文章快速检索  
  高级检索
构建广义立方体感知网络安全态势
文志诚1,2, 陈志刚1    
1. 中南大学信息科学与工程学院, 长沙 410083;
2. 湖南工业大学计算机与通信学院, 株洲 412007
摘要: 针对大多方法感知范围局限、信息来源单一、空间时间复杂性高及准确性偏差较大等问题,提出了分层感知模型与构建广义立方体感知网络安全态势的方法.将监测到的连续型态势因子数据经"3σ法则"离散化预处理后,聚合在所构建的广义立方体格中,纵向上融合成组件的安全态势,横向上对组件安全态势采用统计的方法融合成网络的安全态势,为增强网络安全性提供可靠的参照依据.利用网络实例数据对所提出的网络安全态势感知模型和算法进行验证,表明了该方法的正确性.
关键词: 网络安全     态势感知     网络管理     信息融合     广义立方体    
Constructing general cube to be aware of network security situation
WEN Zhicheng1,2, Chen Zhigang1     
1. School of Information Science and Engineering, Central South University, Changsha 410083, China;
2. College of Computer and Communication, Hunan University of Technology, Zhuzhou 412007, China
Abstract: Concerning the problems of limited current network security situation assessment scope, single information source, higher time and space complexity and larger deviation of the accuracy, a method was put forward to construct general cube, which can be aware of the network security situation. The continuous situation factor data monitored can be pretreated by discretizing by "3σ rule" and aggregated in the general built cube, that fused into component security situation vertically and merged into the network security situation from component security situation using statistical methods horizontally. It can provide reliable reference to enhance network security. Finally, making full use of network data, the network security situation awareness model and algorithm proposed are verified and the experimental results show correctness of this method.
Key words: network security     situation awareness     network manager     information fusion     general cube    

网络安全态势感知是态势感知(Situation Awareness,SA)技术在网络安全方面上的应用.1999年,网络态势感知(Cyberspace Situational Awareness,CSA)概念最初由Bass提出,他指出“基于融合的网络态势感知将成为未来网络管理的发展方向”[1].网络态势是指由各种多源异构网络设备目前运行状况、网络行为以及各用户之间交互行为等要素所构成的整个网络状况与趋势.

网络安全态势感知具有网络态势感知的基本性质,在大规模网络中,对能使安全态势发生变化的各要素进行获取、理解、显示以及预测未来发展趋势,并综合考虑各方面的安全因素,从整体动态上把握网络安全状况,一旦完成了安全态势感知,决策几乎可以根据态势自动生成.在网络安全系统中,网络安全态势感知可以对网络做到“监、管、控”于一体,简化各种应用处理环节,提升网络安全防护级别.

安全态势感知从全局动态上把握网络安全状态,主要运用信息融合与实时处理技术,包括防火墙、入侵检测和病毒等日志,以及非法外联、网络扫描、各类设备运行状态及报警等在内的多源异构信息.需要将来自各类异构信息源的网络安全事件数据关联分析,分析发生在不同时空和各层次上关联的安全事件,挖掘时空上分散的协同多步攻击事件,识别出真正的风险与威胁.

网络安全态势感知将态势感知成熟的理论应用于网络管理之中,从整体动态上反映网络目前的安全状况,但目前还没有明确的定义.

其中,网络安全态势感知模型与框架是态势感知的基础与前提条件.目前已经提出了许多种数据融合模型[2, 3],具有影响力的当属JDL(the Join Director of Laboratories)数据融合模型[4].文献[5, 6]在分析现有网络管理存在的不足以及发展需求的基础上,提出了一个网络态势感知研究框架,指出了研究重点以及存在的问题,着重评价了每种评估方法的基本思路,评估过程和优缺点,并进行了对比分析.

感知方法是重点,目前提出了许多种关于网络安全态势的评估方法,主要有证据理论[7]、灰色系统理论、粗糙集理论[8]、决策表[9]、神经网络、模糊逻辑[10]和专家系统等.

