当前位置:文档之家 › 基于知识发现的网络安全态势感知框架外文文献--中文翻译

基于知识发现的网络安全态势感知框架外文文献--中文翻译

  • 格式:doc
  • 大小:391.50 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

网络安全中的态势感知技术研究

网络安全中的态势感知技术研究

网络安全中的态势感知技术研究随着互联网的不断发展和普及,网络安全问题也越来越受到人们的关注。

随之而来的是网络安全技术的不断更新和升级。

而其中一个重要的技术就是态势感知技术。

本文就从这个角度出发,探讨网络安全中的态势感知技术研究。

一、什么是态势感知技术?态势感知技术(situational awareness)是指通过对网络环境的全面分析和监控,对网络中的攻击和威胁进行及时发现、分析、判断和应对的技术。

简单来说,就是通过收集和处理各种网络信息来实现对网络安全状态的快速、准确的判断和预警。

二、态势感知技术的分类态势感知技术根据其数据源的不同,大致可以分为两类,即内部态势感知技术和外部态势感知技术。

内部态势感知技术主要是通过对企业内部网络设备和流量数据的收集和分析,来实现对企业内部网络安全状况的监控和预警,包括入侵检测、异常流量监测、资产管理等。

而外部态势感知技术则是通过对网络外部环境的数据进行采集和分析,来获取网络外部威胁情报和对网络安全状况进行预警,包括漏洞情报分析、黑客攻击溯源分析、网络威胁情报共享等。

三、态势感知技术的应用态势感知技术在网络安全领域的应用,主要体现在以下几个方面。

1、网络安全数据分析与传输态势感知技术可以实现对网络数据的实时收集、分类、过滤和分析,并据此推算和诊断网络状况。

同时,它还可以把安全数据传输到管理中心,让管理人员更快地发现网络攻击和威胁。

2、风险提示与预警态势感知技术可以收集和分析网络数据,明确网络的安全态势,并在网络中出现危险的情况时,提供针对性的预警和提示,让管理人员可以及时采取行动。

3、安全策略优化态势感知技术可以根据网络实际情况,调整和完善安全策略,包括针对攻击的防范措施、网络拓扑结构的改进和加密标准的提高等,以提高网络的安全性。

四、态势感知技术的发展趋势随着网络安全威胁的不断增加,态势感知技术也在不断地发展和更新。

未来,网络安全领域的态势感知技术主要有以下几个发展趋势。

一种基于知识图谱的网络安全态势感知方法及系统[发明专利]

一种基于知识图谱的网络安全态势感知方法及系统[发明专利]

专利名称:一种基于知识图谱的网络安全态势感知方法及系统专利类型:发明专利
发明人:林卓骁
申请号:CN202011173955.9
申请日:20201028
公开号:CN114430331A
公开日:
20220503
专利内容由知识产权出版社提供
摘要:本说明书一个或多个实施例提供了一种基于知识图谱的网络安全态势感知方法及系统,包括:基于知识图谱构建安全态势感知模型;根据安全态势感知模型识别网络攻击场景;根据网络攻击场景确定网络资产态势值以感知网络安全态势。

本说明书一个或多个实施例提供的方法克服了传统告警聚合过程和告警关联分析过程易受大量冗余、误报影响的缺点,通过属性图挖掘和相似度计算完成攻击发现和攻击关联,有效地反映具体的网络攻击行为、挖掘攻击场景。

可以有效地挖掘攻击场景并完成态势理解,在准确性、效率等方面较传统方法有所提升。

申请人:北京简易科技有限公司
地址:100015 北京市朝阳区酒仙桥东路9号院1号楼102(电子城科技园集中办公区212号)
国籍:CN
代理机构:北京风雅颂专利代理有限公司
代理人:王刚
更多信息请下载全文后查看。

网络安全态势的预测网络安全态势感知

网络安全态势的预测网络安全态势感知

网络安全态势的预测网络安全态势感知:TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。

本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。

关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected.Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM)1 引言根据网络安全态势的以往的信息和目前状况情态可以对网络未来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。

由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。

目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。

2 网络安全态势的预测目前神经智能网络是最常用的网络态势预测方法,该算法是先输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。

