网络安全态势感知综述

网络安全事关国家安全和经济社会稳定,网络安全态势感知作为一种高效智能的新时代网络安全防护体系,正在得到中外学者的高度关注和广泛研究。从态势感知的发展历程和相关概念出发,对网络安全态势感知的现有研究进行了梳理与对比,根据一种基于数据融合的网络安全态势感知框架,总结分析了网络安全态势提取、网络安全态势评估、网络安全态势预测3个层面的主要技术优缺点,并据此对其未来发展方向进行了分析与展望。     

网络安全态势感知研究新进展

网络安全态势感知(Network Security Situation Awareness,NSSA)是目前网络安全领域的热点研究内容,开展NSSA的研究,对提高网络安全水平有着重要的意义。首先对态势感知和网络态势感知的含义进行了介绍,然后给出了NSSA的概念;其次,对NSSA模型进行了详细的描述,并重点介绍了国内外基于融合的NSSA模型的研究现状;再次,对NSSA的关键技术进行了详尽的阐述和分析,主要包括多源融合、态势感知和态势预测等技术;以此为基础,提出了一个具体的NSSA系统实现;最后,总结了全文并对NSSA的发展做了展望。     

网络安全态势感知技术现状研究

随着信息技术的不断发展,网络的不安全因素也随之增加。虽然传统的安全设备和安全检测方法得到了广泛的应用。但都没有从宏观的角度为网络管理员提供清晰的网络安全状态信息。网络安全态势感知作为网络安全技术的重要组成部分,对于最终的决策制定起着关键作用。本文探讨了现有网络安全态势感知研究的框架和思路,并总结了现有研究存在的问题与不足。     

基于抗体浓度的网络安全态势感知模型

提出了一个基于抗体浓度的网络安全态势实时定量感知模型.给出了模型中抗原、抗体、抗体浓度等概念的定义及其形式化表示,论述了模型的体系架构和工作原理,并与相关技术进行了综合对比.理论分析和实验结果表明该模型是有效的,且具有实时性好、自适应能力强等优点,为实时、定量感知计算机网络与信息系统的安全风险提供了一种新思路.     

高校校园网网络安全态势感知建设方案

针对高校校园网的网络攻击层出不穷,攻击复杂且隐蔽,攻击频率和严重程度不断增长,应对日益严峻的网络威胁环境,保护校园网的安全,高校需要一个全面的网络安全解决方案。本文通过对高校校园网网络安全需求的论述及网络安全态势感知技术现状的分析,给出一种网络安全态势感知建设方案,以实现高校校园网的全天候全方位感知网络安全态势,增强网络安全防御能力。     

基于移动Agent的网络安全态势感知模型

本文针对现有框架模型存在数据源单一或多源同质、响应延迟大、自我保护性差、稳定性和容错能力差等缺点,借助移动Agent的优点,提出一种网络安全态势感知系统框架模型,该框架结构自下而上依次分为信息获取层、数据预处理层、态势决策层,建立了一个系统化、动态化、分布式、自适应的网络安全态势框架结构,利用PEPA形式化建模语言对框架模型进行分析,验证了框架模型的合理性。     

网络安全态势感知中的威胁情报技术

2016年,习近平总书记在全国网信工作座谈会上作出重要指示:要加强大数据挖掘分析,更好感知网络安全态势,做好风险防范.为应对网络安全面临的严峻挑战,很多大型行业及企业响应国家政策号召,积极倡导、建设和应用态势感知系统.网络安全态势感知是保障网络安全的有效手段,利用态势感知发现潜在威胁、做出响应已经成为网络安全的研究重点...     

