網路安全態勢感知
《網路安全態勢感知研究綜述》席榮榮,雲曉春,金舒原等
在融合各種網路安全要素的基礎上從巨集觀的角度實**估網路的安全態勢,並在一定條件下對網路安全態勢的發展趨勢進行**。
態勢感知sa(situation awareness):在一定時空範圍內,認知、理解環境因素,並且對未來的發展趨勢進行**。
根據網路安全態勢感知的功能,可分為:
1.網路安全態勢要素的提取
2.網路安全態勢的評估
3.網路安全態勢的**
一、網路安全態勢要素的提取
網路安全態勢要素:靜態配置資訊(網路拓撲資訊,脆弱性資訊,狀態資訊等基本環境配置資訊),動態執行資訊(從各種防護措施的日誌採取和分析技術獲取的威脅資訊等基本執行資訊)。
網路安全態勢要素的提取存在的問題:1.國外的研究從某種單一的角度採集資訊, 無法獲取全面的資訊。2. 國內的研究雖然力圖獲取全面的資訊,但沒有考慮指標體系中各因素之間的關聯性,將會導致資訊的融合處理存在很大難度。3. 缺乏指標體系有效性的驗證,無法驗證指標體系是否涵蓋了網路安全的所有方面。
二、網路安全態勢的評估
網路安全態勢評估的核心是資料融合。從巨集觀角度考慮網路整體的安全狀態,以期獲得網路安全的綜合評估,達到輔助決策的目的。
資料融合演算法:基於邏輯關係的融合方法、基於數學模型的融合方法,基於概率統計的融合方法、基於規則推理的融合方法。
1.基於邏輯關係的融合方法
典型應用是警報關聯,是指基於警報資訊之間的邏輯關係對其進行融合,從而獲取巨集觀的攻擊態勢。
該方法的侷限性:融合的資料來源為單源資料;邏輯關係的獲取存在很大難度(如攻擊預定義模型的建立以及攻擊的前提和後繼條件的形式化描述都存在很大難度);邏輯關係不能解釋系統中存在的不確定性。
2.基於數學模型的融合方法
綜合考慮影響態勢的各項態勢因素,構造評定函式,建立態勢因素集合r到態勢空間θ的對映關係。
典型方法是加權平均法。融合函式通常由態勢因素和其重要性權值確定。
侷限性:權值選擇沒有統一標準,資料來源的不確定性。
3. 基於規則推理的融合方法
充分利用先驗知識的統計特性,結合資訊的不確定性,建立態勢評估模型,然後通過模型評估網路的安全態勢。
典型方法是貝葉斯網路和隱馬爾可夫模型(hmm)。
優點:能夠融合最新的證據資訊和先驗知識,推理過程清晰易於理解。
侷限性:1.統計模型的建立需要依賴乙個較大的資料來源,在實際工作中會占有很大的工作量,且模型需要的儲存量和匹配計算的運算量較大,容易造成維數**問題,影響態勢評估的實時性。2.特徵提取、模型構建和先驗知識的獲取存在一定困難。
4. 基於規則推理的融合方法
首先,模糊量化多元多屬性資訊的不確定性,然後利用規則進行邏輯推理,實現網路安全態勢評估。
研究熱點是d-s證據組合方法和模糊邏輯。
d-s證據組合方法:對單源資料每一種可能決策的支援程度給出度量。在網路安全態勢評估中,首先建立證據和命題之間的邏輯關係,即態勢因素到態勢狀態的匯聚方式,確定基本概率分配,然後根據到來的證據,即每一則事件發生的上報資訊,使用證據合成規則進行證據合成,得到新的基本概率分配,並把合成後的結果送到決策邏輯進行判斷,將具有最大置信度的命題作為備選命題。當備選命題的置信度超過一定的閾值,證據達到要求,即認為該命題成立,態勢呈現某種狀態。
