在線教務(wù)輔導(dǎo)網(wǎng)：://教材其余課件及動畫素材請查閱在線教務(wù)輔導(dǎo)網(wǎng)QQ:349134187

或者直接輸入下面地址：計算機網(wǎng)絡(luò)平安態(tài)勢評估理論主要內(nèi)容必要性概念起源根本概念網(wǎng)絡(luò)平安態(tài)勢評估體系網(wǎng)絡(luò)平安態(tài)勢評估分類態(tài)勢評估要點及關(guān)鍵技術(shù)平安隱患態(tài)勢評估方法主要內(nèi)容〔續(xù)〕平安效勞風(fēng)險評估模型當前平安威脅評估方法歷史平安威脅演化態(tài)勢分析方法平安態(tài)勢預(yù)警理論與方法1、必要性孤立的平安事件報警表達系統(tǒng)遭受的攻擊行為信息，但連續(xù)運行的平安設(shè)備產(chǎn)生的報警量大，不相關(guān)報警多，平安管理員面對大量報警信息很難理解系統(tǒng)的平安威脅狀況，以致不能及時采取適宜的響應(yīng)措施，更是難以發(fā)現(xiàn)系統(tǒng)的平安威脅規(guī)律。2、概念起源信息融合領(lǐng)域中態(tài)勢評估==態(tài)勢感知態(tài)勢感知起源：概念來源于航天飛行中的人因〔HumanFactor〕研究，是對態(tài)勢進行評估從而獲得決策執(zhí)行的過程。Endsley提出的態(tài)勢感知定義在特定的時間和空間下，對環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測，以在環(huán)境對象和環(huán)境自身之間建立一個相互關(guān)系，通常由一些傳感器、位置信息、用戶規(guī)那么或是一些用于系統(tǒng)監(jiān)視和維護的工具所提供。因此，可以認為態(tài)勢感知是對對象所處的環(huán)境狀態(tài)的一種理解領(lǐng)悟，包括相關(guān)的對象系統(tǒng)參數(shù)。在某種程度上，態(tài)勢感知提供了對復(fù)雜系統(tǒng)決策和操作性能的根底。只有正確地感知環(huán)境狀態(tài)，才能對操作對象提供下一步正確的決策。Endsley提出的適用于自動化系統(tǒng)及人機接口系統(tǒng)的態(tài)勢感知方法將態(tài)勢感知分為三個層次的信息處理，即3個步驟：1〕覺察〔Perception〕：檢測和獲取環(huán)境中的重要線索或元素，這是態(tài)勢感知中根底的一步；2〕理解〔Comprehension〕：整合覺察到的數(shù)據(jù)和信息，分析其相關(guān)性；3〕預(yù)測〔Prediction〕：基于對環(huán)境信息的感知和理解，預(yù)測未來的開展趨勢，這是態(tài)勢感知中最高層次的要求。Dominguez擴展的態(tài)勢感知定義將態(tài)勢感知分為4個方面：1〕從環(huán)境中提取信息；2〕把當前的信息和相關(guān)的內(nèi)部信息進行整合，生成當前狀態(tài)的視圖；3〕利用當前的視圖去指導(dǎo)更進一步的感知獲取；4〕對未來的事件做預(yù)測。根據(jù)Endsley及Dominguez等對態(tài)勢技術(shù)的研究成果，態(tài)勢評估往往又被認為是態(tài)勢感知的一個層次。當前，態(tài)勢評估技術(shù)是信息融合中最為活潑的研究領(lǐng)域之一。網(wǎng)絡(luò)平安態(tài)勢評估起源：概念起源于軍事領(lǐng)域的戰(zhàn)場態(tài)勢評估，是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)平安態(tài)勢變化的平安要素進行獲取、理解、顯示以及預(yù)測未來的開展趨勢的過程。“態(tài)勢〞作為一種狀態(tài)、一種趨勢，是一個整體和全局的概念，任何單一情況或狀態(tài)均不能稱為態(tài)勢。戰(zhàn)場態(tài)勢評估--針對海戰(zhàn)場，利用基于時間和空間上信息融合系統(tǒng)的態(tài)勢評估和威脅分析方法，首先進行時間和空間確實認和對準，確定海戰(zhàn)場態(tài)勢的根本要素，對態(tài)勢進行抽象和評估，為指揮員提供海戰(zhàn)場態(tài)勢的綜合勢圖，包括我方態(tài)勢的紅色視圖、敵方態(tài)勢的藍色視圖、及自然環(huán)境與海洋情況等海戰(zhàn)場態(tài)勢的白色視圖，為指揮員做決策提供依據(jù)。網(wǎng)絡(luò)平安態(tài)勢評估--起源于TimBass的開創(chuàng)性研究，將軍事領(lǐng)域中已成功應(yīng)用的數(shù)據(jù)融合來完成平安事件的融合處理，形成一個現(xiàn)實的網(wǎng)絡(luò)行為的高層抽象，即網(wǎng)絡(luò)空間內(nèi)的平安態(tài)勢感知。網(wǎng)絡(luò)系統(tǒng)中的態(tài)勢感知分析平安設(shè)備提供的多源數(shù)據(jù)，提供網(wǎng)絡(luò)的實時運行狀態(tài)〔包括大量的底層數(shù)據(jù)和系統(tǒng)信息，及海量平安事件經(jīng)過歸并融合后形成的一些具體的高層態(tài)勢信息〕，方便網(wǎng)絡(luò)的使用者和維護者有效地感知網(wǎng)絡(luò)的平安態(tài)勢，并根據(jù)態(tài)勢的變化做出相應(yīng)的決策調(diào)整和制訂應(yīng)變策略。3、根本概念信息融合信息融合來源于早期軍事領(lǐng)域的數(shù)據(jù)融合，又叫多傳感器數(shù)據(jù)融合，是對多源信息進行處理的關(guān)鍵技術(shù)。通過對空間分布的多源信息，對所關(guān)心的目標進行檢測、關(guān)聯(lián)〔相關(guān)〕、跟蹤、估計和綜合等多級多功能處理，以更高精度、較高的概率或置信度得到人們所需要的目標狀態(tài)和身份估計，以及完整、及時的態(tài)勢和威脅評估，從而為指揮員提供有用的決策信息。與單傳感器數(shù)據(jù)相比，綜合多個數(shù)據(jù)源除了具有統(tǒng)計優(yōu)勢之外，還能改進檢測的準確度，而且各種傳感器的互補特性為獲得更多的信息提供了技術(shù)支撐。信息融合的層次1〕像素級融合：通常對原始傳感器信息不進行處理或只進行很少的處理。在信息處理層次中像素級融合的層次較低，故也稱其為低級融合。2〕特征級融合：在各個傳感器提供的原始信息中，首先提取一組特征信息，形成特征矢量，并在對目標進行分類或其他處理前對各組信息進行融合，一般稱為中級融合。3〕決策級融合：也稱高級融合，其利用來自各傳感器的信息對目標屬性等進行獨立處理，然后對各傳感器的處理結(jié)果進行融合，從而得到整個系統(tǒng)的決策。決策級融合包括三種形式：決策融合、決策及其可信度融合、概率融合。JDL的數(shù)據(jù)融合處理模型

