基于多源数据分析的网络安全整体态势评估技术与仿真实验

文章提出一种基于多源数据分析的网络安全整体态势评估技术,并通过仿真实验验证其应用效果。将日志、漏洞数据和节点服务信息作为数据来源,选取威胁性、脆弱性和资产3类态势指标从源数据中提取要素分析所用的数据,经过隐Markov模型和PageRank算法的处理后,使用D-S证据理论评估网络安全整体态势。从仿真结果来看,该网络处于P4安全状态下的概率最高,此时网络面临一定的安全威胁,需要采取防范措施。     

基于连续状态的隐Markov模型网络安全态势评估方法

在网络安全态势评估方法中,基于隐Markov模型的评估方法能较准确的反映网络安全状态的变化。但模型建立过程中,观测序列与转移矩阵难以科学地赋值,直接影响模型的准确性和有效性。针对上述挑战,本文提出了连续状态隐Markov模型的网络安全态势评估方法,首先,将安全状态空间划分为若干个有序状态,新获得的报警信息最优化的匹配已划分的有序状态作为观测序列;其次,基于划分的有序状态,将网络安全下一时间间隔可能处于的连续状态作为状态空间建立状态转移矩阵,从而有效降低转移矩阵维度,减少计算量的同时也更加突出地反映了网络的状态变化。最后,通过仿真实验分析,本文提出的模型建立方法更加合理地反映网络安全态势变化。     

基于攻击检测的网络安全风险评估方法

为了实时评估网络安全风险,建立了用于描述主机安全状态的隐马尔可夫模型,以入侵检测系统的报警信息作为模型输入,计算主机处于被攻击状态的概率.针对攻击报警,提出了一种新的攻击成功概率计算方法,然后结合攻击威胁度计算主机节点的风险指数.最后利用主机节点重要性权重与节点风险指数量化计算网络风险.实例分析表明,该方法能够动态绘制网络安全风险态势曲线,有利于指导安全管理员及时调整安全策略.     

基于贝叶斯攻击图的最优安全防护策略选择模型

目前基于攻击图的网络安全主动防御技术在计算最优防护策略时,很少考虑网络攻击中存在的不确定性因素。为此,提出一种基于贝叶斯攻击图的最优防护策略选择（Optimal Hardening Measures Selection based on Bayesian Attack Graphs,HMSBAG）模型。该模型通过漏洞利用成功概率和攻击成功概率描述攻击行为的不确定性;结合贝叶斯信念网络建立用于描述攻击行为中多步原子攻击间因果关系的概率攻击图,进而评估当前网络风险;构建防护成本和攻击收益的经济学指标及指标量化方法,运用成本-收益分析方法,提出了基于粒子群的最优安全防护策略选择算法。实验验证了该模型在防护策略决策方面的可行性和有效性,有效降低网络安全风险。     

一种改进的网络安全态势量化评估方法

在基于隐马尔可夫模型的网络安全态势评估中,观测序列的获取和状态转移矩阵的确立是影响评估准确性的关键.目前观测序列多以随机方式获取,不能有效表征网络的安全性;而状态转移矩阵往往依据经验给出,具有很强的主观性.该文提出改进方法:首先,基于警报的统计特性提出警报质量的概念,依据警报质量获取的观测序列,可改进数据源的有效性;其次,基于安全事件和防护措施的博弈过程,提出确定状态转移矩阵的方法,并结合攻击成功的概率对其进行修正,提高状态转移矩阵的有效性.对比实验证明,基于改进算法生成的风险值对网络安全态势的量化更加合理.     

基于企业环境的网络安全风险评估

针对网络安全风险评估问题,提出了一种依据企业环境特征评估网络安全风险的方法。在企业内部基于企业环境特征进行安全漏洞危险性评估,提出了一种基于企业经济损失的漏洞危险性评估方法。使用贝叶斯攻击图模型,并结合企业网络系统环境变化进行动态安全风险评估。最后,通过案例研究说明了提出的动态安全风险评估方法的具体计算过程,并且使用仿真实验说明了提出的方法更加切合被评估网络或信息系统遭受攻击的真实情况,评估结果更加客观准确。     

基于攻击模式识别的网络安全态势评估方法

通过对已有网络安全态势评估方法的分析与比较,发现其无法准确反映网络攻击行为逐渐呈现出的大规模、协同、多阶段等特点,因此提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意图与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移图(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。通过网络实例对所提出的网络安全态势评估模型验证表明,随着攻击阶段的不断深入,其网络安全态势值也随之增大,能够更加准确地反映攻击实情;且在态势预测中无需对历史序列进行训练,具有更高的预测效率。     

