网络安全态势感知电子书

内容简介

前　言

第1章　网络安全态势感知研究背景

1.1　作战形态和作战内涵的变化

1.1.1　作战形态的变化

1.1.2　作战内涵的变化

1.2　态势感知的概念及发展进程

1.2.1　朴素的态势感知

1.2.2　传统的态势感知

1.2.3　网络安全态势感知

1.3　网络安全态势感知的作用、意义、过程、相关角色、需求

1.3.1　网络安全态势感知的作用

1.3.1.1　为防御者提供全面的网络系统安全状态信息

1.3.1.2　支撑防御者准确实时地发现网络攻击

1.3.1.3　提升防御者对网络安全事件的研判能力

1.3.1.4　全面提高网络系统的安全保障能力

1.3.2　网络安全态势感知的意义

1.3.3　网络安全态势感知的过程

1.3.3.1　特征信息提取

1.3.3.2　当前状态分析

1.3.3.3　发展趋势预测

1.3.4　网络安全态势感知中的相关角色

1.3.5　网络安全态势感知的需求

1.3.5.1　全面感知

1.3.5.2　准确感知

1.3.5.3　实时感知

1.4　本章小结

参考文献

第2章　网络安全态势感知系统及案例

2.1　网络安全态势感知系统的功能结构

2.2　网络安全态势感知系统的关键技术

2.2.1　数据采集与特征提取

2.2.1.1　数据模型的定义

2.2.1.2　数据采集

2.2.1.3　数据融合

2.2.2　攻击检测与分析

2.2.2.1　本体模型

2.2.2.2　认知模型

2.2.2.3　关联分析

2.2.2.4　攻击检测

2.2.3　态势评估与计算

2.2.3.1　态势评估指标体系

2.2.3.2　风险评估与计算方法

2.2.4　态势预测与溯源

2.2.4.1　构建预测模型

2.2.4.2　攻击预测

2.2.4.3　攻击溯源

2.2.4.4　取证分析

2.2.5　态势可视化

2.3　典型的网络安全态势感知系统案例

2.3.1“龙虾计划”系统

2.3.2　YHSAS网络安全态势分析系统

2.3.3　其他典型系统

2.4　本章小结

参考文献

第3章　网络安全数据采集与融合

3.1　网络安全数据采集的问题背景

3.1.1　网络安全数据的特点及数据采集难点

3.1.2　面向不同岗位角色、不同分析师的靶向数据采集

3.1.3　网络安全数据采集示例

3.2　面向网络安全态势感知的安全要素和安全特征

3.2.1　资产维度数据

3.2.2　漏洞维度数据

3.2.3　威胁维度数据

3.2.3.1　终端数据

3.2.3.2　流量数据

3.3　安全要素和安全特征的采集技术

3.3.1　资产维度数据采集

3.3.2　漏洞维度数据采集

3.3.3　威胁维度数据采集

3.3.3.1　终端数据采集

3.3.3.2　流量数据采集

3.3.3.3　针对威胁行为的靶向数据采集

3.4　网络安全数据融合

3.4.1　数据清洗

3.4.1.1　噪声数据

3.4.1.2　不一致的数据

3.4.1.3　遗漏数据

3.4.2　数据集成

3.4.3　数据规约

3.4.4　数据变换

3.5　本章小结

参考文献

第4章　网络安全态势感知的认知模型

4.1　理解网络安全态势的意义和存在的难点

4.1.1　理解网络安全态势的意义

4.1.2　理解网络安全态势存在的难点

4.2　人类认知过程中常用的认知模型

4.2.1　3M认知模型

4.2.2　ACT-R认知模型

4.2.3　基于实例的认知模型

4.2.4　SOAR认知模型

4.2.5　其他认知模型

4.3　基于MDATA的网络安全认知模型

4.3.1　MDATA模型的概况

4.3.2　MDATA模型的表示方法

4.3.3　基于MDATA模型的网络安全认知模型构建

4.3.4　基于MDATA模型的网络安全知识推演

4.3.5　利用基于MDATA模型构建的网络安全知识库进行攻击检测

4.4　本章小结

参考文献

第5章　网络安全态势感知本体体系

5.1　本体理论

5.1.1　本体概念

5.1.2　本体语言

5.1.3　基于本体的推理

5.1.3.1　基于Tableaux运算的方法

5.1.3.2　基于逻辑编程改写的方法

5.1.3.3　基于一阶查询重写的方法

5.1.3.4　基于产生式规则的方法

5.2　网络安全态势感知系统相关的本体标准

5.2.1　资产维度的标准

5.2.1.1　CPE（通用平台枚举）

5.2.1.2　CCE（通用配置枚举）

5.2.1.3　FOAF

5.2.2　漏洞维度的标准

5.2.2.1　CVE（通用漏洞披露）

5.2.2.2　CWE（通用弱点枚举）

5.2.2.3　CVSS（通用漏洞评分系统）

5.2.3　威胁维度的标准

5.2.3.1　CAPEC（通用攻击模式枚举和分类）

5.2.3.2　MAEC（恶意代码属性枚举和特征描述）

5.2.3.3　ATT&CK

5.2.3.4　KillChain（杀伤链）

5.2.4　综合信息标准

5.2.4.1　STIX（结构化威胁信息表达）

5.2.4.2　CybOX（网络空间可观察对象表达）

