态势感知中的数据融合和决策方法综述
作者简介:盖伟麟(1987-),男,硕士研究生,主研方向:网络与信息安全,态势感知;辛丹、王璐,硕士研究生;刘欣,讲
师、博士;胡建斌,副教授、博士。
收稿日期:2013-03-05 修回日期:2013-05-08 E-mail:gaiweilin54070225@https://www.doczj.com/doc/8d8188355.html,
态势感知中的数据融合和决策方法综述
盖伟麟a,辛丹a,王璐b,刘欣a,胡建斌b
(北京大学a. 软件与微电子学院;b. 信息科学技术学院,北京100871)
摘要:
在赛博空间态势感知的相关研究中,处理不确定、不精确的多源异构信息是态势认识过程中需要解决的一个重要问题。为正确处理这些信息,提高对态势的认识,使得到的态势更具有正确性、时效性和全局性,研究数据融合方式和决策方式等现存的处理技术并进行综述。数据融合包含贝叶斯网络、D-S 证据理论、粗糙集理论、神经网络、隐马尔科夫模型及马尔科夫博弈论等方式,决策方式涵盖认知心理学、逻辑学、风险管理等。研究结果表明,目前的技术焦点呈现多样性,但在态势生成应用及验证方面仍有较大的改进空间。
关键词:赛博空间;态势感知;多源异构;数据融合;决策
Review of Date Fusion and Decision-making Methods
in Situation Awareness
GAI Wei-lina, XIN Dana, WANG Lub, LIU Xina, HU Jian-binb
(a. School of Software and Microelectronics; b. School of Electronics Engineering and Computer Science,
Peking University, Beijing 100871, China)
【Abstract】In the research of cyberspace situation awareness, how to deal with uncertain, inaccurate multi-source heterogeneous
information is an important problem which needs to be solved in the process of situational understanding. In order to accurately handle with
the information, improve the awareness of the situation, make the situation more accuracy, timeliness and overall, the paper reviews the
existing technology focus, mainly including data fusion methods and decision-making methods. Data fusion methods mainly includes
Bayesian network, D-S evidence theory, rough set theory, neural network, hidden Markov model and Markov game theory methods, and
decision-making mainly includes cognitive psychology, logic and risk management methods. Research results show that current technology
focuses present diversity, but still has great space for improvement in both the situation generation application and verification.
【Key words】cyberspace; situation awareness; multi-source heterogeneous; data fusion; decision-making
DOI: 10.3969/j.issn.1000-3428.2014.05.005
计算机工程
Computer Engineering
第40 卷第5 期
Vol.40 No.5
2014 年5 月
May 2014
·先进计算与数据处理·文章编号:1000-3428(2014)05-0021-05 文献标识码:A 中图分类号:TP311.13
1 概述
赛博空间(cyberspace) 一词是由美国科幻小说作家William Gibson 创造的,指在计算机以及计算机网络里的虚拟现实,后来概念被普及和延伸,例如用来表示实时的网络空间等。态势感知的概念源于航天飞机的人因研究,此
后在空中交通监管、医疗应急调度以及网络安全监控等领域被广泛地应用[1]。
Endsley 于1985 年提出了态势感知的定义,指出态势感知是在特定的时间和空间下,对环境中各元素或对象的觉察、理解以及对未来状态的预测。过去赛博空间的攻击方式具有单维性,主要形式是单一地拒绝服务(Denial of
Service, DoS)攻击、计算机病毒或者蠕虫、未授权的入侵,这些攻击主要针对网站、邮件服务器、客户机等。如今赛博空间的攻击经历多元化发生了根本性改变,导致利用多种攻击工具和技术的多阶段、多维性攻击出现。赛博空间的防御者必须处理多维攻击产生的大量不确定、不完整的多源异构信息,从而正确理解并认识当前态势。
不确定信息的挑战存在于赛博态势感知的所有阶段,包括前期的安全风险管理、实时的入侵检测、后期的取证分析。在过去的十余年中,研究者们提出了多种数据融合模型、决策模型,用于处理不确定、不完整、不精确的多源异构信息。其中在决策模型中,很多研究者考虑到人作为决策过程的因素,融入了认知心理学相关研究。本文综述态势感知研究领域的融合及决策方式,并给出了相应的评述及比较分析。
2 数据融合方式综述
数据融合技术最早应用于军事,近年来数据融合在非军事领域也被广泛应用。本节以大规模赛博空间态势感知为背景,讨论的一般是多源异构数据的采集与分析,即多源数据融合。数据融合研究的关键是融合模型和算法。模型勾勒出逻辑的框架,目前存在的数据融合模型往往很大程度上依赖于应用领域,不存在通用的数据融合模型,其中最具有影响力的是如图1 所示的联合指导实验室(Joint Directors ofLaboratories, JDL)数据融合模型[2-3],其中,态势感知作为较高层次的Level 2 融合,向上从Level 1 融合接收网络监测数据,作为态势感知的信息来源;向下为Level 3 融合提供态势信息,用于威胁分析和决策支持。
/下面将综述当前研究人员正在研究或者已经取得显著成果的用于赛博空间态势感知的数据融合方式及算法,并给出相应的评述及发展趋势。
2.1 基于贝叶斯网络的态势感知
贝叶斯网络是基于概率分析和图论的一种不确定性知识的表示和推理模型,表现为一个赋值的复杂因果关系网络图,关于贝叶斯网络的深入了解与学习可以参考书籍[4]。
目前很多研究人员已经把贝叶斯网络应用到态势感知领域来处理不确定性信息。
