《构建广义立方体感知网络安全态势.pdf》由会员分享,可在线阅读,更多相关《构建广义立方体感知网络安全态势.pdf(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、2015年 10月第41卷第10期北京航空航天大学学报Journal of Beijing University of Aeronautics and Astronautics0ctober 2015V0141 No10http:bhxbbuaaeducn jbuaabuaaeducnDOI:1013700jbh1001596520150010构建广义立方体感知网络安全态势文志诚12,陈志刚“(1中南大学信息科学与工程学院,长沙410083;2湖南工业大学计算机与通信学院,株洲412007)摘 要:针对大多方法感知范围局限、信息来源单一、空间时间复杂性高及准确性偏差较大等问题,提出了分层感知模
2、型与构建广义立方体感知网络安全态势的方法将监测到的连续型态势因子数据经“30-法则”离散化预处理后,聚合在所构建的广义立方体格中,纵向上融合成组件的安全态势,横向上对组件安全态势采用统计的方法融合成网络的安全态势,为增强网络安全性提供可靠的参照依据利用网络实例数据对所提出的网络安全态势感知模型和算法进行验证,表明了该方法的正确性关 键 词:网络安全;态势感知;网络管理;信息融合;广义立方体中图分类号:TP311文献标识码:A 文章编号:10015965(2015)10196609网络安全态势感知是态势感知(SituationAwareness,SA)技术在网络安全方面上的应用1999年,网络态
3、势感知(Cyberspace SituationalAwareness,CSA)概念最初由Bass提出,他指出“基于融合的网络态势感知将成为未来网络管理的发展方向”1网络态势是指由各种多源异构网络设备目前运行状况、网络行为以及各用户之间交互行为等要素所构成的整个网络状况与趋势网络安全态势感知具有网络态势感知的基本性质,在大规模网络中,对能使安全态势发生变化的各要素进行获取、理解、显示以及预测未来发展趋势,并综合考虑各方面的安全因素,从整体动态上把握网络安全状况,一旦完成了安全态势感知,决策几乎可以根据态势自动生成在网络安全系统中,网络安全态势感知可以对网络做到“监、管、控”于一体,简化各种应用
4、处理环节,提升网络安全防护级别安全态势感知从全局动态上把握网络安全状态,主要运用信息融合与实时处理技术,包括防火墙、入侵检测和病毒等日志,以及非法外联、网络扫描、各类设备运行状态及报警等在内的多源异构信息需要将来自各类异构信息源的网络安全事件数据关联分析,分析发生在不同时空和各层次上关联的安全事件,挖掘时空上分散的协同多步攻击事件,识别出真正的风险与威胁网络安全态势感知将态势感知成熟的理论应用于网络管理之中,从整体动态上反映网络目前的安全状况,但目前还没有明确的定义其中,网络安全态势感知模型与框架是态势感知的基础与前提条件目前已经提出了许多种数据融合模型旧。31,具有影响力的当属JDL(the
5、Join Director of Laboratories)数据融合模型”1文献5-6在分析现有网络管理存在的不足以及发展需求的基础上,提出了一个网络态势感知研究框架,指出了研究重点以及存在的问题,着重评价了每种评估方法的基本思路,评估过程和优缺点,并进行了对比分析收稿日期:2015-01-05;录用日期:2015-0410;网络出版时间:2015-05-21 15:05网络出版地址:WWWcnkinetkcmsdetail112625V201505211505005html基金项目:国家自然科学基金(61073186,61073104,60903058);中南大学博士后基金作者简介:文志诚(
6、1972一),男,湖南东安人,副教授,zcwenmailshueducnt通讯作者:陈志刚(1964一),男,湖南益阳人,教授,czgmailCSUeduen,主要研究方向为网络计算与分布式处理Bl用格式:文志诚,陈志剐桷建广义立方体感知网络安全态势【J北京航空航天大学学报201541(10):19661974Wen Z C,Chen Z GConstructing general cube to be aware of network security situation fJ JJournal of Beijing University of Aeronauties and Astrona
7、utics,2015,41(10):1966-1974(in Chinese)万方数据第10期 文志诚,等:构建广义立方体感知网络安全态势感知方法是重点,目前提出了许多种关于网络安全态势的评估方法,主要有证据理论1、灰色系统理论、粗糙集理论。、决策表一1、神经网络、模糊逻辑驯和专家系统等文献1 1提出了层次化威胁评估量化方法,利用IDS(Intrusion Detection Systems)的报警信息和性能指标并结合漏洞信息等,对主机、服务和网络进行层次化定量评估,得到直观的网络安全态势图文献12通过对IDS与IPS(IntrusionPrevention System)等系统的报警信息进行
