day19 part1:网络安全态势感知
网络安全态势感知
《网络安全态势感知研究综述》席荣荣,云晓春,金舒原等
在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。
态势感知SA(Situation Awareness):在一定时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测。
根据网络安全态势感知的功能,可分为:
1.网络安全态势要素的提取
2.网络安全态势的评估
3.网络安全态势的预测
一、网络安全态势要素的提取
网络安全态势要素:静态配置信息(网络拓扑信息,脆弱性信息,状态信息等基本环境配置信息),动态运行信息(从各种防护措施的日志采取和分析技术获取的威胁信息等基本运行信息)。
网络安全态势要素的提取存在的问题:1.国外的研究从某种单一的角度采集信息, 无法获取全面的信息。2. 国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度。3. 缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。
二、网络安全态势的评估
网络安全态势评估的核心是数据融合。从宏观角度考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。
数据融合算法:基于逻辑关系的融合方法、基于数学模型的融合方法,基于概率统计的融合方法、基于规则推理的融合方法。
1.基于逻辑关系的融合方法
典型应用是警报关联,是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观的攻击态势。
警报之间的逻辑关系分为:警报属性特征的相似性,预定义攻击模型中的关联性,攻击的前提和后继条件之间的相关性。
该方法的局限性:融合的数据源为单源数据;逻辑关系的获取存在很大难度(如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大难度);逻辑关系不能解释系统中存在的不确定性。
2.基于数学模型的融合方法
综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合R到态势空间θ的映射关系。
典型方法是加权平均法。融合函数通常由态势因素和其重要性权值确定。
局限性:权值选择没有统一标准,数据源的不确定性。
3. 基于规则推理的融合方法
充分利用先验知识的统计特性,结合信息的不确定性,建立态势评估模型,然后通过模型评估网络的安全态势。
典型方法是贝叶斯网络和隐马尔可夫模型(HMM)。
优点:能够融合最新的证据信息和先验知识,推理过程清晰易于理解。
局限性:1.统计模型的建立需要依赖一个较大的数据源,在实际工作中会占有很大的工作量,且模型需要的存储量和匹配计算的运算量较大,容易造成维数爆炸问题,影响态势评估的实时性。2.特征提取、模型构建和先验知识的获取存在一定困难。
4. 基于规则推理的融合方法
首先,模糊量化多元多属性信息的不确定性,然后利用规则进行逻辑推理,实现网络安全态势评估。
研究热点是D-S证据组合方法和模糊逻辑。
D-S证据组合方法:对单源数据每一种可能决策的支持程度给出度量。在网络安全态势评估中,首先建立证据和命题之间的逻辑关系,即态势因素到态势状态的汇聚方式,确定基本概率分配,然后根据到来的证据,即每一则事件发生的上报信息,使用证据合成规则进行证据合成,得到新的基本概率分配,并把合成后的结果送到决策逻辑进行判断,将具有最大置信度的命题作为备选命题。当备选命题的置信度超过一定的阈值,证据达到要求,即认为该命题成立,态势呈现某种状态。
模糊逻辑:处理人类认知不确定性的数学方法,对于模型未知或不能确定的描述系统,应用模糊集合和模糊规则进行推理,实行模糊综合判断。在网络安全态势评估中,首先对单源数据进行局部评估,然后选取相应的模型参数,对局部评估结果建立隶属度函数。将其划分到相应的模糊集合,实现具体值的模糊化,将结果进行量化。量化后,如果某个状态属性值超过预先设定的阈值,则将局部评估结果作为因果推理的输入,通过模糊规则推理对态势进行分类识别,从而完成对当前态势的评估。
优点:不需要精确了解概率分布,当先验概率难以获得时该方法更有效。
缺点:计算复杂度高,证据出现冲突时准确性会受到严重影响。
三、网络安全态势的预测
一般采用神经网络、时间序列预测法和支持向量机等方法。
神经网络:最常用。首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型,然后运用模型,实现从输入状态到输出状态空间的非线性映射。优点:自学习,自适应性和非线性处理。缺点:难以提供可信的解释,训练时间长,过度拟合,训练不足等。
时间序列预测法:通过时间序列的历史数据揭示态势随时间变化规律,将这种规律延伸到未来,从而对态势的未来做出预测。优点:应用方便,可操作性较好。缺点:要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程很复杂。
支持向量机:一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。
对比:
神经网络算法主要依靠经验风险最小化原则,容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时,学习过程误差易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,又陷入维数灾难,泛化性能不高。
时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是不理想。
支持向量机有效避免了上述算法所面临的问题,预测绝对误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。
三、网络安全态势的未来研究方向
1.网络安全态势的形式化描述。
2.准确而高效的融合算法的研究。
3.预测算法的研究。