文献[5]提出态势认识的本质是通过因果推理进行态势理解和诊断推理以实现态势预测,该文献通过构建态势认识的贝叶斯网络模型找出了态势和时间之间的因果关系,根据贝叶斯网络信息传播算法,以态势和事件节点的置信
度为参数综合应用贝叶斯网络进行了因果推理和诊断推理,分别实现了态势理解与态势预测过程。文献给出了基本的信息传播算法、态势认识系统的实现及运用该算法的实例应用,体现了很好的数据学习能力及推理能力(但算法在有2 个子节点的情况下没有给出诊断推理方法,同时应用文中的信息传播算法也无法推算出实例中的结果数据,缺乏一定的合理性与精确性)。
一些文章基于贝叶斯网络研究了博弈融合的态势分析,文献[6]将博弈论思想和信息融合理论相结合,提出了一种以博弈思想为指导的博弈融合机制,同时最后也指出了贝叶斯网络在信息融合中应用的局限性:首先原因和结果常常会相互作用,贝叶斯网络是一个有向无环图,无法满足有环的因果网络图,其次贝叶斯网络没有考虑原因节点影响结果节点的滞后时间,从而只适用于静态分析,有必要引入动态贝叶斯网络进行研究。
2.2 基于D-S 证据理论的态势感知
D-S(Dempster-Shafer)理论允许各传感器提供各自所能提供的信息来进行目标检测、分类及识别。算法核心是用概率分配值来定义一个不确定区间,并用不确定区间来表示一个命题的支持度和似然度。关于D-S 理论的深入了解
与学习,参考文献[7]中的第5 章。
很多研究者已把D-S 证据理论应用在网络异常检测、态势评估等研究中。
文献[8]指出目前网络异常检测方法存在的很多不足,例如漏报率与误报率都比较高,没有融合多个特征进行综合评判,检测算法不能够满足大量数据及高速网络的检测要求,从而提出基于D-S 证据理论的网络异常检测方法,同时引入了自适应机制。研究者给出了系统架构,并指出在方法的实现过程中,只需选取从应用层以下各层协议头部中的域值通过简单计算即可获得特征。最后使用DARPA1999 年IDS 基准评测数据进行了实验,得出的实验结果表明,该算法在较低误报率的基础上达到了理想的检测率。
文献[9]提出了基于D-S 证据理论的态势评估方法,并给出自己的网络安全态势评估模型,模型中将态势评估分为3 层:特征层,解释层,评估层。特征层收集不同类型的原始信息。解释层的数据来源于特征层,并与攻击数据库中的数据进行匹配,然后用D-S 证据理论算法融合匹配的数据,判断当前网络态势。评估层基于获得的信息,综合计算来预测潜在威胁,并生成当前态势的映射图。最后在实例中给出一张随时间变化的态势图,但只给出一个整体态势值,其并不会指导管理员该如何采取防护措施,这需要具体模块化的态势值,当然整体态势也不仅仅是模块化态势值的加权运算。
2.3 基于粗糙集理论的态势感知
粗糙集理论(Rough Set Theory, RST)作为一种数据分析处理理论,在1982 年由波兰科学家Pawlak 创立,该理论在分类意义下定义了模糊性和不确定性的概念,是一种处理不确定、不相容数据和不精确问题的新型数学工具,其主要思想就是在分类能力不变的前提下,通过知识约简,导出问题的决策和分类规则。关于粗糙集理论的深入了解与学习可以参考文献[10]。
1995 年ACM 将粗糙集理论列为新兴的计算机科学的研究课题,用在态势感知领域粗糙集理论研究刚刚起步,所以目前文献大多数局限在算法的基础应用,主要研究方向为态势感知与评估。国内已有研究者将粗糙集理论应用到网络态势感知[11],该方法把网络攻击行为作为网络安全要素,定量分析了各安全要素或安全要素组合对网络安全的威胁程度,最终建立了具有攻击行为、网络服务和安全态势 3 个层次的网络安全态势感知模型,并通过仿真实验生成了明确的网络安全态势图。文献[11]在于仿真实验中采用了多源异构数据,对各数据进行量化处理最终形成态势图,实验逻辑性强且具有说服力。
更多研究者将粗糙集理论用在态势评估中进行研究。文献[12]将贝叶斯网络与粗糙集理论相结合进行战争域的态势评估,主要模式是应用贝叶斯网络及专家经验从不确定环境中获得主观态势评估,客观的态势评估应用粗糙集理论获得,合成2 种算法的评估数据,最终掌握整个战争域的实时态势。文献[13]基于多属性决策的态势评估提出一个基于粗糙集理论的模型,改进了区分函数(DiscernibilityFunction, DF)和基于决策属性的精简算法,因此产生了更高的评估效率。
2.4 基于神经网络的态势感知
人工神经网(Artificial Neural Networks, ANN)也简称为神经网络或称作连接模型,它是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相
互连接的关系,从而达到处理信息的目的。关于神经网络的深入了解与学习可以参考文献[14]。
神经网络在态势感知中的应用比较集中在态势预测研究中。
网络安全态势值具有非线性时间序列的特点,借助神经网络处理混沌、非线性数据的优势,研究者提出了一种基于径向基函数(Radical Basis Function, RBF)神经网络进行态势预测的方法[15],该方法通过训练RBF 神经网络找出态
势值得前N 个数据和随后M 个数据的非线性映射关系,进而利用该关系进行态势值预测。为了提高RBF 神经网络的预测精度,文献[16]利用混合的递阶遗传算法(HierarchicalGenetic Algorithm, HGA)的全局搜索能力来更好地优化RBF 神经网络的结构和参数,然后使用训练好的RBF 网络构建一个预测模型来预测未来网络安全态势。文献[17]中基于小波神经网络(Wavelet Neural Network, WNN)给出了网络安全态势感知的定量预测方法。
研究者在文献[18]中基于Endsley 的态势感知三阶段给出了自己的网络安全态势感知模型,此模型具有3 层结构,分别为数据、信息、知识。研究者采用Snort 和NetFlow 作为传感器来收集实时的网络流数据,然后采用多层前馈神经网络进行信息的融合,给出了简洁有效的特征精简方法,减少了输入向量并改进了融合机制的实时性。另外为了给出被监控网络的实时安全态势,研究者还提供了一个态势生成机制。
2.5 基于HMM 和马尔科夫博弈论的态势感知
隐马尔科夫模型(Hidden Markov Models, HMM)是对马尔科夫模型的一种扩充,可以描述为由一个不可观测的、隐含的随机过程支持的可观测的随机过程。关于马尔科夫模型及隐马尔科夫模型的深入了解与学习可以参考文献[19]。马尔科夫博弈论(Markov Game Theory, MGT)概念由决策者、状态空间、行动空间、转换规则、支付函数和决策等相关定义描述[20],它是一种随机的、动态的博弈论,能够抓住网络冲突的性质,很好地处理可用的不完整、不确定信息集。
有研究者将HMM 用在态势的趋势识别即态势预测的相关研究中[21],指出现存研究框架仅依赖于一种或者一类传感器的不足,给出了自己的系统框架,通过分析不同传感器获得的信息,预测入侵者的意图,文献给出了模拟实例并完成入侵意图识别,但文献中在描述采用HMM 进行趋势识别时并没有说明过程仅依赖现在而不依赖过去的马尔科夫性的适用性,同时实例只是针对自己的模型进行特定的参数配置,缺乏一定的通用性及推广能力,所以还具有一定的局限性,还需更多的工作继续深一步的研究。