JDL參軍事應(yīng)用的角度，把來自許多傳感器和信息源的數(shù)據(jù)和信息加以聯(lián)合、相關(guān)和組合，以獲得精確的位置和身份估計，從而獲得對戰(zhàn)場和威脅及其重要程度適時的完整評價，并構(gòu)造了融合過程的通用模型，經(jīng)典的數(shù)據(jù)融合概念模型，包括四個層次〔級〕的數(shù)據(jù)融合處理1〕對象提取〔ObjectRefinement〕：通過不同的觀測設(shè)備采集的觀測數(shù)據(jù)，聯(lián)合起來形成對象描述，從而產(chǎn)生對象的軌跡，并融合該評估對象的類型、狀態(tài)和位置等屬性。2〕態(tài)勢提取〔SituationRefinement〕：通過把存在于態(tài)勢評估過程中的目標聯(lián)系在一起形成態(tài)勢評估，或把目標評估相互關(guān)聯(lián)。3〕威脅提取〔ThreatRefinement〕：考慮態(tài)勢評估可能出現(xiàn)的結(jié)果，形成威脅評估，或把它們與存在的威脅聯(lián)系在一起。4〕過程提取〔ProcessRefinement〕：確定如何提高上述三個過程的評估能力，怎樣控制傳感器來獲取最重要的數(shù)據(jù)，從而最大程度地提高評估能力。數(shù)據(jù)融合的White模型

對來自一個系統(tǒng)的具有相似或不同特征模式的多源檢測信息進行互補集成，從而獲得當前系統(tǒng)狀態(tài)的準確判斷，在此根底上預(yù)測系統(tǒng)的未來狀態(tài)，為采取適當?shù)南到y(tǒng)策略提供保障。此模型第一級為融合的位置和標識估計，第二級為敵我軍事態(tài)勢估計，第三級為敵我兵力威脅估計。網(wǎng)絡(luò)空間數(shù)據(jù)融合處理的過程模型

網(wǎng)絡(luò)空間的數(shù)據(jù)融合處理模型參照JDL的數(shù)據(jù)融合處理模型和White模型，態(tài)勢數(shù)據(jù)來自于網(wǎng)絡(luò)中分布傳感器采集到的原始數(shù)據(jù)。第0層和第1層處理模塊完成事件檢測功能；第2層態(tài)勢提取和第3層威脅提取模塊負責(zé)高層的抽象知識處理。第4層資源管理模塊在各層次模塊的處理過程中，進行資源調(diào)配，以保證融合處理過程的效率和性能。

