对网络安全事件的深入分析与知识挖掘。因此,针对网络安全协同联动技术的研究具有重要的理论意义和实际价值。诸多安全设备之间如何实现有效地协同,应该采用怎样的体系结构,都是学者们正在努力解决的问题。作者:孙建亮;张永铮;云晓春中国科学院计算技术研究所;中国科学院研究生院;国家计算机网络应急技术处理协调中心;8 分类:安全指数网络运行安全指数多维属性分类模型(2012/8/15 计算机学报)效果 应用实例分析表明,模型能够刻画出安全指数在个关键属性上的本质特性,对深入研究指数特性、关系及其内在含义具有指导意义,同时,也为建构多层次安全指数体系提供了理论和技术基础。具体方法 为度量网络信息
39、系统在运行过程中的安全态势,文中给出了网络运行安全指标和指数的定义,提出了个关键分类属性以及指数分类的通用概念模型,该模型为具体指数分类模型的构建和不同分类模型的比较提供了统一的模型方法。基于模型和维分类属性,文中同时提出了一个多维属性指数分类模型,并通过个典型指数的应用实例阐明了模型的应用过程和应用意义。提出背景 安全指数作为反映和测度网络安全态势的一种核心方法,具有重要的研究意义作者:张永铮;云晓春中国科学院计算技术研究所;中国科学院信息工程研究所;信息内容安全技术国家工程实验室;10 分类:态势评估网络异常性指数的一种直推式定量计算方法(2013/8/25 通信学报)效果 通过应用真实网
40、络流数据的 7 个实验验证了该方法的有效性。理论分析与实验结果表明:与传统的基于流量的直推式方法相比,QCDP 法能够更有效地反映出典型网络安全事件对宏观态势产生的影响;与归纳式方法相比,QCDP 法具有更好的客观性、实时性和实用性。具体方法 基于数量特征指数、成分特征指数、分布特征指数和模式特征指数提出了一种直推式定量计算方法QCDP 法。提出背景 网络异常性指数可用于互联网总体异常性宏观态势的定量感知。异常性指数的计算方法可总结为归纳式方法和直推式方法。针对异常性指数的直推式计算方法的研究工作很鲜见,现在有的方法虽简单易用但感知能力很差。作者:张永铮;周勇林;杜飞中国科学院信息工程研究所;
41、国家计算机网络应急技术处理协调中心;9 分类:隐马尔可夫 态势评估方法改进一种改进的网络安全态势量化评估方法(2014/10/30 计算机学报)效果 对比实验证明,基于改进算法生成的风险值对网络安全态势的量化更加合理具体方法 该文提出改进方法:首先,基于警报的统计特性提出警报质量的概念,依据警报质量获取的观测序列,可改进数据源的有效性;其次,基于安全事件和防护措施的博弈过程,提出确定状态转移矩阵的方法,并结合攻击成功的概率对其进行修正,提高状态转移矩阵的有效性提出背景 基于隐马尔可夫模型的网络安全态势评估中,观测序列的获取和状态转移矩阵的确立是影响评估准确性的关键目前观测序列多以随机方式获取,
42、不能有效表征网络的安全性;而状态转移矩阵往往依据经验给出,具有很强的主观性作者:席荣荣;云晓春;张永铮;郝志宇 中国科学院信息工程研究所;11 分类:威胁态势评估基于环境属性的网络威胁态势量化评估方法(2015/7/15 软件学报)具体方法 先根据目标网络的环境信息对警报进行验证,判定安全事件发生的可能性;然后,基于安全事件的风险级别及针对的目标资产价值分析安全事件发生后造成的损失,进而量化评估网络的威胁态势.效果 可以准确地量化评估网络的威胁态势.提出背景 实际网络中,很大比例的警报为虚假警报或者不相关警报,而传统的网络威胁态势评估方法主要是基于原始的警报信息,未结合目标网络的环境信息,使得
43、方法的准确性受到很大的影响。作者:席荣荣;云晓春;张永铮中国科学院信息工程研究所;刘效武1 分类:态势感知应用模型网络安全态势认知融合感控模型(2016/8/15 软件学报)具体方法 将跨层结构和认知环融入模型的设计,增强网络安全系统的层间交互和认知能力.利用多源融合算法得到各异质传感器对网络安全事件的准确决策,结合对安全事件威胁等级和威胁因子关系的推演,克服威胁因子获取过程中需处理网络组件间复杂隶属关系的不足,从而提出包含服务级、主机级和网络级的层次化态势感知方法,提高对网络威胁的表达能力.通过对态势感知曲线的分析,搭建离散计算和连续控制之间的桥梁,形成闭环反馈控制结构,基于态势梯度的调控机
