網路安全預警防禦技術

本書是關於網路安全預員頌戰警防禦技術的一部專著，系統分析了國內外在該領域的研究現狀和發展趨勢，重點論述了作者及其合作者們在該領域的研究成果。全書共分為7 章，第1 章為導論，介紹網路安全預警的概念及當前的網路安全威脅態勢，並對網路安全預警涉及的網路滲紙店攻擊意圖識別、網路協同防護、網路安全態勢感知三大主要技術進行簡要分析。第2 章介紹當前已有的幾種具有代表性的預警檔驗防禦防護體系，並提出具有自身特色的預警防禦三域模型。後面5 章則以第2 章提出的預警防禦三域模型為基礎，依次介紹本書作者及其合作者們多年來在網路攻擊檢測及識別、網路攻擊意圖識別、網路協同防護、網路安全態勢評估、網路安全策略管理五個技術方向的研究成果。本書既注重理論上的嚴謹，又強調對研究成果的驗證與分析，有助於從事安全產品實際開發人員的學習與使用。

本書適合於高等院校計算機專業教師、研究生或高年級本科生閱讀參考，也可供信息安全領域的工程技術人員使用與參考。

第1章導論1

1.1網路安全威脅態勢分析1

1.1.1DDoS攻擊層出不窮，規模與日俱增1

1.1.2APT攻擊攻勢不減，破壞力強1

1.1.3大數據依然是網路攻擊的顯著目標2

1.1.4“稜鏡門”事件使網路安全上升到了國家級層面2

1.2預警防禦相關技術研究現狀分析2

1.2.1網路攻擊意圖識別3

1.2.2網路安全態勢感知5

1.2.3網路安全協同防護7

1.3本書組織結構安排10

參考文獻11

第2章網路安全體系模型15

2.1動態網路安全模型的雛形—P2DR模型15

2.2具有預警功能的網路安全模型17

2.2.1早期預警與攻擊識別模型17

2.2.2WPDRRC網路安全體系模型18

2.2.3基於動態對等網層次結構的網路預警模型18

2.3預警防護三域模型19

參考文獻20

第3章網路攻擊檢測與識別相關技術21

3.1基於負載預測的分散式網路攻擊檢測技術21

3.1.1主機負載的表征及特性分析21

3.1.2檢測原理30

3.1.3系統算法描述32

3.2基於機率包標記的拒絕服務攻擊源追蹤技術37

3.2.1機率包標記方法37

3.2.2跨轄區的動態機率包標記追蹤模型38

3.3基於小波預處理與時間感染率估計的蠕蟲早期預警技術46

3.3.1早期預警基本思想46

3.3.2基於主機訪問習慣的蠕蟲檢測47

3.3.3蠕蟲早期預警模型49

參考文獻55

第4章網路攻擊意圖識別59

4.1網路攻擊意圖及其識別60

4.1.1意圖、規劃與行為概念比較60

4.1.2網路攻擊意圖定義61

4.1.3網路攻擊意圖識別的拒蘭譽涵義63

4.1.4網路攻擊意圖識別的特點71

4.2網路攻擊意圖的分類71

4.2.1攻擊意圖分類的作用與原則71

4.2.2攻擊的分類72

4.2.3攻擊意圖的分類73

4.3基於關鍵資產和安全需求的攻擊意圖假設生成77

4.3.1攻擊意圖假設生成過程77

4.3.2攻擊姜糊槓意圖假設生成算法78

4.3.3攻擊意圖假設生成實例79

4.4基於攻擊路徑圖的攻擊意圖推理80

4.4.1層次化的攻擊路徑圖80

4.4.2攻擊意圖的可達性分析85

4.4.3意圖實現的機率計算86

4.4.4意圖實現的最短路徑/最小路徑91

4.4.5攻擊路徑預測93

參考文獻93

第5章基於攻擊意圖識別的協同防護技術 96

5.1基於攻危戶項白擊意圖識別的回響決充白全汗策技術框架96

5.2攻防策略的收益模型97

5.2.1衡量攻防策略收益的因素97

5.2.2攻防操作代價的量化99

5.2.3攻擊成效的量化99

5.2.4回響收益的量化100

5.2.5回響負面代價的量化101

5.3基於部分馬爾科夫博弈的主動回響決策方法101

5.3.1主動回響策略的選取101

5.3.2POMG算法103

5.3.3決策過程和複雜度分析105

5.4面向預警的網路協同防護模型106

5.4.1預警信息處理107

5.4.2基於D-S證據理論的攻擊目標預測方法111

5.4.3基於套用層組播的協同信息發布機制113

參考文獻119

第6章網路安全態勢評估技術 121

6.1網路安全態勢感知的定義121

6.2基於Vague集的網路安全風險評估122

6.2.1網路安全風險評估概述122

6.2.2V-NSRA的評估指標體系及權重確定124

6.2.3V-NSRA模型描述125

6.2.4V-NSRA實例分析126