IDS數(shù)據(jù)融合的層次

網(wǎng)絡(luò)平安態(tài)勢評估定義普遍認為是網(wǎng)絡(luò)平安態(tài)勢感知能力的獲取，即對底層各類平安事件進行歸并、關(guān)聯(lián)以及融合等處理，并將處理后的信息以可視化圖形的形式提供給網(wǎng)絡(luò)管理人員。管理人員根據(jù)視圖提供的信息，判斷網(wǎng)絡(luò)當前及未來可能的平安態(tài)勢開展趨勢，進而做出有效應(yīng)對措施。網(wǎng)絡(luò)平安態(tài)勢評估與傳統(tǒng)研究領(lǐng)域內(nèi)的態(tài)勢感知1〕底層監(jiān)測對象不同傳統(tǒng)感知框架中，傳感器用來感應(yīng)電磁輻射、聲納、熱源、核粒子以及紅外線等等。而在計算機空間/網(wǎng)絡(luò)空間中，傳感器主要監(jiān)視的對象那么是網(wǎng)絡(luò)中的數(shù)據(jù)流。2〕關(guān)注目標不同傳統(tǒng)態(tài)勢感知關(guān)注入侵設(shè)備的來源、速率、威脅及其針對的目標，而網(wǎng)絡(luò)平安態(tài)勢感知那么關(guān)注一個入侵或入侵者的身份、其攻擊的頻度、威脅以及這些攻擊行為的目的。網(wǎng)絡(luò)平安態(tài)勢評估與傳統(tǒng)研究領(lǐng)域內(nèi)的態(tài)勢感知〔續(xù)〕3〕流程和過程相似流程均沿著覺察→理解→預(yù)測的線路過程都是一個從數(shù)據(jù)→信息→知識的一個過程網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)與IDSBass認為下一代的入侵檢測系統(tǒng)或網(wǎng)絡(luò)管理系統(tǒng)將會被網(wǎng)絡(luò)空間的態(tài)勢感知系統(tǒng)所取代，但并不能認為未來改進型的IDS就是網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)。IDS作為態(tài)勢感知系統(tǒng)的底層組件和重要數(shù)據(jù)來源，二者之間既存在著聯(lián)系，又有一定的區(qū)別。網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)與IDS〔續(xù)〕1〕主要職能不同--IDS通過實時監(jiān)測信息流，檢測網(wǎng)絡(luò)中存在的攻擊，進而保護特定主機和信息資源。其從細節(jié)上關(guān)注網(wǎng)絡(luò)平安，對網(wǎng)絡(luò)內(nèi)的每次獨立的攻擊都進行記錄和警告。而態(tài)勢感知系統(tǒng)是給網(wǎng)絡(luò)管理員提供當前的網(wǎng)絡(luò)平安態(tài)勢狀況，并提交相關(guān)統(tǒng)計分析數(shù)據(jù)及報表，為保障網(wǎng)絡(luò)效勞的正常運行提供決策依據(jù)。這個過程不僅包括對攻擊行為的檢測，也包括為提高網(wǎng)絡(luò)性能而進行的維護，從一種更宏觀的角度詮釋網(wǎng)絡(luò)平安。網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)與IDS〔續(xù)〕2〕分析數(shù)據(jù)源不同--IDS通過安裝在網(wǎng)絡(luò)中不同節(jié)點處的代理或Sensor獲取網(wǎng)絡(luò)數(shù)據(jù)，然后進行融合、關(guān)聯(lián)分析，進而發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。數(shù)據(jù)來源較為單一，仍可視為同源數(shù)據(jù)。而態(tài)勢感知系統(tǒng)的分析數(shù)據(jù)來源那么是混合型的，入侵檢測系統(tǒng)、病毒檢測、防火墻等工具均可提供平安信息。態(tài)勢感知系統(tǒng)融合這些設(shè)備的不同格式的數(shù)據(jù)信息，進行態(tài)勢分析和可視化顯示。網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)與IDS〔續(xù)〕3〕規(guī)模和信息處理數(shù)量級不同--當前，網(wǎng)絡(luò)帶寬增長的速度已經(jīng)超過了計算機的處理速度。尤其對于入侵檢測系統(tǒng)來說，高速網(wǎng)絡(luò)中的攻擊行為實時檢測已經(jīng)成為一個困擾的難點問題。與之對應(yīng)的是，態(tài)勢感知系統(tǒng)充分利用了多種數(shù)據(jù)采集設(shè)備，通過融合提高了數(shù)據(jù)源的完備性，同時通過多維視圖顯示，融入人的視覺處理能力，簡化了系統(tǒng)的計算復(fù)雜度，提高了計算處理能力。網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)與IDS〔續(xù)〕4〕檢測效率不同--當前，IDS檢測攻擊的誤報率和漏報率極大地打擊了網(wǎng)絡(luò)用戶對其的信任，而且基于特征的IDS無法檢測出未知攻擊和潛在的惡意網(wǎng)絡(luò)行為。態(tài)勢感知系統(tǒng)卻能利用多源異構(gòu)數(shù)據(jù)的融合處理，彌補了IDS系統(tǒng)處理不確定度的劣勢，能夠提供動態(tài)的網(wǎng)絡(luò)態(tài)勢狀況顯示，為管理員分析網(wǎng)絡(luò)攻擊行為、及時采取應(yīng)對策略提供了支撐。網(wǎng)絡(luò)平安態(tài)勢感知與平安評估從操作執(zhí)行過程來看，網(wǎng)絡(luò)平安態(tài)勢感知是一個實時過程，其作為網(wǎng)絡(luò)管理系統(tǒng)的一個實時處理單元存在，為網(wǎng)管人員提供及時的決策輔助，重在感知當前的平安態(tài)勢及變化趨勢。而網(wǎng)絡(luò)平安評估是一個非實時過程，由評估人員周期性執(zhí)行，在迭代的過程中針對前次評估中存在的可能導(dǎo)致網(wǎng)絡(luò)風(fēng)險的隱患進行調(diào)整，重在為降低風(fēng)險而采取的改進措施。4、網(wǎng)絡(luò)平安態(tài)勢評估體系融入平安態(tài)勢評估的空間完備性和時間連續(xù)性，從“內(nèi)、外〞兩個空間角度出發(fā)，沿“過去、現(xiàn)在、將來〞一條時間主線，借用多源信息融合技術(shù)，融合IDS報警、網(wǎng)絡(luò)性能指標、漏洞檢測數(shù)據(jù)等多源行為信息，綜合評估網(wǎng)絡(luò)平安狀態(tài)及變化趨勢，即利用網(wǎng)絡(luò)平安屬性的歷史記錄，為用戶提供一個準確的網(wǎng)絡(luò)平安狀態(tài)評判和網(wǎng)絡(luò)平安開展趨勢，以便管理員了解當前平安威脅狀況、歷史平安威脅演化，進而預(yù)測未來平安威脅，即在網(wǎng)絡(luò)平安事件發(fā)生之前對網(wǎng)絡(luò)攻擊行為進行預(yù)測，使網(wǎng)絡(luò)管理者能夠有目標的進行決策和防護準備，做到防患于未然。態(tài)勢評估體系較好地實現(xiàn)了“分析現(xiàn)在，了解過去，預(yù)測未來〞的動態(tài)評估。從時間上，可以掌握最近一個時段網(wǎng)絡(luò)的活動狀況，支持實時方面更準確的分析判斷。從空間上，融合系統(tǒng)內(nèi)部的脆弱信息和外部的威脅信息，提高評估結(jié)果的合理性。在日志分析方面，應(yīng)用數(shù)據(jù)挖掘技術(shù)，從對日志的簡單分析開展為戰(zhàn)略性分析，為用戶提供戰(zhàn)略性的指導(dǎo)和戰(zhàn)術(shù)性的解決方法，實現(xiàn)對網(wǎng)絡(luò)平安現(xiàn)狀作出正確判斷的目標。網(wǎng)絡(luò)平安態(tài)勢評估可為防護體系提供決策依據(jù)，為監(jiān)控體系提供支持，為應(yīng)急響應(yīng)體系提供預(yù)測，其應(yīng)用實現(xiàn)了網(wǎng)絡(luò)平安體系中防護、監(jiān)控和應(yīng)急響應(yīng)的有機結(jié)合。4、網(wǎng)絡(luò)平安態(tài)勢評估分類IDS作為支撐網(wǎng)絡(luò)平安態(tài)勢感知的主要信息提供者，多傳感器數(shù)據(jù)融合技術(shù)作為主要的數(shù)據(jù)處理手段，態(tài)勢感知的結(jié)果是一個函數(shù)的話，那么這個x代表著IDS獲取的數(shù)據(jù)，采用的數(shù)據(jù)融合技術(shù)可以作為f的實現(xiàn)。根據(jù)態(tài)勢評估結(jié)果的描述形式定量描述—建立在風(fēng)險分析根底之上的一個有意義的標量值，比方某種平安系數(shù)、平安度或風(fēng)險指數(shù)等。Bass指出，網(wǎng)絡(luò)平安風(fēng)險是系統(tǒng)資產(chǎn)、攻擊對應(yīng)的威脅度以及漏洞攻擊后果嚴重程度的相關(guān)函數(shù)。定性描述—感知框架的研究和可視態(tài)勢根據(jù)評估時間當前平安狀況評估歷史平安演化分析未來平安狀態(tài)預(yù)測根據(jù)數(shù)據(jù)源基于系統(tǒng)配置信息的平安隱患態(tài)勢評估基于系統(tǒng)運行信息的平安威脅態(tài)勢評估

