网络安全态势感知研究现状与发展趋势

随着互联网技术的飞速发展,网络空间中网络安全事件频发,影响巨大,全球各国都将网络安全态势感知(network security situation awareness,简称NSSA)视作网络安全战略布局的关键.文章从三个方面对其进行论述:①结合传统态势感知逻辑模型,阐述网络安全态势感知的相关概念;②从网络安全态势要素提取、态势理解、态势预测等几个层面,对网络安全态势感知关键技术进行介绍、分析和对比;③对网络安全态势感知的发展趋势和未来的研究方向进行探讨.     

网络安全态势感知研究新进展

网络安全态势感知(Network Security Situation Awareness,NSSA)是目前网络安全领域的热点研究内容,开展NSSA的研究,对提高网络安全水平有着重要的意义。首先对态势感知和网络态势感知的含义进行了介绍,然后给出了NSSA的概念;其次,对NSSA模型进行了详细的描述,并重点介绍了国内外基于融合的NSSA模型的研究现状;再次,对NSSA的关键技术进行了详尽的阐述和分析,主要包括多源融合、态势感知和态势预测等技术;以此为基础,提出了一个具体的NSSA系统实现;最后,总结了全文并对NSSA的发展做了展望。     

网络安全态势感知中的威胁情报技术

2016年,习近平总书记在全国网信工作座谈会上作出重要指示:要加强大数据挖掘分析,更好感知网络安全态势,做好风险防范.为应对网络安全面临的严峻挑战,很多大型行业及企业响应国家政策号召,积极倡导、建设和应用态势感知系统.网络安全态势感知是保障网络安全的有效手段,利用态势感知发现潜在威胁、做出响应已经成为网络安全的研究重点...     

三维可视化安全态势感知技术研究

网络态势可视化技术作为一项新技术,是网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对网络异常行为的分析和检测。同时还选择安全态势可视化中的一种视图,开展了三维可视化技术的研究,介绍该软件的设计开发流程,并基于OpenGl开发平台对其进行了编码实现。     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

网络安全态势感知技术现状研究

随着信息技术的不断发展,网络的不安全因素也随之增加。虽然传统的安全设备和安全检测方法得到了广泛的应用。但都没有从宏观的角度为网络管理员提供清晰的网络安全状态信息。网络安全态势感知作为网络安全技术的重要组成部分,对于最终的决策制定起着关键作用。本文探讨了现有网络安全态势感知研究的框架和思路,并总结了现有研究存在的问题与不足。     

网络安全态势感知中数据融合算法应用综述

网络安全态势感知研究中,目前亟需解决的一个重要问题是如何更好地整合和关联来自多个网络安全设备的安全数据,并通过综合分析网络攻击的类型和感知其他事件,可以确定攻击的性质和可能造成的影响,及时报警和预警。数据融合技术是网络安全态势感知的重要技术基础。本文对近几年常用的数据融合算法进行综述。研究结果表明,目前的技术焦点呈现多样性,但在态势评估及预测方面仍有改进的空间。     

基于移动Agent的网络安全态势感知模型

本文针对现有框架模型存在数据源单一或多源同质、响应延迟大、自我保护性差、稳定性和容错能力差等缺点,借助移动Agent的优点,提出一种网络安全态势感知系统框架模型,该框架结构自下而上依次分为信息获取层、数据预处理层、态势决策层,建立了一个系统化、动态化、分布式、自适应的网络安全态势框架结构,利用PEPA形式化建模语言对框架模型进行分析,验证了框架模型的合理性。     

基于多源融合的网络安全态势感知模型

为解决多阶段网络安全态势感知的多源融合与态势评估问题,建立了基于多源融合的网络安全态势感知模型。以模型为指导,利用粒子群算法实现D-S证据融合中的权值寻优,降低融合的不确定性。结合对威胁因子和威胁等级函数关系的推演,提出了面向攻击轨迹的层次化态势评估方法,实现攻击阶段、攻击轨迹和网络3个层次的威胁评估。仿真实验表明,提出的模型和方法是有效的和准确的,能够感知网络安全态势动态演化情况,为监控和管理网络提供了新的方法和手段。     

基于抗体浓度的网络安全态势感知模型

提出了一个基于抗体浓度的网络安全态势实时定量感知模型.给出了模型中抗原、抗体、抗体浓度等概念的定义及其形式化表示,论述了模型的体系架构和工作原理,并与相关技术进行了综合对比.理论分析和实验结果表明该模型是有效的,且具有实时性好、自适应能力强等优点,为实时、定量感知计算机网络与信息系统的安全风险提供了一种新思路.     

