網(wǎng)絡(luò)安全態(tài)勢感知通過獲取網(wǎng)絡(luò)安全要素、對其進行分析理解,從而完成對整體網(wǎng)絡(luò)安全狀況的分析及預(yù)測,其作為一種主動防御技術(shù)逐漸成為研究的焦點。本文針對近年來網(wǎng)絡(luò)攻擊威脅逐漸呈現(xiàn)出的大規(guī)模、協(xié)同、多階段等特點,利用攻擊圖結(jié)構(gòu)靈活性,既能展示整體又能反映局部安全狀態(tài)變遷過程的優(yōu)點,研究了面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢感知方法。通過梳理該領(lǐng)域的研究現(xiàn)狀,分析歸納目前存在的主要問題,設(shè)計基于攻擊圖模型的網(wǎng)絡(luò)安全態(tài)勢感知框架,提出了一整套網(wǎng)絡(luò)安全態(tài)勢感知方法,可有效支撐安全管理員的決策,取得以下研究成果:1.設(shè)計了基于攻擊圖模型的網(wǎng)絡(luò)安全態(tài)勢感知框架。針對面向多步攻擊的安全態(tài)勢感知缺乏標(biāo)準(zhǔn)框架的問題,通過分析多步攻擊過程,描述多步攻擊威脅相關(guān)的安全屬性,給出攻擊圖模型的一般定義,在此基礎(chǔ)上構(gòu)建面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢感知框架,設(shè)計了感知結(jié)果和決策選取的閉環(huán)反饋機制,解決了目前研究缺乏統(tǒng)一規(guī)范描述框架的問題。2.提出了面向生命周期的安全漏洞態(tài)勢分析方法。針對現(xiàn)有研究缺乏對于漏洞全生命周期的考慮,通過對漏洞在生命周期時間軸上的狀態(tài)遷移進行建模,構(gòu)建漏洞生命周期時間模型,利用先驗的歷史漏洞信息作為模型輸入,定量刻畫漏洞生命周期各狀態(tài)在時間維度上的發(fā)生概率,更加真實、準(zhǔn)確地反映現(xiàn)實世界中漏洞利用態(tài)勢演化的一般規(guī)律,解決了各階段漏洞利用率動態(tài)、定量測度困難的問題。3.提出了基于吸收Markov鏈攻擊圖的攻擊路徑態(tài)勢分析方法。針對攻擊“單調(diào)性”假設(shè)產(chǎn)生的攻擊路徑態(tài)勢分析偏差,通過分析攻擊者狀態(tài)轉(zhuǎn)移的非線性和不確定性特點,利用吸收Markov鏈對攻擊圖進行轉(zhuǎn)換,構(gòu)建吸收Markov鏈攻擊圖模型,修正攻擊圖中含“圈”路徑產(chǎn)生的度量偏差,推演分析攻擊意圖成功的期望概率、攻擊路徑的期望長度和路徑節(jié)點訪問的期望次數(shù),實現(xiàn)多維度的攻擊路徑態(tài)勢精準(zhǔn)刻畫。4.提出了基于動態(tài)貝葉斯攻擊圖的網(wǎng)絡(luò)安全風(fēng)險態(tài)勢預(yù)測方法。針對現(xiàn)有研究缺乏對攻擊方、防御方與網(wǎng)絡(luò)環(huán)境態(tài)勢要素在時空維度動態(tài)關(guān)聯(lián)關(guān)系刻畫的問題,通過構(gòu)建動態(tài)貝葉斯攻擊圖模型推演多步攻擊過程,量化測度態(tài)勢要素在時空維度上的不確定性和關(guān)聯(lián)性,進一步以多步攻擊迭代作為網(wǎng)絡(luò)系統(tǒng)安全性態(tài)勢變遷的內(nèi)生驅(qū)動力,通過融合資產(chǎn)、威脅和漏洞信息,將底層攻擊行為預(yù)測結(jié)果映射為定量的安全風(fēng)險態(tài)勢值,直觀地呈現(xiàn)網(wǎng)絡(luò)安全的變化趨勢,提升態(tài)勢預(yù)警的時效和精度。5.提出了基于態(tài)勢感知的網(wǎng)絡(luò)最優(yōu)防御策略選取方法。針對現(xiàn)有研究缺乏安全攻防雙方?jīng)Q策互動性和行為演變性的刻畫方法;首先從攻擊路徑態(tài)勢分析結(jié)果中提取攻防策略集合,利用安全風(fēng)險態(tài)勢預(yù)測結(jié)果量化策略的風(fēng)險收益;然后從現(xiàn)實攻防雙方的有限理性視角出發(fā),構(gòu)建描述攻防雙方策略互動性和行為演變性的博弈模型;最后針對完全態(tài)勢信息和不完全態(tài)勢信息兩種典型應(yīng)用場景,分別設(shè)計最優(yōu)防御策略選取方法,并為態(tài)勢感知提供策略選取反饋意見,通過刻畫最優(yōu)防御策略的演化軌跡,解決動態(tài)、復(fù)雜、時變網(wǎng)絡(luò)場景下安全措施難以選取的問題。本文研究成果有助于安全管理人員及時掌握網(wǎng)絡(luò)安全狀況,并對未來可能出現(xiàn)的多步攻擊威脅提前做出防護,為打贏網(wǎng)絡(luò)安全攻防時間戰(zhàn)并實施主動防御提供相關(guān)理論支撐與方法保障。
【學(xué)位單位】：戰(zhàn)略支援部隊信息工程大學(xué)
【學(xué)位級別】：博士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

