网络安全态势感知模型研究与系统实现内容安排选题背景网络安全态势感知体系框架基于隐Markov模型的态势评估基于Markov博弈模型的态势评估网络安全态势感知系统实现总结与展望2一、选题背景•网络渗透到人类生产和生活的方方面面;•网络在带来便利的同时,也带来了诸多安全问题;•安全问题时有发生有两个原因:–网络系统本身存在薄弱环节;–攻击手段的发展和各种自动化攻击工具的大量涌现。•面对各种安全问题有两种解决方案:–渐进式改良——针对具体的安全问题,研制特定的设备,完善和改进现有的防护体系;–全新的革命——正本清源,摆脱现有体制的束缚,对互联网进行全面彻底的整治。3现有的网络安全技术的不足•脆弱性检测技术–检测速度慢、检测面窄;•恶意代码检测技术–高误报率和漏报率、特征库难以建立;•防火墙技术–旁路攻击、内网攻击、DOS攻击、策略配置不当;•入侵检测技术–漏报率高、误报率高、报警信息量大;•风险管理技术–结果粗糙、周期长。4网络安全态势感知技术•网络安全态势感知的引入–筑高墙、堵漏洞、防入侵等传统的安全技术显得力不从心,网络入侵不可避免;–安全技术从关注单个安全问题的解决发展到研究整个网络的安全状态及其变化趋势;•态势感知–在一定的时间和空间条件下,对环境因素的感知、理解以及对其未来发展趋势的预测;–广泛应用在军事战场、核反应控制、空中交通监管。5•网络安全态势–指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势;•网络安全态势感知–NetworkSecuritySituationAwareness,NSSA;–对影响网络安全的诸多要素进行获取、理解、评估当前状态和预测发展趋势。–网络安全态势感知对保障信息系统的安全起着非常重要的作用:•数据来源丰富、过程规范、结果实用、趋势预测。6•基于数据融合技术的态势感知–数据融合技术将来自不同数据源的数据综合分析,提炼出系统状态的形式化描述;–有代表性的两种模型:•1987年Steinberg等人提出JDL数据融合模型;•2000年TimBass提出基于分布式多传感器数据融合的方法;•基于层次化分析技术的态势感知–将网络系统分为服务、主机、系统三个层面,–采取自下而上,先局部后整体的方针,通过计算底层安全要素的局部影响来评估系统整体的安全态势;7TimBass安全态势评估模型8传感器和探测器Level0数据精炼Level1对象精炼Level2态势精炼Level3威胁评估对象Level4资源管理态势入侵检测知识知识信息数据论文的研究意义•对网络安全态势感知的研究还处在起步阶段:–对态势感知含义的理解还存在分歧;–相应的技术框架尚未完善;–对具体评估模型和评估算法的研究还在起步阶段;–缺乏系统化的量化分析工具和支撑平台。9论文的研究内容•研究内容:–建立网络安全态势感知技术框架•多层次多角度的态势评估框架;–建立网络安全态势感知评估预测模型•基于隐Markov模型的态势评估技术;•基于Markov博弈模型的态势评估技术;•基于指数对数分析的态势评估技术;•基于时间序列分析的态势预测技术;–研制相应的安全态势感知系统支撑平台。10二、网络安全态势感知体系框架11理解预测评估流程要素关系感知系统资产识别威胁识别脆弱性识别网络结构安全事件识别Markov博弈模型隐Markov模型时间序列分析对数分析加权模型态势分析模块态势评估模块态势预测模块数据库威胁传播网络态势理解–安全数据归类•将安全数据归类为资产数据、威胁数据、脆弱性数据和网络结构数据;–规范化处理•去除重复冗余信息,合并同类信息,修正错误信息;–安全事件分析:•将资产、威胁和脆弱性相关联,得到安全事件数据集;–威胁传播分析:•将资产、威胁、脆弱性和网络结构相关联,得到每个威胁的威胁传播网络。12•态势理解的结果–资产:–链路:–威胁:–脆弱性:–安全事件:描述资产、威胁和脆弱性之间关系;–威胁传播网络:描述威胁的扩散。