態(tài)勢感知研究的分類描述并不是嚴格限定的。在實際的態(tài)勢感知獲取過程中，各項研究往往是交叉的。態(tài)勢感知結(jié)果的描述可以是定性、定量或是定性和定量描述混合，而且無論這種態(tài)勢結(jié)果是定量還是定性，最終呈現(xiàn)在網(wǎng)絡(luò)管理員面前的都是一些可視化圖形。6、態(tài)勢評估要點及關(guān)鍵技術(shù)現(xiàn)實中網(wǎng)絡(luò)系統(tǒng)的平安性涉及多方面因素，且每個因素都從一定側(cè)面反映系統(tǒng)的平安性能，任何一個指標都無法完全反映目標系統(tǒng)的整體平安性能。實際的網(wǎng)絡(luò)信息系統(tǒng)進行平安評估時，必須將全體評估指標的評估結(jié)果進行綜合，才能得到關(guān)于目標網(wǎng)絡(luò)信息系統(tǒng)平安性能的最終評價。對于同一層次上的評估指標，評估過程是一個從多維空間到一個線段中的點或評價論域中的等級的映射過程，表示為：或其中，表示評估項〔評估指標〕，A是綜合結(jié)果的取值區(qū)間，一般為[0,1]，適合于定量表示的綜合評估。表示等級論域，適合于定性評估結(jié)果的綜合。評估指標的處理定量指標的歸一化處理定性指標的量化和歸一化處理1〕“是〞或“否〞這類最簡單的定性評估結(jié)果，“是〞指定為“1〞，“否〞指定為“0〞。2〕一個有序的名稱集，如“很差、較差、一般、較好、很好〞這種最常見的定性指標結(jié)果表示方式。根據(jù)它們的次序，粗略地分別分配一個整數(shù)來實現(xiàn)結(jié)果的量化，如使用“1、2、3、4、5〞與之對應(yīng)，然后把這些量化后的結(jié)果“1、2、3、4、5〞分別采用“0.1、0.3、0.5、0.7、0.9〞作為它們的歸一化值。綜合評估方法加權(quán)算術(shù)平均

適合處理定量評估項，是綜合評價領(lǐng)域最常用的方法，也是最簡單的方法，表示為：

該方法易受到個別極端評估項的影響。

綜合評估方法加權(quán)幾何平均適合處理定量評估項，與加權(quán)算術(shù)平均相比，加權(quán)幾何平均能更進一步反映全體評估項的作用，其計算公式為：

