网络安全态势感知综述一

1、网络安全态势感知综述一网络安全态势感知综述网络安全态势感知综述席荣荣 云曉春 金舒原 文章概述文章概述基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述了各个研究点需解决的核心问题、主要算法以及各种算法的优缺点，最后对未来的发展进行了分析和展望。概念概述概念概述202X年，Endsley首先提出了态势感知的定义：在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测。概念概述概念概述 202X年，Tim Bass提出：下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知。 基于数

2、据融合的JDL模型，提出了基于多传感器数据融合的网络态势感知功能模型。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面:网络安全态势要素的提取;网络安全态势的评估；网络安全态势的预测1、网络安全态势要素的提取、网络安全态势要素的提取网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息。静态的配置信息：网络的拓扑信息，脆弱性信息和状态信息等基本配置信息动态的运行信息：从各种防护措施的日志采集和分析技术获取的威胁信息等。2、网络安全态势的理解、网络安全态势的理解在获取海量网络安全信息的基础上，解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势，本文称为态势评估

3、。数据融合式态势评估的核心。应用于态势评估的数据融合算法，分为以下几类：基于逻辑关系的融合方法基于数学模型的融合方法基于概率统计的融合方法基于规则推理的融合方法基于逻辑关系的融合方法基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和，警报关联是典型的基于逻辑关系的融合方法。警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势警报之间的逻辑关系：警报属性特征的相似性预定义攻击模型中的关联性攻击的前提和后继条件之间的相关性基于数学模型的融合方法基于数学模型的融合方法综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合到态势空间的映射关系。加权平均法是最常用

4、、最有代表性、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定优点：直观缺点：权值的选择没有统一的标准，大多是根据经验确定。基于概率统计的融合方法基于概率统计的融合方法基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。常见基于概率统计的融合方法：贝叶斯网络隐马尔可夫模型贝叶斯网络贝叶斯网络)()(BPABP贝叶斯公式： P(B)=贝叶斯网络：一个贝叶斯网络是一个有向无环图（DAG），其节点表示一个变量，边代表变量之间的联系，节点存储本节点相当于其父节点的条件概率分布。贝叶斯网络贝叶

5、斯网络X1,X2.X7的联合概率分布：隐马尔可夫模型隐马尔可夫模型隐马尔可夫模型是马尔可夫链的一种，它的状态不能直接观察到，但能通过观测向量序列观察到，每个观测向量都是通过某些概率密度分布表现为各种状态，每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以，隐马尔可夫模型是一个双重随机过程隐马尔可夫模型隐马尔可夫模型假设我们开始掷骰子，我们先从三个骰子里挑一个，挑到每一个骰子的概率都是1/3。然后我们掷骰子，得到一个数字，1，2，3，4，5，6，7，8中的一个。不停的重复上述过程，我们会得到一串数字，每个数字都是1，2，3，4，5，6，7，8中的一个。例如我们可能得到这么一串数字（掷

6、骰子10次）：1 6 3 5 2 7 3 5 2 4 隐含状态链有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8转换概率(隐含状态）输出概率：可见状态之间没有转换概率，但是隐含状态和可见状态之间有一个概率叫做输出概率可见状态链隐马尔科夫的基本要素，即一个五元组S,N,A,B,PI；S：隐藏状态集合；N：观察状态集合；A：隐藏状态间的转移概率矩阵；B：输出矩阵（即隐藏状态到输出状态的概率）；PI：初始概率分布（隐藏状态的初始概率分布）； 优缺点评价优缺点评价优点：可以融合最新的证据信息和先验知识，过程清晰，易于理解缺点：1.要求数据源大，同时需要的存储量和匹配计算的运算量也大

7、，容易造成位数爆炸，影响实时性2.特征提取、模型构建和先验知识的获取有一定困难。基于规则推理的融合方法基于规则推理的融合方法基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性; 然后利用规则进行逻辑推理，实现网络安全态势的评估。D-S证据组合方法和模糊逻辑是研究热点D-S证据理论证据理论是一种不确定推理方法，证据理论的主要特点是：满足比贝叶斯概率论更弱的条件；具有直接表达“不确定”和“不知道”的能力。概率分配函数：设 为样本空间，其中具有 个元素，则 中元素所构成的子集的个数为个。概率分配函数的作用是把 上的任意一个子集 都映射为0，1上的一个数 （）。信任函数：似然函数：信任区间 ：Bel(A)，pl(A)表示命题A的信任区间，Bel(A)表示信任函数为下限，pl(A)表示似真函数为 上限3、网络安全态势的预测、网络安全态势的预测网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法LOREM IPSUM DOLORLorem ipsum dolor sit amet, consectetur adipisicing elit, sed do