8、融合处理,生成网络态势、文献13提出了建立一个能应用于其他领域的下一代网络态势感知系统,目的是提高决策者选择行为的过程,确保网络管理人员的真正需求文献14引入D-s(DempsterShafer)证据理论,融合多源异构信息,计算经过态势因子融合与节点态势融合的安全态势文献15提出一种基于马尔可夫博弈分析的网络安全态势感知方法,提供的加固方案可有效抑制威胁的扩散文献16给出了基于神经网络的网络安全态势感知方法针对目前安全态势感知方法中的感知范围局限、信息来源单一、时空开销大及可信度不高等问题,本文将综合考虑影响网络安全态势的各方面因素,通过构建广义立方体,快速高效地融合异构多源多层次信息,利用全
9、方位感知网络安全态势的方法,提供宏观的安全状况视图,对整个网络具有理解与控制力。1 安全态势感知模型11整体感知模型网络系统结构中存在着大量的主机、服务器、路由器、防火墙和IDS等网络组件,网络安全态势感知整体感知过程如下:通过单个组件上的传感器实时监测系统实时的运行状况,采集大量原始数据,由组件安全态势感知模块经信息融合成本地的安全态势;再由个组件安全态势向上融合成整个网络安全态势网络安全态势预测与决策支持以安全态势感知为基础,整体网络安全态势感知模型如图1所示本文主要研究网络安全态势感知为了区分组件和网络安全态势,加相应的下标e和n以示区别,表示组件和网络12 多源多层次信息融合分层感知框
10、架定义网络安全态势由网络基础运行性(runnability)、网络脆弱性(vulnerability)和网络威胁性(threat)三维组成,从3个不同的维度以直观的图1 整体网络安全态势感知模型Fig1 Overall network security situational awareness model形式向用户展现出网络整体的当前安全态势SA=(runnability,vulnerability,threat)对于每个维度都有组件和网络之分,如基础运行性有组件基础运行性和网络基础运行性,而网络基础运行性则由个组件基础运行性融合而成,其他两个维度类似多源多层次信息融合分层感知框架如图2所示
11、由观测指标也称作态势因子向上首先融合成组件安全态势,再向上融合成网络的安全态势根据实际情况,态势因子可分为3大类:与运行信息相关的态势因子、与配置信息相关的态势因子和与IDS系统日志库中相关的态势因子与运行信息相关的指标有CPU利用率、占用内存、子网流量变化率、子网数据流总量及子网内不同大小数据包的分布等,构成组件的基础运行性;与配置信息相关的指标有漏洞、系统配置、防护软件是否安装、关键设备漏洞数及级别、子网安全设备数、子网各关键设备端口的总量等,构成组件的脆弱性;与IDS系统日志库中相关的指标有DDOS(Distributed Denial of Service)、蠕虫攻击、木马和普通病毒、
12、子网带宽使用率、子网数据流入量和子网流入量增长率等,构成组件的威胁性基础运行性,是指目前组件运行状况,动态描述组件目前运行情况,由工作性能和服务性能构成,是否能正常运行和提供服务,称为组件安全态势的外在表现性脆弱性是可以被组件威胁利用的系统薄弱环节单个脆弱性可用vulnerability=(idv,namev,typev,ida,idt,pv,孝)来描述其中,idv为系统脆弱性标识;namev为脆弱性名称;typev为脆弱性类型;ida为脆弱性所在组件的标识;idt为利用该脆弱性威胁的标识;pv为脆弱性能被利用的可能性;f为脆弱性具有的影响万方数据北京航空航天大学学报多源多层次信息融厶运行信息
13、 配置信息 IDS、系统El志库等信息I占,可认为戈。和茏i非常相关,只保留一个起主要作用的观测指标,即态势因子22态势因子值离散化态势因子可取离散型和连续型两种观测值,为了便于原始数据在广义立方体聚合及统计算法中的应用,把连续型取值离散化,按实际意义,可取“高、中高、中、中低、低”或“0、1、2、3、4”5个等级值若态势因子本来就是离散型取值,则不需离散化引理1 设连续型随机变量xN(tx,or2),则Z=(xp)盯(0,1)其中,“为随机变量x的数学期望;or2为方差可把随机变量x观测值划分为5个互不相交的区间ss。:(一。,肛一30)u(p+30,+)、(肛一30,p一250r)U(肛+