基于PSO-TSA模型的网络安全态势要素识别研究

针对网络安全态势感知技术中态势要素提取的质量与效率较低的问题,提出了融合粒子群（Particle Swarm Optimization,PSO）和模拟退火（Simulated Annealing,SA）的态势要素识别模型PSO-TSA.在位置更新模块,利用Metropolis准则对PSO算法中的个体极值和全局极值进行退火优化,增加粒子的选择性,提高态势要素提取质量.在参数优化模块,利用Metropolis准则优化PSO算法中的参数,并对参数优化过程和粒子适应度同时进行评价,避免算法陷入局部最优,提高态势要素识别效率.按照目前网络状态的实际需求,选择了37个网络安全数据字段,搭建了小型网络环境,以获取更加真实的网络安全数据集SDS-W.在开放网络安全数据集和获取的SDS-W数据集上分别进行态势要素识别实验,实验证明,PSO-TSA在时间成本保持不变甚至更少的基础上,态势要素识别的精确度平均提升了5%~7%.     

基于多源融合的网络安全态势感知模型

为解决多阶段网络安全态势感知的多源融合与态势评估问题,建立了基于多源融合的网络安全态势感知模型。以模型为指导,利用粒子群算法实现D-S证据融合中的权值寻优,降低融合的不确定性。结合对威胁因子和威胁等级函数关系的推演,提出了面向攻击轨迹的层次化态势评估方法,实现攻击阶段、攻击轨迹和网络3个层次的威胁评估。仿真实验表明,提出的模型和方法是有效的和准确的,能够感知网络安全态势动态演化情况,为监控和管理网络提供了新的方法和手段。     

基于服务影响分析的网络安全态势定量感知方法

根据服务与配置间的资源依存关系,选取服务可用性与服务性能作为影响分析的重要指标,将网络服务运行状态抽象为安全态势基本要素.引入混合策略博弈刻画网络空间攻防双方的安全交互,建立网络攻防博弈形式化模型,并对模型中的策略空间、转移规则、效用函数等给出了明确定义.实验结果表明,该方法可定量刻画Nash均衡时博弈双方的收益情况,完成了网络安全态势的量化分析与自动生成,为安全管理员正确决策提供支持.采用服务影响分析方法屏蔽了系统配置及入侵行为细节,效率高、实时性强,有助于网络安全态势感知研究的发展.     

三维可视化安全态势感知技术研究

网络态势可视化技术作为一项新技术,是网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对网络异常行为的分析和检测。同时还选择安全态势可视化中的一种视图,开展了三维可视化技术的研究,介绍该软件的设计开发流程,并基于OpenGl开发平台对其进行了编码实现。     

网络安全态势感知中数据融合算法应用综述

网络安全态势感知研究中,目前亟需解决的一个重要问题是如何更好地整合和关联来自多个网络安全设备的安全数据,并通过综合分析网络攻击的类型和感知其他事件,可以确定攻击的性质和可能造成的影响,及时报警和预警。数据融合技术是网络安全态势感知的重要技术基础。本文对近几年常用的数据融合算法进行综述。研究结果表明,目前的技术焦点呈现多样性,但在态势评估及预测方面仍有改进的空间。     

网络安全态势感知框架及随机森林评估模型

针对传统网络安全态势感知评估过多依赖专家经验的问题,提出一种基于随机森林的多层次网络安全态势感知(Cyber Security Situational Awareness,CSSA)框架评估模型.首先将CSSA的过程与安全数据生命周期进行对齐,并分析CSSA的需求,提出CSSA多层次分析框架,然后采用随机森林算法,构建CSSA评估模型,该模型基于多个分类器组合的思想,由决策树构成,每棵树依赖于独立样本,以及森林中所有树的随机向量分布相同的值.在进行分类时,每棵树投票并返回票数最多的类,这使得网络安全态势评估更为客观和准确.实验表明,与贝叶斯网络相比,此模型可以更快速、更准确地评估当前的网络安全情况.     

基于海量异构数据的网络安全态势感知研究

阐述网络安全态势感知研究.通过数据挖掘技术中关联规则apriori对数据进行关联分析,通过源IP地址和目的IP地址关联来自不同设备的攻击类型、时间、端口,通过底层的网络设备采集的数据流提供的流量异常信息,发现网络安全威胁,给管理者提供更全面的参考.     