13(,,,,)aaaaaAssetidnametypevalue(,,,,,)llasadllLinkidtypeididvalue(,,,,,)tttavtThreatidnametypeididpln(,,,,,,)vvvatvVuidnametypeididp态势评估14网络结构资产脆弱性威胁安全事件保密性评估完整性评估可用性评估整体评估威胁传播网络专题层次要素层次整体层次多层次多角度的态势评估框架•专题评估–采用统计分析的方法评估影响网络安全状况具体因素,–四个角度、三个粒度;•要素评估–采用基于HMM、MGM和基于指数对数分析的评估方法,评估网络在安全要素的各个方面达成程度和损失情况,–三个角度;•整体评估–采用基于指数对数分析评估网络的安全状况。15态势预测•指导管理员进行安全策略的配置,实现动态的安全性管理,预防大规模安全事件的发生。•应用在三个层面:–专题层次:数量变化趋势进行预测;–要素层次:态势分量的变化趋势进行预测;–整体层次:对整个网络安全态势的变化趋势进行预测。•基于人工神经网络的态势预测技术–黑盒预测,人工试验的方法调整参数;•基于灰色理论的态势预测技术–无量纲化处理,掩盖序列本身属性。16•基于时间序列分析的态势预测技术–时间序列是参数集和状态空间都可列的随机过程,是按照时间顺序取得的一系列观测值;–时间序列分析能够刻画序列的前后依赖关系,准确预测序列的变化趋势;–适合用在对网络安全态势变化趋势的预测:•基于Box-Jenkins模型的态势预测;•基于Holt-Winter模型的态势预测17三、基于隐Markov模型的态势评估隐Markov模型的建立隐Markov模型参数的确定基于HMM的态势评估流程基于隐Markov模型的态势评估算法基于隐Markov模型态势评估的优缺点18隐Markov模型的建立•隐Markov模型–HiddenMarkovModel,HMM–隐Markov过程是有限状态空间的齐次Markov过程,状态空间的转移链路不可观测,通过另一个取值有限集的可观测、相互独立的随机变量序列表征;–五个组成部分:•状态空间、初始分布、状态转移矩阵、观测符号空间、隐Markov条件–三类问题:•学习问题、解码问题、识别问题。19•HMM的适用性–HMM适合用在评估单个资产的安全态势:•该资产的安全状态看着不断变化的不可见的Markov链;•通过各种检测手段,获得的该资产受到的威胁、存在的脆弱性和管理员的安全措施等信息看着观测符号序列。–处理过程:•对网络中的每个资产分别建模;•然后再根据不同的应用需求,结合网络结构信息综合分析所有资产得到整个网络的安全态势。20•单个资产保密性的HMM:–状态空间:描述资产的保密性状态,衡量资产保密性的不同损失程度,定义为五个状态;–状态转移矩阵:–观测符号集:包含管理的安全措施和安全事件,共L个;–观测矩阵:–初始分布:初始时刻资产保密性处于某个状态的概率;2155()ijPp5(())kOiLQqS22()()()CikiiCtvCCVApcppvalue安全事件对资产保密性的影响:•HMM的两个困难:–观测矩阵Q的规模很大;–观测矩阵Q和状态转移矩阵P需要自动配置;•困难1解决方法:安全事件分级机制–根据安全事件对资产保密性的损害将安全事件分级;––安全事件分为九个等级,连同管理员采取的安全措施一共十个观测符号;•困难2解决方法:基于滑动窗口的学习机制。2314()2()CiktvCCVAppvalueHMM参数的确定•参数确定–属于HMM三个问题中的学习问题;–不宜直接使用Baum-Welch(BW)算法进行训练:•观测序列的长度随着时间的后移不断的增加;•如果每次都重头开始训练,训练过程会出现很多重复的计算,从而耗费大量的时间;–采用基于滑动窗口的学习机制:•将观测序列划分为长度为N的滑动窗口短序列;•每次训练长度为N的短序列,计算完后窗口向后移动一位,利用诸多短序列快速训练整个观测序列的HMM。