基于攻击图的网络安全态势感知方法研究
发布时间:2020-10-19 07:47
网络安全态势感知通过获取网络安全要素、对其进行分析理解,从而完成对整体网络安全状况的分析及预测,其作为一种主动防御技术逐渐成为研究的焦点。本文针对近年来网络攻击威胁逐渐呈现出的大规模、协同、多阶段等特点,利用攻击图结构灵活性,既能展示整体又能反映局部安全状态变迁过程的优点,研究了面向多步攻击的网络安全态势感知方法。通过梳理该领域的研究现状,分析归纳目前存在的主要问题,设计基于攻击图模型的网络安全态势感知框架,提出了一整套网络安全态势感知方法,可有效支撑安全管理员的决策,取得以下研究成果:1.设计了基于攻击图模型的网络安全态势感知框架。针对面向多步攻击的安全态势感知缺乏标准框架的问题,通过分析多步攻击过程,描述多步攻击威胁相关的安全属性,给出攻击图模型的一般定义,在此基础上构建面向多步攻击的网络安全态势感知框架,设计了感知结果和决策选取的闭环反馈机制,解决了目前研究缺乏统一规范描述框架的问题。2.提出了面向生命周期的安全漏洞态势分析方法。针对现有研究缺乏对于漏洞全生命周期的考虑,通过对漏洞在生命周期时间轴上的状态迁移进行建模,构建漏洞生命周期时间模型,利用先验的历史漏洞信息作为模型输入,定量刻画漏洞生命周期各状态在时间维度上的发生概率,更加真实、准确地反映现实世界中漏洞利用态势演化的一般规律,解决了各阶段漏洞利用率动态、定量测度困难的问题。3.提出了基于吸收Markov链攻击图的攻击路径态势分析方法。针对攻击“单调性”假设产生的攻击路径态势分析偏差,通过分析攻击者状态转移的非线性和不确定性特点,利用吸收Markov链对攻击图进行转换,构建吸收Markov链攻击图模型,修正攻击图中含“圈”路径产生的度量偏差,推演分析攻击意图成功的期望概率、攻击路径的期望长度和路径节点访问的期望次数,实现多维度的攻击路径态势精准刻画。4.提出了基于动态贝叶斯攻击图的网络安全风险态势预测方法。针对现有研究缺乏对攻击方、防御方与网络环境态势要素在时空维度动态关联关系刻画的问题,通过构建动态贝叶斯攻击图模型推演多步攻击过程,量化测度态势要素在时空维度上的不确定性和关联性,进一步以多步攻击迭代作为网络系统安全性态势变迁的内生驱动力,通过融合资产、威胁和漏洞信息,将底层攻击行为预测结果映射为定量的安全风险态势值,直观地呈现网络安全的变化趋势,提升态势预警的时效和精度。5.提出了基于态势感知的网络最优防御策略选取方法。针对现有研究缺乏安全攻防双方决策互动性和行为演变性的刻画方法;首先从攻击路径态势分析结果中提取攻防策略集合,利用安全风险态势预测结果量化策略的风险收益;然后从现实攻防双方的有限理性视角出发,构建描述攻防双方策略互动性和行为演变性的博弈模型;最后针对完全态势信息和不完全态势信息两种典型应用场景,分别设计最优防御策略选取方法,并为态势感知提供策略选取反馈意见,通过刻画最优防御策略的演化轨迹,解决动态、复杂、时变网络场景下安全措施难以选取的问题。本文研究成果有助于安全管理人员及时掌握网络安全状况,并对未来可能出现的多步攻击威胁提前做出防护,为打赢网络安全攻防时间战并实施主动防御提供相关理论支撑与方法保障。
【学位单位】:战略支援部队信息工程大学
【学位级别】:博士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
全美就医平均等候时间态势1999年,美国空军通信与信息中心的T.Bass提出网络空间态势感知(Cyberspace
图 1. 3 Endsley 态势感知模型不断深入,在上述三个阶段的基础上,1995 年 Endsley 进态势感知框架[7],如图 1.3 所示。在决策执行过程中,作断扫描网络空间的状态变化,预测下一阶段的发展趋势,响应,实现在最短时间内消减网络空间中存在的安全风险前提是实施态势感知,只有建立准确、完整的闭环态势感时有效的应对策略,否则难以达到“纵深防御(Defense-dsley 设计的认知模型初始仅被应用于航空领域的人为因素性,随后被广泛应用于网络空间领域的研究。势感知过程可划分为三个阶段:第一阶段是态势要素提取采集海量数据和信息,通过采集网络空间态势感知所需的解提供数据支撑。第二阶段的态势理解是网络空间态势感络空间状态的演变。在这个阶段,通过分析处理采集到的关联关系,确定事件产生的根本原因,获取网络系统当前。第三阶段态势预测是网络空间态势感知的终极目标,它