基于粒子群优化的网络安全态势要素获取

针对网络安全态势感知中态势要素获取困难问题,给出一种基于粒子群优化的网络安全态势要素获取模型.在获取模型中,引入模糊技术对输入的历史态势要素集进行模糊化预处理后,转化为模糊逻辑规则,映射到神经网络层与层之间,以提高神经网络的学习能力.利用粒子群优化算法优化神经网络的连接权以提高神经网络的学习精度和速度.仿真实验结果表明,该模型是一种有效可行的态势要素提取技术,并具有较好的泛化能力.     

基于信息融合的网络安全态势感知模型

在分析已有的安全态势评估和预测方法的基础上,提出了基于信息融合的网络安全态势感知模型.该模型采用D-S证据理论对多源网络安全数据进行融合,计算漏洞、服务、主机、网络的安全态势值.同时根据历史安全态势评估结果,利用支持向量回归理论对未来态势进行预测.相比已有的安全态势评估和预测方法,该模型的结构更加完整,结果更为准确有效.     

改进的递归神经网络在网络安全态势监测中的应用

随着网络规模的扩大,组网方式多样化,网络拓扑架构变得更加复杂,网络中的数据流量大规模迅速上升,导致网络负载增大,网络受到的攻击、故障等突发性安全事件更加严峻.该文利用神经网络处理非线性、复杂性等优势,基于改进的递归神经网络预测网络安全态势,实验结果证明该方法运行效率较高,运行结果与实际值相比,误差较低,精确性较高.     

基于Transformer的网络安全态势预测

针对当下网络安全态势预测准确率低的问题,将Transformer用于网络安全态势预测．首先,引入门控循环单元(GRU)来降低样本特征的维度,维度的下降有利于减少训练Transformer的代价和缓解Transformer过拟合问题;然后,将降维后的特征输入Transformer层,通过编码器提取具有时序关系的特征;最后,使用全局平均池化处理提取的特征,以减少全连接层的参数量,减缓过拟合问题．在两个网络安全数据集上的实验表明：该方法可以降低训练时间,并且在准确率、精确率和F1值三个指标上的综合表现优于其他方法．     

基于网络服务状态分析的安全态势定量感知方法

针对网络安全状况量化分析难的现状,运用博弈论开展基于影响模型的网络安全态势定量感知方法研究.该方法将网络服务状态作为基本态势要素,综合考虑网络系统中存在的攻防行为,建立了网络安全态势博弈模型,并对状态空间、策略集和效用函数等模型参数给出了明确定义,经仿真实验找到该模型的Nash均衡解,在均衡局势下攻防双方达到收益平衡,完成了对网络安全态势的定量刻画.研究表明,该方法无需考虑攻击行为细节,具有效率高、实时性较强等特点,全面完成了对网络安全态势的量化分析,为安全管理员正确决策提供支持.     

网络运行态势感知技术及其模型

针对现有网络态势感知技术无法反映网络整体运行质量的问题,提出了网络运行态势的概念,并给出其模型。首先,将马尔科夫链的转移概率引入网络链路权重评价中以衡量相邻节点的可达性,进而求得网络链路权重;随后,为一致、稳定地评估网络运行质量并克服基于支持向量机评估方法在训练过程中存在的参数难以确定、过拟合等问题,提出了基于相关向量机的网络运行质量评估方法;最后,将各链路的运行质量评估值按照权值加权得到网络运行态势,实现网络运行质量局部评估向网络运行态势整体呈现的提升。实验结果表明,该模型获得的网络态势值与通过灰色模糊综合评估得到的态势值的平均绝对误差仅为1.61%,优于基于支持向量机的网络评估方法;通过对态势均值及方差的比较,可对不同网络建设方案提供必要的技术指导。