24基于滑动窗口的学习机制25O1OtON+1Ot-N+1ONO21111(,,)PQ2222(,,)PQ1tN****(,,)ttttPQ****2222(,,)PQ****1111(,,)ttttPQrr1r1r1r1rr•带遗忘因子的更新算法:–很久以前出现的安全事件和刚刚检测到的安全事件对当前训练的影响程度不同;–避免观测序列增长带来观测矩阵的训练值会趋于某个平稳值;–26**()(1)(1)(1)ijijijqtrqtNrqt基于HMM的态势评估流程27安全事件网络结构单个资产HMM综合分析造成损害发生概率模型训练系统状态观测符号损害求和资产威胁脆弱性加固方案基于HMM的单个资产保密性态势评估算法–输入:资产、安全事件和网络结构的数据集;–输出:每个资产的保密性安全态势和相应的加固方案;①对资产数据集的每个资产确定其观测符号序列;②训练资产保密性的HMM;③采用Viterbi算法,得到该资产的保密性安全状态;④计算该资产的保密性安全态势值;⑤同理计算网络中所有资产保密性安全态势值;⑥结合网络结构信息,找出保密性状态差并且位置重要的资产,得到网络保密性最佳的加固方案。28基于HMM态势评估的优缺点•优点:–观测符号包含安全事件和安全措施,–安全事件分级处理机制,降低了HMM的复杂性,–采用基于滑动窗口的学习机制降低训练过程的复杂性,–采用基于带遗忘因子的更新算法,消除观测序列长度对训练结果的影响;•缺点:–安全事件分级分析破坏了安全事件本身的一些性质;–HMM参数训练需要观测序的列较长;–HMM部分参数指定具有主观性。29四、基于Markov博弈模型的态势评估MGM的建立基于MGM的态势评估流程基于MGM的态势评估算法基于MGM的态势评估的优缺点30MGM的建立•Markov博弈模型(MarkovGameModel,MGM)–由博弈论和Markov决策过程综合而来;–研究多个参加者的在各方相互影响的情况下如何进行决策及其有关决策的均衡问题;–组成:•参与者、系统状态空间、行动空间、状态转移概率、报酬函数;•MGM的适用性:–网络中威胁、管理员和普通用户的行为相互影响,可以看着博弈的各方参与者;–网络的安全状态根据各方的行为不断变化,可以看着一个Markov链。31•对威胁数据集中的每个威胁分别建立MGM–第一类威胁(占用带宽少的威胁)–第二类威胁(耗费大量带宽的威胁)•威胁具有传播性–当网络中某个节点被成功攻击后,威胁可以传播到与该节点相关联的其它节点,带来潜在风险;•威胁传播网络–对威胁数据集中的每个威胁建立威胁传播网络;•威胁传播节点:•威胁传播路径:32(,,)atvNodeidflagflag(,)lePathidp单个威胁的保密性态势的MGM•参与者–包括攻击方、防守方和中立方三角色•攻击方以威胁的形式存在,对系统造成损害;•防守方以网络管理员为代表,减少威胁带来的损害;•中立方以普通用户为代表,通过访问网络资源影响网络的性能。•状态空间–该威胁的传播网络所有可能的状态组成状态空间;•行为空间–博弈三方所有可能的行为集合•攻击方行为是威胁的一步传播;•防守方行为是管理员执行一次加固方案;•中立方行为是普通用户访问量的统计变化率的升降。33•转移概率–随着博弈各方的行为选择,系统的状态不断变化;•报酬函数–博弈结束后各方的得失,是博弈各方所选策略的函数•攻击方的报酬是威胁对系统的损害;•防守方的报酬是管理员采取安全措施后所能减少的损害;•中立方的报酬是所有普通用户对系统服务的利用程度。–参与者根据己方报酬函数的最大化来选择策略;•根据三方参与者选择行为的策略,计算各方的一步报酬,得到各方的报酬函数;34博弈过程示意图35.........攻击方状态2防守方状态2中立方状态2攻击方状态K防守方状态K中立方状态K攻击方状态1防守方状态1中立方状态1系统