网络安全态势感知综述

网络安全事关国家安全和经济社会稳定,网络安全态势感知作为一种高效智能的新时代网络安全防护体系,正在得到国内外学者的高度关注和广泛研究。从态势感知的发展历程和相关概念出发,对网络安全态势感知的现有研究进行了梳理与对比,根据一种基于数据融合的网络安全态势感知框架,总结分析了网络安全态势提取、网络安全态势评估、网络安全态势预测三个层面的主要技术优缺点,并据此对其未来发展方向进行了分析与展望。     

网络安全态势感知中的威胁情报技术

2016年,习近平总书记在全国网信工作座谈会上作出重要指示：要加强大数据挖掘分析,更好感知网络安全态势,做好风险防范。为应对网络安全面临的严峻挑战,很多大型行业及企业响应国家政策号召,积极倡导、建设和应用态势感知系统。网络安全态势感知是保障网络安全的有效手段,利用态势感知发现潜在威胁、做出响应已经成为网络安全的研究重点。目前提出的各种网络安全态势感知技术及方法,大多以小规模网络为研究背景。随着网络规模的扩大,出现了例如APT这样的新型高级攻击手段,导致态势感知技术的准确性大为降低,可操作性也变得更加困难。近年来,威胁情报的出现为态势感知的研究带来了新思路,成为态势感知研究领域的一个新方向。对传统态势感知研究和威胁情报在网络安全态势感知上的应用进行了归纳总结。传统网络安全态势感知的研究一般分为3部分,即态势察觉、态势理解、态势投射,主要过程是通过对目标系统安全要素的提取,分析安全事件的影响,最终实现对网络中各种活动的行为识别、察觉攻击,并对网络态势进行评估和预测,为网络安全响应提供正确决策。对威胁情报在网络安全态势感知上的应用从3个场景进行了讨论：1）态势察觉：利用威胁情报进行攻击行为的识别,提取相关的攻击特征,确定攻击意图、方法及影响;2）态势理解：确定攻击行为及其特征后,对攻击行为进行理解,通过共享威胁情报中攻击行为的处置方法,确定攻击者的攻击策略;3）态势投射：通过分析威胁情报中攻击事件、攻击技术、漏洞等信息,评估当前系统面临的风险,预测其可能遭受的攻击。威胁情报主要是利用大数据、分布式系统等收集方法获取的,具有很强的自主更新能力,能够提供最全、最新的安全事件数据,极大提高网络安全态势感知工作中对新型和高级别危险的察觉能力。通过威胁情报共享机制,可使安全管理员对所处行业面临的威胁处境、攻击者类型、攻击技术及防御策略信息有更加深入的了解,对企业正在经历或潜在的威胁进行有效防御,提高态势感知分析的准确率与效率,以及对安全事件的响应能力。     

基于网络服务状态分析的安全态势定量感知方法

针对网络安全状况量化分析难的现状,运用博弈论开展基于影响模型的网络安全态势定量感知方法研究.该方法将网络服务状态作为基本态势要素,综合考虑网络系统中存在的攻防行为,建立了网络安全态势博弈模型,并对状态空间、策略集和效用函数等模型参数给出了明确定义,经仿真实验找到该模型的Nash均衡解,在均衡局势下攻防双方达到收益平衡,完成了对网络安全态势的定量刻画.研究表明,该方法无需考虑攻击行为细节,具有效率高、实时性较强等特点,全面完成了对网络安全态势的量化分析,为安全管理员正确决策提供支持.     

三维可视化安全态势感知技术研究

网络态势可视化技术作为一项新技术,是网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对网络异常行为的分析和检测。同时还选择安全态势可视化中的一种视图,开展了三维可视化技术的研究,介绍该软件的设计开发流程,并基于OpenGl开发平台对其进行了编码实现。     

网络安全态势感知研究新进展

网络安全态势感知(Network Security Situation Awareness,NSSA)是目前网络安全领域的热点研究内容,开展NSSA的研究,对提高网络安全水平有着重要的意义。首先对态势感知和网络态势感知的含义进行了介绍,然后给出了NSSA的概念;其次,对NSSA模型进行了详细的描述,并重点介绍了国内外基于融合的NSSA模型的研究现状;再次,对NSSA的关键技术进行了详尽的阐述和分析,主要包括多源融合、态势感知和态势预测等技术;以此为基础,提出了一个具体的NSSA系统实现;最后,总结了全文并对NSSA的发展做了展望。     

