基于信息融合的网络安全态势感知模型

在分析已有的安全态势评估和预测方法的基础上,提出了基于信息融合的网络安全态势感知模型.该模型采用D-S证据理论对多源网络安全数据进行融合,计算漏洞、服务、主机、网络的安全态势值.同时根据历史安全态势评估结果,利用支持向量回归理论对未来态势进行预测.相比已有的安全态势评估和预测方法,该模型的结构更加完整,结果更为准确有效.     

基于粗糙集理论的主机安全评估方法

针对大多数安全评估系统不能评估漏洞的组合对网络安全危害的缺陷 ,提出采用粗糙集理论进行主机安全评估的方法 .该方法利用历史评估记录 ,把漏洞作为安全要素 ,在基于粗糙集理论的属性约简能力上 ,建立了安全评估模型以及具有安全要素、服务和主机 3个层次的安全风险度量模型 ,再结合安全要素和服务重要性因子进行加权 ,计算主机的安全风险 ,进而评估、分析系统的安全态势 .与其他方法相比 ,该方法能够自动建立基于规则的安全评估模型 ,评估单个安全要素和安全要素的组合对系统安全的威胁 ,且能够监控因系统配置改变引起的系统安全状态的变化 .通过仿真实验建立了系统安全态势曲线 ,从 7天的实验记录中还发现了 9条有用的评估规则 ,这表明采用该方法的评估结果更加准确、直观     

主机系统安全实时风险量化评估方法的研究

为了评价主机系统的安全风险变化,建立了一个描述主机安全状态的隐马尔可夫模型.利用该模型计算主机处于被攻击状态的概率,分析了影响攻击执行过程的因素,提出了一种计算攻击成功概率的方法,并最终计算主机系统的风险指数.该方法可以动态获取主机系统的风险态势曲线,有利于指导安全管理人员调整安全策略.     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

基于贝叶斯网络的网络安全态势评估方法研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,提出了一种新的网络安全态势评估方法。将贝叶斯网络应用于网络安全态势评估中,根据多树型网络推理,利用贝叶斯网络的图形结构,提出了由点到面、自下向上相互影响的多元化安全态势评估模型。并将网络及主机工具采集的信息作为事件节点的证据来更新态势节点的概率,并反过来影响事件节点的概率,从而预测网络安全态势。     

攻防对抗环境下的网络安全态势评估技术研究

为了弥补当前网络安全态势评估系统的不足,提出了一种基于攻防对抗环境的网络安全态势量化评估算法。该方法在深入分析影响安全态势各项因素的基础上,将传统的风险评估与网络防护状况、资产安全特性等环境因素相结合,提取出多个量化指标,按照攻击类别进行安全态势的量化评估。实验结果表明,该方法能够为安全管理人员提供更为客观、详实的态势信息,使之更为清晰地把握整个网络的安全状况。     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

基于多源融合的网络安全态势感知模型

为解决多阶段网络安全态势感知的多源融合与态势评估问题,建立了基于多源融合的网络安全态势感知模型。以模型为指导,利用粒子群算法实现D-S证据融合中的权值寻优,降低融合的不确定性。结合对威胁因子和威胁等级函数关系的推演,提出了面向攻击轨迹的层次化态势评估方法,实现攻击阶段、攻击轨迹和网络3个层次的威胁评估。仿真实验表明,提出的模型和方法是有效的和准确的,能够感知网络安全态势动态演化情况,为监控和管理网络提供了新的方法和手段。     

基于网络服务状态分析的安全态势定量感知方法

针对网络安全状况量化分析难的现状,运用博弈论开展基于影响模型的网络安全态势定量感知方法研究.该方法将网络服务状态作为基本态势要素,综合考虑网络系统中存在的攻防行为,建立了网络安全态势博弈模型,并对状态空间、策略集和效用函数等模型参数给出了明确定义,经仿真实验找到该模型的Nash均衡解,在均衡局势下攻防双方达到收益平衡,完成了对网络安全态势的定量刻画.研究表明,该方法无需考虑攻击行为细节,具有效率高、实时性较强等特点,全面完成了对网络安全态势的量化分析,为安全管理员正确决策提供支持.     

基于模糊信息融合技术的攻击要素关联

主要针对当前网络安全态势知识不易获得的问题,提出了自己的网络化系统安全态势评估模型并定义了攻击要素.继而使用动态的方法量化了攻击频率、攻击难易性和攻击危害度,使之可以更加精确地表示攻击次数、攻击成功的概率和攻击造成的严重后果.同时针对攻击信息的不确定性、不完整性、模糊性和多变性的特点,提出将一种模糊信息融合方法--基于Mamdani模糊推理的算法来实现攻击要素的关联.最后,应用Matlab7.0仿真实验工具进行了仿真,实验结果证明,本文提出的算法可以真实地反映安全态势情况.     