文献[20]提出马尔科夫博弈论能够捕获网络冲突的特性:防御方的策略决策跟攻击方的策略决策相耦合对应。研究者首先基于JDL 模型给出自己的用于赛博态势感知的框架,其中主要包括2 个模块:数据融合模块和动态自适应特征识别模块,后者能够产生原始识别数据并学习新发现的或未知的赛博攻击。其次考虑到中立者可能为了最小化自己的损失而采取行动偏向攻击方或者防御方,在博弈论应用中创新性地引入中立方。研究者介于三方参与的博弈及攻击方和防御方又不是完全对立的,采用了非零和博弈。另外在博弈论的决策方面采用混合纳什平衡(Nash24 计__________算机工程2014 年5 月15 日
Equilibrium, NE)决策,其中每个参与者只需考虑平均支付函数。
2.6 数据融合方式评述及发展趋势
数据融合方式在态势感知中处理多源异构数据的应用研究比较成熟,算法各具优越性,贝叶斯网络具有神经网络和图论的优点,它使用概率论来处理不确定性,提供了一种将知识直觉地图解可视化的方法;D-S 证据理论支持描述不同等级的精确度和直接引入对未知不确定性
的描述;粗糙集理论具有能从海量数据中发现有用规律并将其转化为逻辑规则的优势;安全态势值具有非线性时间序列的特点,而神经网络具有处理非线性数据的优势;赛博空间入侵者具有相对确定的意图,采用意向图进行意图识别形成一种新颖的研究方式,将隐马尔科夫用于意图识别能够从多传感器融合数据,得到正确的识别与认知;将博弈论应用于赛博空间防御研究,马尔科夫博弈论模型采用分布式结构,能够有效为赛博空间的不确定因素进行建模,并能很好地抓住网络冲突的性质。
目前数据融合方式中的研究呈现实验数据量小、实验数据针对性强、算法缺乏高效性等缺点,并且虽然从多维度融合给出赛博空间当前态势值,但缺乏具体模块化的态势值,模块化态势值对于决策者做决策更有意义。
在多源异构信息的处理中,目前已有很多研究者将多种融合方式结合起来进行研究,例如贝叶斯网络与攻击图的结合、贝叶斯网络与粗糙集理论的结合,这种算法结合研究是一种将来的研究趋势。对于单一融合方式的研究,从时间复杂度及空间复杂度的优化性出发进行算法的创新性改进,也是一种研究趋势。
3 决策方式综述
决策一词的意思就是为了到达一定目标,采用一定的科学方法和手段,从2 个以上的方案中选择一个满意方案的分析判断过程。态势感知中数据融合的最终目标是让操作者了解当前赛博空间的状况从而掌握全局态势,做出相应决策。很多文献从如何做决策的角度出发,针对态势感知中多源异构信息的处理方式进行相关研究,并有研究者考虑到决策过程中个人因素的影响,将心理学的认知过程纳入决策研究。
3.1 基于认知心理学的态势感知决策方式
认知,指通过心理活动获取知识。在态势感知中的认知应用研究主要是基于认知心理学信息加工论,信息加工论主要涉及信息的获得、存储、加工、提取和应用。研究者分别将认知应用到了人作为高效率、实时决策者的研究中和赛博空间的决策框架研究中。
Endsley 早期从人的认知角度对态势感知进行了相关研究,文献[22]指出随着动态、复杂系统的出现,操作者的态势感知在系统的决策和性能中成为关键部分,态势感知过程跟操作者对于当前环境的知识状态有关,它主要由操作
者对相关元素的感知、操作者对目标有关的元素的理解和基于这些理解对环境未来状态的预测结合而成。研究者给出了一个考虑人的态势感知的决策模型,并指出真正的态势感知不仅是大量数据的融合,还需要基于操作者目标相关的更高水平的态势理解及系统将来状态的预测。文献还考虑了任务和系统因素,它们也会影响个人态势获取能力,并就这些因素对系统设计等展开研究。此研究的创新性在于将人的因素纳入对空间态势获取的研究,基于信息加工论提出了人的态势感知概念并给出了模型。
3.2 基于逻辑学的态势感知决策方式
在安全分析中,计算机攻击条件的逻辑关系显得日益重要[23],研究者在脆弱性分析中通过对这种关系的建模也生成多种解决方案[24-25],他们在建模中都采用了某些确定逻辑:一个攻击的前置条件成立,则后置条件成立。文献[23]指出,上述确定逻辑并没有考虑到赛博安全分析的不确定性。
介于确定逻辑的局限性,研究者提出了一种基于经验的逻辑方法进行决策研究[23]。文献根据人的基于经验的思维方式设计逻辑规则,并将此逻辑模型分为 2 个部分:观察推理用来将观察结果映射到内部条件,内部模型用来分析内部条件的逻辑关系。相对于以前的融合和决策方法直接应用现存的模型进行研究,此文献直接从底层基础开始设计一个接近人类推理的逻辑模型,此模型的另一个优点是相对于结论成立的条件是以逻辑证明的形式给出的,这使得在达成这个结论过程中什么条件被应用或什么条件被假设更加清楚。
3.3 基于风险管理的态势感知决策方式
赛博空间态势感知不确定性研究的另一个重要方面是系统中存在的静态不确定性或者固有风险。固有风险的分析和管理在安全投入的决策中显得尤其重要。文献[23]指出随着目前网络应用的扩大,相关应用中的漏洞经常被发现,且被用来进行阶段性赛博攻击,但并不存在一种客观的方法来评估网络的安全性,通过增加安全投入可以减少与安全相关的风险,在这方面的权衡分析需要一个量化的安全模型。
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)[26]是一个行业公开标准,被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。文献[23]提出CVSS 只提供了单个漏洞的分数,并不能提供一
个合理的方法为网络中一系列漏洞提供一种集成的度量方式,以便得到网络安全的整体分数。研究者基于上述问题提出将CVSS 与攻击图相结合,攻击图可以被用来进行漏洞间的因果关系建模,很多文献中也研究了基于攻击图的CVSS 度量。研究者结合攻击图进行CVSS 度量相关研究,能够比较好地利用多源异构数据形成系统当前漏洞状态整体度量值,为赛博空间态势感知中处理静态不确定性数据进而正确理解当前态势的研究提供了方向或理论依据。3.4 决策方式评述及发展趋势
决策方式的研究彰显了交叉学科研究的创新性及优越性,从认知心理学出发能够将操作者的决策及分析能力作为因素纳入多源异构信息的处理框架研究中;基于经验的逻辑方法的提出能够从底层处理观察到的多源异构数据,并将逻辑预处理结果映射到内部进行内部关系分析,便于跟踪入侵者意图;针对静态不确定性数据的处理,将通用漏洞评分系统与攻击图相结合,能够利用攻击图的因果关系建模,形成系统当前整体度量值。
决策方式的研究是从做决策的角度出发,为多源异构数据处理提供决策框架及框架所需的设计因素,并不会向数据融合方式提供一个最终的定量的态势度量值。
赛博空间态势感知中引入交叉学科的研究,能够让研究者从一个全新的角度寻求新颖的多源异构数据处理方式及优化方式,例如很多与生物免疫学的交叉研究,这是一种比较新的研究趋势。
4 结束语
针对目前赛博空间态势感知研究中对多源异构信息的处理方式,本文从数据融合与决策方法2 个角度综述了当前研究比较前沿的解决方案,即5 种数据融合算法以及3 种决策方法,给出融合算法及决策方法的优缺点并指出今后的发展趋势,可以作为该领域后续研究的理论基础参考。后续研究将会致力于提出更高效、优化的适用于多源异构数据处理的融合算法,着重考虑融合算法的结合研究及算法的普适性。在决策方法的研究中,将致力于认知心理学及逻辑学的研究,提出更全面的态势感知决策框架,让态势分析者实时、准确地掌握当前态势,并做出相关决策及未来趋势预测。
参考文献
[1] 王慧强, 赖积保, 朱亮, 等. 网络态势感知系统研究综
述[J]. 计算机科学, 2006, 33(10): 5-10.