燃气企业信息化网络的安全加固实践

为了阐述网络安全与燃气企业信息化实践的紧密联系，以某燃气公司信息化网络安全加固为例，介绍网络安全加固方案的建立及实践过程。通过双机热备方式在外网出入口部署下一代防火墙、上网行为管理和核心交换设备、全域网络设备安装EDR，在核心网络部署安全态势感知平台SIP和安全潜伏威胁探针STA、增加日志审计系统等方式，保障了网络稳定运行，消除了网络安全隐患，实时监测了网络状况和安全威胁，进而达到了网络全方位加固的目的。     

网络安全态势感知研究现状与发展趋势

随着互联网技术的飞速发展,网络空间中网络安全事件频发,影响巨大,全球各国都将网络安全态势感知(network security situation awareness,简称NSSA)视作网络安全战略布局的关键.文章从三个方面对其进行论述:①结合传统态势感知逻辑模型,阐述网络安全态势感知的相关概念;②从网络安全态势要素提取、态势理解、态势预测等几个层面,对网络安全态势感知关键技术进行介绍、分析和对比;③对网络安全态势感知的发展趋势和未来的研究方向进行探讨.     

网络安全态势感知中数据融合算法应用综述

网络安全态势感知研究中,目前亟需解决的一个重要问题是如何更好地整合和关联来自多个网络安全设备的安全数据,并通过综合分析网络攻击的类型和感知其他事件,可以确定攻击的性质和可能造成的影响,及时报警和预警。数据融合技术是网络安全态势感知的重要技术基础。本文对近几年常用的数据融合算法进行综述。研究结果表明,目前的技术焦点呈现多样性,但在态势评估及预测方面仍有改进的空间。     

基于多源融合的网络安全态势感知模型

为解决多阶段网络安全态势感知的多源融合与态势评估问题,建立了基于多源融合的网络安全态势感知模型。以模型为指导,利用粒子群算法实现D-S证据融合中的权值寻优,降低融合的不确定性。结合对威胁因子和威胁等级函数关系的推演,提出了面向攻击轨迹的层次化态势评估方法,实现攻击阶段、攻击轨迹和网络3个层次的威胁评估。仿真实验表明,提出的模型和方法是有效的和准确的,能够感知网络安全态势动态演化情况,为监控和管理网络提供了新的方法和手段。     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

基于贝叶斯网络的网络安全态势评估方法研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,提出了一种新的网络安全态势评估方法。将贝叶斯网络应用于网络安全态势评估中,根据多树型网络推理,利用贝叶斯网络的图形结构,提出了由点到面、自下向上相互影响的多元化安全态势评估模型。并将网络及主机工具采集的信息作为事件节点的证据来更新态势节点的概率,并反过来影响事件节点的概率,从而预测网络安全态势。     

基于服务影响分析的网络安全态势定量感知方法

根据服务与配置间的资源依存关系,选取服务可用性与服务性能作为影响分析的重要指标,将网络服务运行状态抽象为安全态势基本要素.引入混合策略博弈刻画网络空间攻防双方的安全交互,建立网络攻防博弈形式化模型,并对模型中的策略空间、转移规则、效用函数等给出了明确定义.实验结果表明,该方法可定量刻画Nash均衡时博弈双方的收益情况,完成了网络安全态势的量化分析与自动生成,为安全管理员正确决策提供支持.采用服务影响分析方法屏蔽了系统配置及入侵行为细节,效率高、实时性强,有助于网络安全态势感知研究的发展.     

攻防对抗环境下的网络安全态势评估技术研究

为了弥补当前网络安全态势评估系统的不足,提出了一种基于攻防对抗环境的网络安全态势量化评估算法。该方法在深入分析影响安全态势各项因素的基础上,将传统的风险评估与网络防护状况、资产安全特性等环境因素相结合,提取出多个量化指标,按照攻击类别进行安全态势的量化评估。实验结果表明,该方法能够为安全管理人员提供更为客观、详实的态势信息,使之更为清晰地把握整个网络的安全状况。     

基于抗体浓度的网络安全态势感知模型

提出了一个基于抗体浓度的网络安全态势实时定量感知模型.给出了模型中抗原、抗体、抗体浓度等概念的定义及其形式化表示,论述了模型的体系架构和工作原理,并与相关技术进行了综合对比.理论分析和实验结果表明该模型是有效的,且具有实时性好、自适应能力强等优点,为实时、定量感知计算机网络与信息系统的安全风险提供了一种新思路.     