神经智能网络具有很多优点,其中自学习、自适应性和非线性处理尤为突出。

网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。

基于知识发现的网络安全态势感知框架

基于知识发现的网络安全态势感知框架

基于知识发现的网络安全态势感知框架摘要:由于以往的安全警戒事件,网络安全态势感知提供了独特的高级别安全观。

但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。

在本文中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的网络安全态势感知框架。

该框架包括网络安全态势模型生成、网络安全态势产生。

建模的目的,是构建基于d-s理论的网络安全态势检测的形式化模型,并支持融合和分析来自于传感器安全态势的安全警报事件的一般化过程。

新一代网络安全态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模式,并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势图。

集成网络安全态势感知系统(Net-SSA )的应用表明,这种框架支持网络安全态势模型的精确生成和有效发展。

关键词:网络安全;态势感知;数据挖掘;知识发现一、引言传统的网络安全设备,如入侵检测系统(IDS ),防火墙,安全扫描器彼此独立运作,它们几乎没有自己所要保护的网络资源的信息。

由于缺乏信息,在对安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。

网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态势感知是解决这些问题的有效途径。

网络安全态势感知的一般过程就是,感知发生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安全趋势。

在实现网络安全态势感知时存在着一些困难,如下:(1)从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。

(2)由于大规模网络攻击(例如:DDos)所产生的琐碎的安全警报非常复杂,并且它们之间的关系难以确定。

(3)安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处理时警报处理程序得不到足够的信息,而且自动获取这些信息是相当困难的。

在本文中,我们总结的网络安全态势感知的研究过程,提出了一个基于知识发现的网络安全态势感知的框架,并应用到我们的网络安全态势感知系统(NET- SSA )。

基于知识发现的网络安全态势感知系统

基于知识发现的网络安全态势感知系统

N e t w o r k S e c u r i t S i t u a t i o n A w a r e n e s s S s t e m B a s e d o n K n o w l e d e D i s c o v e r y y g y
12 2 2 1 WANG C h u n l e i ANG L a n D o n x i a A I Y i i - F WANG - D - g q 1 ( , , ) D e a r t m e n t o f C o m u t e r S c i e n c e a n d T e c h n o l o T s i n h u a U n i v e r s i t B e i i n 1 0 0 0 8 4, C h i n a p p g y g y j g 2 ( , , ) S c i e n c e a n d T e c h n o l o o n I n f o r m a t i o n S s t e m S e c u r i t L a b o r a t o r B e i i n I n s t i t u t e o f S s t e m a n d E n i n e e r i n B e i i n 1 0 0 1 0 1, C h i n a g y y y y j g y g g j g ,
, A b s t r a c t e t w o r k s e c u r i t a d m i n i s t r a t o r s n e e d t o o b t a i n a n d a n a l z e n e t w o r k s e c u r i t s i t u a t i o n f o r m a n a e m e n t m a i n N - y y y g , , , l a n n i n u r o s e s . T h e t e n a n c e a n d c o m l e x i t i e s a n d d i v e r s i t i e s o f s e c u r i t a l e r t d a t a o n m o d e r n n e t w o r k s h o w e v e r p g p p p y m a k e t h e r e c i s e a n a l s i s a n d e v a l u a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n e x t r e m e l d i f f i c u l t . W e s u mm a r i z e d t h e r e s e a r c h p y y y , r o r e s s a n d e x i s t i n o f n e t w o r k s e c u r i t s i t u a t i o n a w a r e n e s s a n d a n e t w o r k s e c u r i t s i t u a t i o n m o r o b l e m s r o o s e d - p g g y y p p p , d e l i n a n d f r a m e w o r k b a s e d o n k n o w l e d e d i s c o v e r . T h e nw e d e s i n e d a n d i m l e m e n t e d t h e n e t w o r k s e c u r e n e r a t i o n - g g y g p g i t s i t u a t i o n a w a r e n e s s s s t e m( N e t S S A) b a s e d o n t h i s f r a m e w o r k. N e t S S A c o n s i s t s o f t h e m o d e l i n o f n e t w o r k s e c u r - - - y y g i t s i t u a t i o n a n d t h e e n e r a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n . T h e u r o s e o f m o d e l i n i s t o c o n s t r u c t t h e f o r m a l m o d e l y g y p p g , o f n e t w o r k s e c u r i t s i t u a t i o n m e a s u r e m e n t b a s e d u o n t h e D S e v i d e n c e t h e o r a n d s u o r t t h e e n e r a l r o c e s s o f f u - - y p y p p g p s i n a n d a n a l z i n s e c u r i t a l e r t e v e n t s c o l l e c t e d f r o m s e c u r i t s i t u a t i o n s e n s o r s . T h e n e t w o r k s e c u r i t s i t u a t i o n i s e n - g y g y y y g e r a t e d b e x t r a c t i n t h e f r e u e n t a t t e r n s a n d s e u e n t i a l a t t e r n s f r o m t h e d a t a s e t o f n e t w o r k s e c u r i t s i t u a t i o n b a s e d y g q p q p y k n o w l e d e d i s c o v e r m e t h o d s a n d t r a n s f o r m i n t h e s e a t t e r n s t o t h e c o r r e l a t i o n r u l e s o f n e t w o r k s e c u r i t s i t u a u o n - g y g p y p t i o n, a n d f i n a l l a u t o m a t i c a l l c o n s t r u c t i n t h e n e t w o r k s e c u r i t s i t u a t i o n r a h. T h e e x e r i m e n t a l r e s u l t s s h o w t h a t t h e y y g y g p p s s t e m s u o r t s t h e a c c u r a t e m o d e l i n a n d e f f e c t i v e o f n e t w o r k s e c u r i t s i t u a t i o n . e n e r a t i o n y p p g y g , , , , K e w o r d s e t w o r k s e c u r i t S e c u r i t s i t u a t i o n m o d e l i n S e c u r i t s i t u a t i o n e n e r a t i o n D a t a m i n i n K n o w l e d e d i s N - y y g y g g g y c o v e r y 有较高的误报率和漏报率 。 网络安全态势感知是解决这些 问 题的有效途径, 即通过在一定时间及空间范围内感知所发生 的网络安全事件 , 针对安全数据进行综合处理 , 分析系统受 到 , 的攻击行为 , 提供网络安全的 “ 全局视图 ” 评估网络系统 的 整 体安全状态和推测未来的安全趋势 。 网络安全态势感知在安全告警事件的基础上提供统一 的 网络安全高层视图, 使安全管理员能够快速准确地把握网络