文献[11]提出了层次化威胁评估量化方法,利用IDS(Intrusion Detection Systems)的报警信息和性能指标并结合漏洞信息等,对主机、服务和网络进行层次化定量评估,得到直观的网络安全态势图.文献[12]通过对IDS与IPS(Intrusion Prevention System)等系统的报警信息进行融合处理,生成网络态势、文献[13]提出了建立一个能应用于其他领域的下一代网络态势感知系统,目的是提高决策者选择行为的过程,确保网络管理人员的真正需求.文献[14]引入D-S(Dempster-Shafer)证据理论,融合多源异构信息,计算经过态势因子融合与节点态势融合的安全态势.文献[15]提出一种基于马尔可夫博弈分析的网络安全态势感知方法,提供的加固方案可有效抑制威胁的扩散.文献[16]给出了基于神经网络的网络安全态势感知方法.

针对目前安全态势感知方法中的感知范围局限、信息来源单一、时空开销大及可信度不高等问题,本文将综合考虑影响网络安全态势的各方面因素,通过构建广义立方体,快速高效地融合异构多源多层次信息,利用全方位感知网络安全态势的方法,提供宏观的安全状况视图,对整个网络具有理解与控制力.

1 安全态势感知模型 1.1 整体感知模型

网络系统结构中存在着大量的主机、服务器、路由器、防火墙和IDS等网络组件,网络安全态势感知整体感知过程如下:通过单个组件上的传感器实时监测系统实时的运行状况,采集大量原始数据,由组件安全态势感知模块经信息融合成本地的安全态势;再由N个组件安全态势向上融合成整个网络安全态势.网络安全态势预测与决策支持以安全态势感知为基础,整体网络安全态势感知模型如图 1所示.本文主要研究网络安全态势感知.为了区分组件和网络安全态势,加相应的下标c和n以示区别,表示组件和网络.

图 1 整体网络安全态势感知模型 Fig. 1 Overall network security situational awareness model
1.2 多源多层次信息融合分层感知框架

定义网络安全态势由网络基础运行性(runnability)、网络脆弱性(vulnerability)和网络威胁性(threat)三维组成,从3个不同的维度以直观的形式向用户展现出网络整体的当前安全态势SA=(runnability,vulnerability,threat).对于每个维度都有组件和网络之分,如基础运行性有组件基础运行性和网络基础运行性,而网络基础运行性则由N个组件基础运行性融合而成,其他两个维度类似.

多源多层次信息融合分层感知框架如图 2所示.由观测指标也称作态势因子向上首先融合成组件安全态势,再向上融合成网络的安全态势.根据实际情况,态势因子可分为3大类:与运行信息相关的态势因子、与配置信息相关的态势因子和与IDS系统日志库中相关的态势因子.

图 2 多源多层次信息融合分层感知框架 Fig. 2 Multi-source and multi-level information fusion layered awareness framework

与运行信息相关的指标有CPU利用率、占用内存、子网流量变化率、子网数据流总量及子网内不同大小数据包的分布等,构成组件的基础运行性;与配置信息相关的指标有漏洞、系统配置、防护软件是否安装、关键设备漏洞数及级别、子网安全设备数、子网各关键设备端口的总量等,构成组件的脆弱性;与IDS系统日志库中相关的指标有DDOS(Distributed Denial of Service)、蠕虫攻击、木马和普通病毒、子网带宽使用率、子网数据流入量和子网流入量增长率等,构成组件的威胁性.

基础运行性,是指目前组件运行状况,动态描述组件目前运行情况,由工作性能和服务性能构成,是否能正常运行和提供服务,称为组件安全态势的外在表现性.

脆弱性是可以被组件威胁利用的系统薄弱环节.单个脆弱性可用vulnerability=(idv,namev,typev,ida,idt,pv,ξ)来描述.其中,idv为系统脆弱性标识;namev为脆弱性名称;typev为脆弱性类型;ida为脆弱性所在组件的标识;idt为利用该脆弱性威胁的标识;pv为脆弱性能被利用的可能性;ξ为脆弱性具有的影响.

威胁性是能对组件造成损害的因素.单个威胁可用threat=(idt′,namet,typet,ida′,idv′,pt)来描述.其中,idt′为威胁标识;namet为威胁名称;typet为威胁类型;ida′为威胁所在组件的标识;idv′为威胁利用的脆弱性的标识;pt为威胁将发生的概率.

网络的基础运行性、脆弱性和威胁性与组件的相应维度意义相近.安全态势感知将从纵向和横向两个不同的方向进行信息融合,所谓纵向信息融合是指组件态势因子的多源信息融合:由运行信息的态势因子融合成基础运行性,由配置信息的态势因子融合成脆弱性,由IDS系统日志的态势因子融合成威胁性,如图 2所示;横向信息融合是指网络基础运行性由各组件的基础运行性融合而成,网络脆弱性由各组件的脆弱性融合而成,网络威胁性由各组件的威胁性融合而成.