模糊邏輯:處理人類認知不確定性的數學方法,對於模型未知或不能確定的描述系統,應用模糊集合和模糊規則進行推理,實行模糊綜合判斷。在網路安全態勢評估中,首先對單源資料進行區域性評估,然後選取相應的模型引數,對區域性評估結果建立隸屬度函式。將其劃分到相應的模糊集合,實現具體值的模糊化,將結果進行量化。量化後,如果某個狀態屬性值超過預先設定的閾值,則將區域性評估結果作為因果推理的輸入,通過模糊規則推理對態勢進行分類識別,從而完成對當前態勢的評估。
優點:不需要精確了解概率分布,當先驗概率難以獲得時該方法更有效。
缺點:計算複雜度高,證據出現衝突時準確性會受到嚴重影響。
三、網路安全態勢的**
一般採用神經網路、時間序列**法和支援向量機等方法。
神經網路:最常用。首先以一些輸入輸出資料作為訓練樣本,通過網路的自學習能力調整權值,構建態勢**模型,然後運用模型,實現從輸入狀態到輸出狀態空間的非線性對映。優點:自學習,自適應性和非線性處理。缺點:難以提供可信的解釋,訓練時間長,過度擬合,訓練不足等。
時間序列**法:通過時間序列的歷史資料揭示態勢隨時間變化規律,將這種規律延伸到未來,從而對態勢的未來做出**。優點:應用方便,可操作性較好。缺點:要想建立精度相當高的時序模型不僅要求模型引數的最佳估計,而且模型階數也要合適,建模過程很複雜。
支援向量機:一種基於統計學習理論的模式識別方法,基本原理是通過乙個非線性對映將輸入空間向量對映到乙個高維特徵空間,並在此空間上進行線性回歸,從而將低維特徵空間的非線性回歸問題轉換為高維特徵空間的線性回歸問題來解決。
對比:
神經網路演算法主要依靠經驗風險最小化原則,容易導致泛化能力的下降且模型結構難以確定。在學習樣本數量有限時,學習過程誤差易收斂於區域性極小點,學習精度難以保證;學習樣本數量很多時,又陷入維數災難,泛化效能不高。
時間序列**法在處理具有非線性關係、非正態分佈特性的巨集觀網路態勢值所形成的時間序列資料時,效果並不是不理想。
支援向量機有效避免了上述演算法所面臨的問題,**絕對誤差小,保證了**的正確趨勢率,能準確**網路態勢的發展趨勢。支援向量機是目前網路安全態勢**的研究熱點。
三、網路安全態勢的未來研究方向
1.網路安全態勢的形式化描述。
2.準確而高效的融合演算法的研究。
3.**演算法的研究。
2019 6 20網路安全學習
sql注入 information schema 資料庫作用 儲存了所有的資料庫名字,每個資料庫的所有表,每張表裡所有字段 mysql資料庫作用 儲存有資料庫名,主機位址,資料庫的使用者資訊等資訊 注 在開發過程中,每乙個資料庫使用單獨的使用者連線,避免連累其他資料庫 sql注入流程 1.判斷是否有...
2020 10 28網路安全之網路安全產品
1.網路安全 防火牆 入侵檢測與防禦 網路隔離和單向匯入 防病毒閘道器 上網行為管理 網路安全審計 vpn抗拒絕服務攻擊 網路准入2.終端安全 防病毒 主機檢測與審計 安全作業系統 主機 伺服器加固3.應用安全 web應用防火牆 web應用安全掃瞄 網頁防篡改 郵件安全4.資料安全 資料庫審計與防護...
網路安全筆記 14 網路層 路由
跨越從源主機到目標主機的乙個網際網路絡來 資料報的過程 交換機與路由器的對比 路由器交換機 路由器工作在網路層 交換機工作在資料鏈路層 根據路由表 資料 根據mac位址表 資料 路由 根據ip包 硬體 根據幀頭 靜態路由配置conf t ip route 目標網段 子網掩碼 下一跳ip 路由條目 s...