14、250r,tx+30)、(肛一250,p一20)u(p+20,p+250)、(p一20,txor)u(肛+or,肛+20)和por,p+or经计算,5个区间SS。(i=0,1,2,3,4)对应的概率PSi分别为026、098、332、2718和6826事实上,组件或网络在绝大多数情况下运行是正常的,不正常的情况非常少,因此这5个层次取值符合实际网络运行的情况,不正常的万方数据第10期 文志诚,等:构建广义立方体感知网络安全态势 1969情况一般会落在3矿区域之外,肛和盯都是常量这就是本文所提出的“30-法则”,基于大样本观测数据利用“30-法则”指导构建广义立方体融合异构多源多层次信息以及在融
15、合算法的区间概率分级上,具有严格的理论基础离散化态势因子戈的一般步骤如下:1)采集戈,的n个大样本历史数据,计算其平均值孑。,代替总体戈。的数学期望E(戈。)=肛=孑。2)同理,计算戈i的方差s;,代替总体石。的方差D(戈)=or2=Jsj3)按照上述方法把x,划分为5个区间sS,4)当获得龙。的一个具体值时,根据落在哪个区间ss,来取相应的离散值i23数据库的构建对于第1类基础运行性态势因子观测数据的获取与离散化比较容易,通过监测软件可直接采集并按“30-法则”离散化为五等而后面两大类的态势因子数据采集及离散化稍微复杂些:首先构建一个数据库,存贮配置信息和IDS日志库信息相关联态势因子的历史
16、信息,也即把相关的信息按脆弱性(vulnerability)和威胁性(threat)格式以记录形式存入,如图1所示数据库构建完毕,起两个作用:一是为了离散化连续型态势因子;二是当实时监测到数据如漏洞x时,通过查找其数据库中的记录,获得f值,对照已划分好的5个区间sS,便于获得相应的离散值i24信息融合方法在纵向上,由态势因子向上融合成组件的3个维度,将采用广义立方体作为信息融合的模型以及关联的融合算法;在横向上,由各组件的3个维度融合成网络的3个相应的维度,将采用基于统计的算法3安全态势感知方法31构建广义立方体立方体一般是由三维构成,而广义立方体是由m维构成数据立方体是一种在立方体格上的聚合
17、数据,通过数据的聚合向上融合成某方面的特征,常用支持多维多层次数据分析的模型通过该数据模型可从不同的视角考察所研究数据集的特性在网络安全态势感知中,各个态势因子构成不同的维度,各个离散值构成不同的抽象层次对各个维度、层次上的数据分析,从不同角度反映了当前网络的运行状况下面给出数据立方体模型的相关定义定义1 给定一个数据集s、一组维度A=A。,A:,A。I m0和各个维度的层次集合H=H,H:,巩I L0(日。表示维度Ai层次集合,日:表示维度A。的第J个层次)在日的分量H,H:,日。中各取一个层次进行组合,所有这样的组合日,l,日:,H:对数据集s执行分组聚合操作,得到的一组立方体单元格将构成
18、一个数据立方体(A,日)定义2一个立方体单元格可表示成二元组(4。,肘),其中:A。=日:1,日;,nj。m,nj;lH;为在维度A。上选定的一个具体层次,;M为对A。数据集s经“30法则”离散化后进行聚合操作下,落在本单元格中的个数立方体由立方体格组成:(A,H)=(A。,M)例如,取。为CPU利用率,b为占用内存大小,c为网络流量,数据集s是包含此3个观测指标的样本,经离散化五等后,则一个三维广义立方体格如图3所示经过聚合操作后,每个立方体格上具有相应的值(;,b,c。),M。m),其中M。肚为数据集5经离散化处理后落在立方格(o。,b,C;)中的个数(db,c5)(O,o,o)图3三维广
19、义立方体格Fig3 3 D generalized cubic physique本文至少需要建立:基础运行性、脆弱性和威胁性3个广义立方体若广义立方体维度过高,在信息融合上造成时间和空间复杂度过高,可把态势因子再细分为几个小组,每个小组构造一个广义立方体,几个小立方体向上再合并成一个大立方体,采取分而治之降低维度对同一类或一组的m个态势因子石。,根据历史运行信息,采集n个大样本数据(每个数据为m元组,构成一个样本)建立一个广义立方体(A,日)例如对于基础运行性广义立方体,每个态势万方数据1970 北京航空航天大学学报 2015年因子zi作为一个维度,每个维度若取连续型则离散化5个层次:五i:孑
20、;:一(戈。+并恐+戈。)厂了;一站击;b“一xi)2在安全态势感知过程中,采集到某个态势因子实时原始数据时,与此因子5个取值范围ssi相比较,可得到它相应的抽象层次i当本组所有的态势因子抽象层次确定后,说明这组态势因子石i(i=1,2,m)此时的原始数据s(m元组)就会聚合在此立方格中32组件安全态势感知组件安全态势感知是网络安全态势感知的基础,首先纵向上对组件进行安全态势感知,再横向上对网络进行安全态势感知由于安全态势感知具有时段性,即在某间隔时间段感知安全态势,所有采集的数据只能在此时间段内有效对于一组态势因子省。,z:,戈。,在同一时间段内采集到n个m元组原始数据s(整体上看是7,个数