在融合方式上,从态势因子融合成组件的3个维度是最重要的一步,将使用广义立方体模型及相关算法;从组件3个维度分别融合成网络的3个维度,将使用基于统计的算法.

2 安全态势感知前提与基础

安全态势感知需要解决以下4个方面问题.

2.1 态势因子的遴选

有必要遴选出一些具有代表性的指标,剔除与安全态势感知不相关的、冗余的指标.判断观测指标xixj是否存在着冗余,可通过计算其相关系数ρ来判定.

计算观测指标xixj的相关系数:

式中:Cov(xi,xj)xixj的协方差;D(xi)和D(xj)分别为xi和xj的方差.有

式中:E(xi)和E(xj)分别为xixj的期望.给定一个实数ε(0<ε<1),若相关系数|ρxixj|>ε,可认为xixj非常相关,只保留一个起主要作用的观测指标,即态势因子.

2.2 态势因子值离散化

态势因子可取离散型和连续型两种观测值,为了便于原始数据在广义立方体聚合及统计算法中的应用,把连续型取值离散化,按实际意义,可取“高、中高、中、中低、低”或“0、1、2、3、4”5个等级值.若态势因子本来就是离散型取值,则不需离散化.

引理1 设连续型随机变量X~N(μ,σ2),则Z=(Xμ)/σN(0,1).其中,μ为随机变量X的数学期望;σ2为方差.

可把随机变量X观测值划分为5个互不相交的区间SSi:(-∞,μ-3σ)∪(μ+3σ,+∞)、(μ-3σ,μ-2.5σ)∪(μ+2.5σ,μ+3σ)、(μ-2.5σ,μ-2σ)∪(μ+2σ,μ+2.5σ)、(μ-2σ,μ-σ)∪(μ+σ,μ+2σ)和[μ-σ,μ+σ].

经计算,5个区间SSi(i=0,1,2,3,4)对应的概率PSi分别为0.26%、0.98%、3.32%、27.18%和68.26%.事实上,组件或网络在绝大多数情况下运行是正常的,不正常的情况非常少,因此这5个层次取值符合实际网络运行的情况,不正常的情况一般会落在3σ区域之外,μσ都是常量.

这就是本文所提出的“3σ法则”,基于大样本观测数据.利用“3σ法则”指导构建广义立方体融合异构多源多层次信息以及在融合算法的区间概率分级上,具有严格的理论基础.离散化态势因子xi的一般步骤如下:

1) 采集xin个大样本历史数据,计算其平均值xi,代替总体xi的数学期望E(xi)=μ=xi.

2) 同理,计算xi的方差Si2,代替总体xi的方差D(xi)=σ2=S2i.

3) 按照上述方法把xi划分为5个区间SSi.

4) 当获得xi的一个具体值时,根据落在哪个区间SSi来取相应的离散值i.

2.3 数据库的构建

对于第1类基础运行性态势因子观测数据的获取与离散化比较容易,通过监测软件可直接采集并按“3σ法则”离散化为五等.而后面两大类的态势因子数据采集及离散化稍微复杂些:首先构建一个数据库,存贮配置信息和IDS日志库信息相关联态势因子的历史信息,也即把相关的信息按脆弱性(vulnerability)和威胁性(threat)格式以记录形式存入,如图 1所示.

数据库构建完毕,起两个作用:一是为了离散化连续型态势因子;二是当实时监测到数据如漏洞x时,通过查找其数据库中的记录,获得ξ值,对照已划分好的5个区间SSi,便于获得相应的离散值i.

2.4 信息融合方法

在纵向上,由态势因子向上融合成组件的3个维度,将采用广义立方体作为信息融合的模型以及关联的融合算法;在横向上,由各组件的3个维度融合成网络的3个相应的维度,将采用基于统计的算法.

3 安全态势感知方法 3.1 构建广义立方体

立方体一般是由三维构成,而广义立方体是由m维构成.数据立方体是一种在立方体格上的聚合数据,通过数据的聚合向上融合成某方面的特征,常用支持多维多层次数据分析的模型.通过该数据模型可从不同的视角考察所研究数据集的特性.在网络安全态势感知中,各个态势因子构成不同的维度,各个离散值构成不同的抽象层次.对各个维度、层次上的数据分析,从不同角度反映了当前网络的运行状况.下面给出数据立方体模型的相关定义.