該方法易受到個別極端評估項的影響。

綜合評估方法混合平均在面對實際的綜合評估問題時，混合平均指對某些評估項使用加權(quán)算術(shù)平均對其進行綜合分析，而對另一些評估項使用加權(quán)幾何平均，然后對使用適宜的不同平均方法后的各評估項，經(jīng)過進一步綜合得到最終的評估結(jié)果值。關(guān)鍵技術(shù)信息融合技術(shù)風(fēng)險分析技術(shù)信息可視化技術(shù)事件過濾技術(shù)7、平安隱患態(tài)勢評估方法法國LAAS計算機平安研究學(xué)者R.Ortalo和Y.Deswarte基于平安分析工具COPS的數(shù)據(jù)，采用權(quán)限圖理論模型建模系統(tǒng)漏洞，并建立馬爾科夫數(shù)學(xué)模型，計算攻擊者擊敗系統(tǒng)平安目標可能付出的平均代價，以定量度量系統(tǒng)平安，監(jiān)控運行環(huán)境、系統(tǒng)配置、應(yīng)用、用戶行為等變化引起的系統(tǒng)平安的全局變化，給出系統(tǒng)平安隱患狀況的演化，以便管理員了解系統(tǒng)平安的變化。系統(tǒng)漏洞建模應(yīng)用權(quán)限圖建模系統(tǒng)漏洞，即在表示系統(tǒng)漏洞的權(quán)限圖中，節(jié)點X表示一個用戶或一組用戶擁有的權(quán)限集合。其中，一些高度敏感的權(quán)限集〔如超級用戶〕非常可能是黑客攻擊目標，稱為目標節(jié)點。攻擊者擁有的權(quán)限集，稱為攻擊者節(jié)點〔如insider〕。兩個節(jié)點之間的弧表示漏洞，擁有節(jié)點X權(quán)限的用戶可以利用漏洞獲取節(jié)點Y的權(quán)限，那么在節(jié)點X到節(jié)點Y之間存在一條弧。權(quán)限圖中的3類漏洞1〕與從保護方案直接繼承的權(quán)限子集相對應(yīng)的弧。例如Unix系統(tǒng)中，從組成員權(quán)限集的節(jié)點到組權(quán)限集節(jié)點的弧。2〕與直接的平安缺陷相對應(yīng)的弧，例如容易猜測的密碼、可以種植木馬的文件保護機制。3〕包含不與平安缺陷對應(yīng)的漏洞，指系統(tǒng)平安機制帶來的問題。例如Unix系統(tǒng)中，.rhost文件帶來權(quán)限傳遞機制漏洞。典型的權(quán)限圖1〕X可以寫Y的.rhosts文件；2〕X可猜Y的密碼；3〕X可修改Y的.tcshrc；4〕X是Y的一個成員；5〕Y使用X管理的某一程序；6〕X能修改Y擁有的setuid程序；7〕X在Y的.rhosts文件。節(jié)點表示用戶〔A、B、F〕或用戶組〔P1、Xadmin〕的權(quán)限集，節(jié)點insider表示任意注冊用戶的最小權(quán)限，節(jié)點之間的弧表示相應(yīng)的漏洞：漏洞利用難易度確定

為了計算黑客從攻擊者節(jié)點到達目標節(jié)點的難易度，權(quán)限圖中每一條弧被分配一個權(quán)重，該值是一個綜合參數(shù)，表示成功率，與攻擊者執(zhí)行權(quán)限轉(zhuǎn)移需要的代價相對應(yīng)，包含了攻擊過程的幾個特點：攻擊工具的可用性、執(zhí)行攻擊需要的時間、可用的計算資源等。漏洞的利用難易度被劃分為四個級別。漏洞利用難易度確定〔續(xù)〕

級別弧權(quán)值備注10.1級別1相應(yīng)于最容易的攻擊，級別4對應(yīng)于非常難的攻擊。取值越大，攻擊難度越小。20.0130.00140.0001攻擊者行為假設(shè)全記憶假設(shè)〔TotalMemory，簡稱TM〕：在攻擊的每一個階段，考慮攻擊的所有可能性，即來自權(quán)限圖中最新訪問的節(jié)點以及已經(jīng)訪問的節(jié)點的攻擊。無記憶假設(shè)〔Memoryless，簡稱ML〕：在每一個最新訪問的節(jié)點，攻擊者僅僅選擇從那個節(jié)點可以發(fā)起的根本攻擊。兩種黑客攻擊行為假設(shè)的區(qū)別：當權(quán)限圖中添加新的漏洞時，對于攻擊者來說，意味著將有另外一條路徑到達目標。假設(shè)黑客按照TM攻擊行為模式，新漏洞的添加將減輕攻擊難度。但是，假設(shè)采用ML模式，因不具有后退嘗試其它路徑的能力，新的漏洞將會對攻擊產(chǎn)生正面或負面影響。尤其是這個新的漏洞利用難度低，但路徑中緊隨其后的利用難度非常大時，將會使黑客到達目標的難度增加。與典型權(quán)限圖例子相對應(yīng)的攻擊狀態(tài)圖

評估算法使用與計算機平安演化特性相符的Markov數(shù)學(xué)模型計算攻擊者到達目標的平均代價，以獲取系統(tǒng)平安狀況。假設(shè)：定義表示攻擊成功概率，在攻擊者花費一定數(shù)量的代價e之前，某一根本攻擊的成功概率服從指數(shù)分布，即

某一根本攻擊成功的平均花費代價為：METF定義：攻擊者到達指定平安目標的平均代價，取值為在通向平安目標的每個狀態(tài)花費代價的加權(quán)和，其加權(quán)值為訪問這些狀態(tài)的概率。METF值越大，系統(tǒng)平安越好。在狀態(tài)j的平均花費代價Ej：狀態(tài)j輸出轉(zhuǎn)移概率之和的倒數(shù)，計算公式為：

k為初始狀態(tài)時的平均花費代價METFk：單路徑的Markov模型

對于TM和ML的黑客行為假設(shè)，METF的計算公式均為：多路徑的Markov模型8、平安效勞風(fēng)險評估模型基于效勞在系統(tǒng)中所占的比重和漏洞的威脅程度，給出一個基于效勞重要性和漏洞威脅的綜合風(fēng)險分析評估模型，評估目標系統(tǒng)所提供效勞的風(fēng)險，定量分析目標系統(tǒng)的平安隱患狀況。變量定義風(fēng)險評估函數(shù)為實現(xiàn)對目標平安狀況的定量分析，定義目標系統(tǒng)所提供效勞的最后風(fēng)險評估結(jié)果的函數(shù)為：9、當前平安威脅評估方法基于網(wǎng)絡(luò)流量的實時定量評估攻擊足跡定性評估方法其它方法

