网络安全态势感知综述课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全态势感知综述课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 态势 感知 综述 课件
- 资源描述:
-
1、a1网络安全态势感知综述网络安全态势感知综述席荣荣 云曉春 金舒原 a2文章概述文章概述基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述了各个研究点需解决的核心问题、主要算法以及各种算法的优缺点,最后对未来的发展进行了分析和展望。a3概念概述概念概述1988年,Endsley首先提出了态势感知的定义:在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测。a4概念概述概念概述 1999年,Tim Bass提出:下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知。基于数据融合的
2、JDL模型,提出了基于多传感器数据融合的网络态势感知功能模型。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:网络安全态势要素的提取;网络安全态势的评估;网络安全态势的预测a51、网络安全态势要素的提取、网络安全态势要素的提取网络安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息。静态的配置信息:网络的拓扑信息,脆弱性信息和状态信息等基本配置信息动态的运行信息:从各种防护措施的日志采集和分析技术获取的威胁信息等。a62、网络安全态势的理解、网络安全态势的理解在获取海量网络安全信息的基础上,解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势,本文称为态势评估
3、。数据融合式态势评估的核心。应用于态势评估的数据融合算法,分为以下几类:基于逻辑关系的融合方法基于数学模型的融合方法基于概率统计的融合方法基于规则推理的融合方法a7基于逻辑关系的融合方法基于逻辑关系的融合方法依据信息之间的内在逻辑,对信息进行融和,警报关联是典型的基于逻辑关系的融合方法。警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观的攻击态势警报之间的逻辑关系:警报属性特征的相似性预定义攻击模型中的关联性攻击的前提和后继条件之间的相关性a8基于数学模型的融合方法基于数学模型的融合方法综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合到态势空间的映射关系。加权平均法
4、是最常用、最有代表性、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定优点:直观缺点:权值的选择没有统一的标准,大多是根据经验确定。a9基于概率统计的融合方法基于概率统计的融合方法基于概率统计的融合方法,充分利用先验知识的统计特性,结合信息的不确定性,建立态势评估的模型,然后通过模型评估网络的安全态势。常见基于概率统计的融合方法:贝叶斯网络隐马尔可夫模型贝叶斯网络贝叶斯网络)()(BPABP贝叶斯公式:P(B)=贝叶斯网络:一个贝叶斯网络是一个有向无环图(DAG),其节点表示一个变量,边代表变量之间的联系,节点存储本节点相当于其父节点的条件概率分布。a1
5、1贝叶斯网络贝叶斯网络X1,X2.X7的联合概率分布:a12隐马尔可夫模型隐马尔可夫模型隐马尔可夫模型是马尔可夫链的一种,它的状态不能直接观察到,但能通过观测向量序列观察到,每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以,隐马尔可夫模型是一个双重随机过程a13隐马尔可夫模型隐马尔可夫模型a14隐马尔可夫模型隐马尔可夫模型假设我们开始掷骰子,我们先从三个骰子里挑一个,挑到每一个骰子的概率都是1/3。然后我们掷骰子,得到一个数字,1,2,3,4,5,6,7,8中的一个。不停的重复上述过程,我们会得到一串数字,每个数字都是1,2,3,4,5,6,7,8中的一个。例如我们可能得到这么一