定义1 给定一个数据集S、一组维度A={A1,A2,…,Am|m>0}和各个维度的层次集合H={H1,H2,…,HL|L>0}(Hi表示维度Ai层次集合,H ji表示维度Ai的第j个层次).在H的分量{H1,H2,…,HL}中各取一个层次进行组合,所有这样的组合{H1j1,H2j2,…,H mjm}对数据集S执行分组聚合操作,得到的一组立方体单元格将构成一个数据立方体(A,H).

定义2 一个立方体单元格可表示成二元组(AH,M),其中:AH={H1j1,H2j2,…,Hmjm},HijiHi为在维度Ai上选定的一个具体层次j1;M为对AH数据集S经“3σ法则”离散化后进行聚合操作下,落在本单元格中的个数.立方体由立方体格组成:(A,H)=(AH,M).

例如,取a为CPU利用率,b为占用内存大小,c为网络流量,数据集S是包含此3个观测指标的样本,经离散化五等后,则一个三维广义立方体格如图 3所示.经过聚合操作后,每个立方体格上具有相应的值((ai,bj,ck),Mijk),其中Mijk为数据集S经离散化处理后落在立方格(ai,bj,ck)中的个数.

图 3 三维广义立方体格 Fig. 3 3D generalized cubic physique

本文至少需要建立:基础运行性、脆弱性和威胁性3个广义立方体.若广义立方体维度过高,在信息融合上造成时间和空间复杂度过高,可把态势因子再细分为几个小组,每个小组构造一个广义立方体,几个小立方体向上再合并成一个大立方体,采取分而治之降低维度.

对同一类或一组的m个态势因子xi,根据历史运行信息,采集n个大样本数据(每个数据为m元组,构成一个样本)建立一个广义立方体(A,H).例如对于基础运行性广义立方体,每个态势因子xi作为一个维度,每个维度若取连续型则离散化5个层次:

在安全态势感知过程中,采集到某个态势因子实时原始数据时,与此因子5个取值范围SSi相比较,可得到它相应的抽象层次i.当本组所有的态势因子抽象层次确定后,说明这组态势因子xi(i=1,2,…,m)此时的原始数据S(m元组)就会聚合在此立方格中.

3.2 组件安全态势感知

组件安全态势感知是网络安全态势感知的基础,首先纵向上对组件进行安全态势感知,再横向上对网络进行安全态势感知.由于安全态势感知具有时段性,即在某间隔时间段感知安全态势,所有采集的数据只能在此时间段内有效.

对于一组态势因子x1,x2,…,xm,在同一时间段内采集到nm元组原始数据S(整体上看是n个数据,n足够大),每个分量xi按照“3σ法则”后,则可构成nm元组离散化后的数据.具有5个层次的m个维度广义立方体,可达到5m个立方格,则这nm元组(每分量只取0,1,2,3,4)数据S分布在这5m个立方格中,所有立方格中数据的个数之和为n,即有

式中:Mj1j2…jm取正整数,立方体格值Mj1j2…jm表示这nm元组原始数据S落在本格中的个数.

定义3Mi(i=0,1,2,3,4)表示立方体格值Mj1j2…jm边际之和,即当固定m-1个下标取值为i时,对另一个下标j求和,下标j取值从i到4,j可处于任何m个位置中的一个.直观上说,Mi表示广义立方体中取i等时原始数据的个数,即有

固定m-1个下标为i,只有一个下标ji到4求和,当m个下标依次求和完毕后,所得之和为Mi,注意Mi,i,…,i不能重复求和.

当样本量足够大时,频率接近概率,落在第i(i=0,1,2,3,4)等的概率为

正常情况下,在第i等中的概率Pci应该与“3σ法则”五等相应区间SSi概率PSi相差不大.若组件安全态势异常时,Pci有些可能比正常概率PSi要大得多,也有可能比正常相应第i个区间概率PSi要小很多.令

式中:PSi为经“3σ法则”划分的第i个区间的概率;CRi为第i等中的概率Pci与正常概率PSi的偏差的比率,从5个CRi中选择最大者,有理由认为本组m个态势因子所感知的组件安全态势Lc属于第i等,差异显著.