[2] Hall D L, Llinas J. An Introduction to Multisensor Data
Fusion[J]. Proceedings of the IEEE, 1997, 85(1): 6-23.
[3] Salerno J. Information Fusion: A High-level Architecture
Overview[C]//Proc. of the 5th International Conference on
Information Fusion. Annapolis, USA: IEEE Press, 2002: 680-
686.
[4] 张连文, 郭海鹏. 贝叶斯网引论[M]. 北京: 科学出版社,
2006.
[5] 罗文, 李敏勇, 张晓锐. 基于贝叶斯网络的态势认识[J].
火力与指挥控制, 2010, 35(3): 89-92.
[6] 周志强, 张晓燕. 基于贝叶斯网络的博弈融合态势评估方
法[J]. 计算机与数字工程, 2008, 36(10): 17-19.
[7] 戴亚平, 刘征, 郁光辉. 多传感器数据融合理论及应
用[M]. 北京: 北京理工大学出版社, 2004.
[8] 诸葛建伟, 王大为, 陈昱, 等. 基于D-S 证据理论的网络
异常检测方法[J]. 软件学报, 2006, 17(3): 463-471.
[9] Qu Zhaoyang, Li Yaying, Li Peng. A Network Security
Situation Evaluation Method Based on D-S Evidence
Theory[C]//Proc. of ESIAT’10. Wuhan, China: [s. n.], 2010:
496-499.
[10] 苗夺谦, 李道国. 粗糙集理论, 算法与应用[M]. 北京:
清华大学出版社, 2008.
[11] 梁颖, 王慧强, 赖积保. 一种基于粗糙集理论的网络安全
态势感知方法[J]. 计算机科学, 2007, 34(8): 95-97.
[12] Meng Guanglei, Gong Guanghong. Algorithm of Battlefield Situation Assessment Based on Bayesian Network and Rough
Set Theory[C]//Proc. of the 7th International Conference on System Simulation and Scientific Computing. Beijing, China:
[s. n.], 2008: 776-779.
[13] Wang Xiaofan, Wang Baoshu. Methods for Situation Assessment of Multi-attribute Decision Making Based on Rough
Sets[C]//Proc. of the 6th International Conference on Fuzzy Systems and Knowledge Discovery. Tianjin, China: [s. n.],
2009: 325-328.
[14] 韩力群. 人工神经网络教程[M]. 北京: 北京邮电大学出版社, 2006.
[15] 任伟, 蒋兴浩, 孙锬锋. 基于RBF 神经网络的网络安全
态势预测方法[J]. 计算机工程与应用, 2006, 42(31): 136-
138.
[16] 孟锦, 马驰, 何加浪, 等. 基于HHGA-RBF 神经网络
的网络安全态势预测模型[J]. 计算机科学, 2011, 38(7):
70-72.
[17] Lai Jibao, Wang Huiqiang, Liu Xiaowu, et al. A Quantitative Prediction Method of Network Security Situation Based on Wavelet Neural Network[C]//Proc. of the 1st International Symposium on Data, Privacy, and E-commerce. Chengdu,
China: [s. n.], 2007: 197-202.
[18] Wang Huiqiang, Liu Xiaowu, Lai Jibao, et al. Network
Security Situation Awareness Based on Heterogeneous
Multi-sensor Data Fusion and Neural Network[C]//Proc. of the
2nd International Multi-symposiums on Computer and Computational Sciences. Iowa, USA: IEEE Press, 2007:
352-359.
[19] Rabiner L R. A Tutorial on Hidden Markov Models and Selected Applications in Speech Recognition[J]. Proceedings
of the IEEE, 1989, 77(2): 257-286.
[20] Shen Dan, Chen Genshe, Cruz J B, et al. A Markov Game Theoretic Data Fusion Approach for Cyber Situational Awareness[C]//Proc. of IEEE Military Communications Conference. Orlando, USA: [s. n.], 2007: 1-7.
[21] Zhang Qiang, Man Dapeng, Yang Wu. Using HMM for Intent Recognition in Cyber Security Situation Awareness[C]//Proc.
of the 2nd International Symposium on Knowledge Acquisition and Modeling. Wuhan, China: [s. n.], 2009:
166-169.
[22] Endsley M R. Toward a Theory of Situation Awareness in Dynamic Systems[J]. Human Factors: The Journal of the Human Factors and Ergonomics Society, 1995, 37(1): 32-64. [23] Jajodia S, Liu P, Swarup V, et al. Cyber Situational Awareness: Issues and Research[M]. [S. l.]: Springer, 2010.
[24] Ammann P, Wijesekera D, Kaushik S. Scalable, Graph-based Network Vulnerability Analysis[C]//Proc. of the 9th ACM Conference on Computer and Communications Security.
New York, USA: ACM Press, 2002: 217-224.