基于多源多层次信息融合的网络安全态势感知方法

针对网络安全态势感知范围局限、信息来源单一及准确性偏差较大的问题,提出了一个全方位整体上感知网络安全态势框架.充分考虑多信息源和多层次信息融合,从3个维度上动态生成网络当前安全状况,准确地反映网络当前安全态势,易于逆向查找异常组件.提出"3σ法则"离散化连续型随机变量方法,对建立适合处理非确定性信息融合的贝叶斯网模型有重要的理论与实践指导意义.最后,利用网络实例数据,对该模型和算法进行了验证,结果表明了该方法的正确性.     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

基于改进G-K算法的多节点网络安全态势预测模型研究

影响多节点网络安全态势的因素有很多,传统方法未考虑影响因素,导致预测精度低。为此,构建一种新的改进G-K算法的多节点网络安全态势预测模型。通过灰熵均衡关联度实现关联分析,通过关联分析法对影响多节点网络安全态势的因素进行研究,按照关联程度大小获取重要因素。依据多节点网络日志信息,从主机层、服务层和系统层对多节点网络安全态势值进行计算。分析改进G-K算法预测基本思想:通过多节点网络安全态势重要影响因子值与安全态势值计算状态向量,利用当前状态矢量观测向量对多节点网络安全态势在下一段时间的值进行描述。在此基础上,构建改进G-K算法的多节点网络安全态势预测模型。实验结果表明,采用构建的模型对多节点网络安全态势进行预测,有很高的预测精度,对突变态势也可有效预测。     

网络化系统安全态势评估的研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,利用入侵检测系统的日志库,结合服务、主机自身的重要性及网络系统的组织结构,提出了采用自下而上、先局部后整体评估策略的层次化安全态势定量评估模型及其相应计算方法.该方法在攻击频率及攻击严重性的统计分析基础之上,利用服务和主机自身的重要性因子进行加权,计算网络系统内服务、主机以及整个网络系统的风险指数,进而评估分析安全态势.通过使用HoneyNet数据进行实验测试表明,该模型能够准确评估服务、主机和网络系统3个层次的安全态势,给管理员提供直观的安全态势曲线.     

Network security situation evaluation based on modified D-S evidence theory

With the rapid development of global information and the increasing dependence on network for people, network security problems are becoming more and more serious. By analyzing the existing security assessment methods, we propose a network security situation evaluation system based on modified D-S evidence theory is proposed. Firstly, we give a modified D-S evidence theory to improve the reliability and rationality of the fusion result and apply the theory to correlation analysis. Secondly, the attack successful support is accurately calculated by matching internal factors with external threats. Multi-module evaluation is established to comprehensively evaluate the situation of network security. Finally we use an example of actual network datasets to validate the network security situation evaluation system. The simulation result shows that the system can not only reduce the rate of false positives and false alarms, but also effectively help analysts comprehensively to understand the situation of network security.     

一种基于AC-RBF神经网络的网络安全态势预测方法

为了准确地把握网络安全发展态势,提出了一种基于自适应聚类径向基函数(adaptive clustering radical basis function,AC-RBF)神经网络的网络安全态势预测(network security situation prediction, NSSP)方法?该方法对网络安全态势样本自适应聚类,获得了神经网络隐层节点数,采用梯度下降法训练神经网络,寻找网络安全态势样本之间的非线性映射关系,利用该关系对未来时刻网络安全态势进行了预测? 仿真实验表明,相对于 K-均值 RBF 神经网络及支持向量机(support vector machine,SVM)预测模型,该方法在神经网络规模较小的情况下,不仅能够反映网络安全态势的总体趋势,而且还提高了预测精度,能够提供给网络安全管理员一个直观的网络安全态势图 ?