3.3 网络安全态势感知

通过构建3个广义立方体感知组件安全态势,每个组件安全态势由三元组(runnabilityc,vulnerabilityc,threatc)构成,而网络安全态势也由相应的三元组(runnabilityn,vulnerabilityn,threatn)构成.一个网络中存在N个组件,这N个组件的安全态势向上融合成整个网络的安全态势.

对于N个组件的分量如runnabilityc要融合成网络的分量如runnabilityn,都取0,1,2,3,4的5个离散值,将采用统计的方法.令

式中:|Lci|为N个组件取第i等的个数(i=0,1,2,3,4);PniN个组件中取值为i等的概率,用频率逼近计算之.令

式中:LnN个组件一个分量融合成网络相应的分量所取等级i.3个分量融合计算类似.

3.4 查找异常组件

当得到网络安全态势后,三维分量中任何一维度分量级别较低,说明整个网络的安全态势可能存在着隐患,可方便逆向查找异常组件.

例如对于网络安全态势的基础运行性分量,其等级为中或更低,表示某些组件的基础运行性出现异常.由于网络的基础运行性runnabilitynN个组件的基础运行性runnabilityc经统计计算所得,则容易查找到组件基础运行性比较低的组件,其他两个分量类似.

对于处于停止服务或处于调试阶段的少数组件,在感知组件安全态势时可能会出现“异常”,但在大样本情况下,对整个网络安全态势影响甚微,而且可以反向查到此类组件,了解到异常组件的真正原因.

3.5 安全态势感知算法

包括3个算法:一是对同一类的态势因子根据历史运行信息,通过“3σ法则”离散化各连续型态势因子,建立广义立方体;二是把所采集态势因子数据聚合在广义立方体格中,融合成组件安全态势SAc;三是从N个组件安全态势SAc融合成网络的安全态势SAn.

算法1

输入:同一类态势因子历史运行数据xij

输出:每个连续型态势因子五等区间SSi及广义立方体(A,H)

1) for every situation factor xi do

2)

3)

4) constructing five sections SSi for this factor

5) end do

6) constructing general cube (A,H) according to the definition 1 and definition 2

算法1可把同一类中的m个连续型态势因子经“3σ法则”划分5个区间SSi,每个区间的概率用PSi表示,根据定义1和定义2对此类态势因子构建一个广义立方体(A,H).当3类态势因子依照算法1,则所有的连续型态势因子都会被划分为5个区间,可构建3个广义立方体.注意,对不同的态势因子xixj,它们第k个相应区间的概率是相同的,统一用PSk(k=0,1,2,3,4)表示.

算法2

输入:在同一个时段内所采集的态势因子nm元组数据大样本S

输出:组件安全态势SAc

1) discretizing the monitored n×m data

2) the discretization n×m data are aggregated into the general cube (A,H)

3) for i=0 to 4 do

4) in j1, j2,···, or jm

5)

6)

7) gaining a part of the component’s situation SAc,that the value is Lc

8) end do

9) for the three category situation factors,repeating from 3) to 8)

10) gaining the situation of this component SAc=(runnabilityc,vulnerabilityc,threatc)

在算法2计算算法1中的MiPci的值,得到组件安全态势的一个分量的值Lc,当3个分量计算完毕,得到组件的安全态势SAc=(runnabilityc,vulnerabilityc,threatc).

算法3

输入:在同一个时段内所采集N个组件的安全态势SAc

输出:网络安全态势SAn

1) for j=1 to 3

2) for i=0 to 4 do

3)

4) end do

5)

6) gaining a part of the network’s situation SAn,that the value is Ln.

7) end do

8) gaining the situation of network SAn=(runnability,vulnerability,threat).

算法3采集同时间段内N个组件的安全态势SAc,根据统计的方法,计算N个组件中取值为i等的概率Pni值,再计算偏差最大级别确定为本分量级别Ln,经过3次计算,得出网络的总安全态势SAn=(runnabilityn,vulnerabilityn,threatn).

算法1的时间复杂度为O(n·m);算法2的时间复杂度为O(n·m·l),l表示立方体个数;算法3的时间复杂度为O(l·k·N),k为等级数.

4 仿真实验

采用MATLAB 7.0仿真实验,实验过程中主要采用了两类数据:一类是通过开发一个软件监测得到的实时数据;一类来自Snort入侵检测数据,将各类恶意网络流量数据按照一定规则注入到背景流量中,获得异常数据.

