资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络安全态势感知,态势认知,态势理解,态势预测,网络安全态势认知,功能:从网络中获取可用于态势感知的信息,难点:,(,1,)信息的全面性(,Not,available,),(,2,)信息的准确性(,Incorrect,),(,3,)信息的模型化(,Model,),解决方法:,网络安全态势感知的指标体系,网络安全态势感知的指标体系,一级指标,二级指标,脆弱性,网络漏洞数目及等级,网络拓扑,子网内各关键设备提供的服务种类及其版本,子网内各关键设备的操作系统类型及其版本,关键设备漏洞数目及等级,子网内各关键设备开放端口的总量,威胁性,报警数目,子网带宽使用率,子网内安全事件历史发生频率,网络安全态势感知的指标体系,一级指标,二级指标,威胁性,子网内各关键设备提供的服务种类及其版本,威胁性子网数据流入量,稳定性,子网流量变化率,子网流入数据流总量,子网流出数据流总量,子网内不同协议数据包分布比值的变化率,子网内不同大小数据包分布比值的变化率,认知过程的实现,-,数据采集,网络基本信息:,Nmap,威胁性信息:,Snort,脆弱性信息:,OpenVAS,稳定性信息:,Iptraf,资产信息:,Administrator input,网络安全态势感知,态势认知,态势理解,态势预测,网络安全态势理解,功能:利用认知过程获取的网络信息,对当前的网络安全态势的分析。,难点:,信息合并的模型,(,information,consolidation,model,),解决方法:,信息合并的方法,理解过程的实现,-,数据融合(,1,),威胁性信息融合,问题:警报量大,误报率和漏报率高,解决方法:,警报成功的概率,警报的严重程度,威胁性的量化,TI,=,),理解过程的实现,-,数据融合(,2,),稳定性信息量化,E,SI,=,脆弱性信息量化,VI,=,理解过程的实现,-,数据融合(,3,),网络安全值,ST=,网络安全态势感知,态势认知,态势理解,态势预测,网络安全态势的预测,功能:根据网络安全态势的历史信息和当前状态,对网络未来一段时间的发展趋势进行预测,难点:,安全态势变化的规律性,解决方法:,贝叶斯推理,预测过程的实现,P(Si|T),=,=,P,(,Si,),P,(,T|Si,),训练样本学习获取,存在的问题,采集的信息是否全面?,信息的模型化?(资产,CIA,属性),威胁信息的融合及量化是否合理?,Thanks !,Definition,Situation Awareness,“ the,perception,of the elements in the environment within a volume of time and space, the,comprehension,of their meaning and the,projection,of their status in the near future”,-Endsley, 1988, design and evaluation for situation awareness enhancement,数据格式,Attribute,Description,analyzer,The information identifying the sensor,time,The time the alert are detected,alertname,The information identifying the alert,sourceIP,The source IP of the events leading up to the alert,sourceport,The source port of the events leading up to the alert,destinationIP,The target IP of the events leading up to the alert,destinationport,The target port of the events leading up to the alert,classification,The “type” of the alert, which determine how to distinguish the alert,completion,The probability of the event success,severity,The impact of the event on the target,Future,Works,System,model,Event,correlation,and fusion,Decision support based on uncertain information,Attacker modeling,Root cause analysis,
展开阅读全文