全美就醫(yī)平均等候時間態(tài)勢1999年，美國空軍通信與信息中心的T.Bass提出網(wǎng)絡(luò)空間態(tài)勢感知（Cyberspace

圖 1. 3 Endsley 態(tài)勢感知模型不斷深入，在上述三個階段的基礎(chǔ)上，1995 年 Endsley 進態(tài)勢感知框架[7]，如圖 1.3 所示。在決策執(zhí)行過程中，作斷掃描網(wǎng)絡(luò)空間的狀態(tài)變化，預(yù)測下一階段的發(fā)展趨勢，響應(yīng)，實現(xiàn)在最短時間內(nèi)消減網(wǎng)絡(luò)空間中存在的安全風(fēng)險前提是實施態(tài)勢感知，只有建立準(zhǔn)確、完整的閉環(huán)態(tài)勢感時有效的應(yīng)對策略，否則難以達到“縱深防御（Defense-dsley 設(shè)計的認(rèn)知模型初始僅被應(yīng)用于航空領(lǐng)域的人為因素性，隨后被廣泛應(yīng)用于網(wǎng)絡(luò)空間領(lǐng)域的研究。勢感知過程可劃分為三個階段：第一階段是態(tài)勢要素提取采集海量數(shù)據(jù)和信息，通過采集網(wǎng)絡(luò)空間態(tài)勢感知所需的解提供數(shù)據(jù)支撐。第二階段的態(tài)勢理解是網(wǎng)絡(luò)空間態(tài)勢感絡(luò)空間狀態(tài)的演變。在這個階段，通過分析處理采集到的關(guān)聯(lián)關(guān)系，確定事件產(chǎn)生的根本原因，獲取網(wǎng)絡(luò)系統(tǒng)當(dāng)前。第三階段態(tài)勢預(yù)測是網(wǎng)絡(luò)空間態(tài)勢感知的終極目標(biāo)，它

數(shù)據(jù)作為態(tài)勢感知的數(shù)據(jù)源；另一方面，它又向上層 Level 3 提供擊分析與決策支撐。JDL 模型是一個面向功能的模型，其普適性允多種流程、功能和技術(shù)類別，其數(shù)據(jù)融合層次的限制較為寬松，因線而非數(shù)據(jù)流。據(jù)融合模型非常靈活，用戶可以依據(jù) JDL 模型結(jié)合實際需求自行設(shè)于每個不同層次，可以有不同的實施過程劃分方法，并且每個過程體的子過程。因此，學(xué)者們基于 JDL 模型衍生了眾多類似的模型和999 年，Steinberg 等人[20]就提出了圖 1.4 中的 JDL 數(shù)據(jù)融合模型，礎(chǔ)上，許多學(xué)者對模型進行了改進，數(shù)十種數(shù)據(jù)融合模型被陸續(xù)提]、知覺推理模型[23]、智能循環(huán)模型[24]等，但它們未能像 JDL 數(shù)據(jù)影響力。1999 年，Bass[18]首次將 JDL 模型引入網(wǎng)絡(luò)空間領(lǐng)域，為數(shù)態(tài)勢感知領(lǐng)域的成功應(yīng)用提供了理論支撐，也成為該技術(shù)在網(wǎng)絡(luò)空新起點。目前，JDL 模型已被廣泛引入網(wǎng)絡(luò)空間態(tài)勢感知研究的相 JDL 模型提出了很多態(tài)勢分析方法[10][11][12] [13]，特別是應(yīng)用于 C3mmunications＆Intelligence）等軍事信息系統(tǒng)中。

本文編號：2846926