本实验测试部署在拥有90台计算机的局域网上(操作系统为Windows 7.0,内存为4 G;CPU为奔腾3.4 GHz,其他计算机配置均与此相同).本局域网具有一台主机用于整个网络的安全态势感知,每台机器安装监测软件和Snort入侵检测软件,在本地机器上感知组件安全态势,定时向主机发送本地机器上融合数据,由主机感知整体网络的安全态势.

正常情况下,组件取连续型变量如CPU利用率和内存使用基本上呈高斯分布.异常情况下,组件不安装任何防病毒软件,且对此组件实施木马和蠕虫等病毒攻击,会对各类态势因子产生影响,采样如图 4所示,CPU利用率及内存使用情况明显增加.

图 4 组件异常情况采样 Fig. 4 Component anomalies sample

首先为每个连续型态势因子划分5个离散取值区域SSi,再为每类的态势因子建立广义立方体,把每类相关的态势因子离散化后的值聚集在此立方体中,计算其落在每个立方体格中的频率,近似其概率.当组件没安装防病毒软件及受到攻击后,以“基础运行性”的广义立方体为例,五等fci(i=0,1,2,3,4)的频率(近似概率)之和为1,当样本量达到4 000以上,逐渐平稳收敛,广义立方体中样本聚集如图 5所示.

图 5 广义立方体中样本聚集 Fig. 5 Generalized cube samples gathered

所采集的态势因子大样本数据聚集在广义立方体中,得到落在每个立方体格中样本个数Mj1j2…jm,计算其边际之和Mi,表示本广义立方体中取i等时原始数据的个数,用相应的五等频率fci=Mi>i/n近似其第i等的概率Pci,再从5个比率CRi中选择最大者,与正常情况差异显著,有理由认为本组m个态势因子所感知的组件安全态势Lc属于第i等,如图 6所示.可知,基础运行性中第0等差异显著,认为此时取0等(最差);脆弱性第0等差异显著,此时也应取0等;威胁性第4等差异显著,此时应取第4等(最高,表示威胁性最高).

图 6 组件安全态势对比 Fig. 6 Components security situation contrast

本次实验中,对某些未安装防病毒软件的组件,人为施加病毒攻击,得到此组件的5次安全态势感知如图 7(a)所示.当获得所有组件的安全态势后,按照上述的方法可得到网络的安全态势.同样对某些组件加以病毒攻击,得到本网络的5次安全态势感知图,如图 7(b)所示.

图 7 组件和网络安全态势感知 Fig. 7 Components and network security situational awareness

从上述仿真实验中可以看出,本文算法具有高效性与正确性.图 5表明当样本量达3 000,基本上收敛在某个平稳状态,图 6表明安全态势受多个态势因子影响,之间具有关联性.

5 结 束 语

本文提出了构建广义立方体模型融合异构多源多层次信息,感知网络安全态势的方法,为网络安全与管理提出解决方案.在提高态势感知准确性的基础上,同时也在时空开销等因素之间进行了折衷.主要的创新为:广义立方体模型能很好地融合异构多源多层次信息,高效组织各类信息源;“3σ法则”指导构建广义立方体融合模型,“3σ法则”在融合算法的区间概率分级上具有严格的理论基础与实践意义.

今后的研究工作包括完善网络安全态势感知模型及量化其感知方法,进一步提高算法的效率,研究更全面的安全态势因子及其表示方法,在量化算法上突破传统的利用权重进行加权的方法;研究网络安全态势的多维可视化问题,并改进各类网络安全事件的关联分析算法,从而更加准确地预测网络安全态势发展趋势及安全威胁来源.

