网络态势感知(nssa)资料讲解.ppt

报告内容： 1、态势感知的由来及概念； 2、网络安全态势感知的概念与理解； 3、网络安全态势觉察； 4、网络安全态势理解； 5、网络安全态势投射； 6、网络安全态势感知探索重点； 态势感知的由来及概念 由来：态势感知最早来源于美国军方对抗中的研究，目标是了解双方情况，以便能作出快速而正确的决策，达到知己知彼，百战不殆的目的； 概念：感知大量的时间和空间中的环境因素，理解他们的意义，并预测他们在不久将来的状态；总的可以概括成：感知、理解、预测；简而言之就是始终掌握你周围复杂、动态环境的变化。 网络安全态势感知的概念与理解 概念： 1）对网络安全状态的认知过程，包括从系统中测量到的原始数据逐步进行融合处理实现对系统背景的状况及活动语义的提取，识别出存在各类网络活动以及其中异常活动的意图，从而获得据此表征网络安全态势及对网络正常行为影响的了解。 2）NSSA任务包括网络安全态势觉察、网络安全态势理解、网络安全投射3个层面。 网络安全态势感知的概念与理解 理解： 1）NSSA是通过对网络中各种活动的行为辨识、意图理解和影响评估来对网络安全性进行定量分析的一种手段，以便网络管理系统能够宏观把握整个网络的安全状况，并合理、有效地进行响应；简单来说就是了解自己，了解敌人； 2）NSSA是一种网络安全管理工具，是网络安全检测的一种实现形式。 网络安全态势觉察研究内容 基本任务：辨识出系统中所有活动以及这些活动的规律及特征； 研究热点方案： 1）基于先验知识： 特征：基于专家经验和知识定义知识库，常用建模方法是基于场景的方法。 2）不基于先验知识的方法： 特征：通过数据挖掘、机器学习等技术分析警报之间的关系，以还原完整的攻击过程，常用建模方法有相似性法、因果关联法、交叉关联法。 网络安全态势觉察研究中存在的问题 1）觉察结果的分辨率随着攻击活动差生的痕迹信息量越多，其越容易产生不同信息之间的关联； 2）觉察效率随着网络规模的不断扩大及异构程度的不断增加，使得关联方法趋于复杂化，扩展性能变差； 网络安全态势理解研究内容 基本任务：基于识别出攻击活动的特征，进一步分析攻击活动的语义及它们之间可能的关联关系来推断攻击者的意图。 1）攻击行为的预测： 特征：分析攻击行为间的逻辑关系，并以此推断攻击行为的可能变化，常用的建模方法有马尔可夫模型法、时间序列分析法、机器学习法、博弈论法。 2）攻击目的的理解： 特征：基于被管对象中资产的功能及重要性，推断攻击者的攻击意图和进行攻击溯源，常用建模方法是基于动态后向传播的神经网络和协方差相结合的方法 网络安全态势理解现存的问题 1）由于使用的相关建模方法是从历史数据中得出关联性，在此关联性基础上进行分析，这就使得传统方法对与一些新的攻击行为及相似的攻击行为的变体均需要额外处理，使得准确性大大降低； 2）由于攻击活动的始终处在动态变化中，并且攻击活动所产生的痕迹等相关信息量巨大，而传统的方法未必可行，因此需要对警报进行优化和聚类‘ 3）由于使用的方法是基于态势觉察提供的直接观察数据，在数据的融合处理上只是简单初步的，所以在攻击者身份的识别和攻击活动的溯源等方面能力薄弱。 网络安全态势投射研究内容 基本任务：基于识别出的攻击活动，评估已经出现的攻击行为对被管网络产生的危害和可能要发生的攻击行为对被管网络的潜在威胁。 常用的投射方法： 1）基于知识推理法：基于专家知识和经验建立评估模型，通过逻辑推理分析整个网络的安全态势，常用方法有基于图模型推理法、基于证据理论推理法； 2）统计法：基于综合考虑影响网络安全态势的诸多因素，构建评价函数，实现态势要素和整个网络态势空间的映射，常用方法有权重分析法、层次分析法； 3）灰度理论法：基于系统中已知的部分信息，将不确定性系统作为研究对象，在此基础提取有用信息，灰色系统通过累加或逆累加建模，常用建模方法将无偏灰度理论和马尔可夫理论相结合法。 网络态势投射现存的问题 1）由于同一攻击活动在不同的层面具有不同的语义，使得对系统评估的准确性较低； 2）由于现有的评估结果相对简单，使得系统的评估粒度较低； 3）由于对于系统的评估具有很强的主观性，使得不同评估方法之间的语义交换存在障碍，从而不同网络态势感知系统间的信息存在共享和协同的问题； 4）由于现阶段研究基本几种在相对简单的静态损失评估方面，使得对动态攻击行为的评估研究不足。 网络安全态势感知探索重点 现存关键问题： 1）海量异构测量数据的融合处理 2）不完全信息条件下的活动辨识 3）网络活动的语义计算 4）网络态势的可视化 5）网络安全态势感知的协同 6）更为完善的态势投射方法