1、1網絡安全態勢感知綜述網絡安全態勢感知綜述席榮榮 云曉春 金舒原 2文章概述文章概述基于態勢感知的概念模型，詳細闡述了態勢感知的三個主要研究內容：網絡安全態勢要素提取、態勢理解和態勢預測，重點論述了各個研究點需解決的核心問題、主要算法以及各種算法的優缺點，最后對未來的發展進行了分析和展望。3概念概述概念概述1988年，Endsley首先提出了態勢感知的定義：在一定的時空范圍內，認知、理解環境因素，并且對未來的發展趨勢進行預測。4概念概述概念概述 1999年，Tim Bass提出：下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態勢感知。 基于數據融合的JDL

2、模型，提出了基于多傳感器數據融合的網絡態勢感知功能模型。 基于網絡安全態勢感知的功能，本文將其研究內容歸結為3個方面:網絡安全態勢要素的提取;網絡安全態勢的評估；網絡安全態勢的預測51、網絡安全態勢要素的提取、網絡安全態勢要素的提取網絡安全態勢要素主要包括靜態的配置信息、動態的運行信息以及網絡的流量信息。靜態的配置信息：網絡的拓撲信息，脆弱性信息和狀態信息等基本配置信息動態的運行信息：從各種防護措施的日志采集和分析技術獲取的威脅信息等。62、網絡安全態勢的理解、網絡安全態勢的理解在獲取海量網絡安全信息的基礎上，解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態勢，本文稱為態勢評估。數據融

3、合式態勢評估的核心。應用于態勢評估的數據融合算法，分為以下幾類：基于邏輯關系的融合方法基于數學模型的融合方法基于概率統計的融合方法基于規則推理的融合方法7基于邏輯關系的融合方法基于邏輯關系的融合方法依據信息之間的內在邏輯，對信息進行融和，警報關聯是典型的基于邏輯關系的融合方法。警報關聯是指基于警報信息之間的邏輯關系對其進行融合，從而獲取宏觀的攻擊態勢警報之間的邏輯關系：警報屬性特征的相似性預定義攻擊模型中的關聯性攻擊的前提和后繼條件之間的相關性8基于數學模型的融合方法基于數學模型的融合方法綜合考慮影響態勢的各項態勢因素，構造評定函數，建立態勢因素集合到態勢空間的映射關系。加權平均法是最常用、最

4、有代表性、最簡單的基于數學模型的融合方法。加權平均法的融合函數通常由態勢因素和其重要性權值共同確定優點：直觀缺點：權值的選擇沒有統一的標準，大多是根據經驗確定。9基于概率統計的融合方法基于概率統計的融合方法基于概率統計的融合方法，充分利用先驗知識的統計特性，結合信息的不確定性，建立態勢評估的模型，然后通過模型評估網絡的安全態勢。常見基于概率統計的融合方法：貝葉斯網絡隱馬爾可夫模型貝葉斯網絡貝葉斯網絡)()(BPABP貝葉斯公式： P(B)=貝葉斯網絡：一個貝葉斯網絡是一個有向無環圖（DAG），其節點表示一個變量，邊代表變量之間的聯系，節點存儲本節點相當于其父節點的條件概率分布。11貝葉斯網絡貝

5、葉斯網絡X1,X2.X7的聯合概率分布：12隱馬爾可夫模型隱馬爾可夫模型隱馬爾可夫模型是馬爾可夫鏈的一種，它的狀態不能直接觀察到，但能通過觀測向量序列觀察到，每一個觀測向量是由一個具有相應概率密度分布的狀態序列產生。所以，隱馬爾可夫模型是一個雙重隨機過程13隱馬爾可夫模型隱馬爾可夫模型14隱馬爾可夫模型隱馬爾可夫模型假設我們開始擲骰子，我們先從三個骰子里挑一個，挑到每一個骰子的概率都是1/3。然后我們擲骰子，得到一個數字，1，2，3，4，5，6，7，8中的一個。不停的重復上述過程，我們會得到一串數字，每個數字都是1，2，3，4，5，6，7，8中的一個。例如我們可能得到這么一串數字（擲骰子10次

