网络安全态势感知研究.pptx

1、网络的安全态势感知SEU 2SituationAwareness-认知过程 态势感知是在特定的时间和空间下，对环境中各元素或对象的觉察（L1）、理解（L2）以及对未来状态的预测（L3）。觉察：数据收集-理解：对象行为及相互影响-预测：基于规则的信息映射 a variety of cognitive processing activitiesSEU 3应用条件Endsley M R.Toward A Theory of SituationAwareness in Dynamic Systems.Human Factors,1995,37(1):3264.态势感知-决策支持(Endsley)环境条

2、件系统条件用户条件SEU 4态势感知在网络安全中的应用 美国空军通信与信息中心的Tim Bass在1999年首次提出将态势感知技术应用于多个NIDS检测结果的数据融合分析Hierarchy of IDS Data Fusion InferencesTypes of InferenceLevel of Inference-Threat AnalysisHIGH-Situation Assessment-Behavior of IntruderMEDIUM-Identity of Intruder-Rate of Intrusion-Existance of IntrusionLOWBass,T.

3、,Intrusion Detection Systems and Multisensor Data Fusion:CreatingCyberspace Situational Awareness.Communications of the ACM,1999.43(4):p.99-105.SEU 5SEU 6SEU 72004:NVisionIP基于流记录的内容，将一个B类地址的流量情况集中展现。(a)按主机在子网中的分布作图，用颜色区分它们的流量特性。(b)用同样的着色机制显示不同的网络簇。(c)主机用不同大小的方盒表示，越大越重要。SEU 82004:NVisionIP Worm Infec

4、tion 依赖于对蠕虫网络流量特征的了解 Compromised Systems 如果发现主机参与DDoS攻击 Misuse 通过观察异常的大流量 Port Scans 观察异常的通信关系，尤其是密集的通信关系。Denial of ServiceAttacks 通过对异常的高层协议流量的观察SEU 9More Works 2006:Study of Network Security SituationAwareness Model Based on SimpleAdditive Weightand Grey Theory 2007:Multiclass Support Vector Machi

5、nes Theoryand Its Data FusionApplication in Network SecuritySituationAwareness 2010:Employing Honeynets For NetworkSituationalAwareness2006 2011:SituationAwareness for Networked SystemsSCADA、僵尸网络 2012:Research of Network Security SituationalAssessment Quantization Based on MobileAgentSEU 10Holsopple

6、 J,Sudit M,Nusinov M,Liu DF,Du H,Yang SJ.Enhancing Situation Awareness via Automated SituationAssessment.IEEE Communications Magazine 2010;48:146-52SEU 11SEU 12风险评估(威胁和影响评估)方法VLMM：variable length Markov model，通过因果关系分析行为模式Statistical Inference：通过事件统计，揭示对手的能力；Ontology/graph model：本体论模型，考察“暴露给对手的弱点”威胁评

7、估的3个方面：意图、能力、机会出于性能考虑，通常需要在内存中建立独特的数据（库）存储结构，缺乏标准化，不利于第三方组件的加入，需要在接口上进行数据结构转换。信息可视化的抽象参考模型由于人的知觉能力限制，大画面显示实际提高的是多人共享合作的能力。通常是图形e.g.Zoomingand PanningJean-Daniel Fekete.Visual Analytics Infrastructures:From Data Management to Exploration.IEEEComputer Magazine,Vol.46 No.7,pp22-29,2013.7SEU 13SEU 14研究内

8、容 与被管网络相关IP地址和域名的辨识对象 管理归属信息 使用位置信息 承载服务的角色信息 被管网络中IP地址和域名的行为语义 对象的行为模型：时间、空间 对象的行为分类：语义、异常 对象的行为关联性：活动的语义 被管网络的威胁评估与响应行为态势SEU 15Objects/AssetsSEU 16观察点的选择 主流的流量模式是什么？非主流的流量模式非正常的吗？SEU 17面临的问题-数据 相关数据的获取与管理 类大数据问题：Volume、Variety、Velocity，弱语义 收集什么，保存多久，抽样方法，隐私与安全 高性能问题：万兆网络和多处理器环境 非标准内存数据库 观测对象选择热点对象

9、黑名单安全事件活跃对象元数据：流记录、IP报文、IP地址、域名、URLSEU 18面临的问题-对象 对象的标识机器域名的检测IP的前缀识别IP的角色分类域名与IP的关联 IP的地理定位 域名的归属 对象的行为轨迹模型与分类 空间关联性 时间关联性 服务关联性 对象的物理/逻辑定位 对象行为轨迹的可视化方法面临的问题-行为语义 恶意服务检测 僵尸网络的活动 恶意服务活动 信息泄露 流量异常检测 DDoS 热点与奇异点 流量聚类问题 入侵检测 后门及其活动 恶意代码及其活动 协议分类 服务识别 基于流记录和DPISEU 19SEU 20面临的问题-威胁 活动识别：网络流量的意图 行为语义 异常检测 跟踪 威胁的描述 用哪些测度描述 如何描述：形式化、可视化 威胁评估的量化模型 恶意服务/威胁的规模测量 恶意服务/威胁的动态行为模型SEU 21小结 基于对象活动的网络安全态势感知及其表示 洞察insight是：复杂的，涉及大量的协作数据；会随时间的推移而深化的；量化的、客观的、非精确和不确定的；其获得是不可预期的、不可预测的、侥幸的；与特定领域的知识有密切相关的联系。理论模型：需要先明确输入和目标 可视化分析先由人来做 支持数据探索(exploration)：快速获得尝试性结果 恶意服务/威胁的可视化 大规模图的可视化：考虑知觉能力的限制SEU 22谢谢！