基于攻击图节点概率的网络安全度量方法

为了保护网络中关键信息资产, 评估分析网络的整体安全性, 提出了一种基于攻击图节点概率的网络安全度量方法。该方法改进了原子攻击节点自身概率的计算模型, 引入累积可达概率, 在此基础上, 研究了网络安全风险评估模型。实验结果表明, 所提评估方法能够准确地评估目标状态的安全级别和网络的整体风险。     

一种基于攻击图的5G网络安全风险评估方法

为解决5G网络的安全风险评估问题，提出基于攻击图的评估框架，包括攻击图构造和风险评估两部分。给出5G网络拓扑模型和攻击模版的通用定义，可以适应网络的不同部署方式，具有灵活性。将其作为攻击图生成算法的输入条件，设定攻击者初始位置后，采用广度优先算法构造属性攻击图。该攻击图生成算法可以减少图中节点数量，来限制图的规模，防止空间爆炸。在风险评估过程中，提出漏洞关联性评估思路，以单一评估CVSS 3.0版本为基础，引入漏洞间的关联概率，量化攻击行为间的相互影响。实验结果表明，该方法能有效地评估5G网络面临的安全威胁和风险等级，有助于部署合理的安全防护措施。     

基于信息融合的网络安全态势评估模型

针对分布式拒绝服务(DDoS)攻击评估不准确和网络安全态势评估不全面的问题,提出了一种基于信息融合的网络安全态势评估模型。首先,提出了以数据包信息为原始数据的DDoS攻击威胁评估方法,提高了评估的准确性;然后,对原有的通用弱点评价体系(CVSS)进行改进并对漏洞脆弱性进行评估,使得评估更加全面;其次,结合客观权重和主观权重,并以序列二次规划(SQP)算法对组合权重进行寻优,降低了融合的不确定性;最后,将三者进行融合得到网络的安全态势。通过搭建入侵检测平台,利用不同的规则库,针对相同DDoS 攻击的报警数会相差3 个数量级,与依赖报警数评估方法相比,以数据包信息评估DDoS 攻击的方法可得到准确的DDoS攻击威胁态势。仿真对比结果表明,提出的模型和方法能够提高评估结果准确度。     

基于遗传优化PNN神经网络的网络安全态势评估

为提高网络安全态势评估的准确率,提出了一种基于遗传优化概率神经网络的网络安全态势评估.首先,在网络安全态势评估建模过程中,根据网络安全态势特点和常见评估等级建立了概率神经网络的网络安全态势评估模型,以便充分挖掘概率神经网络在网络安全态势评估细粒度方面的优势.然后,为了防止因网络安全态势参数细粒度评估而造成收敛速度过慢的情况发生,对概率神经网络的修正因子进行遗传算法优化,并再次进行概率神经网络训练,从而得到稳定的概率网络安全态势评估模型.经过实验证明,相比传统的概率神经网络算法,基于遗传算法优化概率神经网络的网络安全态势评估准确度更高,平均准确率达到90％以上,且训练速度更快.     

一种优化的实时网络安全风险量化方法

准确地评估网络安全风险是提高网络安全性的关键.基于隐马尔卡夫模型的实时网络安全风险量化方法,以入侵检测系统的告警作为输入,能够实时量化网络风险值,有效评估网络受到的威胁,但仍然存在配置复杂、评估容易出现误差等问题.该文提出了优化的方法,利用参数矩阵自动生成代替手工设置,提高了准确性,简化了配置复杂度.首先将IDS告警和主机的漏洞、状态结合起来,定义攻击的威胁度来更好地体现攻击的风险,并对攻击进行分类,简化隐马尔卡夫模型的输入.其次,提出了利用遗传算法来自动求解隐马尔卡夫模型中的矩阵,定义风险描述规则作为求解的优化目标,解决隐马尔卡夫模型难以配置的问题.风险描述规则为描述网络安全风险提供了形式化的方法,利用这种规则建立的规则库可以作为风险评估方法的通用测试标准.最后,通过比较实验和DARPA 2000数据实际测试,证明文中方法能够很好地反映网络风险,量化网络面临的威胁.     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。     