[25] Cheung S, Lindqvist U, Fong M W. Modeling Multistep Cyber Attacks for Scenario Recognition[C]//Proc. of DARPA Information Survivability Conference and Exposition. Washington D. C., USA: IEEE Press, 2003: 284-292.
[26] Mell P, Scarfone K, Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0[M]. [S. l.]: https://www.doczj.com/doc/8d8188355.html,, Inc., 2007.
网络安全态势感知系统简述 网络安全态势感知系统简述,网络通讯及安全, 陈柳巍,赵蕾,陈瑛琦约2758字 摘要:任务关键网络系统作为一类特殊的网络信息系统在影响人民生活和社会 发展的诸 多领域得到了广泛应用。然而,不断恶化的网络环境使得该类系统面临的安全 问题日益突出, 在依靠传统网络安全技术无法满足人们对其安全需求的背景下,网络安全态势 感知研究便应 运而生。综述了网络安全态势感知系统的国内外研究现状;介绍了Netflow基 本原理。 关键词:网络安全;态势感知;态势评估 中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01 Outline of Network Security Situation System CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi (Computer Office, Aviation University of Air Force, Changchun 130022, China) Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
多传感器数据融合技术及其应用 多传感器数据融合概念 数据融合又称作信息融合或多传感器数据融合,对数据融合还很难给出一个统一、全面的定义。随着数据融合和计算机应用技术的发展,根据国外研究成果,多传感器数据融合比较确切的定义可概括为充分利用不同时间与空间的多传感器数据资源,采用计算机技术对按时间序列获得的多传感器观测数据,在一定准则下进行分析、综合、支配和使用,获得对被测对象的一致性解释与描述,进而实现相应的决策和估计,使系统获得比它的各组成部分更充分的信息。 多传感器数据融合原理 多传感器数据融合技术的基本原理就像人脑综合处理信息一样,充分利用多个传感器资源,通过对多传感器及其观测信息的合理支配和使用,把多传感器在空间或时间上冗余或互补信息依据某种准则来进行组合,以获得被测对象的一致性解释或描述。具体地说,多传感器数据融合原理如下: 1)N个不同类型的传感器(有源或无源的)收集观测目标的数据; (2)对传感器的输出数据(离散的或连续的时间函数数据、输出矢量、成像数据或一个直接的属性说明)进行特征提取的变换,提取代表观测数据的特征矢量Yi; (3)对特征矢量Yi进行模式识别处理(如,聚类算法、自适应神经网络或其他能将特征矢量Yi变换成目标属性判决的统计模式识别法等)完成各传感器关于目标的说明; 4)将各传感器关于目标的说明数据按同一目标进行分组,即关联; (5)利用融合算法将每一目标各传感器数据进行合成,得到该目标的一致性解释与描述。 多传感器数据融合方法
多传感器数据融合的常用方法基本上可概括为随机和人工智能两大类,随机类方法有加权平均法、卡尔曼滤波法、多贝叶斯估计法、Dempster-Shafer(D-S)证据推理、产生式规则等;而人工智能类则有模糊逻辑理论、神经网络、粗集理论、专家系统等。可以预见,神经网络和人工智能等新概念、新技术在多传感器数据融合中将起到越来越重要的作用。 卡尔曼滤波法 卡尔曼滤波主要用于融合低层次实时动态多传感器冗余数据。该方法用测量模型的统计特性递推,决定统计意义下的最优融合和数据估计。如果系统具有线性动力学模型,且系统与传感器的误差符合高斯白噪声模型,则卡尔曼滤波将为融合数据提供唯一统计意义下的最优估计。卡尔曼滤波的递推特性使系统处理不需要大量的数据存储和计算。但是,采用单一的卡尔曼滤波器对多传感器组合系统进行数据统计时,存在很多严重的问题,例如:(1)在组合信息大量冗余的情况下,计算量将以滤波器维数的三次方剧增,实时性不能满足;(2)传感器子系统的增加使故障随之增加,在某一系统出现故障而没有来得及被检测出时,故障会污染整个系统,使可靠性降低。 多贝叶斯估计法 贝叶斯估计为数据融合提供了一种手段,是融合静态环境中多传感器高层信息的常用方法。它使传感器信息依据概率原则进行组合,测量不确定性以条件概率表示,当传感器组的观测坐标一致时,可以直接对传感器的数据进行融合,但大多数情况下,传感器测量数据要以间接方式采用贝叶斯估计进行数据融合。多贝叶斯估计将每一个传感器作为一个贝叶斯估计,将各个单独物体的关联概率分布合成一个联合的后验的概率分布函数,通过使用联合分布函数的似然函数为最小,提
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
本次讲座主要讲了多源数据融合的定义、应用领域、所具有的优势、信息融合的级别、通用处理结构、主要技术方法、要解决的几个关键问题和未来的主要研究方向。下面就围绕这几个方面进行阐述。 多源信息融合是一种多层次,多方面的处理过程,包括对多源数据进行检测、相关、组合和估计,从而提高状态和身份估计的精度,以及对战场态势和威胁的重要程度进行实时完整的评估。简单说,多源信息融合就是对多源信息进行综合处理,从而得出更为准确、可靠的结论。例如我们感知天气,通过我们的体表感觉温度的高低,通过眼睛观察天气的晴朗或阴雨,通过耳朵听风的大小,然后将这些信息通过大脑的综合处理,对天气有一个总体的感知定位。 多源信息融合在各个领域都有着广泛的应用。如军事上进行战场监视、图像融合,包含医学图像融合等、工业智能机器人(对图像、声音、电磁等数据进行融合,以进行推理,从而完成任务)、空中交通管制(由导航设备、监事和控制设备、通信设备和人员四部分组成)、工业过程监控(过程诊断)、刑侦(将人的生物特征如指纹、虹膜、人脸、声音等信息进行融合,可提高对人身份识别的能力)、遥感等。 信息融合技术越来越受到人们的重视,这时因为它在信息处理方面具有一定的优势。增强系统的生存能力,也就是防破坏能力,改善系统的可靠性;可以在时间、空间上扩展覆盖范围;提高可信度,降低信息的模糊度,如可以使多传感器对同一目标或时间加以确定;提高空间分辨率,多传感器信息的合成可以获得比任一单传感器更高的分辨率;增加了测量空间的维数,从而使系统不易受到破坏。 信息融合的级别有多种分类方法,若按数据抽象的层次来分,可分为数据级融合、特征级融合和决策级融合。