〉 隐含状态链有可能是：D6 D8 D8 D6 D4 D8 D6 D6 D4 D8 〉 转换概率(隐含状态）
〉 输出概率：可见状态之间没有转换概率，但是隐含状态和可见状态之间有 一个概率叫做输出概率
a
14
隐马尔可夫模型
a
15
隐马尔可夫模型
〉 隐马尔科夫的基本要素，即一个五元组{S,N,A,B,PI}；
a
41
a
42
例子博弈过程
1. k 时刻,只在节点 1 上检测到 t,系统处于状态 A; 2. k+1 时刻,t 向节点 3 传播,管理员加固节点 3,普通用户访问率不变.系统如
果跳转到状态 B,表示加固方案执行没有成功并且威胁成功传播;如果跳转 到状态 C,表示加固方案执行成功或 t 在该方向传播失败; 3. k+2 时刻,以状态 B 为例,t 向节点 2、节点 4、节点 1 传播,管理员加固节 点 1,普通用户访问率不变.系统如果跳转到状态 D,表示威胁成功传播到节 点 2 和节点 4,节点 1 加固方案执行成功或 t 在该方向传播失败.
a
43
a
44
〉 系统 k 时刻,t 为一类威胁时,t 的保密性态势和完整性态势的评估方法类似, 不计中立方行为的影响,用公式(6a)表示,相应的加固方案用公式(7a)表示:
〉 系统 k 时刻,在对 t 的可用性态势评估时,需要考虑中立方行为的影响,并且需 要区分 t 属于不同类型的威胁,可用性态势用公式(6b)表示,相应的加固方案 用公式(7b)表示.其中,*表示 1 或者 2:
〉行为空间：博弈三方所有可能的行为集合
攻击方：ut 防守方：uv， 修补某个脆弱性、切断某条传播路径或关闭某个网络节点 用户： uc，简化为网络访问率提高 10%和降低 10%
a
36
〉转移概率：随着博弈各方的行为选择,系统的状态不断变化 p(TPN(t, k+1)|TPN(t, k),utk,uvk,uck)描述系统状态变化规律
威胁：对资产造成损害的外因
a
32
•
威胁类型：病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损
害方式将威胁分为两类：
1. 占网络资源少的威胁,包括木马、病毒和网络攻击等,对系统节点的保密性、完整性和 可用性均有影响,
2. 大量耗费系统资源的威胁,以蠕虫和 DDoS 攻击为代表,主要对系统的可用性造成影响
• S：隐藏状态集合； • N：观察状态集合； • A：隐藏状态间的转移概率矩阵； • B：输出矩阵（即隐藏状态到输出状态的概率）； • PI：初始概率分布（隐藏状态的初始概率分布）；
a
16
优缺点评价
〉 优点：可以融合最新的证据信息和先验知识，过程清晰，易于理解 〉 缺点：
1. 要求数据源大，同时需要的存储量和匹配计算的运算量也大，容易造成位数爆炸，影 响实时性
隐马尔可夫模型
隐马尔可夫模型是马尔可夫链的一种，它的状态不能直接观察到，但能通过观测向量序 列观察到，每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以，隐 马尔可夫模型是模型
a
13
隐马尔可夫模型
〉 假设我们开始掷骰子，我们先从三个骰子里挑一个，挑到每一个骰子的概 率都是1/3。然后我们掷骰子，得到一个数字，1，2，3，4，5，6，7，8 中的一个。不停的重复上述过程，我们会得到一串数字，每个数字都是1， 2，3，4，5，6，7，8中的一个。例如我们可能得到这么一串数字（掷骰 子10次）：1 6 3 5 2 7 3 5 2 4 可见状态链
脆弱性：可以被威胁利用的薄弱环节
通过对检测数据的融合,得到系统中所有的资产、威胁和脆弱性数据,构成资产 集合、威胁集合和脆弱性集合.
a
33
威胁传播网络
〉 威胁传播节点：系统中受威胁影响的节点, Node=(ida, valuea, pa, tf, vf) 〉 威胁传播路径: 系统中传播威胁的链路 Path=（idas，idad, valuee, Pe, pe)
a
31
威胁传播分析
〉网络系统的各个节点相互连接,当系统中某个节点被成功攻击后,威胁可以传 播到与该节点相关联的其他节点,从而使这些节点遭受安全威胁.
资产：对系统有价值的资源
•资产类型：主机、服务器、路由器、网关、防火墙、IDS...... •资产价值：包含资产保密性价值、完整性价值、可用性价值 •性能利用率：分5个等级，随着等级的增长,性能利用率指数增长.