基于網(wǎng)絡(luò)流量的實時定量評估評估原理基于DoS攻擊的最終目標使某一網(wǎng)絡(luò)組件〔Server、Router或Link〕運行在不可接受的方式，模擬通過溫度、血壓衡量生物健康狀態(tài)的原理，提出基于網(wǎng)絡(luò)性能度量指標的平安評估方法，根據(jù)脆弱指數(shù)〔VulnerabilityIndex，簡稱VI〕把網(wǎng)絡(luò)系統(tǒng)平安狀態(tài)劃分為：正常〔Normal〕、不確定〔Uncertain〕或脆弱〔Vulnerability〕3種狀態(tài)，以量化攻擊或冗錯對網(wǎng)絡(luò)性能及網(wǎng)絡(luò)效勞的影響。系統(tǒng)框架基于代理的實時在線脆弱性評估系統(tǒng)在客戶端、效勞器、路由器配置采集代理，實時計算脆弱度量指標值。同時，代理之間可通過數(shù)據(jù)和通訊層進行交互。進一步，脆弱分析引擎計算組件或系統(tǒng)脆弱影響因子。計算方法客戶端、效勞器、路由器的組件影響因子1〕數(shù)據(jù)傳輸速率影響因子2〕緩沖區(qū)利用率影響因子3〕連接隊列長度影響因子客戶端、路由器的系統(tǒng)影響因子運行在不平安狀態(tài)的組件數(shù)與網(wǎng)絡(luò)組件總數(shù)之比，對所有網(wǎng)絡(luò)組件影響因子的加權(quán)獲得。正常運行條件的上限仿真測試網(wǎng)絡(luò)拓撲----使用SSFNet工具，搭建由6個客戶端網(wǎng)絡(luò)、5個效勞器組成的仿真網(wǎng)絡(luò)，節(jié)點對之間的速率為100Mbps，核心骨干網(wǎng)由7個路由器組成，并配有TCP/IP協(xié)議用于簡單文件傳輸。參數(shù)設(shè)置在300s時，路由器4工作異常，路由器3接口2的緩沖區(qū)劇烈增加，到400s時到達250000字節(jié)，CIF到達35％。0號網(wǎng)絡(luò)客戶端的傳輸速率下降到70Kbps，每一客戶端的CIF低于30％。而且，一半以上的核心路由器運行在不可接受的緩沖區(qū)利用狀態(tài)。實驗結(jié)果1〕路由器3的平均緩沖區(qū)及CIF2〕0號客戶端的傳輸速率及CIF3〕系統(tǒng)影響因子攻擊足跡定性評估方法攻擊足跡一段時間內(nèi)黑客采取的漸進行動集合，即動作序列，包括目標系統(tǒng)類型、初始攻擊和最終攻擊的執(zhí)行方式、及黑客獲取目標系統(tǒng)訪問后的活動。通過分析攻擊足跡，可以了解黑客滲透計算機網(wǎng)絡(luò)的方法，識別個人或團體組織發(fā)起威脅的級別，進而根據(jù)威脅級別給予相應(yīng)措施，確定入侵者類型。典型的3段式入侵模型入侵者滲透計算機系統(tǒng)時經(jīng)歷的根本過程，包括3個階段：1〕目標識別，取決于黑客動機及選擇標準；2〕目標選擇與信息收集，即通過開源情報或掃描器獲取網(wǎng)絡(luò)拓撲；3〕系統(tǒng)滲透，包括目標系統(tǒng)上脆弱點評估和利用。入侵者造成的威脅嚴重度與其技術(shù)能力密切相關(guān)，而黑客的技術(shù)能力往往表達于黑客從起點到終點采用的攻擊路線，即不同技術(shù)水平黑客的攻擊足跡不同。發(fā)動同一攻擊獲取目標系統(tǒng)非法訪問的3條攻擊足跡

3條不同威脅度的攻擊足跡均以執(zhí)行“DNSzonetransfer〞攻擊開始，給入侵者提供目標網(wǎng)絡(luò)運行的主機數(shù)及類型，供黑客選擇目標。1〕低威脅度的足跡黑客針對目標系統(tǒng)采用ICMPPing掃描，顯示目標系統(tǒng)接收網(wǎng)絡(luò)數(shù)據(jù)包。接著運行TCPstrobe程序確定端口號，結(jié)果顯示運行rcpbind，由此判定系統(tǒng)具有statd攻擊的脆弱點。最后，運行攻擊機的statd攻擊腳本，獲取目標機的非法訪問。該方法使用的ping探測很容易被檢測到，TCPstrobe掃描需要建立全連接，產(chǎn)生的流量大。而且使用腳本收集目標主機信息、發(fā)動攻擊，這種依賴簡單的腳本方法顯示出入侵者對網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的技術(shù)知識非常有限。因此，此攻擊腳本的威脅級別判為低。