认知计算在网络安全态势感知中的应用研究

认知计算在网络安全态势感知中的应用研究

认知计算在网络安全态势感知中的应用研究肖晓飞;贾颖【期刊名称】《大众科技》【年(卷),期】2014(000)002【摘要】This paper summarizes the cognitive computing research literature of foreign scholars and domestic scholars, analyses the research hot spot in the field of cognitive computing, summarizes the situation of its application in network security situation awareness, and constructs the network security situation based on multi-ring MACDE cognitive model.%文章总结了认知计算领域国外学者和国内学者的研究文献,对认知计算的热点研究领域做了分析,对其在网络安全态势感知中的应用情况进行了回顾和总结,并构建了基于多MACDE环的网络安全态势认知计算模型。

【总页数】3页(P24-26)【作者】肖晓飞;贾颖【作者单位】山东工商学院信息与电子工程学院,山东烟台 264005;山东工商学院计算机基础教学部,山东烟台 264005【正文语种】中文【中图分类】TP316【相关文献】1.一种基于R F-SVM网络安全态势感知算法的应用研究 [J], 余文芳;敖云涛2.认知计算及其在农业领域的应用研究 [J], 王婷;崔运鹏;王健;刘婷婷;王末3.认知计算及其在农业领域的应用研究 [J], 王婷; 崔运鹏; 王健; 刘婷婷; 王末4.认知计算及其在农业领域的应用研究 [J], 王婷;崔运鹏;王健;刘婷婷;王末5.“智能+”教育场域中的认知计算与教育应用研究 [J], 单美贤;张瑞阳;史喆因版权原因,仅展示原文概要,查看原文内容请购买。

基于知识发现的网络安全态势感知系统

基于知识发现的网络安全态势感知系统【摘要】本文对基于知识发现的网络安全态势感知系统进行了研究,配置新颖的多级协同网络攻击的实时检测方法。

引入INFERD(实时决策信息融合引擎),一种适应性信息融合引擎,在零级,一级和二级进行融合,提供实时情景评估及其在ECCARS网域中的应用(网络攻击识别系统(Event Attack Recognition System)系统的事件关联。