21、据,7,足够大),每个分量z,按照“30-法则”后,则可构成7,个m元组离散化后的数据具有5个层次的m个维度广义立方体,可达到5“个立方格,则这n个m元组(每分量只取0,1,2,3,4)数据s分布在这54个立方格中,所有立方格中数据的个数之和为n,即有(A日,M)=(日?,日掌,日:),M胆,。)以鸭。抄加=n式中:鸭。抄加取正整数,立方体格值鸭。J2加表示这n个m元组原始数据s落在本格中的个数定义3设M。(i=0,1,2,3,4)表示立方体格值M妣,。边际之和,即当固定m一1个下标取值为i时,对另一个下标,求和,下标J取值从i到4,歹可处于任何m个位置中的一个直观上说,M。表示广义立方体中取
22、i等时原始数据的个数,即有Mi=M叫,。,。一(m一1)M一。,J in Jl,尼,or,m固定m一1个下标为i,只有一个下标_从i到4求和,当m个下标依次求和完毕后,所得之和为肘。,注意肘。i不能重复求和当样本量足够大时,频率接近概率,落在第i(i=0,1,2,3,4)等的概率为_吒:等正常情况下,在第i等中的概率P,应该与“30-法则”五等相应区间ss;概率PSi相差不大若组件安全态势异常时,P,有些可能比正常概率Ps,要大得多,也有可能比正常相应第i个区间概率Ps,要小很多令L,=arg maxCR。I cR。=P。一PS。ll_r一,i=0,1,2,3,4r3i式中:Ps,为经“30法
23、则”划分的第i个区间的概率;CRi为第i等中的概率P。与正常概率Psi的偏差的比率,从5个CRi中选择最大者,有理由认为本组m个态势因子所感知的组件安全态势,属于第i等,差异显著33 网络安全态势感知通过构建3个广义立方体感知组件安全态势,每个组件安全态势由三元组(runnability,vulnerability。,threat。)构成,而网络安全态势也由相应的三元组(runnability。,vulnerability。,threat。)构成一个网络中存在个组件,这个组件的安全态势向上融合成整个网络的安全态势对于个组件的分量如runnability,要融合成网络的分量如runnabilit
24、y。,都取0,1,2,3,4的5个离散值,将采用统计的方法令_。fn,-掣式中:l。l为个组件取第i等的个数(i=0,1,2,3,4);P。为个组件中取值为i等的概率,用频率逼近计算之令P。一PSiL。=a;g maxNR。I NRi=二兰一,i=0,1,2,3,4式中:。为个组件一个分量融合成网络相应的分量所取等级i3个分量融合计算类似34查找异常组件当得到网络安全态势后,三维分量中任何一维度分量级别较低,说明整个网络的安全态势可能存在着隐患,可方便逆向查找异常组件例如对于网络安全态势的基础运行性分量,其等级为中或更低,表示某些组件的基础运行性出现异常由于网络的基础运行性runnabilit
25、y。由个组件的基础运行性runnability,经统计计算所得,则容易查找到组件基础运行性比较低的组件,其他两个分量类似对于处于停止服务或处于调试阶段的少数组件,在感知组件安全态势时可能会出现“异常”,但在大样本情况下,对整个网络安全态势影响甚万方数据第10期 文志诚,等:构建广义立方体感知网络安全态势 1971微,而且可以反向查到此类组件,了解到异常组件的真正原因35安全态势感知算法包括3个算法:一是对同一类的态势因子根据历史运行信息,通过“30-法则”离散化各连续型态势因子,建立广义立方体;二是把所采集态势因子数据聚合在广义立方体格中,融合成组件安全态势SA,;三是从个组件安全态势sA,融
26、合成网络的安全态势SA。算法1输入:同一类态势因子历史运行数据输出:每个连续型态势因子五等区间ss,及广义立方体(A,日)1)for every situation factor z。do2)肛+f2。=孑。=二一(x“+戈。2+戈。)厂i3 h“i 2;“。巧o 2(一1)4)constructing five sections SSi for this factor5)end do6)constructing general cube(A,H)accordingto the definition 1 and definition 2算法1可把同一类中的m个连续型态势因子经“30r法则”划分
27、5个区间SS。,每个区间的概率用PS,表示,根据定义1和定义2对此类态势因子构建一个广义立方体(A,日)当3类态势因子依照算法1,则所有的连续型态势因子都会被划分为5个区间,可构建3个广义立方体注意,对不同的态势因子戈。和z,它们第k个相应区间的概率是相同的,统一用PS。(k=0,1,2,3,4)表示算法2输入:在同一个时段内所采集的态势因子n个m元组数据大样本S输出:组件安全态势SA,1、discretizing the monitored凡m data2)the discretization rtm data are aggregatedinto the general cube(A,日)