基于改进G-K算法的多节点网络安全态势预测模型研究

影响多节点网络安全态势的因素有很多,传统方法未考虑影响因素,导致预测精度低。为此,构建一种新的改进G-K算法的多节点网络安全态势预测模型。通过灰熵均衡关联度实现关联分析,通过关联分析法对影响多节点网络安全态势的因素进行研究,按照关联程度大小获取重要因素。依据多节点网络日志信息,从主机层、服务层和系统层对多节点网络安全态势值进行计算。分析改进G-K算法预测基本思想:通过多节点网络安全态势重要影响因子值与安全态势值计算状态向量,利用当前状态矢量观测向量对多节点网络安全态势在下一段时间的值进行描述。在此基础上,构建改进G-K算法的多节点网络安全态势预测模型。实验结果表明,采用构建的模型对多节点网络安全态势进行预测,有很高的预测精度,对突变态势也可有效预测。     

Network security situation evaluation based on modified D-S evidence theory

With the rapid development of global information and the increasing dependence on network for people, network security problems are becoming more and more serious. By analyzing the existing security assessment methods, we propose a network security situation evaluation system based on modified D-S evidence theory is proposed. Firstly, we give a modified D-S evidence theory to improve the reliability and rationality of the fusion result and apply the theory to correlation analysis. Secondly, the attack successful support is accurately calculated by matching internal factors with external threats. Multi-module evaluation is established to comprehensively evaluate the situation of network security. Finally we use an example of actual network datasets to validate the network security situation evaluation system. The simulation result shows that the system can not only reduce the rate of false positives and false alarms, but also effectively help analysts comprehensively to understand the situation of network security.     

A scalable model for network situational awareness based on Endsley＇ s situation model

The paper introduces the Endsley's situation model into network security to describe the network security situation,and improves Endsley'S data processing to suit network alerts.The proposet model contains the information of incident frequency.incident time and incident space.The HoneyNet dataset is selected to evaluate the proposed model in the evaluation.The paper pmposes three definitions to depict and predigest the whole situation extraction in detail.and a fusion component to reduce the influence of alert redundancy on the total security situation.The less complex extraction makes the situation analysismore efficient,and the fine-grained model makes the analysis have a better expansibility.Finally,the situational variation curves are simulated,and the evaluation results prove the situation model applicable and efficient.     

一种基于主机实时流量的安全评估方法

在分析影响服务可用性网络攻击导致网络流量异常改变的基础上，提出了一种主机网络实时流量的安全状况评估方法．首先，在固定时间窗口内选择一组能够体现网络流量统计特征的统计量作为评估测度，在大样本的基础上运用信息增益方法确定不同测度对评估结果影响的重要性．其次，采用层次加权方法，并将评估结果作为归一化异常度值，对主机网络的实时流量进行评估．实验结果表明，这种方法能够对蠕虫、DIDoS、DoS攻击引发的异常流量进行合理评估，并且对引起网络流量异常改变的新攻击有良好的评估效果．     

分布式光纤网络中层级化安全威胁指数分析

为了评估分布式网络的安全状态,有效拦截攻击,避免传统方法可靠性和实用性低的弊端,提出一种新的分布式光纤网络中层级化安全威胁指数分析方法。通过层次分析法对不同威胁源对分布式光纤网络安全性的影响情况进行分析,建立安全威胁评估层级化模型。给出分析时间窗口内服务的威胁指数,对各种严重等级攻击的威胁指数等效性进行分析,以增强评价指标中较小者的显著性,防止威胁指数计算结果出现误差。介绍了不同时刻主机和网络系统的威胁指数。经实验发现,主机对网络威胁的影响程度大,网络在晚上遭遇攻击的概率大,网络管理员需更加防范。通过分析的安全威胁指数对网络安全状态进行评估,发现其可靠性和实用性强。     

网络安全态势感知综述

网络安全事关国家安全和经济社会稳定,网络安全态势感知作为一种高效智能的新时代网络安全防护体系,正在得到国内外学者的高度关注和广泛研究。从态势感知的发展历程和相关概念出发,对网络安全态势感知的现有研究进行了梳理与对比,根据一种基于数据融合的网络安全态势感知框架,总结分析了网络安全态势提取、网络安全态势评估、网络安全态势预测三个层面的主要技术优缺点,并据此对其未来发展方向进行了分析与展望。     

基于UNIX主机系统的漏洞扫描器的设计

针对目前不断出现的网络安全问题,分析UNIX主机系统安全漏洞存在的必然性,提出基于UNIX主机系统的漏洞扫描器的设计思想.在此基础上设计了一个基于UNIX主机系统的漏洞扫描器,阐述其系统模型和工作原理.该扫描器可以从外部和内部对目标服务器进行扫描.实验表明,通过使用该扫描器,用户可以不留痕迹地发现一台本地或远程服务器的安全性弱点.     

A hierarchical algorithm for cyberspace situational awareness based on analytic hierarchy process

The existing network security management systems are unable either to provide users with useful security situation and risk assessment, or to aid administrators to make right and timely decisions based on the current state of network. These disadvantages always put the whole network security management at high risk. This paper establishes a simulation environment, captures the alerts as the experimental data and adopts statistical analysis to seek the vulnerabilities of the services provided by the hosts in the network. According to the factors of the network, the paper introduces the two concepts： Situational Meta and Situational Weight to depict the total security situation. A novel hierarchical algorithm based on analytic hierarchy process （AHP） is proposed to analyze the hierarchy of network and confirm the weighting coefficients. The algorithm can be utilized for modeling security situation, and determining its mathematical expression. Coupled with the statistical results, this paper simulates the security situational trends. Finally, the analysis of the simulation results proves the algorithm efficient and applicable, and provides us with an academic foundation for the implementation in the security situation