6、）：1 6 3 5 2 7 3 5 2 4 隱含狀態鏈有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8轉換概率(隱含狀態）輸出概率：可見狀態之間沒有轉換概率，但是隱含狀態和可見狀態之間有一個概率叫做輸出概率可見狀態鏈15隱馬爾可夫模型隱馬爾可夫模型16隱馬爾可夫模型隱馬爾可夫模型隱馬爾科夫的基本要素，即一個五元組S,N,A,B,PI；S：隱藏狀態集合；N：觀察狀態集合；A：隱藏狀態間的轉移概率矩陣；B：輸出矩陣（即隱藏狀態到輸出狀態的概率）；PI：初始概率分布（隱藏狀態的初始概率分布）； 17優缺點評價優缺點評價優點：可以融合最新的證據信息和先驗知識，過程清晰，易于理解缺點

7、：要求數據源大，同時需要的存儲量和匹配計算的運算量也大，容易造成位數爆炸，影響實時性1.特征提取、模型構建和先驗知識的獲取有一定困難。18基于規則推理的融合方法基于規則推理的融合方法基于規則推理的融合方法，首先模糊量化多源多屬性信息的不確定性; 然后利用規則進行邏輯推理，實現網絡安全態勢的評估。D-S證據組合方法和模糊邏輯是研究熱點19D-S證據理論證據理論是一種不確定推理方法，證據理論的主要特點是：滿足比貝葉斯概率論更弱的條件；具有直接表達“不確定”和“不知道”的能力。概率分配函數：設 為樣本空間，其中具有 個元素，則 中元素所構成的子集的個數為個。概率分配函數的作用是把 上的任意一個子集

8、都映射為0，1上的一個數 （）。信任函數：似然函數：20D-S證據理論證據理論信任區間 ：Bel(A)，pl(A)表示命題A的信任區間，Bel(A)表示信任函數為下限，pl(A)表示似真函數為 上限21模糊集合處理某一問題時對有關議題的限制范圍稱為該問題的論域。1、論域、論域2、集合、集合在論域中，具有某種屬性的事物的全體稱為集合。3、特征函數、特征函數設A是論域U上的一個集合，對任何uU，令AAuCAu0u1)(當當則稱CA(u)為集合A的特征函數。顯然有： A= u | CA(u) =1 22模糊集合4、隸屬函數、隸屬函數設U是論域，A是將任何uU映射為0，1上某個值的函數，即： A ：U

9、0，1 u A(u)則稱A為定義在U上的一個隸屬函數23模糊集合5、模糊集、模糊集設A= A(u) | uU , 則稱A為論域U上的一個模糊集。當隸屬函數只取0,1時，隸屬函數就是特征函數。A (u)稱為u對模糊集A的隸屬度。24模糊集的表示方法模糊集合可以有以下兩種表示方法：1. 扎德（Zadeh）表示法niiiAuuA1)(1) 當論域U為離散集合時，一個模糊集可以表示為：(2) 當論域U為連續集合時，一個模糊集可以表示為：uiiAuuA)(注：此處的積分和求和符號都不代表實際運算，只是一種表示方法而已。25模糊集的表示方法2. 序對表示法模糊集中的每個元素都可以表示成（元素、隸屬度）這樣

10、一個序對，基于這種思想，模糊集可表示如下：)| )(,(UuuuAA26模糊關系1. 關系的定義關系的定義關系是客觀世界存在的普遍現象。如父子關系、大小關系、屬于關系、二元關系、多元關系、多邊關系等等直積（笛卡爾積）體現了兩個集合之間的關系。在普通集合中，設論域U和V，從U到V的一個關系定義為直積UV的一個子集R，記作：VUR例7 設有集合A=1,2,5，B=3,2，求A、B的二元關系R解：BAR)2 , 5(),3 , 5(),2 , 2(),3 , 2(),2 , 1 (),3 , 1(27模糊關系此處的關系R同樣為二元關系。隸屬函數表示形式為：VvUuvuR,),(其隸屬函數的映射： 1