28、3)for i=0 to 4 do4)M。+M,。,。一,。一(m一1)M。;,jin,1,丑,or JmM5)P。i“。2吾6H_g maxCRiCRi-掣)7)gaining a part of the componentS situationSA。,that the value is L。8 1 end do9)for the three category situation factors,repeating from 3)to 8)1 0 1 gaining the situation of this componentSA。=(runnability。,vulnerability。
29、,threat。)在算法2计算算法1中的Mi和P。的值,得到组件安全态势的一个分量的值L,当3个分量计算完毕,得到组件的安全态势SA,=(runnabili-ty。,vulnerability。,threat。)算法3输人:在同一个时段内所采集个组件的安全态势SA,输出:网络安全态势SA。1)forJ=1 to 32)for i=0 to 4 do3)Pn。“。:掣5)Lrig maxNR。I NR。=二 P。一Ps6)gaining a part of the networkS situationSA。,that the value is L。7)end do8)gaining the si
30、tuation of network SA。=(runnability。,vulnerability。,threat。)算法3采集同时间段内个组件的安全态势SA,根据统计的方法,计算个组件中取值为i等的概率P。值,再计算偏差最大级别确定为本分量级别。,经过3次计算,得出网络的总安全态势SA。=(runnability。,vulnerability。,threat。)算法1的时间复杂度为0(nm);算法2的时间复杂度为0(nmz),z表示立方体个数;算法3的时间复杂度为0(f矗N),k为等级数4仿真实验采用MATLAB 70仿真实验,实验过程中主要采用了两类数据:一类是通过开发一个软件监测得到的
31、实时数据;一类来自Snort入侵检测数据,将各类恶意网络流量数据按照一定规则注人到背景流量中,获得异常数据本实验测试部署在拥有90台计算机的局域网上(操作系统为Windows 70,内存为4 G;CPU为奔腾34 GHz,其他计算机配置均与此相同)万方数据1972 北京航空航天大学学报 2015年本局域网具有一台主机用于整个网络的安全态势感知,每台机器安装监测软件和Snort入侵检测软件,在本地机器上感知组件安全态势,定时向主机发送本地机器上融合数据,由主机感知整体网络的安全态势正常情况下,组件取连续型变量如CPU利用率和内存使用基本上呈高斯分布异常情况下,组件不安装任何防病毒软件,且对此组件
32、实施木马和蠕虫等病毒攻击,会对各类态势因子产生影响,采样如图4所示,CPU利用率及内存使用情况明显增加叫11jsa)CPUI用率采样瞳鼙碰二叠。建瞄嘲国。函越淫赛吖j辱黑鞲蹋2 4 6 8RJIhJs(b)内存使用情况采样时IhJs(C)防病毒软件安装情况采样n,l IhJs(d)病毒攻睁隋况采样图4组件异常情况采样Fig4 Component anomalies sample首先为每个连续型态势因子划分5个离散取值区域SSi,再为每类的态势因子建立广义立方体,把每类相关的态势因子离散化后的值聚集在此立方体中,计算其落在每个立方体格中的频率,近似其概率当组件没安装防病毒软件及受到攻击后,以“基
33、础运行性”的广义立方体为例,五等上(i=0,1,2,3,4)的频率(近似概率)之和为1,当样本量达到4000以上,逐渐平稳收敛,广义立方体中样本聚集如图5所示图5 广义立方体中样本聚集Fig5 Generalized cube samples gathered所采集的态势因子大样本数据聚集在广义立方体中,得到落在每个立方体格中样本个数肘伸卸,计算其边际之和肘。,表示本广义立方体中取i等时原始数据的个数,用相应的五等频率厂c=M;n近似其第i等的概率P。再从5个比率CRi中选择最大者,与正常情况差异显著,有理由认为本组m个态势因子所感知的组件安全态势L。属于第i等,如图6所示可知,基础运行性中第
34、0等差异显著,认为此时取0等(最差);脆弱性第0等差异显著,此时也应取0等;威胁性第4等差异显著,此时应取第4等(最高,表示威胁性最高)矧6纰件安伞念势对比Fig6 ComponmIH secu rity situation contlast本次实验中,对某些未安装防病毒软件的组件,人为施加病毒攻击,得到此组件的5次安全态势感知如图7(a)所示当获得所有组件的安全态势后,按照上述的方法可得到网络的安全态势同样对某些组件加以病毒攻击,得到本网络的5次安全态势感知图,如图7(b)所示O0OOO432万方数据第10期 文志诚,等:构建广义立方体感知网络安全态势 1973(b)图7 组件羽Fig7 C