基于PSO-TSA模型的网络安全态势要素识别研究

针对网络安全态势感知技术中态势要素提取的质量与效率较低的问题,提出了融合粒子群（Particle Swarm Optimization,PSO）和模拟退火（Simulated Annealing,SA）的态势要素识别模型PSO-TSA.在位置更新模块,利用Metropolis准则对PSO算法中的个体极值和全局极值进行退火优化,增加粒子的选择性,提高态势要素提取质量.在参数优化模块,利用Metropolis准则优化PSO算法中的参数,并对参数优化过程和粒子适应度同时进行评价,避免算法陷入局部最优,提高态势要素识别效率.按照目前网络状态的实际需求,选择了37个网络安全数据字段,搭建了小型网络环境,以获取更加真实的网络安全数据集SDS-W.在开放网络安全数据集和获取的SDS-W数据集上分别进行态势要素识别实验,实验证明,PSO-TSA在时间成本保持不变甚至更少的基础上,态势要素识别的精确度平均提升了5%~7%.     

基于移动Agent的网络安全态势感知模型

本文针对现有框架模型存在数据源单一或多源同质、响应延迟大、自我保护性差、稳定性和容错能力差等缺点,借助移动Agent的优点,提出一种网络安全态势感知系统框架模型,该框架结构自下而上依次分为信息获取层、数据预处理层、态势决策层,建立了一个系统化、动态化、分布式、自适应的网络安全态势框架结构,利用PEPA形式化建模语言对框架模型进行分析,验证了框架模型的合理性。     

网络安全态势感知框架及随机森林评估模型

针对传统网络安全态势感知评估过多依赖专家经验的问题,提出一种基于随机森林的多层次网络安全态势感知(Cyber Security Situational Awareness,CSSA)框架评估模型.首先将CSSA的过程与安全数据生命周期进行对齐,并分析CSSA的需求,提出CSSA多层次分析框架,然后采用随机森林算法,构建CSSA评估模型,该模型基于多个分类器组合的思想,由决策树构成,每棵树依赖于独立样本,以及森林中所有树的随机向量分布相同的值.在进行分类时,每棵树投票并返回票数最多的类,这使得网络安全态势评估更为客观和准确.实验表明,与贝叶斯网络相比,此模型可以更快速、更准确地评估当前的网络安全情况.     

基于时间序列分析的网络安全态势预测

针对现有网络安全态势预测的信息来源单一、缺乏实时性等问题,通过考察网络安全态势变化特点,提出了基于时间序列分析的预测方法.首先构建主机上一系列隐马尔可夫预测模型,充分利用多源异构信息,刻画不同时刻主机安全态势的前后依赖关系,预测主机下一时刻的安全态势;再综合考虑网络上所有主机安全态势,量化计算出下一时刻的网络安全态势,间接地预测网络安全态势变化规律及发展方向.通过真实网络环境的实验,验证了文中提出的方法在网络安全态势预测中的可行性和有效性.     

基于信息融合的网络安全态势感知模型

在分析已有的安全态势评估和预测方法的基础上,提出了基于信息融合的网络安全态势感知模型.该模型采用D-S证据理论对多源网络安全数据进行融合,计算漏洞、服务、主机、网络的安全态势值.同时根据历史安全态势评估结果,利用支持向量回归理论对未来态势进行预测.相比已有的安全态势评估和预测方法,该模型的结构更加完整,结果更为准确有效.     

基于粒子群优化的网络安全态势要素获取

针对网络安全态势感知中态势要素获取困难问题,给出一种基于粒子群优化的网络安全态势要素获取模型.在获取模型中,引入模糊技术对输入的历史态势要素集进行模糊化预处理后,转化为模糊逻辑规则,映射到神经网络层与层之间,以提高神经网络的学习能力.利用粒子群优化算法优化神经网络的连接权以提高神经网络的学习精度和速度.仿真实验结果表明,该模型是一种有效可行的态势要素提取技术,并具有较好的泛化能力.