数据作为态势感知的数据源;另一方面,它又向上层 Level 3 提供击分析与决策支撑。JDL 模型是一个面向功能的模型,其普适性允多种流程、功能和技术类别,其数据融合层次的限制较为宽松,因线而非数据流。据融合模型非常灵活,用户可以依据 JDL 模型结合实际需求自行设于每个不同层次,可以有不同的实施过程划分方法,并且每个过程体的子过程。因此,学者们基于 JDL 模型衍生了众多类似的模型和999 年,Steinberg 等人[20]就提出了图 1.4 中的 JDL 数据融合模型,础上,许多学者对模型进行了改进,数十种数据融合模型被陆续提]、知觉推理模型[23]、智能循环模型[24]等,但它们未能像 JDL 数据影响力。1999 年,Bass[18]首次将 JDL 模型引入网络空间领域,为数态势感知领域的成功应用提供了理论支撑,也成为该技术在网络空新起点。目前,JDL 模型已被广泛引入网络空间态势感知研究的相 JDL 模型提出了很多态势分析方法[10][11][12] [13],特别是应用于 C3mmunications&Intelligence)等军事信息系统中。
本文编号:2846926
【学位单位】:战略支援部队信息工程大学
【学位级别】:博士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
全美就医平均等候时间态势1999年,美国空军通信与信息中心的T.Bass提出网络空间态势感知(Cyberspace
图 1. 3 Endsley 态势感知模型不断深入,在上述三个阶段的基础上,1995 年 Endsley 进态势感知框架[7],如图 1.3 所示。在决策执行过程中,作断扫描网络空间的状态变化,预测下一阶段的发展趋势,响应,实现在最短时间内消减网络空间中存在的安全风险前提是实施态势感知,只有建立准确、完整的闭环态势感时有效的应对策略,否则难以达到“纵深防御(Defense-dsley 设计的认知模型初始仅被应用于航空领域的人为因素性,随后被广泛应用于网络空间领域的研究。势感知过程可划分为三个阶段:第一阶段是态势要素提取采集海量数据和信息,通过采集网络空间态势感知所需的解提供数据支撑。第二阶段的态势理解是网络空间态势感络空间状态的演变。在这个阶段,通过分析处理采集到的关联关系,确定事件产生的根本原因,获取网络系统当前。第三阶段态势预测是网络空间态势感知的终极目标,它
数据作为态势感知的数据源;另一方面,它又向上层 Level 3 提供击分析与决策支撑。JDL 模型是一个面向功能的模型,其普适性允多种流程、功能和技术类别,其数据融合层次的限制较为宽松,因线而非数据流。据融合模型非常灵活,用户可以依据 JDL 模型结合实际需求自行设于每个不同层次,可以有不同的实施过程划分方法,并且每个过程体的子过程。因此,学者们基于 JDL 模型衍生了众多类似的模型和999 年,Steinberg 等人[20]就提出了图 1.4 中的 JDL 数据融合模型,础上,许多学者对模型进行了改进,数十种数据融合模型被陆续提]、知觉推理模型[23]、智能循环模型[24]等,但它们未能像 JDL 数据影响力。1999 年,Bass[18]首次将 JDL 模型引入网络空间领域,为数态势感知领域的成功应用提供了理论支撑,也成为该技术在网络空新起点。目前,JDL 模型已被广泛引入网络空间态势感知研究的相 JDL 模型提出了很多态势分析方法[10][11][12] [13],特别是应用于 C3mmunications&Intelligence)等军事信息系统中。
本文编号:2846926
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2846926.html