6、串数字(掷骰子10次):1 6 3 5 2 7 3 5 2 4 隐含状态链有可能是:D6 D8 D8 D6 D4 D8 D6 D6 D4 D8转换概率(隐含状态)输出概率:可见状态之间没有转换概率,但是隐含状态和可见状态之间有一个概率叫做输出概率可见状态链a15隐马尔可夫模型隐马尔可夫模型a16隐马尔可夫模型隐马尔可夫模型隐马尔科夫的基本要素,即一个五元组S,N,A,B,PI;S:隐藏状态集合;N:观察状态集合;A:隐藏状态间的转移概率矩阵;B:输出矩阵(即隐藏状态到输出状态的概率);PI:初始概率分布(隐藏状态的初始概率分布);a17优缺点评价优缺点评价优点:可以融合最新的证据信息和先验知识
7、,过程清晰,易于理解缺点:要求数据源大,同时需要的存储量和匹配计算的运算量也大,容易造成位数爆炸,影响实时性1.特征提取、模型构建和先验知识的获取有一定困难。a18基于规则推理的融合方法基于规则推理的融合方法基于规则推理的融合方法,首先模糊量化多源多属性信息的不确定性;然后利用规则进行逻辑推理,实现网络安全态势的评估。D-S证据组合方法和模糊逻辑是研究热点a19D-S证据理论证据理论是一种不确定推理方法,证据理论的主要特点是:满足比贝叶斯概率论更弱的条件;具有直接表达“不确定”和“不知道”的能力。概率分配函数:设 为样本空间,其中具有 个元素,则 中元素所构成的子集的个数为个。概率分配函数的作
8、用是把 上的任意一个子集 都映射为0,1上的一个数()。信任函数:似然函数:a20D-S证据理论证据理论信任区间:Bel(A),pl(A)表示命题A的信任区间,Bel(A)表示信任函数为下限,pl(A)表示似真函数为 上限a21模糊集合处理某一问题时对有关议题的限制范围称为该问题的论域。1、论域、论域2、集合、集合在论域中,具有某种属性的事物的全体称为集合。3、特征函数、特征函数设A是论域U上的一个集合,对任何uU,令AAuCAu0u1)(当当则称CA(u)为集合A的特征函数。显然有:A=u|CA(u)=1 a22模糊集合4、隶属函数、隶属函数设U是论域,A是将任何uU映射为0,1上某个值的函
9、数,即:A:U0,1 u A(u)则称A为定义在U上的一个隶属函数a23模糊集合5、模糊集、模糊集设A=A(u)|uU,则称A为论域U上的一个模糊集。当隶属函数只取0,1时,隶属函数就是特征函数。A(u)称为u对模糊集A的隶属度。a24模糊集的表示方法模糊集合可以有以下两种表示方法:1.扎德(Zadeh)表示法niiiAuuA1)(1)当论域U为离散集合时,一个模糊集可以表示为:(2)当论域U为连续集合时,一个模糊集可以表示为:uiiAuuA)(注:此处的积分和求和符号都不代表实际运算,只是一种表示方法而已。a25模糊集的表示方法2.序对表示法模糊集中的每个元素都可以表示成(元素、隶属度)这样
10、一个序对,基于这种思想,模糊集可表示如下:)|)(,(UuuuAAa26模糊关系1.关系的定义关系的定义关系是客观世界存在的普遍现象。如父子关系、大小关系、属于关系、二元关系、多元关系、多边关系等等直积(笛卡尔积)体现了两个集合之间的关系。在普通集合中,设论域U和V,从U到V的一个关系定义为直积UV的一个子集R,记作:VUR例7 设有集合A=1,2,5,B=3,2,求A、B的二元关系R解:BAR)2,5(),3,5(),2,2(),3,2(),2,1(),3,1(a27模糊关系此处的关系R同样为二元关系。隶属函数表示形式为:VvUuvuR,),(其隶属函数的映射:1,0),(vuR元素(u0,
11、v0)的隶属度为R(u0,v0),表示u0和v0具有关系R的程度2.模糊关系模糊关系设论域U和V,则UV 的一个子集R,就是U到V的模糊关系,同样记作:VURa283、网络安全态势的预测、网络安全态势的预测网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法a29基于基于 Markov 博弈模型的网络安全博弈模型的网络安全态势感知方法态势感知方法 张勇 谭小彬 崔孝林a30本文提出一种基于 Markov 博弈分析的网络安全态势感知方法,分析了威胁传播对网络系统的影响,准确全面地评估
展开阅读全文