35、omponesltuatl(网络安个态势感钼1网络安全态势感知1Is and network securit)aal awareness从上述仿真实验中可以看出,本文算法具有高效性与正确性图5表明当样本量达3 000,基本上收敛在某个平稳状态,图6表明安全态势受多个态势因子影响,之间具有关联性5 结束语本文提出了构建广义立方体模型融合异构多源多层次信息,感知网络安全态势的方法,为网络安全与管理提出解决方案在提高态势感知准确性的基础上,同时也在时空开销等因素之间进行了折衷主要的创新为:广义立方体模型能很好地融合异构多源多层次信息,高效组织各类信息源;“30法则”指导构建广义立方体融合模型,“30
36、法则”在融合算法的区间概率分级上具有严格的理论基础与实践意义今后的研究工作包括完善网络安全态势感知模型及量化其感知方法,进一步提高算法的效率,研究更全面的安全态势因子及其表示方法,在量化算法上突破传统的利用权重进行加权的方法;研究网络安全态势的多维可视化问题,并改进各类网络安全事件的关联分析算法,从而更加准确地预测网络安全态势发展趋势及安全威胁来源2参考文献(References)Bass TMulti-sensor data fusion for next generation distributedintrusion detection systemsCProceedings of the
37、99 IRISNational Symposium on Sensor and Data FusionPiscataway,NJ:IEEE Press1999:24_27Mazur J。Kaderali LThe importance and challenges of bayesianparameter learning in systems biologyJModel Based Parameter Estimation Contributions in Mathematical and ComputationalSciences,2013,4:1451563黄同庆,庄毅一种实时网络安全态
38、势预测方法J小型微型计算机系统,2014,35(2):303-306Huang T Q,Zhuang YAn approach to realtime network securitysituation predictionJJournal of Chinese Computer Systems,2014,35(2):303-306(in Chinese)4Blaseh E P,Piano SJDL level 5 fusion model“user refinement”issues and applications in group trackingCProceedings ofthe S
39、ignal Processing,Sensor Fusion,and Target Recognition XI,SpieBellingham,WA:SPIE,2002:270-2795龚正虎,卓莹网络态势感知研究J软件学报,2010,21(7):16051619Gong Z H,Zhuo YResearch on cyberspace situational awarenessJJournal of Software,2010,21(7):1605-1619(in Chi-nese)6Bradshaw J M,Carvalho M,Bunch L,et a1Sol:An agent-base
40、dframework for cyber situation awarenessJKI-Kunstliche Intelligenz。2012。26(1):t271407Digioia G,Foglietta C,Oliva G,et a1Aware online interdepend-eney modeling via evidence theoryJInternational Journal ofCritical Infrastructures,2013,6893:74-928Bazan J G,BazanSocha S,BuregwaCzuma S,et a1Classifiersba
41、sed on data sets and domain knowledge:A rough set approachJIntelligent Systems Reference Library,2013,43:931369Sample C,Schaffer KAn overview of anomaly detectionJITProfessional。2013,15(I):8-II10王宏,龚正虎一种基于信息熵的关键流量矩阵发现算法J软件学报,2009,20(5):1377-1383Wang HGong Z HAlgorithm based on entropy for finding cr
