【读书笔记】网空态势感知理论与模型（二）

7. 主要研究成果

（2）实现对“盲点”的监控

2.1 以任务为中心的网空态势感知框架

框架提出的原因，首先，攻击图不能为每一种攻击模式提供对可能性或者对复杂组织体或任务所造成影响的评估机制。其次，告警关联的规模可扩展性问题未得到解决。

该框架可用于实时分析海量的原始安全数据。可能会涉及到当前的态势情境、攻击的影响与演化、攻击者的行为、取证分析、可用信息与模型的质量，以及对未来攻击的预测。

主要组件如下：

第一，引入了广义依赖关系图的概念，可以描绘网络组件间但是如何相互依赖。

第二，通过时间跨度分布来验证对攻击图的传统定义，用于对所了解的攻击者行为概率分布情况编码。

第三，引入攻击场景图。结合了依赖关系图和攻击图，已知漏洞与最终可能受影响的任务或服务联系起来。

第四，为检测和预测提出了高效的算法。

第五，基于按需生产部分攻击图的方法，开发了能高效评估0Day漏洞风险的方法。

第六，要回答安全分析人员可能提出的问题，就一定要通过定义安全度量指标来定义防御体系的若干方面，如面对0Day攻击时的健壮性。基于攻击图开发了一套能够度量全网网空安全风险的指标。

2.2 自动解释安全告警

超图告警机制（HAM）：用于解决如何自动化从一组Snort规则中学习到一套超图告警机制。

针对复杂图形的可达性属性，适当修改以便解决时间约束和超图结构方面的问题，进而对安全分析人员所面对的某个告警组合做出解释。