2〕中威脅度的足跡入侵者首先使用DNS信息選擇目標，接著使用queso操作系統(tǒng)指紋工具向目標機的某一端口發(fā)送一系列數(shù)據(jù)包，以識別操作系統(tǒng)類型。進一步使用“nmap-sS-P0–p〞收集網(wǎng)絡(luò)效勞信息，獲取目標機運行sunrpc后臺程序。最后，發(fā)動statd攻擊。該方法使用的獲取網(wǎng)絡(luò)效勞方法，采用半開掃描技術(shù)，不易被發(fā)現(xiàn)，網(wǎng)絡(luò)流量大大減小，相應(yīng)的威脅級別判為中。3〕高威脅度的足跡入侵者使用各種搜索引擎和社會工程攻擊的方法獲取目標機的硬件類型、操作系統(tǒng)類型及版本號、目標及其它網(wǎng)絡(luò)的配置信息，接著針對具體端口使用nmap掃描獲取其后臺程序狀態(tài)，最后發(fā)動相應(yīng)攻擊。該方法隱蔽性好、收集的情報多、流量小，相應(yīng)的威脅級別判為高。其它方法基于入侵類型的威脅評估Snort根據(jù)入侵行為類型，把報警劃分為高、中、低三個優(yōu)先級層次，企圖獲得管理員/用戶權(quán)限的攻擊、檢測到shellcode攻擊等劃分為高優(yōu)先級，引起拒絕效勞和信息泄露的攻擊劃分為中優(yōu)先級，網(wǎng)絡(luò)掃描、未知的網(wǎng)絡(luò)流量、一般的ICMP事件劃分為低優(yōu)先級。基于報警類型的評價方法沒有考慮根本入侵之間的因果關(guān)系、沒有進行攻擊成功與失敗的判斷。ClasstypeDescriptionPriorityAttempted-adminAttemptedadminiatratorprivilegegainhighAttempted-userAttempteduserprivilegegainhighKickass-pornSCORE!Getthelotion!highPolicy-violationPotentialcorporateprivacyviolationhighShellcode-detectExecutablecodewasdetectedhighSuccessful-adminSuccessfuladministratorprivilegegainhighSuccessful-userSuccessfuluserprivilegegainhighTrojan-activityAnetworkTrojanwasdetectedhighUnsuccessful-userUnsuccessfuluserprivilegegainhighWeb-application-attackWebapplicationattackhighAttempted-dosAttempteddenialofservicemediumAttempted-reconAttemptedinformationleakmediumBad-unkownPotentiallybadtrafficmediumDefault-login-attemptAttempttologinbyadefaultusernameandpasswordmediumDenial-of-serviceDetectionofadenialofserviceattackmediumMisc-attackMiscattackmediumNon-standard-protocolDetectionofanon-standardprotocoloreventmediumRpc-portmap-decodeDecodeofanRPCquerymediumSuccessful-dosDenialofservicemediumSuccessful-recon-largescaleLargescaleinformationleakmediumSuccessful-recon-limitedInformationleakmediumSuspicious-filename-detectAsuspiciousfilenamewasdetectedmediumClasstypeDescriptionPrioritySuspicious-loginAnattemptedloginusingasuspicioususernamewasdetectedmediumSystem-call-detectAsystemcallwasdetectedmediumUnusual-client-port-connectionAclientwasusingunusualportmediumWeb-application-activityAccesstoapotentiallyvulnerablewebapplicationmediumIcmp-eventGenericICMPeventlowMisc-activityMiscactivitylowNetwork-scanDetectionofanetworkscanlowNot-suspiciousNotsuspicioustrafficlowProtocol-commanddetectGenericprotocolcommanddecodelowString-detectAsuspiciousstringwasdetectedlowunknownUnknowntrafficlowTcp-connectionATCPconnectionwasdetectedVerylow基于任務(wù)影響的威脅分析方法基于系統(tǒng)相關(guān)性、用戶興趣度、任務(wù)影響、攻擊結(jié)果等要素，對報警流中每個報警的威脅程度進行定量排列，以別離出具有高威脅度的報警，即優(yōu)先級高、系統(tǒng)具有相關(guān)脆弱點并且攻擊成功的報警。事件的威脅等級取決于事件后果、事件相關(guān)性和事件優(yōu)先級3個要素。其中，事件相關(guān)性指事件發(fā)生所依賴的系統(tǒng)效勞、端口、應(yīng)用程序、脆弱的操作系統(tǒng)和硬件是否存在，事件優(yōu)先級取決于攻擊代碼的興趣度及資產(chǎn)〔用戶、網(wǎng)絡(luò)效勞、主機、協(xié)議、文件〕價值。基于博弈論的威脅評估攻擊者和防衛(wèi)者作為博弈雙方，依據(jù)策略矩陣計算雙方的盈利得失〔威脅〕。進一步根據(jù)盈利得失決定下一招〔move〕的策略，即什么時間發(fā)動哪一種攻擊。攻擊者常用的策略主要有：Speed、Stealth、Overwhelmingforce、Indirection、Random、LeastResistance、Easiesttofind。防衛(wèi)者常用的策略主要有：Dissuasion、Deception、Prevention、DetectionandReaction、Repair、Exploitation、CaptureandPunishment、CoverUp、ConstantChange。策略矩陣DeceptionPreventionDetectRepairExploitCaptureCoverupChangeSpeed-5/5-1/55/-35/-6-1/1-8/28/15/-6Stealth3/-33/-33/21/0-4/5-3/57/-23/2Force2/41/52/32/5-2/3-8/58/-54/0Indirect1/33/-25/-55/-51/-12/-28/23/2當攻擊者采用speed策略、防衛(wèi)者采用detect策略時，對攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是5和－3；當攻擊者采用stealth策略、防衛(wèi)者采用prevention策略時，對攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是3和－3；當攻擊者采用stealth策略、防衛(wèi)者采用exploit策略時，對攻擊者和防衛(wèi)者分別造成的威脅〔即盈利〕是－4和5。10、歷史平安威脅演化態(tài)勢分析方法基于入侵檢測系統(tǒng)的日志庫和系統(tǒng)資源的使用，結(jié)合效勞、主機自身的重要性，按照網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，提出一種層次化平安威脅態(tài)勢定量評估模型及其相應(yīng)的量化計算方法，對效勞、主機和局域網(wǎng)系統(tǒng)三個層次進行平安威脅態(tài)勢評估，滿足不同層次平安監(jiān)管人員的需要，實現(xiàn)網(wǎng)絡(luò)平安威脅態(tài)勢的定量評估，給出歷史平安威脅演化態(tài)勢圖。層次化評估模型