网络安全态势感知综述
席荣荣 云曉春 金舒原
a
1
文章概述
〉 基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网 络安全态势要素提取、态势理解和态势预测，重点论述了各个研究点需解 决的核心问题、主要算法以及各种算法的优缺点，最后对未来的发展进行 了分析和展望。
a
2
概念概述
〉1988年，Endsley首先提出了态势感知的定义：在一定的时空范围内，认 知、理解环境因素，并且对未来的发展趋势进行预测。
〉 应用于态势评估的数据融合算法，分为以下几类：
• 基于逻辑关系的融合方法 • 基于数学模型的融合方法 • 基于概率统计的融合方法 • 基于规则推理的融合方法
a
6
基于逻辑关系的融合方法
〉 依据信息之间的内在逻辑，对信息进行融和，警报关联是典型的基于逻辑 关系的融合方法。
〉 警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观 的攻击态势
表示:
〉 t 为二类威胁时,减少 t 的损害为
〉 对于中立方,普通用户根据网络的延迟、服务的可访问性等改变访问率.中立 方的一步报酬为 N 个节点和M 条路径的利用率之和,用公式(3)表示:
a
40
〉 威胁通过 TPN(t,k)向未感染的节点传播，根据以上对于两类威胁统一用公 式(4)表示：
〉 中立方：
• Pe指路径被切断后对系统造成的损失,是路径带宽利用率,与资产的性能利用率类似,分 为 5 个等级;
• pe表示威胁通过该路径成功扩散的概率,分为 5 个等级,每提高一个等级,威胁成功传播 概率线性增加.
〉 威胁传播网络TPN:包含 t 所有的传播节点和传播路径,用TPN（t） ={Nodes,Paths}表示。
a
34
基于时间序列分 析的态势预测
基于 Markov 博弈分析的态势量化
评估
a
35
Markov博弈模型的建立
〉 博弈三方: 攻击方：威胁 防守方：管理员 中立方：用户
〉状态空间：TPN(t)的所有可能状态组成状态空间
k时刻状态空间为 TPN(t,k)={si(k), ej(k)},i=1,2,.....M j=1,2,.......N
a
8
基于概率统计的融合方法
〉 基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不 确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。
〉 常见基于概率统计的融合方法：
• 贝叶斯网络 • 隐马尔可夫模型
a
9
贝叶斯网络
P ( AB )
贝叶斯公式： P(B)=
P (B )
贝叶斯网络：一个贝叶斯网络是一个 有向无环图（DAG），其节点表示 一个变量，边代表变量之间的联系， 节点存储本节点相当于其父节点的条 件概率分布。
a
20
模糊关系
2. 模糊关系 设论域U和V，则U×V 的一个子集R，就是U到V的模糊关 系，同样记作：
U RV
此处的关系R同样为二元关系。隶属函数表示形式为：
R(u,v)u , U ,v V
其隶属函数的映射： R(u,v) [0,1]
元素(u0,v0)的隶属度为μR(u0,v0) ，表示u0和v0具有关系R的 程度
a
3
概念概述
〉 1999年，Tim Bass提出：下一代网络入侵检测系统应该融合从大量的异构分布式网络传 感器采集的数据，实现网络空间的态势感知。
〉 基于数据融合的JDL模型，提出了基于多传感器数据融合的网络态势感知功能模型。 〉 基于网络安全态势感知的功能，本文将其研究内容归结为3个方面:
• 网络安全态势要素的提取; • 网络安全态势的评估； • 网络安全态势的预测
〉 概率分配函数：设 Ｄ 为样本空间，其中具有 ｎ个元素，则 Ｄ中元素所构 成的子集的个数为２ｎ个。概率分配函数的作用是把 Ｄ上的任意一个子集 Ａ都映射为[0，1]上的一个数 Ｍ（Ａ）。
〉 信任函数：
〉 似然函数：
a
19
D-S证据理论
〉 信任区间 ：[Bel(A)，pl(A)]表示命题A的信任区间，Bel(A)表示信任函数为 下限，pl(A)表示似真函数为 上限
〉 警报之间的逻辑关系：
• 警报属性特征的相似性
• 预定义攻击模型中的关联性
• 攻击的前提和后继条件之间的相关性
a
7
基于数学模型的融合方法
〉 综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合到 态势空间的映射关系。
〉 加权平均法是最常用、最有代表性、最简单的基于数学模型的融合方法。 〉 加权平均法的融合函数通常由态势因素和其重要性权值共同确定 〉 优点：直观 〉 缺点：权值的选择没有统一的标准，大多是根据经验确定。
〉 对于攻击方：t 为第一类威胁时,t 对节点 i 的保密性、完整性和可用性均有损害,记为 Vt(si(k))=pt*pv*(u*valueai), 对 TPN(t,k)中所有节点按同样的方式计算
〉 t为第二类攻击时，t 对节点 i 及其相关路径的可用性造成损害,对 i 可用性造成的损害为 Vt(si(k))=pt*pv*Δρai *valueai，valueai取节点可用性价值分量Vt(ej(k))=pt*pv*Δρej*valueej为 t 对第 j 条路径的可用性损害