【关键词】知识发现;网络安全;态势感知系统随着网络技术的不断进步,其开始在各个领域中得到广泛的应用,但是由于受到网络攻击的威胁,导致网络安全问题变得更加复杂。

目前网络安全缺乏行之有效的工具来及时的发现网络攻击现象,以确保能够在黑客达到目标之前禁止或减轻威胁。

存在各种基于网络和主机的入侵检测传感器(IDS),如SNORT和DAIWATCH,它们可以报告不同级别的特异性,但是这些传感器都不能检测到攻击的复杂性。

网络安全分析每天都会通过大量的IDS警报,尝试从警报的严重性或攻击者的意图来对其进行分析。

但网络攻击检测和协调式网络攻击识别(例如TIAA ,MIRADOR 和JIGSAW )的研究工作尚未完全解决上述问题。

为了检测多阶段协调的网络攻击,其尝试从入侵检测传感器的输出系统进行分析,并尝试着从警报中对网络安全威胁进行分析,以确保网络安全问题得到及时、有效的解决。

1.传统网络安全管理方法存在问题将参数化系统部署到不同拓扑,漏洞和威胁的网络通常包括对系统进行重新训练以获得针对该环境获得的测试数据。

基于训练数据集的参数化系统的问题是非常敏感的,当处理不在训练集中的数据时,经常会导致大量的误报或不准确。

当获得一个参数向量v时,会出现过度拟合和过度训练的两种经典情况,这使得系统在训练数据上非常准确,但是对于非训练数据来说归结效果很差。

准确性或一般性权衡问题在许多学术领域得到了很好的研究,如统计学(称为偏差平衡),贝叶斯推理(称为惩罚似然[13],)以及模式识别/ 机器学习(称为最小消息长度)。

外文文献--中文翻译

基于知识发现的网络安全态势感知框架摘要:由于以往的安全警戒事件,网络安全态势感知提供了独特的高级别安全观。

但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。

在本文中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的网络安全态势感知框架。

该框架包括网络安全态势模型生成、网络安全态势产生。

建模的目的,是构建基于d-s理论的网络安全态势检测的形式化模型,并支持融合和分析来自于传感器安全态势的安全警报事件的一般化过程。

新一代网络安全态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模式,并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势图。

集成网络安全态势感知系统(Net-SSA )的应用表明,这种框架支持网络安全态势模型的精确生成和有效发展。

关键词:网络安全;态势感知;数据挖掘;知识发现一、引言传统的网络安全设备,如入侵检测系统(IDS ),防火墙,安全扫描器彼此独立运作,它们几乎没有自己所要保护的网络资源的信息。

由于缺乏信息,在对安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。

网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态势感知是解决这些问题的有效途径。

网络安全态势感知的一般过程就是,感知发生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安全趋势。

在实现网络安全态势感知时存在着一些困难,如下:(1)从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。

(2)由于大规模网络攻击(例如:DDos)所产生的琐碎的安全警报非常复杂,并且它们之间的关系难以确定。

(3)安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处理时警报处理程序得不到足够的信息,而且自动获取这些信息是相当困难的。

在本文中,我们总结的网络安全态势感知的研究过程,提出了一个基于知识发现的网络安全态势感知的框架,并应用到我们的网络安全态势感知系统(NET- SSA)。

基于知识发现的网络安全态势感知系统


摘要 : 如今 , 网络安全 问题越来越 重要 , 因为随着 网络的不断发展 , 用户们 面临越 来越 多的 网络信息危险和病毒威胁。 仅 靠过去的 网络管理 手段 , 已经不能再 对网络用 户起 保护作用 了, 因此 , 网络安全 态势感知 的技 术诞 生了, 它主要 用于提前 对 网络威胁或者病毒进行监测 , 一旦有异常 , 它会提前发 出警报 。 文章针 对基 于知识发现 的网络安全 态势感知 系统做 了 些探讨 , 希望对广大的相 关工作者能够所有帮助
单 一 的方 法 会 导 致 测 评 的 结 果 不 准 确 、 不伞面 , 甚 至 还 存 在 一 些局限性 , 或 者遗 漏 一 些 重 大 的 安全 隐患 , 等等。
数据还存在 冗余信息 。所 以要进行特征取样 ,也就是从这些 数据 中进行取样 ,对信息进行处理。这样就 能更好进行 网络
2 0 1 3 第 7 期 ( 总第 1 2 9期)
信 息 通 信
1 N FORM A T1 0N & COM M U NI CAT1 0N S
2 O1 3
C S u m . N o l 2 9)
基 于知识发现 的网络安全态 势感知系统
陈 忠 菊
( 辽宁公安 司法管理 干部 学院, 辽宁沈阳 1 1 0 1 6 1 )
2 . 3建 立 的数据模 式 不全 面 、 不准 确
很 多 的 网 络 安 全 态 势 预 测 都 只 采 用 了 一 种 方法 , 甚 至 还
1 - 2对特 性进 行取 样
在 收集 丫数 据 信 息 以后 , 还不能进行安全预测 , 因 为这 些
有技术人员采用一种方法来提高预测安全的准确度,但这 种
汁的办法 , 当数据包 中根据流量采样 间隔采样数据包, 然后把