模型從上到下分為網(wǎng)絡(luò)系統(tǒng)、主機、效勞和攻擊/漏洞四個層次，采取“自下而上、先局部后整體〞的評估策略。以入侵檢測傳感器的攻擊報警和漏洞信息為原始數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)資源的耗用，在攻擊層統(tǒng)計分析攻擊嚴重程度和攻擊發(fā)生次數(shù)兩個指標的相應(yīng)值，以及網(wǎng)絡(luò)帶寬占用率，發(fā)現(xiàn)各個主機系統(tǒng)所提供效勞存在的威脅情況，在此根底上綜合評估網(wǎng)絡(luò)系統(tǒng)中各主機的平安狀況，最后根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，評估整個局域網(wǎng)系統(tǒng)LAN的平安威脅態(tài)勢。態(tài)勢指數(shù)計算1〕效勞級攻擊對效勞的平安威脅不僅與威脅強度和攻擊嚴重程度相關(guān)，還與效勞的正常訪問量有密切關(guān)系，而且不同時段內(nèi)效勞的正常訪問量不同，即同一攻擊事件在不同時間段內(nèi)對效勞造成不同的影響。

2〕主機級

3〕系統(tǒng)級

實驗測試分析

1〕IP2主機的rpc、www效勞的平安威脅態(tài)勢圖a.系統(tǒng)開通的rpc效勞受到比較頻繁攻擊，說明rpc效勞可能存在較多或較易攻破的漏洞，值得管理員檢查這個效勞的設(shè)置情況。b.2004年11月3日～4日、11月6日～7日、11月10日～13日和11月19日～22日是攻擊比較密集的時間段，這些時間段根本都是周末前后。這一方面說明周末相對于平時來說，更容易遭受黑客的攻擊，需要更加小心防范。另一方面說明發(fā)動這些攻擊的黑客可能不是全職黑客，在周末不上班時發(fā)動攻擊，便于縮小黑客范圍。2〕IP2、IP4主機的平安威脅態(tài)勢圖a.在周末前后主機容易受到攻擊，因此周末前后時間段中，網(wǎng)絡(luò)系統(tǒng)中主機的平安應(yīng)該更加重視。b.對于某一臺主機而言，通常它在前后2~3天中持續(xù)危險程度比較高。因此，對于系統(tǒng)管理員而言，當某天發(fā)現(xiàn)某一臺主機遭受了攻擊，在隨后幾天內(nèi)仍應(yīng)該對該主機保持高度重視，黑客可能還會對它進行攻擊，或者利用它作為跳板來對其它主機進行攻擊。3〕系統(tǒng)級平安威脅態(tài)勢圖a.網(wǎng)絡(luò)系統(tǒng)在周末前后的危險指數(shù)明顯高于非周末時期，這提示系統(tǒng)管理員必須對周末時期的系統(tǒng)平安更加重視。b.通常系統(tǒng)會在連續(xù)幾天中，威脅指數(shù)持續(xù)偏高。這提示系統(tǒng)管理員一旦發(fā)現(xiàn)系統(tǒng)受到比較明顯的攻擊，在之后的幾天需要繼續(xù)保持注意，因為隨后這幾天系統(tǒng)遭受攻擊的可能性比較高。11、平安態(tài)勢預(yù)警理論與方法基于統(tǒng)計的入侵行為預(yù)警基于規(guī)劃識別的入侵目的預(yù)測基于目標樹的入侵意圖預(yù)測基于自適應(yīng)灰色Verhulst模型的網(wǎng)絡(luò)平安態(tài)勢預(yù)測其他預(yù)警方法基于統(tǒng)計的入侵行為預(yù)警HoneyNet組織采用統(tǒng)計過程控制法〔statisticalprocesscontrols，簡稱SPC〕，統(tǒng)計黑客過去的行為，預(yù)測將來時間段內(nèi)可能發(fā)生的入侵行為。1〕統(tǒng)計每一事件每天發(fā)生的次數(shù)count；2〕計算每一事件的3DMA，并把相應(yīng)的count和3DMA值標注在控制圖。定義事件i的第t天的發(fā)生次數(shù)為，其3DMA計算公式為：3〕計算2-sigma控制限值，即每一事件每天發(fā)生次數(shù)平均值m_count的標準差乘2。定義分析事件的天數(shù)為n，那么事件i的2-sigma控制限值的計算公式為：

4〕當某時刻3DMA值超出控制限時或者3DMA值連續(xù)3天以上增加時，發(fā)出預(yù)警通知。

HoneyNet組織2000.4～2001.2數(shù)據(jù)統(tǒng)計分析結(jié)果從第61天到68天3DMA超出控制限值，發(fā)出預(yù)警通告。事實上，在第68天產(chǎn)生使用rpc.statd的企圖訪問，接著第153天、170天觀察到111端口的異常活動，177天rpc.statd緩沖區(qū)溢出攻擊成功發(fā)生。基于目標樹的入侵意圖預(yù)測具有一定企圖黑客的攻擊步驟按照一定的順序出現(xiàn)，而且攻擊工具的選擇及應(yīng)用還取決于網(wǎng)絡(luò)環(huán)境和來自于目標的響應(yīng)。使用樹的形式來描述入侵者的攻擊策略，利用目標樹〔GoalTree〕推理預(yù)測入侵意圖。典型的IPSpoof攻擊典型的邏輯攻擊序