11、 , 0),(vuR元素(u0,v0)的隸屬度為R(u0,v0) ，表示u0和v0具有關系R的程度2. 模糊關系模糊關系設論域U和V，則UV 的一個子集R，就是U到V的模糊關系，同樣記作：VUR283、網絡安全態勢的預測、網絡安全態勢的預測網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態對網絡未來一段時間的發展趨勢進行預測。目前網絡安全態勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法29基于基于 Markov 博弈模型的網絡安全博弈模型的網絡安全態勢感知方法態勢感知方法 張勇 譚小彬 崔孝林30本文提出一種基于 Markov 博弈分析的網絡安全態勢感知方法，分析了威脅傳播對

12、網絡系統的影響,準確全面地評估系統的安全性。對多傳感器檢測到的安全數據進行融合,得到資產、威脅和脆弱性的規范化數據;對每個威脅,分析其傳播規律,建立相應的威脅傳播網絡;通過對威脅、管理員和普通用戶的行為進行博弈分析,建立三方參與的 Markov 博弈模型，從而實時動態的評估網絡安全態勢，并給出最佳加固方案31網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢32威脅傳播分析威脅傳播分析網絡系統的各個節點相互連接,當系統中某個節點被成功攻擊后,威脅可以傳播到與該節點相關聯的其他節點,從而使這些節點遭受安全威脅.資產：對系統有價值的資源資產類型：主機、

13、服務器、路由器、網關、防火墻、IDS.資產價值：包含資產保密性價值、完整性價值、可用性價值性能利用率：分5個等級，隨著等級的增長,性能利用率指數增長. 威脅：對資產造成損害的外因33 威脅類型：病毒、蠕蟲、木馬等惡意代碼和網絡攻擊,根據對系統的損害方式將威脅分為兩類：占網絡資源少的威脅,包括木馬、病毒和網絡攻擊等,對系統節點的保密性、完整性和可用性均有影響,大量耗費系統資源的威脅,以蠕蟲和 DDoS 攻擊為代表,主要對系統的可用性造成影響脆弱性：可以被威脅利用的薄弱環節通過對檢測數據的融合,得到系統中所有的資產、威脅和脆弱性數據,構成資產集合、威脅集合和脆弱性集合. 34威脅傳播網絡威脅傳播網

14、絡威脅傳播節點：系統中受威脅影響的節點, Node=(ida, valuea, pa, tf, vf)威脅傳播路徑: 系統中傳播威脅的鏈路 Path=（idas，idad, valuee, Pe, pe)Pe指路徑被切斷后對系統造成的損失,是路徑帶寬利用率,與資產的性能利用率類似,分為 5 個等級;pe表示威脅通過該路徑成功擴散的概率,分為 5 個等級,每提高一個等級,威脅成功傳播概率線性增加. 威脅傳播網絡TPN:包含 t 所有的傳播節點和傳播路徑,用TPN（t）=Nodes,Paths表示。35基于 Markov博弈分析的態勢量化評估基于時間序列分析的態勢預測36Markov博弈模型的建立

15、博弈模型的建立 博弈三方: 攻擊方：威脅 防守方：管理員 中立方：用戶狀態空間：TPN(t)的所有可能狀態組成狀態空間 k時刻狀態空間為 TPN(t,k)=si(k), ej(k),i=1,2,.M j=1,2,.N行為空間：博弈三方所有可能的行為集合攻擊方：ut防守方：uv， 修補某個脆弱性、切斷某條傳播路徑或關閉某個網絡節點用戶： uc，簡化為網絡訪問率提高 10%和降低 10% 37轉移概率：隨著博弈各方的行為選擇,系統的狀態不斷變化p(TPN(t, k+1)|TPN(t, k),utk,uvk,uck)描述系統狀態變化規律報酬函數：博弈結束后各方的得失攻擊方：用對系統的損害表示防守方：

16、用管理員采取安全措施后所能減少的損害表示中立方：用所有普通用戶對系統服務的利用程度表示38博弈過程博弈過程 博弈過程是各方參與者根據系統當前狀態從行為空間中選取一個行為,然后系統轉移到新的狀態,參與者再根據新狀態做決策,依此反復進行。參與者根據己方報酬函數的最大化選擇策略 對于攻擊方：t 為第一類威脅時,t 對節點 i 的保密性、完整性和可用性均有損害,記為Vt(si(k)=pt*pv*(u*valueai), 對 TPN(t,k)中所有節點按同樣的方式計算 t為第二類攻擊時，t 對節點 i 及其相關路徑的可用性造成損害,對 i 可用性造成的損害為 Vt(si(k)=pt*pv*ai *val

