大规模网络安全态势感知需求挑战与技术资料下载.pdf

大规模网络安全态势感知需求挑战与技术资料下载.pdf

《大规模网络安全态势感知需求挑战与技术资料下载.pdf》由会员分享，可在线阅读，更多相关《大规模网络安全态势感知需求挑战与技术资料下载.pdf（60页珍藏版）》请在冰豆网上搜索。

一个新型的网络安全态势感知系统?

机遇和挑战态势预测（三级）态势感知定义?

wikipedia?

Situationawareness,orSA,istheperceptionofenvironmentalelementswithinavolumeoftimeandspace,thecomprehensionoftheirmeaning,andtheprojectionoftheirstatusinthenearfuture.?

态势感知态势感知就是在一定的时空条件下，对环境因素进行获取、理解以及对其未来状态进行预测。

态势理解（二级）态势要素获取（一级）态势感知定义（续）?

Adam,1993?

SAissimply“knowingwhatisgoingonsoyoucanfigureoutwhattodo”。

态势感知态势感知可简单理解为“了解将要发生的事以便做好准备”。

Moray,2005?

SAisashorthanddescriptionfor“keepingtrackofwhatisgoingonaroundyouinacomplex,dynamicenvironment”。

态势感知态势感知可简单描述为“始终掌握你周边复杂、动态环境的变化”。

相关概念态势评估态势评估?

JayBayne,2006?

SituationAssessment（SAS）istorefertotheactiveprocessesandbehaviors（andconditions）thataffordthedevelopmentandmaintenanceofsituationknowledge.?

态势评估态势评估就是为实现态势感知而采用的方法、及其相关的行为过程。

技术技术阶段阶段态势感知态势感知态势评估态势评估结果结果过程过程雨林木风幻灯片5幻灯片5雨林木风2雨林木风2更加简短的定义雨林木风,2009-10-19态势感知的发展历史发源于孙子兵法：

“知己知彼，百战不殆”发源于孙子兵法态势感知的发展历史首次作为概念提出于一战发源于孙子兵法首次提出于一战态势感知的发展历史发源于孙子兵法首次提出于一战在越战和朝鲜战争中被美国空军系统研究在越战和朝鲜战争中系统研究态势感知的发展历史发源于孙子兵法首次提出于一战在越战和朝鲜战争中系统研究目前广泛应用于军事、电力、交通、通讯等领域台海军事态势马德里晚高峰交通态势美国工作岗位态势报告内容?

机遇和挑战骨干网已有的防御手段运营商电信移动网通重要信息系统运营商重要信息系统骨干网IDSFWVDS主机防御系统主机防御系统防御手段单维度性基于主机的病毒查杀工具基于网络的病毒查杀工具用于加强访问控制的软硬件保护设施网络或系统的异常访问行为检查IDSFWVDS主机防御系统主机防御系统海量、冗余的告警信息Snort报警数据报警数据Nagios服务监控服务监控Ntop流量监控流量监控Nessus扫描结果扫描结果CheckPoint报警数据报警数据网络安全态势感知定义?

TimBass,1999?

Cyber空间态势感知空间态势感知（CyberspaceSituationAwareness）,是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

态势感知在网络安全监控中的地位和作用报告内容?

机遇和挑战态势评估模型研究现状与存在的问题研究现状与存在的问题Endsley的理论模型的理论模型Endsley的理论模型的理论模型Endsley的理论模型的理论模型哈工程的NSAS模型模型态势评估研究现状与存在的问题研究现状与存在的问题哈工程的NSAS模型模型Endsley的理论模型的理论模型哈工程的NSAS模型模型中科大的数据融合模型中科大的数据融合模型态势评估研究现状与存在的问题研究现状与存在的问题中科大的数据融合模型中科大的数据融合模型软件所层次化模型软件所层次化模型态势评估研究现状与存在的问题研究现状与存在的问题软件所层次化模型软件所层次化模型Endsley的理论模型的理论模型哈工程的NSAS模型模型中科大的态势势评估模型中科大的态势势评估模型中科大的数据融合模型中科大的数据融合模型一个广泛接受的通用理论模型一个广泛接受的通用理论模型针对局域网和单机的日志数据的收集和分析，尚不能适用于大规模互联网网络安全的态势评估需求针对局域网和单机的日志数据的收集和分析，尚不能适用于大规模互联网网络安全的态势评估需求态势评估研究现状与存在的问题研究现状与存在的问题软件所层次化模型软件所层次化模型软件所层次化模型软件所层次化模型Endsley的理论模型的理论模型哈工程的NSAS模型模型中科大的态势势评估模型中科大的态势势评估模型中科大的数据融合模型中科大的数据融合模型大规模网络安全态势评估模型探针数据上报数据数据数据数据集成数据集成数据预处理数据集成关联分析与告警关联分析与告警关联分析引擎元知识告警态势预测态势预测IDSFWNetFlow运营商职能部门网络用户知识库知识库专家专家元数据网络安全数据库网络安全数据库指数模型指数计算指标体系及量化指标体系及量化态势展示态势展示态势可视化指标配置模拟预测时序预测规则库预测模型大规模网络安全态势评估模型探针数据上报数据数据数据数据集成数据集成数据预处理数据集成关联分析与告警关联分析与告警关联分析引擎元知识告警态势预测态势预测IDSFWNetFlow运营商职能部门网络用户知识库知识库专家专家元数据网络安全数据库网络安全数据库指数模型指数计算指标体系及量化指标体系及量化态势展示态势展示态势可视化指标配置模拟预测时序预测规则库预测模型防火墙日志数据数据集成问题描述问题描述IDS数据（数据库格式）服务检测（日志数据）弱点扫描（XML格式日志数据）？

数据表示和存储形式各异，如何统一处理？

数据集成研究现状研究现状?

