网络安全态势感知综述.ppt

本文提出一种基于Markov博弈分析的网络安全态势感知方法，分析了威胁传播对网络系统的影响,准确全面地评估系统的安全性。对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化数据;对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通用户的行为进行博弈分析,建立三方参与的Markov博弈模型，从而实时动态的评估网络安全态势，并给出最佳加固方案网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势威胁传播分析网络系统的各个节点相互连接,当系统中某个节点被成功攻击后,威胁可以传播到与该节点相关联的其他节点,从而使这些节点遭受安全威胁.资产：对系统有价值的资源资产类型：主机、服务器、路由器、网关、防火墙、IDS......资产价值：包含资产保密性价值、完整性价值、可用性价值性能利用率：分5个等级，随着等级的增长,性能利用率指数增长.威胁：对资产造成损害的外因威胁类型：病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损害方式将威胁分为两类：占网络资源少的威胁,包括木马、病毒和网络攻击等,对系统节点的保密性、完整性和可用性均有影响,大量耗费系统资源的威胁,以蠕虫和DDoS攻击为代表,主要对系统的可用性造成影响脆弱性：可以被威胁利用的薄弱环节通过对检测数据的融合,得到系统中所有的资产、威胁和脆弱性数据,构成资产集合、威胁集合和脆弱性集合.威胁传播节点：系统中受威胁影响的节点,Node=(ida,valuea,pa,tf,vf)威胁传播路径:系统中传播威胁的链路Path=（idas，idad,valuee,Pe,pe)Pe指路径被切断后对系统造成的损失,是路径带宽利用率,与资产的性能利用率类似,分为5个等级;pe表示威胁通过该路径成功扩散的概率,分为5个等级,每提高一个等级,威胁成功传播概率线性增加.威胁传播网络TPN:包含t所有的传播节点和传播路径,用TPN（t）={Nodes,Paths}表示。威胁传播网络基于时间序列分析的态势预测基于Markov博弈分析的态势量化评估Markov博弈模型的建立博弈三方:攻击方：威胁防守方：管理员中立方：用户状态空间：TPN(t)的所有可能状态组成状态空间k时刻状态空间为TPN(t,k)={si(k),ej(k)},i=1,2,.....Mj=1,2,.......N行为空间：博弈三方所有可能的行为集合攻击方：ut防守方：uv，修补某个脆弱性、切断某条传播路径或关闭某个网络节点用户：uc，简化为网络访问率提高10%和降低10%p(TPN(t,k+1)|TPN(t,k),utk,uvk,uck)描述系统状态变化规律转移概率：随着博弈各方的行为选择,系统的状态不断变化01攻击方：用对系统的损害表示防守方：用管理员采取安全措施后所能减少的损害表示中立方：用所有普通用户对系统服务的利用程度表示报酬函数：博弈结束后各方的得失02博弈过程是各方参与者根据系统当前状态从行为空间中选取一个行为,然后系统转移到新的状态,参与者再根据新状态做决策,依此反复进行。参与者根据己方报酬函数的最大化选择策略对于攻击方：t为第一类威胁时,t对节点i的保密性、完整性和可用性均有损害,记为Vt(si(k))=pt*pv*(u*valueai),对TPN(t,k)中所有节点按同样的方式计算t为第二类攻击时，t对节点i及其相关路径的可用性造成损害,对i可用性造成的损害为Vt(si(k))=pt*pv*Δρai*valueai，valueai取节点可用性价值分量Vt(ej(k))=pt*pv*Δρej*valueej为t对第j条路径的可用性损害博弈过程网络中的FTP和HTTP两个服务器通过交换机放置通过防火墙相隔离.远程办公室主机经交换机相连后远程访问公司网络,NetScreen204是带防火墙的路由器,Internet用户通过该路由器访问公司网络资源,整个公司部署一个硬件IDS.在DMZ区;内网办公区主机由交换机划分为2个VLAN,并与外界态势感知系统首先进行安全数据检测,包括对每个网络节点部署资产识别,对每个主机和两个服务器部署恶意代码检测和脆弱性扫描,对IDS、防火墙、路由器和交换机部署渗透测试和在线测试,同时收集IDS报警日志数据;接着,根据检测数据融合得到资产集合、威胁集合、脆弱性集合.然后,对威胁集合中的每个威胁建立TPN,根据TPN建立Markov博弈模型,分析威胁的安全态势;最后,由