17、ueai，valueai取節點可用性價值分量Vt(ej(k)=pt*pv*ej*valueej為 t 對第 j 條路徑的可用性損害39對于防守方：管理員對節點 i 實施安全措施會帶來兩方面的影響:減少威脅 t 的損害和影響網絡性能安全措施對i節點可用性的影響：對 i 相關路徑的性能影響為：其中,Vv(ej(k)= ej * valueej為對第 j 條路徑的影響40安全措施減少 t 的損害與威脅類型有關: t 為一類威脅時,減少 t 的損害為Vt(si(k),從而,防守方的一步報酬用公式(2a)表示: t 為二類威脅時,減少 t 的損害為對于中立方,普通用戶根據網絡的延遲、服務的可訪問性等改變

18、訪問率.中立方的一步報酬為 N 個節點和M 條路徑的利用率之和,用公式(3)表示:41威脅通過 TPN(t,k)向未感染的節點傳播，根據以上對于兩類威脅統一用公式(4)表示：中立方：4243例子博弈過程例子博弈過程 k 時刻,只在節點 1 上檢測到 t,系統處于狀態 A; k+1 時刻,t 向節點 3 傳播,管理員加固節點 3,普通用戶訪問率不變.系統如果跳轉到狀態 B,表示加固方案執行沒有成功并且威脅成功傳播;如果跳轉到狀態 C,表示加固方案執行成功或 t 在該方向傳播失敗; k+2 時刻,以狀態 B 為例,t 向節點 2、節點 4、節點 1 傳播,管理員加固節點 1,普通用戶訪問率不變.系

19、統如果跳轉到狀態 D,表示威脅成功傳播到節點 2 和節點 4,節點 1 加固方案執行成功或 t 在該方向傳播失敗. 4445系統 k 時刻,t 為一類威脅時,t 的保密性態勢和完整性態勢的評估方法類似,不計中立方行為的影響,用公式(6a)表示,相應的加固方案用公式(7a)表示:系統 k 時刻,在對 t 的可用性態勢評估時,需要考慮中立方行為的影響,并且需要區分 t 屬于不同類型的威脅,可用性態勢用公式(6b)表示,相應的加固方案用公式(7b)表示.其中,*表示 1 或者 2:46態勢評量化估算法態勢評量化估算法網絡安全態勢評估算法主要包括 3 個步驟:檢測數據融合、威脅傳播網絡(TPN)建立、

20、Markov 博弈模型評估。算法 1. 網絡安全態勢量化評估算法.輸入:數據采集模塊檢測到的各類安全數據; 輸出:網絡安全態勢. 1. 對檢測模塊測得得安全數據進行融合,得到資產集合、威脅集合、脆弱性集合和網絡結構信息; 2. 根據檢測模塊得到的網絡信息,綜合資產集合、威脅集合和脆弱性集合,對威脅集合中每個威脅 t 建立該威脅的威脅傳播網絡 TPN(t); 3. 根據 TPN(t),對 t 建立 Markov 博弈模型,計算 t 的保密性損害,評估 t 的保密性態勢; 4. 根據 TPN(t),對 t 建立 Markov 博弈模型,分析管理員應對 t 保密性損害的最佳加固方案; 475. 按照步驟(3)、步驟(4)類似的方法,評估 t 的完整性態勢和可用性態勢,并分析相應的最佳加固方案； 6. 將威脅集合中所有威脅保密性損害求和,評估網絡保密性態勢; 7. 按照步驟(6)同樣的計算方法,評估系統的完整性態勢和可用性態勢; 8. 根據不同應用需求,采用加權模型評估網絡的整體安全態勢. 48子算法 2. 單個威脅保密性態勢評估算法. 輸入:威脅集合中某個威脅的 TPN(t); 輸