基于模式映射的异构数据集成基于模式映射的异构数据集成InformationManifold系统是最早出现的异构数据集成系统之一，基于模式映射为多数据源提供一个统一的查询接口系统是最早出现的异构数据集成系统之一，基于模式映射为多数据源提供一个统一的查询接口?

基于基于XML中间表示的异构数据集成中间表示的异构数据集成斯坦福大学的数据集成项目斯坦福大学的数据集成项目ActiveXML，基于，基于XML进行数据表示，基于进行数据表示，基于Web服务实现对动态更新的数据源的访问。

服务实现对动态更新的数据源的访问。

基于本体进行异构数据集成基于本体进行异构数据集成E.Mena等人实现的基于本体的字典异构解决方案等人实现的基于本体的字典异构解决方案OBSERVER，利用已经存在的领域本体对数据源进行描述，查询重写以本体之间的映射关系为基础进行。

，利用已经存在的领域本体对数据源进行描述，查询重写以本体之间的映射关系为基础进行。

挑战挑战网络安全产品层出不穷，模式转换需要在线扩展。

网络安全产品层出不穷，模式转换需要在线扩展。

探针产生的海量流数据，需要进行实时的抽取转换。

匹配生成配置文件基于自动格式转换的可扩展数据集成技术探针日志探针网络安全数据库网络安全事件统一格式转换配置文件监听进程格式转换数据采集Server数据分类、去重、归并处理匹配生成配置文件转换配置文件监听进程格式转换探针探针数据AgentServer数据集成取得的成效取得的成效?

已经对20余种网络安全产品进行了集成研究，包括：

入侵检测：

Snort?

防火墙：

CheckPoint?

弱点扫描：

Nessus?

服务监控：

Nagios?

流量监控：

Ntop?

拓扑扫描：

Nmap?

大规模网络安全态势评估模型探针数据上报数据数据数据数据集成数据集成数据预处理数据集成关联分析与告警关联分析与告警关联分析引擎元知识告警态势预测态势预测IDSFWNetFlow运营商职能部门网络用户知识库知识库专家专家元数据网络安全数据库网络安全数据库指数模型指数计算指标体系及量化指标体系及量化态势展示态势展示态势可视化指标配置模拟预测时序预测规则库预测模型关联分析问题描述问题描述?

IDS产生大量误报和重复报警关联分析研究现状研究现状?

加利福尼亚州加利福尼亚州SRI研究中心的研究中心的Valdes.A利用报警信息特征的相似性来对来自不同类型利用报警信息特征的相似性来对来自不同类型IDS的报警信息进行综合关联分析的报警信息进行综合关联分析?

麻省理工学院林肯实验室的麻省理工学院林肯实验室的M.Dain提出基于于攻击场景构建的概率关联方法提出基于于攻击场景构建的概率关联方法挑战挑战单维度的关联单维度的关联基于类似的特征基于类似的特征前后场景的高度依赖前后场景的高度依赖基于多维关联的网络安全事件关联分析技术事件与脆弱性关联分析事件与资产关联分析事件与事件关联分析关联规则数据库网络安全告警数据库网络安全事件事件分类和量化资产数据脆弱性数据告警告警告警网络安全事件网络安全事件关联分析取得的效果取得的效果?

有效减少误报、重复报警，约1/200?

根据原始网络安全事件数据，通过关联分析发现新的网络安全攻击告警?

对网络安全事件的严重程度进行定级大规模网络安全态势评估模型探针数据上报数据数据数据数据集成数据集成数据预处理数据集成关联分析与告警关联分析与告警关联分析引擎元知识告警态势预测态势预测IDSFWNetFlow运营商职能部门网络用户知识库知识库专家专家元数据网络安全数据库网络安全数据库指数模型指数计算指标体系及量化指标体系及量化态势展示态势展示态势可视化指标配置模拟预测时序预测规则库预测模型指标体系与量化评估问题和挑战问题和挑战?

如何确定影响指标体系的各个要素？

如何保证指标体系的动态可配置性？

如何建立科学的量化模型和聚集模型？

如何是指数可接受、可理解？

指标体系与量化评估研究现状研究现状?

优利（优利（Unisys）公司的提供优利安全指数（）公司的提供优利安全指数（UnisysSecurityIndex）对国家安全、财务安全、互联网安全和个人安全进行量化，主要方法是问卷调查的方法）对国家安全、财务安全、互联网安全和个人安全进行量化，主要方法是问卷调查的方法?

电信网网络安全评估指标体系，是工信部电信研究院针对电信网络安全提出的，包括电信网物理安全、传输网络安全、业务网络安全的电信网络安全评估指标电信网网络安全评估指标体系，是工信部电信研究院针对电信网络安全提出的，包括电信网物理安全、传输网络安全、业务网络安全的电信网络安全评估指标?

SilkRoad的的TimBass在提出网络安全态势感知概念后，针对局域网的特征特出了一系列的网络安全态势量化评估的方法在提出网络安全态势感知概念后，针对局域网的特征特出了一系列的网络安全态势量化评估的方法挑战挑战尚缺乏网络安全因素全面考虑的互联网安全态势的国家指标体系尚缺乏网络安全因素全面考虑的互联网安全态势的国家指标体系已有的量化评估方法大多针对