6.3矩陣式多粒度網路安全威脅態勢評估128

6.3.1評估體系128

6.3.2評估技術分析128

6.3.3矩陣式多粒度網路安全態勢評估模型130

6.3.4套用舉例134

6.4基於攻擊意圖動態識別的網路安全威脅評估136

6.4.1威脅評估過程136

6.4.2攻擊意圖動態識別模型137

6.4.3基於時間自動機的脆弱性狀態遷移142

6.4.4攻擊意圖動態識別算法145

6.4.5資產價值評估148

6.4.6威脅評估算法148

參考文獻149

第7章網路安全策略管理技術150

7.1策略的定義150

7.2基於策略的網路安全管理面臨的問題151

7.3基於Model Checking的策略衝突檢測151

7.3.1模型檢測151

7.3.2系統建模153

7.3.3基於時態邏輯的各類策略衝突關鍵屬性描述154

7.4有界模型檢測在衝突消解中的套用157

7.4.1有界模型檢測概述157

7.4.2可滿足性問題161

7.4.3策略衝突消解問題的轉換162

7.4.4策略衝突消解仿真實例162

7.5遺傳算法對求解SAT的改良166

7.5.1SAT概述166

7.5.2SAT算法的改進169

參考文獻175

4.1網路攻擊意圖及其識別60

4.1.1意圖、規劃與行為概念比較60

4.1.2網路攻擊意圖定義61

4.1.3網路攻擊意圖識別的涵義63

4.1.4網路攻擊意圖識別的特點71

4.2網路攻擊意圖的分類71

4.2.1攻擊意圖分類的作用與原則71

4.2.2攻擊的分類72

4.2.3攻擊意圖的分類73

4.3基於關鍵資產和安全需求的攻擊意圖假設生成77

4.3.1攻擊意圖假設生成過程77

4.3.2攻擊意圖假設生成算法78

4.3.3攻擊意圖假設生成實例79

4.4基於攻擊路徑圖的攻擊意圖推理80

4.4.1層次化的攻擊路徑圖80

4.4.2攻擊意圖的可達性分析85

4.4.3意圖實現的機率計算86

4.4.4意圖實現的最短路徑/最小路徑91

4.4.5攻擊路徑預測93

參考文獻93

第5章基於攻擊意圖識別的協同防護技術 96

5.1基於攻擊意圖識別的回響決策技術框架96

5.2攻防策略的收益模型97

5.2.1衡量攻防策略收益的因素97

5.2.2攻防操作代價的量化99

5.2.3攻擊成效的量化99

5.2.4回響收益的量化100

5.2.5回響負面代價的量化101

5.3基於部分馬爾科夫博弈的主動回響決策方法101

5.3.1主動回響策略的選取101

5.3.2POMG算法103

5.3.3決策過程和複雜度分析105

5.4面向預警的網路協同防護模型106

5.4.1預警信息處理107

5.4.2基於D-S證據理論的攻擊目標預測方法111

5.4.3基於套用層組播的協同信息發布機制113

參考文獻119

第6章網路安全態勢評估技術 121

6.1網路安全態勢感知的定義121

6.2基於Vague集的網路安全風險評估122

6.2.1網路安全風險評估概述122

6.2.2V-NSRA的評估指標體系及權重確定124

6.2.3V-NSRA模型描述125

6.2.4V-NSRA實例分析126

6.3矩陣式多粒度網路安全威脅態勢評估128

6.3.1評估體系128

6.3.2評估技術分析128

6.3.3矩陣式多粒度網路安全態勢評估模型130

6.3.4套用舉例134

6.4基於攻擊意圖動態識別的網路安全威脅評估136

6.4.1威脅評估過程136

6.4.2攻擊意圖動態識別模型137

6.4.3基於時間自動機的脆弱性狀態遷移142

6.4.4攻擊意圖動態識別算法145

6.4.5資產價值評估148

6.4.6威脅評估算法148

參考文獻149

第7章網路安全策略管理技術150

7.1策略的定義150

7.2基於策略的網路安全管理面臨的問題151

7.3基於Model Checking的策略衝突檢測151

7.3.1模型檢測151

7.3.2系統建模153

7.3.3基於時態邏輯的各類策略衝突關鍵屬性描述154

7.4有界模型檢測在衝突消解中的套用157

7.4.1有界模型檢測概述157

7.4.2可滿足性問題161

7.4.3策略衝突消解問題的轉換162

7.4.4策略衝突消解仿真實例162

7.5遺傳算法對求解SAT的改良166

7.5.1SAT概述166

7.5.2SAT算法的改進169

參考文獻175