数据级融合是直接对传感器的观测数据进行融合处理,然后基于融合后的结果进行特征提取和判断决策。数据级融合的精度高,但由于数据量大,故处理的时间长,代价高,数据通信量大,抗干扰能力差,并且要求传感器是同类的。多应用在多源图像复合、同类雷达波形的直接合成等。特征级融合是先由每个传感器抽象出自己的特征向量(比如目标的边缘、方向、速度等信息),融合中心完成的是特征向量的融合处理。这种融合级别实现了可观的数据压缩,降低了通信带宽的要求,有利于实现实时处理,但却损失了一部分有用信息,使融合性能有所降低。决策级融合是先由每个传感器基于自己的数据作出决策,然后融合中心完成的使局部决策的融合处理。这种级别的融合数据损失量大,相对来讲精度低,但却抗干扰能力强,通信量小,对传感器依赖小,不要求同质传感器,融合中心处理代价低。 图1、集中式结构 多源数据融合的通用结构有集中式结构、分布式结构和混合式结构。集中式结构是所有传感器的数据直接送给融合中心进行处理,结构如图1所示。 分布式结构是融合中心收到的是经过局部处理的数据,结构如图2所示。混合式结构是
数据融合技术的研究方法及现状 学科专业:模式识别与智能系统 姓名:高鸽 学号:S2******* 日期:2012年4月
常用数据融合方法 多传感器数据融合涉及到多方面的理论和技术,如信号处理、估计理论、不确定性理论、最优化理论、模式识别、神经网络、人工智能、小波分析理论和支持向量机等。很多学者从不同角度出发提出了多种数据融合技术方案。表1对现有比较常用的数据融合方法进行了归纳,主要分为经典方法和现代方法两大类。 目前,人们已开始将多传感器信息融合应用于复杂工业过程控制系统,文献[25]提出的复杂工业过程综合集成智能控制系统便是其中的一种。 表1 常用的数据融合方法 1)加权平均法 加权平均法是最简单直观地实时处理信息的融合方法。基本过程如下: 设用n 个传感器对某个物理量进行测量, 第i 个传感器输出的数据为i X , 其中,i= 1,2,…,n, 对每个传感器的输出测量值进行加权平均, 加权系数为i w ,得到的加权平均融 合结果为:i 1 =n i i X w X =∑ 加权平均法将来自不同传感器的冗余信息进行加权平均, 结果作为融合值。应用该方法必须先对系统和传感器进行详细分析, 以获得正确的权值。
2)极大似然估计 极大似然估计是静态环境中的常用方法,能将信息融合取为使似然函数得到估计值。 3)Kalman 滤波 Kalman 滤波用于动态环境中冗余信息的实时融合。对线性模型系统, 且噪声是高斯分布的白噪声, 可获得最优融合信息统计。非线性模型, 可采用扩展Kalman 滤波。系统模型有变化或系统状态有渐/ 突变时, 可采用基于强跟踪的Kalman 滤波。 4)贝叶斯估计法 贝叶斯估计属静态环境信息融合方法,信息描述为概率分布,适用于具有加高斯噪声的不确定信息处理。 贝叶斯推理技术主要用来进行策略层融合,它是通过把先验信息和样本信息合成为后验分布,对检测目标作出推断。设来自第i 个传感器的信息为 i s ,i=1,2,…k ,则数据融合后 目标d 的后验概率是: 1 1 1 ()(|) |()(|)()(|) k i i k k i i i i i P d P d P P d P d P d P d s s s s ===+∏∏∏(d )= 缺点:对先验概率比较敏感,并且要找到一个合适的先验分布并不容易。 4)D-S 法 Dempster-Shafter (简称D-S 法)是目前数据融合技术中比较常用的一种方法。该方法通常用来表示对于检测目标的大小、位置及存在与否进行推断。它实际上是广义的贝叶斯方法。根据人的推理模式,采用了概率区间和不确定区间来决定多证据下假设的似然函数来进行推理。由各种传感器检测到的信息提取的特征参数构成了该理论中的证据,利用这些证据构造相应的基本概率分布函数,对于所有的命题赋予一个信任度。基本概率分布函数及其相应的分辨框合称为一个证据体。因此,每个传感器就相当于一个证据体。多个传感器数据融合,实际上就是在同归分辨框下,用Dempster 合并规则将各个证据体合并成一个新的证据体。产生新证据体的过程就是D-S 法数据融合。 5)聚类分析法 聚类分析定义相似性函数或关联度量以提供任何两个特征向量间“接近”程度或不相似程度的值, 依隶属度将样本归并到某类。可分成硬聚类和模糊聚类和可能性聚类等方法。 6)模糊逻辑法 针对数据融合中所检测的目标特征具有某种模糊性的现象,有人利用模糊逻辑方法对检测目标进行识别和分类。建立标准检测目标和待识别检测目标的模糊子集是此方法的研究基础。但模糊子集的建立需要有各种各样的标准检测目标,同时又必须建立合适的隶属函数。实际上,确定隶属函数比较麻烦,目前还没有规范的方法可遵循。又由于
数据融合技术简介 数据融合技术是指利用计算机对按时序获得的若干观测信息,在一定准则下加以自动分析、综合,以完成所需的决策和评估任务而进行的信息处理技术。 数据融合的概念虽始于70年代初期,但真正的技术进步和发展乃是80年代的事【1】,尤其是近几年来引起了世界范围内的普遍关注,美、英、日、德、意等发达国家不但在所部署的一些重大研究项目上取得了突破性进展,而且已陆续开发出一些实用性系统投入实际应用和运行。 我国“八五”规划亦已把数据融合技术列为发展计算机技术的关键技术之一,并部署了一些重点研究项目,尽可能给予了适当的经费投入。但这毕竟是刚刚起步,我们所面临的挑战和困难是十分严峻的,当然也有机遇并存。这就需要认真研究,针对我国的国情和军情,采取相应的对策措施,以期取得事半功倍的效果。 数据融合可分为: (1)像素级融合: 它是直接在采集到的原始数据层上进行的融合,在各种传感器的原始测报未经预处理之前就进行数据的综合与分析。数据层融合一般采用集中式融合体系进行融合处理过程。这是低层次的融合,如成像传感器中通过对包含若一像素的模糊图像进行图像处理来确认目标属性的过程就属于数据层融合。 (2)特征层融合: 特征层融合属于中间层次的融合,它先对来自传感器的原始信息进行特征提取(特征可以是目标的边缘、方向、速度等),然后对特征信息进行综合分析和处理。特征层融合的优点在于实现了可观的信息压缩,有利于实时处理,并且由于所提取的特征直接与决策分析有关,因而融合结果能最大限度的给出决策分析所需要的特征信h。特征层融合一般采用分布式或集中式的融合体系。特征层融合可分为两大类:一类是目标状态融合;另一类是目标特性融合。 (3)决策层融合 决策层融合通过不同类型的传感器观测同一个目标,每个传感器在本地完成基本的处理,其中包括预处理、特征抽取、识别或判决,以建立对所观察目标的初步结论。然后通过关联处理进行决策层融合判决,最终获得联合推断结果。 数据融合作为一种数据综合和处理技术,实际上是许多传统学科和新技术的集成和应用,其中涉及的知识包括通信、模式识别、决策论、不确定性理论、信号处理、估计理论、最优化技术、计算机科学、人工智能、神经网络等,特别是神经网络和人工智能等新概念、新技术在多传感器数据融合中将起到越来越重要的作用。多传感器数据融合技术的核心问题是选择合适的融合算法,由于信息的多样性和复杂性,对数据融合方法的基本要求是具有鲁棒性和并行处理能力。具体的数据融合的方法很多【3】【4】,常用的方法大体上可分成三大类:(1)基于统计理论的融合方法----------- 基于统计理论的融合方法有:经典推理法、贝叶斯估计法和证据理论法(Dempster-Shafer)。 经典推理法在早起的数据融合中得到了广泛的应用,由于其完全依赖数学理论,则形式简单、易操作,缺点是必须要求先验知识和计算先验概率密度分布函数,同时一次仅能估计