基于吸收Markov链的网络入侵路径分析方法

从攻击者角度对网络进行入侵路径分析对于指导网络安全防御具有重要意义。针对现有的基于吸收Markov链的分析方法中存在的对状态转移情形考虑不全面的问题和状态转移概率计算不合理的问题,提出了一种基于吸收Markov链的入侵路径分析方法。该方法在生成攻击图的基础上,根据攻击图中实现状态转移所利用的漏洞的可利用性得分,充分考虑了非吸收节点状态转移失败的情况,提出了一种新的状态转移概率计算方法,将攻击图映射到吸收Markov链模型;利用吸收Markov链的状态转移概率矩阵的性质,计算入侵路径中节点的威胁度排序和入侵路径长度的期望值。实验结果表明,该方法能够有效计算节点威胁度排序和路径长度期望;通过对比分析,该方法的计算结果相比现有方法更符合网络攻防的实际情况。     

基于条件随机场的网络安全态势量化感知方法

网络安全态势感知(NSSA)是目前网络安全领域研究的一个热点问题.首次提出一种基于条件随机场的(CRFs)网络安全态势量化感知方法.该方法以入侵检测系统的报警信息作为网络安全态势感知的要素,结合主机的漏洞和状态,定义网络安全威胁度来更好地体现网络的风险,并对攻击进行分类,简化CRFs模型的输入,同时选择了有效的特征属性,通过DARPA 2000数据的仿真实验生成了明确的网络安全态势图,表明提出的方法能够很好地反映网络风险,量化网络安全态势.     

基于攻击识别的网络安全度量方法分析

现阶段，传统系统的安全评估主要是通过定性评估，其无法量化安全风险，而定量评估方式大多数存在评定不完善、鉴别精确率较低等问题。在网络安全领域中引入攻击识别技术，能够抵御网络犯罪和持续开展业务、应对风险和减少攻击威胁，并让企业网络在发生安全事件时可以有效响应并快速恢复。本文基于攻击识别技术，提出一种静态评估与动态评估相结合的网络安全度量方式，其中静态数据评定应用AHP层次分析法，融合通用性漏洞评分系统，得出系统漏洞得分及管理得分；动态评价应用Dw-K-means优化算法和XG Boost方法，能够大幅度改善攻击识别效果。综合静态评估与动态评估，得出网络系统整体的评价结果，并根据仿真实验数据，验证了网络信息安全衡量实体模型的有效性。     

基于隐马尔可夫模型的态势评估方法

针对目前日益复杂的网络安全环境,提出一种基于隐马尔可夫模型（HMM ）的态势评估方法。以入侵检测系统的输出（报警事件）为处理对象,采用隐马尔可夫随机过程作为分析手段,建立描述网络系统受到攻击后安全状态转移的隐马尔可夫模型;在此基础上,通过Baum‐Welch （BW）算法对模型参数进行优化,使用量化分析方法得到整个网络态势的定量评价。通过实验验证了该方法能比较准确地反映网络的安全态势,具有良好的应用前景。     

基于改进模糊C-均值聚类的DDoS攻击安全态势评估模型

新型网络环境下,传统的网络态势评估方法已经不能有效地评估分布式拒绝服务攻击DDoS的安全态势。提出了基于改进模糊C 均值FCM聚类的DDoS攻击的安全态势评估模型。该模型根据新老用户网络流IP地址状态变化和单双向网络流的融合特征,计算出网络系统各节点的风险指标,通过汇聚网络中各个节点的风险指标生成整个网络的安全态势信息,再用改进的模糊C-均值聚类算法将融合的安全态势信息分为五个安全等级,最后采用风险等级识别模型对整个网络的DDoS攻击安全态势进行定量评估。实验结果表明,该模型能够合理有效地评估DDoS攻击的安全态势,比现有的评估方法更准确灵活。     

基于贝叶斯攻击图的网络安全量化评估研究

针对攻击图在评估网络安全时节点关系复杂、存在含圈攻击路径、只能反映网络静态风险等问题, 将攻击图与贝叶斯理论结合, 提出贝叶斯攻击图的概念, 简化了攻击图并通过优化算法避免了含圈路径的产生; 通过引入攻击证据与CVSS评分系统, 提出了一种新的面向脆弱点的网络安全量化评估方法, 基于贝叶斯攻击图对网络整体及局部的安全状况进行实时动态评估。通过在实际网络中的实验验证了该方法的可行性及有效性, 与传统评估方法相比, 该方法能够动态地反映网络安全的态势变化情况。     

网络安全态势IAHP量化评估方法

从攻击和防御两个角度出发提出了一种基于IAHP的网络安全态势量化评估方法,建立了多层次多角度网络安全态势量化评估模型,并综合考虑攻击威胁和防御机制对服务、主机和网络的影响,给出了相应的量化计算方法,同时提出了一种一致性自动修正算法,判断修正不满足一致性要求的矩阵,获得满足实际需求的权值,并将其运用到所提出的评估模型中。实验结果表明,该方法能够有效地评估服务、主机和网络的安全态势。