参考文献
[1] Bass T.Multi-sensor data fusion for next generation distributed intrusion detection systems[C]//Proceedings of the’99 IRIS National Symposium on Sensor and Data Fusion.Piscataway, NJ:IEEE Press, 1999:24-27.
Click to display the text
[2] Mazur J, Kaderali L.The importance and challenges of bayesian parameter learning in systems biology[J].Model Based Parameter Estimation Contributions in Mathematical and Computational Sciences, 2013, 4:145-156.
Click to display the text
[3] 黄同庆, 庄毅.一种实时网络安全态势预测方法[J].小型微型计算机系统, 2014, 35(2):303-306. Huang T Q, Zhuang Y.An approach to real-time network security situation prediction[J].Journal of Chinese Computer Systems, 2014, 35(2):303-306(in Chinese).
Cited By in Cnki
[4] Blasch E P, Plano S.JDL level 5 fusion model “user refinement” issues and applications in group tracking[C]//Proceedings of the Signal Processing, Sensor Fusion, and Target Recognition XI, Spie.Bellingham, WA:SPIE, 2002:270-279.
Click to display the text
[5] 龚正虎, 卓莹.网络态势感知研究[J].软件学报, 2010, 21(7):1605-1619. Gong Z H, Zhuo Y.Research on cyberspace situational awareness[J].Journal of Software, 2010, 21(7):1605-1619(in Chinese).
Cited By in Cnki
[6] Bradshaw J M, Carvalho M, Bunch L, et al.Sol:An agent-based framework for cyber situation awareness[J].KI-Künstliche Intelligenz, 2012, 26(1):127-140.
Click to display the text
[7] Digioia G, Foglietta C, Oliva G, et al.Aware online interdependency modeling via evidence theory[J].International Journal of Critical Infrastructures, 2013, 6893:74-92.
Click to display the text
[8] Bazan J G, Bazan-Socha S, Buregwa-Czuma S, et al.Classifiers based on data sets and domain knowledge:A rough set approach[J].Intelligent Systems Reference Library, 2013, 43:93-136.
Click to display the text
[9] Sample C, Schaffer K.An overview of anomaly detection[J].IT Professional, 2013, 15(1):8-11.
Click to display the text
[10] 王宏, 龚正虎.一种基于信息熵的关键流量矩阵发现算法[J].软件学报, 2009, 20(5):1377-1383. Wang H, Gong Z H.Algorithm based on entropy for finding critical traffic matrices[J].Journal of Software, 2009, 20(5):1377-1383(in Chinese).
Cited By in Cnki
[11] 陈秀真, 郑庆华, 管晓宏, 等.层次化网络安全威胁态势量化评估方法[J].软件学报, 2006, 17(4):885-897. Chen X Z, Zheng Q H, Guan X H, et al.Quantitative hierarchical threat evaluation model for network security[J].Journal of Software, 2006, 17(4):885-897(in Chinese).
Cited By in Cnki
[12] GÖrnitz N, Kloft M, Rieck K, et al.Toward supervised anomaly detection[J].Journal of Artificial Intelligence Research, 2013, 46:235-262.
Click to display the text.
[13] Erbachera R F, Frinckeb D A, Wongb P C, et al.A multi-phase network situational awareness cognitive task analysis[J].Information Visualization, 2010, 9(3):204-219.
Click to display the text
[14] 韦勇, 连一峰, 冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展, 2009, 46(3):353-362. Wei Y, Lian Y F, Feng D G.A network security situational awareness model based on information fusion[J].Journal of Computer Research and Development, 2009, 46(3):353-362(in Chinese).
Cited By in Cnki
[15] 张勇, 谭小彬, 崔孝林, 等.基于Markov博弈模型的网络安全态势感知方法[J].软件学报, 2011, 22(3):495-508. Zhang Y, Tan X B, Cui X L, et al.Network security situation awareness approach based on Markov game model[J].Journal of Software, 2011, 22(3):495-508(in Chinese).
Cited By in Cnki
[16] 谢丽霞, 王亚超, 于巾博.基于神经网络的网络安全态势感知[J].清华大学学报:自然科学版, 2013, 53(12):1750-1760. Xie L X, Wang Y C, Yu J B.Network security situation awareness based on neural networks[J].Journal of Tsinghua University:Science & Technology, 2013, 53(12):1750-1760(in Chinese).
Cited By in Cnki
http://dx.doi.org/10.13700/j.bh.1001-5965.2015.0010
北京航空航天大学主办。
0

文章信息

文志诚, 陈志刚
WEN Zhicheng, Chen Zhigang
构建广义立方体感知网络安全态势
Constructing general cube to be aware of network security situation
北京航空航天大学学报, 2015, 41(10): 1966-1974
Journal of Beijing University of Aeronautics and Astronsutics, 2015, 41(10): 1966-1974.
http://dx.doi.org/10.13700/j.bh.1001-5965.2015.0010

文章历史

收稿日期: 2015-01-05
网络出版日期: 2015-05-21 15:05

相关文章

工作空间