44、制可以真正实现无人值守的自主调控,解决安全态势自感知和自调控的问题.效果 仿真实验结果表明:基于融合的网络安全态势认知感控模型及方法能够融合异质安全数据,动态感知威胁的演化趋势,并具有一定的自主调控能力,达到了认知感控的研究目的,为监控和管理网络提供了新的方法和手段.提出背景 从NSSA(网络安全态势感知)的发展进程来看,随着新兴系统的出现和下一代网络应用到来,NSSA已从感知网络向感控网络过渡.本文在吸取已有研究成果的基础上,将认知理念融入对安全态势感知的研究。作者:刘效武;王慧强;吕宏武;禹继国;张淑雯曲阜师范大学信息科学与工程学院;哈尔滨工程大学计算机科学与技术学院;张勇1 分类:安全态
45、势评估+加固方案基于Markov博弈模型的网络安全态势感知方法(2011/3/15 软件学报)具体方法 通过对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通用户的行为进行博弈分析,建立三方参与的 Markov 博弈模型,并对相关算法进行优化分析,使得评估过程能够实时运行。(态势感知系统首先进行安全数据检测,包括对每个网络节点部署资产识别,对每个主机和两个服务器部署恶意代码检测和脆弱性扫描,对 IDS、防火墙、路由器和交换机部署渗透测试和在线测试,同时收集 IDS 报警日志数据;接着,根据检测数据
46、融合得到资产集合、威胁集合、脆弱性集合.然后,对威胁集合中的每个威胁建立TPN,根据 TPN 建立 Markov 博弈模型,分析威胁的安全态势;最后,由每个威胁的安全态势评估网络安全态势.)效果 通过对具体网络的测评分析表明,基于Markov 博弈分析的方法符合实际应用,评估结果准确、有效,提供的加固方案可有效抑制威胁的扩散。提出目的 为了分析威胁传播对网络系统的影响,准确、全面地评估系统的安全性,并给出相应的加固方案,在态势感知概念模型的基础上,提出一种基于 Markov 博弈分析的网络安全态势感知方法。作者:张勇;谭小彬;崔孝林;奚宏生 中国科学技术大学自动化系;陈秀真1 分类:威胁态势评
47、估层次化网络安全威胁态势量化评估方法(2006/4/30 软件学报)具体方法 利用 IDS(连续运行的入侵检测系统)报警信息和网络性能指标进行网络安全的定量威胁评估。根据网络系统的组织结构,在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势。效果 采用 HoneyNet 和 CNSIS 数据进行测试,无论是在有效性还是正确性方面,均取得良好的评估效果。提出背景 安全报警的管理分析成为网络安全领域的研究热点,近几年的安全会议和权威性期刊中大量文献报道了攻击可视化、报警关联分析和复杂攻击
48、建模3方面的研究工作。然而,评估网络系统安全威胁状况的研究工作开展得还很少,只停留在对单个攻击事件可能给系统造成威胁的评估上,不能提供切实有用的态势信息。作者:陈秀真;郑庆华;管晓宏;林晨光西安交通大学网络化系统与信息安全研究中心制造系统工程国家重点实验室;西安交通大学网络化系统与信息安全研究中心制造系统工程国家重点实验室冯登国1 分类:态势评估+预测基于信息融合的网络安全态势评估模型(2009/3/15 计算机研究与发展)效果 利用网络实例数据,对所提出的网络安全态势评估模型和算法进行了验证,结果表明该模型比已有成果更加有效和准确.具体方法 引入改进的D-S证据理论将多数据源信息进行融合,利
49、用漏洞信息和服务信息,经过态势要素融合和节点态势融合计算网络安全态势,绘制安全态势曲线图,同时对态势计算结果进行时间序列分析,从而实现网络安全趋势的预测.提出背景 现有方法为网络安全态势评估工作提供了可行的解决思路,为评估模型及算法的研究奠定了良好的基础,但也普遍存在着一些技术缺陷.例如,缺乏对网络安全因素的全面考虑,评估数据源单一,使得评估结果缺乏全面性;忽略了数据源之间的互补性和冗余性等内在联系,使得评估结果不够准确;所采用的量化算法存在一定缺陷,导致量化结果与实际结果出现偏差;另外,这些方法无法对安全状况的发展趋势进行预测分析.作者:韦勇;连一峰;冯登国中国科学技术大学电子工程与信息科学
50、系;中国科学院软件研究所信息安全国家重点实验室;2 分类:态势预测基于时空维度分析的网络安全态势预测方法(2014/8/15 计算机研究与发展)效果 通过对公用数据集网络的测评分析表明,该方法符合实际应用环境,且相比现有方法提高了安全态势感知的准确性。具体方法 首先从攻击方、防护方和网络环境方面提取网络安全态势评估要素,然后在时间维度上预测分析未来各时段内的安全态势要素集,最后在空间维度上分析各安全态势要素集其相互影响关系对网络安全态势的影响,从而得出网络的安全态势。提出背景 现有网络安全态势预测方法无法准确反映未来安全态势要素值变化对未来安全态势的影响,且不能很好地处理各安全要素间的相互影响