知识发现的网络安全态势感知系统

知识发现的网络安全态势感知系统作者:王勇刘强来源:《电子技术与软件工程》2016年第10期摘要如今,科学技术不断发展,科技力量进一步壮大,人们也越来越依赖网络。

当前,网络被广泛应用于各行各业,对人们的生产生活活动带来极大影响,但由于其工作原理颇为复杂,内部系统出现病毒威胁等安全问题时,普通用户难以有效解决。

本文将对知识发现的网络安全态势感知系统进行分析,以期促进网络系统更好地发展。

【关键词】网络安全态势感知系统病毒防治措施基于信息化时代,各行各业都借助网络技术加快了改革步伐,社会经济发展迅速,人民生活水平大幅度提升。

但在人们运用网络从事生产经营活动时,部分网络黑客通过多种技术手段寻找系统漏洞,使网络稳定性受到破坏,并借机获得具有较大经济价值的信息资源。

这不仅给用户合法权益带来损害,还给人们的经济活动造成极大不便。

因此,为了确保网络系统安全稳定,降低网络病毒带来的影响,有必要采取病毒防治措施来确保网络安全态势感知系统的有效运行。

1 安全态势感知定义与内涵所谓安全态势感知(Cyberspace Situation Awareness)实际上是指:在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势,该定义是由Tim Bass在1999年提出。