42、itical traffic matricesJJournal of Software2009,20(5):13771383(in Chinese)11陈秀真,郑庆华,管晓宏,等层次化网络安全威胁态势量化评估方法J软件学报,200617(4):885-897Chen X Z,Zheng Q H,Guan X H,et a1Quantitative hierarchi-cal threat evaluation model for network securityJJournal ofSoftware,2006,17(4):885897(in Chinese)12Gfirnitz N,Kloft
43、 M,Rieck K,et a1Toward supervised anomalydetectionJJournal ofArtificial Intelligence Research,2013,46:235-26213Erbachera R F,Frinckeb D A,Wongb P C,et a1A multiphasenetwork situational awareness cognitive task analysisJInformation Visualization,2010,9(3):20421914韦勇,连一峰,冯登国基于信息融合的网络安全态势评估模型J计算机研究与发展,
44、2009。46(3):353-362Wei Y,Lian Y F,Feng D GA network security situationalawareness model based on information fusionJJournal ofComputer Research and Development,2009,46(3):353-362(in Chinese)15张勇,谭小彬。崔孝林。等基于Markov博弈模型的网络安全态势感知方法J软件学报,2011,22(3):495-508Zhang Y,Tan X B,Cui X L。et a1Network security situ
45、ationawareness approach based on Markov game modelJJournalof Software,2011,22(3):495-508(in Chinese)16谢丽霞,王亚超,于巾博基于神经网络的网络安全态势感万方数据! 北京航空航天大学学报 2015年二=-一知J清华大学学报:自然科学版,2013,53(12): ness based。,。l。t。rk。JJournal。fT。j。曲。_五j=二17501760sity:ScienceTeehn。1。gy,2013,53(12):17501760(in ChiXie L X,Wang Y C,Yu
46、J BNetwork security situation awarenese 1Constructing general cube to be aware of network security situationWEN Zhichen91”,Chen Zhigang+1(1School。f Informati。n Science and Engilieering,Central South University,Changsha 410083,China2coll。g。f Computer and Communicati。n,Hunan University。f Teehnol。gY,Zh
47、uzh。u 412007,China)AbStract:Concerning the problems of limited current network security situation assessment scope,single1niormatlon sourcehigher time and space complexity and larger deviation of theaccuracy,a method was Dutiorward to construct general cube,which can be aware of the networksecurity situationThe continuous situatmn tactor data monitored can be pretreated by discretizing by“3 orule” and aggregated in the general builtcubethat thsed Into component security situation vertically and merg
限制150内