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
态势感知中的数据融合和决策方法综述 作者简介:盖伟麟(1987-),男,硕士研究生,主研方向:网络与信息安全,态势感知;辛丹、王璐,硕士研究生;欣,讲 师、博士;胡建斌,副教授、博士。 收稿日期:2013-03-05 修回日期:2013-05-08 E-mail:gaiweilin54070225163. 态势感知中的数据融合和决策方法综述 盖伟麟a,辛丹a,王璐b,欣a,胡建斌b (大学a. 软件与微电子学院;b. 信息科学技术学院,100871) 摘要: 在赛博空间态势感知的相关研究中,处理不确定、不精确的多源异构信息是态势认识过程中需要解决的一个重要问题。为正确处理这些信息,提高对态势的认识,使得到的态势更具有正确性、时效性和全局性,研究数据融合方式和决策方式等现存的处理技术并进行综述。数据融合包含贝叶斯网络、D-S 证据理论、粗糙集理论、神经网络、隐马尔科夫模型及马尔科夫博弈论等方式,决策方式涵盖认知心理学、逻辑学、风险管理等。研究结果表明,目前的技术焦点呈现多样性,但在态势生成应用及验证方面仍有较大的改进空间。 关键词:赛博空间;态势感知;多源异构;数据融合;决策 Review of Date Fusion and Decision-making Methods in Situation Awareness GAI Wei-lina, XIN Dana, WANG Lub, LIU Xina, HU Jian-binb (a. School of Software and Microelectronics; b. School of Electronics Engineering and Computer Science, Peking University, Beijing 100871, China) 【Abstract】In the research of cyberspace situation awareness, how to deal with uncertain, inaccurate multi-source heterogeneous information is an important problem which needs to be solved in the process of situational understanding. In order to accurately handle with the information, improve the awareness of the situation, make the situation more accuracy, timeliness and overall, the paper reviews the existing technology focus, mainly including data fusion methods and decision-making methods. Data fusion methods mainly includes Bayesian network, D-S evidence theory, rough set theory, neural network, hidden Markov model and Markov game theory methods, and decision-making mainly includes cognitive psychology, logic and risk management methods. Research results show that current technology focuses present diversity, but still has great space for improvement in both the situation generation application and verification. 【Key words】cyberspace; situation awareness; multi-source heterogeneous; data fusion; decision-making DOI: 10.3969/j.issn.1000-3428.2014.05.005 计算机工程 Computer Engineering 第40 卷第5 期
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
数据融合是WSN中非常重要的一项技术,也是目前的一个研究热点,通过一定算法将采集到的数据进行各种网内处理,去除冗余信息,减少数据传输量,降低能耗,延长网络生命周期。本文以从降低传输数据量和能量方面对数据融合方法进行分类,介绍其研究现状。 1.与路由相结合的数据融合 将路由技术和数据融合结合起来,通过在数据转发过程中适当地进行数据融合,减轻网络拥塞,延长网络生存时间[1]。 1.1查询路由中的数据融合 定向扩散(directed diffusion)[2]作为查询路由的代表,数据融合主要是在其数据传播阶段进行,采用抑制副本的方法,对转发过的数据进行缓存,若发现重复数据将不予转发,该方法有很好的能源自适应性,但是他只能在他选择的随机路由上进行数据融合,并不是最优方案。 1.2分层路由中的数据融合 Wendi Rabiner Heinzelman 等提出了在无线传感器网络中使用分簇概念,其将网络分为不同层次的LEACH 算法[3] :通过某种方式周期性随机选举簇头,簇头在无线信道中广播信息,其余节点检测信号 并选择信号最强的簇头加入,从而形成不同的簇。每个簇头在收到本簇成员后进行数据融合处理,并将结果发送给汇集节点。LEACH算法仅强调数据融合的重要性,但未给出具体的融合方法。TEEN是LEACH 算法的改进[4],通过缓存机制抑制不需要转发的数据,进一步减少数据融合过程中的数据亮。