随着我国对安全态势感知的研究,使其理论逐渐丰富起来。

值得注意的是,态势概念是相对环境而言,因此态势感知的应用存在一定局限性。

安全态势感知模型如图1所示。

2 网络安全现状一般认为,网络安全是指网络与相关信息处于安全使用、运行状态,且具有较强的保密性,不被外界因素影响、破坏。

就当前情况来看,社会信息丰富,人们诸多生产生活活动都需要网络的支持,但是随着资源共享的实现和普及,网络安全问题也日趋严重。

如今网络黑客不仅数量众多,分布范围也极广,他们凭借着频繁的破坏性、攻击性活动获取企业机密信息数据,并借此赢取暴利。

这种黑客活动不仅给网络安全带来了巨大的威胁,也在一定程度上提高了全球的网络犯罪几率。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、 引言
传统的网络安全设备,如入侵检测系统(IDS ) ,防火墙,安全扫描器彼此 独立运作,它们几乎没有自己所要保护的网络资源的信息。由于缺乏信息,在对 安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。 网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态 势感知是解决这些问题的有效途径。网络安全态势感知的一般过程就是,感知发 生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受 到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安 全趋势。 在实现网络安全态势感知时存在着一些困难,如下: (1) 从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。 (2) 由于大规模网络攻击(例如:DDos)所产生的琐碎的安全警报非常复杂, 并且 它们之间的关系难以确定。 (3) 安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处
果属性 P( ei )不属于 H 的某个合法集。 如果一些键的属性丢失或者超出预定义范围, 警报事件就会被删除。
confidence ei' ,利用信息融合技术(如 D-S 证据理论的),它 事件融合: ei
主要解决了碰撞警报和警报合并使用的题,从而提高警报事件的可信率,降低 假阳性率。
基于知识发现的网络安全态势感知框架
摘要: 由于以往的安全警戒事件, 网络安全态势感知提供了独特的高级别安全观 。 但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。在本文 中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的 网络安全态势感知框架。该框架包括网络安全态势模型生成、网络安全态势产生。 建模的目的,是构建基于 d-s 理论的网络安全态势检测的形式化模型,并支持融 合和分析来自于传感器安全态势的安全警报事件的一般化过程。新一代网络安全 态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模 式,并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势 图。集成网络安全态势感知系统(Net-SSA )的应用表明,这种框架支持网络安 全态势模型的精确生成和有效发展。 关键词:网络安全;态势感知;数据挖掘;知识发现
二、 基本概念和相关工作
A. 基本概念 为方便描述和避免混淆,相关的名词定义如下: 安全态势:它指的是处于监督状态的网络的整体安全状况,在一定的时间窗 口遭受的网络攻击,对整个网络安全的影响。一般来说,安全态势的信息,包括 两个方面,时间维度和空间分布维度。 安全事件:它是指由各种网络安全态势传感器产生和由网络入侵或检测参数 超 出 阈 值 产 生 的 警 报 事 件 。 它 可 以 表 示 成 一 个 多 元 组 ei ={ detectTim ei , eventTyp ei ' attac k i ,srcI Pi , sensorI Di , confidenc ei , severit yi , othe ri }。其中, detectTimei 指警报事件发生的时间; eventTypei 是 指警报事件的类型, attacki 是指攻击检测警报所属的类; srcI 和 Desi 指警报事件 的源和目的地址; srcPorti 和 desPorti 指警报事件的源和目的端口; protocol 指协 议类型 ; sensorID 是指传感器检测到的事件; confidencei 是指警报的事件的可信 率; severit yi 是指警报事件的严重级别; otheri 是指警报事件的其他信息。 安全态势建模:它指的是分析各种安全传感器所产生的警报事件,并最终产 生全局网络安全态势的过程。它包括以下功能: 事件简化:[ e1 , e2 , e3 ,…, en ] em ,简化其中有重复定义或并发性关系的冗余 警报事件,以减少有效警报的数量。 事件过滤:[ ei ,P( ei ) H] ,警报事件已被删除或标记为无关的事件,如 desI Pi , srcPor ti , desPor ti , protoco li ,
confidence en 1 ,当前的网络安全事件,活动和情 事件关联:[ e1 , e2 , e3 ,…, en ]
况,可以从不同类型的警报事件源所使用的数学或启发式方法推断出来,从而提 高检出率,降低假阴性率。 状态评估:它指的是对来自于多层次的基于空间和时间维度中的分布式攻击 行为和网络资源的作用的安全状态评估。 知识发现(KD):它是指确定来自于从传感器收集到的安全事件集的新模式 的非平凡过程,这些传感器易于理解,而且对于获知安全状况很有用。知识发现 的目的是提取安全事件的融合和关联所需要的规则。 安全状态产生:在网络安全状态感知的过程中,安全局势的模型是标准化的, 受限制的,可推断的,正确的,通过从知识发现中获取的模式信息进行补充,最 后生成的全局网络的安全状况。 B. 相关工作 为了应付陆续增加的信息安全威胁,多种安全设备已被用于大型网络。这些 设备可以产生大量的安全事件预报。当面临着太多的预警信息,要获得当前整个 网络的安全状态是非常困难的。为了解决这一问题,许多研究已把“状态感知” 的概念引入互联网安全系统。巴斯是第一个引入网络这一概念的人,并且他提出 了基于多传感器数据融合的网络安全认知框架[1] [ 2 ] 。它可以帮助网络管理员 识别,跟踪和衡量网络攻击活动。通过参考 Endsley 的状态感知框架,Jibao 等人 出了“网络安全状态感知模型”。另一方面,根据巴斯的理论,Liu 等人提出了基 于信息融合的网络安全感知模型。 为了了解整个网络安全的趋势,我们必须收集,融合和分析大量的信息,减少假 阳性率和假阴性率。Yu 等人公布了一个基于加权 D-S 理论的警告信息融合方法。 这种方法通过融合具有不同可靠性和权值的传感器信息,增加了警报信息的可靠
理时警 报处理程序得不到足够的信息,而且自动获取这些信息是相当困难的。 在本文中,我们总结的网络安全态势感知的研究过程,提出了一个基于知识 发现的网络安全态势感知的框架,并应用到我们的网络安全态势感知系统(NETSSA)。本文其余部分组织如下:第 2 节介绍了网络安全态势感知的概念和功能, 并总结了该领域的相关研究;第 3 节提出我们的“基于知识发现的网络安全态势感 知框架”;第 4 节演示实验结果,第 5 节总结今后的工作方向。