网络安全态势感知综述PPT通用课件.pptVIP

在网络态势评估中，首先对单源数据进行局部评估，然后选取相应的模型参数， 对局部评估结果建立隶属度函数，将其划分到相应的模糊集合，实现具体值的模糊化，将结果进行量化。量化后， 如果某个状态属性值超过了预先设定的阈值，则将局部评估结果作为因果推理的输入，通过模糊规则推理对 态势进行分类识别，从而完成对当前态势的评估 * * * * * * * (1) 数据采集:通过多传感器监测网络系统的运行状况,检测大量的原始安全数据; (2) 态势理解:采用规范化分析、冗余检测和冲突检测等方法,分析原始数据,得到规范化的数据集; (3) 态势评估:采用态势评估算法,分析态势理解模块的数据,定量描述系统的安全态势; (4) 态势预测:采用态势预测算法,分析态势的变化规律,预测系统安全态势变化趋势; (5) 加固方案生成:分析系统最薄弱的节点,给出加固方案,指导管理员提高系统安全性. 资产的性能利用率是资产所在主机的内存、CPU、可支持连接数等性能的利用率的综合加权 对已检测到某脆弱性但未检测到利用该脆弱性的威胁,根据威胁等级的定义[16],认为该威胁以 pt概率发生 脆弱性的影响表示该脆弱性引发的安全事件对资产价值的影响,是一个向量结构,包含对资产保密性价值、完整性价值和可用性价值的影响 脆弱性的类型包括管理配置脆弱性、漏洞等 如果检测到某脆弱性,认为该脆弱性以 pv的概率被相应威胁成功利用; 对于威胁集合的每个威胁 t,如果某个网络节点存在 t,则 t 可以通过网络传播到与该节点相邻的其他节点.根据资产集合、脆弱性集合和网络结构信息,首先确定 t 的分布状态,即每个节点是否存在 t,是否存在 t 利用的脆弱性,t 通过每条路径传播的概率;然后分析 t 可能的转播路径和系统的变化状态.威胁的分布状态用威胁传播节点表示,威胁下一步可能的转播方向用威胁传播路径表示 威胁传播节点集包含系统所有受 t 影响的资产,可以设置包含系统所有资产;威胁传播路径集包含系统所有可以传播 t 的链路,可以设置包含系统所有链路.根据这两个集合建立 t 的传播网络, t 的一步行为指 t 通过威胁传播网络,以一定的概率传播到当前被感染节点的邻居节点.每个威胁通过与之对应的威胁传播网络一步一步地传播到系统其他部分. 3、网络安全态势的预测 网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。 目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法 基于 Markov 博弈模型的网络安全态势感知方法 张勇 谭小彬 崔孝林 本文提出一种基于 Markov 博弈分析的网络安全态势感知方法，分析了威胁传播对网络系统的影响,准确全面地评估系统的安全性。 对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通用户的行为进行博弈分析,建立三方参与的 Markov 博弈模型，从而实时动态的评估网络安全态势，并给出最佳加固方案 网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势 威胁传播分析 网络系统的各个节点相互连接,当系统中某个节点被成功攻击后,威胁可以传播到与该节点相关联的其他节点,从而使这些节点遭受安全威胁. 资产：对系统有价值的资源 资产类型：主机、服务器、路由器、网关、防火墙、IDS...... 资产价值：包含资产保密性价值、完整性价值、可用性价值 性能利用率：分5个等级，随着等级的增长,性能利用率指数增长. 威胁：对资产造成损害的外因 威胁类型：病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损害方式将威胁分为两类： 占网络资源少的威胁,包括木马、病毒和网络攻击等,对系统节点的保密性、完整性和可用性均有影响, 大量耗费系统资源的威胁,以蠕虫和 DDoS 攻击为代表,主要对系统的可用性造成影响 脆弱性：可以被威胁利用的薄弱环节 通过对检测数据的融合,得到系统中所有的资产、威胁和脆弱性数据,构成资产集合、威胁集合和脆弱性集合. 威胁传播网络 威胁传播节点：系统中受威胁影响的节点, Node=(ida, valuea, pa, tf, vf) 威胁传播路径: 系统中传播威胁的链路 Path=（idas，idad, valuee, Pe, pe) Pe指路径被切断后对系统造成的损失,是路径带宽利用率,与资产的性能利用率类似,分为 5 个等级; pe表示威胁通过该路径成功扩散的概率,分为 5 个等级,每提高一个等级,威胁成功传播概率线性增加. 威胁传播网络TPN:包含 t 所有的传播节点和传播路径,用TPN（t