1.3链式路由中的数据融合 Lindsey S 等人在L EACH 的基础上,提出了PEGASIS 算法[5]每个节点通过贪婪算法找到与其最近的邻居并连接,从而整个网络形成一个链,同时设定一个距离Sink 最近的节点为链头节点,它与Sink进行一跳通信。数据总是在某个节点与其邻居之间传输,节点通过多跳方式轮流传输数据到Sink 处,位于链头节点和源节点之间的节点进行融合操作,最终链头节点将结果传送给汇聚节点。链式结构使每个节点发送数据距离几乎最短,比LEACH节能,但增大了数据传送的平均延时,和传输失败率。PEDAP (power efficient data gathering and aggregation protocol) [6]协议进一步发展了PEGASIS 协议,其核心思想是把WSN 的所有节点构造成一棵最小汇集树(minimum spanning tree) 。节点不管在每一轮内接收到多少个来自各子节点的数据包,都将压缩融合为单个数据包,再进行转发,以最小化每轮数据传输的 总能耗。然而,PEDAP 存在难以及时排除死亡节点(非能量耗尽) 的缺点。 2.基于树的数据融合 现有的算法有最短路径树(SPT)、贪婪增量树(GIT)、近源汇集树(CNS)和Steiner树以及他们的改进算法。Zhang [7]提出 DCTC(dynamic convey tree based collaboration) 算法。通过目标附近的节点协同构建动态生成树,协同组节点把测量数据沿确定的生成树向根节点传输,在传输过程中,汇聚节点对其子生成树节点的数 据进行数据融合。Luo [8-9]了MFST (minimum fusion steiner t ree)
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
1.多传感器信息融合概念 多传感器信息融合是指综合来自多个传感器的感知数据, 以产生更可靠、更准确或更精确的信息。经过融合的多传感器系统能完善地、精确地反映检测对象特性, 消除信息的不确定性, 提高传感器的可靠性。经过融合的多传感器信息具有以下特性: 信息的冗余性、信息的互补性、信息的实时性和信息的低成本性。 2. 多传感器信息融合分类 按融合判断方式分类 (1) 硬判决方式 硬判决方式设置有确定的预置判决门限。只有当数据样本特征量达到或超过预置门限时,系统才做出判决断言;只有当系统做出了确定的断言时,系统才向更高层次系统传送“确定无疑”的判决结论。这种判决方式以经典的数理逻辑为基础,是确定性的。 (2) 软判决方式 软判决方式不设置确定不变的判决门限。无论系统何时收到观测数据都要执行相应分析,都要做出适当评价,也都向更高层次系统传送评判结论意见及其有关信息,包括评判结果的置信度。这种评判不一定是确定无疑的,但它可以更充分地发挥所有有用信息的效用,使信息融合结论更可靠更合理。 按传感器组合方式分类 (1) 同类传感器组合 同类传感器组合只处理来自同一类传感器的环境信息,其数据格式、信息内容都完全相同,因而处理方式相对比较简单。 (2) 异类传感器组合 异类传感器组合同时处理来自各种不同类型传感器采集的数据。优点是信息内容广泛,可以互相取长补短,实现全源信息相关,因而分析结论更准确、更全面、更可靠,但处理难度则高很多。 3.信息融合的系统结构 信息融合的系统结构研究包含两部分, 即信息融合的层次问题和信息融合的体系结构。融合的层次结构主要从信息的角度来分析融合系统, 信息融合的体系结构则主要是从硬件的角度来分析融合系统。 (1)信息融合的层次 信息融合系统可以按照层次划分, 对于层次划分问题存在着较多的看法。目前较为普遍接受的是层次融合结构, 即数据层、特征层和决策层。 数据层融合是指将全部传感器的观测数据直接进行融合, 然后从融
多传感器信息融合技术综述 内容摘要:多传感器信息融合技术是一门新兴学科,它的理论和方法已被应用到许多研究领域。本文主要对多传感器信息融合的模型与结构、信息融合的主要技术和方法、信息融合理论体系以及信息融合技术的应用等内容进行了概要介绍和展开了综述。 关键词:多传感器;信息融合;综述 随着传感器技术、数据处理技术、计算机技术、网络通讯技术、人工智能技术和并行计算的软硬件技术等相关技术的发展,多传感器信息融合技术已受到了广泛关注。多传感器信息融合是20世纪80年代出现的一门新兴学科,它首先广泛地应用于军事领域,如海上监视、空-空和地-空防御、战场情报、监视和获取目标及战略预警等,随着科学技术的进步,多传感器信息融合至今已形成和发展成为一门信息综合处理的专门技术,并很快推广应用到工业机器人、智能检测、自动控制、交通管理和医疗诊断等多种领域。我国从20世纪90年代也开始了多传感器信息融合技术的研究和开发工作,并在工程上开展了多传感器识别、定位等同类信息融合的应用系统的开发,现在多传感器信息融合技术越来越受到人们的普遍关注。1多传感器信息融合的概念 在信息融合领域,人们经常提及“多传感器融合”(multi-sensor fusion)、“数据融合”(data fusion)和“信息融合”(information fusion)。实际上它们是有差别的,现在普遍的看法是,多传感器融合包含的内容比较具体和狭窄,至于信息融合和数据融合,有一些学者认为数据融合包含了信息融合,还有一些学者认为信息融合包含了数据融合,而更多的学者把信息融合与数据融合的当作同一概念看待,在不影响应用的前提下,二种提法都是可以的。因此本文统一使用信息融合这一提法。信息融合有多种定义方式,作者认为比较确切的概念为:充分利用不同时间与空间的多传感器信息资源,采用计算机技术对按时序获得的多传感器观测信息在一定准则下加以自动分析、综合、支配和使用,获得对被测对象的一致性解释与描述,以完成所需的决策和估计任务,使系统获得比它的各组成部分更优越的性能。 2 信息融合的模型和结构 2.1 信息融合的模型 信息融合绝大部分的研究都是根据具体问题及其特定对象建立自己的融合层次,针对其在军事上的应用将信息融合划分为检测层、位置层、属性层、态势评估和威胁估计;根据输入输出数据的特征提出了基于输入/输出特征的融合层次化描述等。可见,信息融合层次的划分没有统一标准,根据信息表征的层次,我们将信息融合划分为像素层、特征层和决策层,分别称为像素级融合、特征级融合和决策级融合[1]。一个给定的信息融合系统,可能涉及多个级别数据的输入。 (1)像素级融合见图1,这是最低层次的信息融合。在这种方法中,匹配的传感器数据直接融合,而后对融合的数据进行特征提取和特征说明。传感器的信息融合之后,没有单个处理的信息损失,识别的处理等价于对单个传感器的处理。该层次的信息融合能够提供其它层次上的融合所不具备的细节信息,因此,像素级多传感器处理提供一种最优决策和识别性能。但是,像素级融合要求精确的传感器配准和宽的传输带宽。 (2)特征级融合见图2,这是中间层次的信息融合。在这种方法中,每个传感器观测目标,并对各传感器的观测进行特征提取(如提取形状、边沿、方位信息等),产生特征矢量,而后融合这些特征矢量,并做出基于联合特征矢量的属性说明。在特征级融合中,各个源提供的特征矢量融合到一个综合的特征矢量中,这种融合是比较简单的,该层次的信息融合是像素级融合和更高一级决策级融合的折衷形式,兼容了两者的优缺点,具有较大的灵活性,在许多情况下是很实用的。