5.2.4.3　IODEF（安全事件描述交换格式）

5.3　基于MDATA模型的网络安全态势感知本体模型

5.3.1　基于MDATA模型的网络安全态势感知本体类

5.3.1.1　资产类

1.资产型号

2.资源信息

3.资产状态信息

5.3.1.2　漏洞类

5.3.1.3　威胁类

5.3.2　基于MDATA模型的网络安全态势感知本体关系

5.3.2.1　一般关系

5.3.2.2　时间关系

5.3.2.3　空间关系

5.3.2.4　时空复杂关系

5.3.3　基于MDATA模型的网络安全态势感知本体模型推理

5.3.3.1　低阶事件（安全事件）

5.3.3.2　中阶事件（单步攻击）

5.3.3.3　高阶事件（多步攻击）

5.3.3.4　推理方法

5.4　本章小结

参考文献

第6章　网络安全态势评估的要素和维度

6.1　网络安全态势评估要素和维度的基本概念

6.1.1　为什么需要明确网络安全态势评估要素和维度

6.1.2　网络安全态势评估的维度

6.2　漏洞维度的评估要素

6.2.1　单个漏洞的评估要素

6.2.2　网络漏洞的总体评估要素

6.3　威胁维度的评估要素

6.3.1　单个攻击的评估要素

6.3.1.1　拒绝服务攻击

6.3.1.2　木马攻击

6.3.1.3　病毒攻击

6.3.1.4　蠕虫攻击

6.3.1.5　僵尸网络攻击

6.3.1.6　网络欺骗类攻击

6.3.1.7　恶意探测攻击

6.3.2　网络攻击的评估要素

6.4　资产维度的评估要素

6.4.1　工作任务的描述方法和工作任务重要程度的评估要素

6.4.2　将工作任务映射到资产的模型

6.4.3　资产的评估要素

6.5　本章小结

参考文献

第7章　网络安全态势评估的方法

7.1　网络安全态势评估的基本概念

7.1.1　为什么需要网络安全态势评估

7.1.2　网络安全态势评估面临的主要挑战

7.2　网络安全态势的定性评估

7.3　网络安全态势的定量评估

7.3.1　基于数学模型的量化评估方法

7.3.1.1　基于权重分析法的网络安全态势评估

7.3.1.2　基于集对分析法的网络安全态势评估

7.3.1.3　基于数学模型的网络安全态势量化评估实例

7.3.2　基于知识推理的量化评估方法

7.3.2.1　基于图模型的网络安全态势评估方法

7.3.2.2　基于规则推理的网络安全态势评估方法

7.3.2.3　基于知识推理的网络安全态势量化评估实例

7.3.3　基于机器学习的量化评估方法

7.3.3.1　基于灰关联分析方法的态势量化评估

7.3.3.2　基于粗糙集方法的态势量化评估

7.3.3.3　基于神经网络和深度学习的态势量化评估

7.3.3.4　基于机器学习的网络安全态势量化评估实例

7.4　本章小结

参考文献

第8章　网络安全事件预测技术

8.1　网络安全事件预测的概念和背景

8.2　传统的网络安全事件时间序列预测技术

8.2.1　基于回归分析模型的预测技术

8.2.2　基于小波分解表示的预测技术

8.2.3　基于时序事件化的预测技术

8.2.4　相关技术的实验对比分析

8.3　基于知识推理的网络安全事件预测技术

8.3.1　基于攻击图的预测技术

8.3.2　基于攻击者能力与意图的预测技术

8.3.3　基于攻击行为/模式学习的预测技术

8.4　本章小结

参考文献

第9章　网络攻击溯源技术

9.1　网络攻击溯源的概念和背景

9.2　传统的网络攻击溯源技术

9.2.1　基于日志存储查询的溯源技术

9.2.2　基于路由器输入调试的溯源技术

9.2.3　基于修改网络传输数据的溯源技术

9.2.4　攻击者及其组织溯源技术

9.3　面向溯源的MDATA网络安全知识库维护方法

9.3.1　基于MDATA网络安全知识库抽取架构

9.3.2　溯源MDATA知识抽取过程

9.3.3　溯源知识融合

9.4　基于MDATA模型的攻击溯源方法

9.4.1　基于MDATA模型的攻击溯源策略

9.4.2　基于MDATA模型的攻击溯源算法

9.4.3　一个基于MDATA模型的攻击溯源示例

9.5　本章小结

参考文献

第10章　网络安全态势可视化

10.1　网络安全态势可视化的意义和挑战

10.1.1　网络安全态势可视化的背景及意义

10.1.2　网络安全态势可视化的挑战

10.2　网络安全数据流的可视化分析技术

10.2.1　多源数据的可视化分析技术

10.2.1.1　雷达图可视化算法

10.2.1.2　网络拓扑布局的力导引算法

10.2.2　流量数据Netflow的可视化分析技术

10.2.2.1　堆叠条形图可视化方法

10.2.2.2　基于平行坐标轴的可视化方法

10.3　网络安全态势评估的可视化技术

10.3.1　网络安全态势评估指数

10.3.2　基于电子地图展示网络安全态势评估指数的方法

10.4　网络攻击行为分析的可视化技术

10.4.1　多视图协同的攻击行为可视化分析方法

10.4.1.1　基于3D地图展示APT攻击态势

10.4.1.2　多视图联动的攻击行为可视化

10.4.1.3　多步攻击行为的可视化展示

10.4.2　预测攻击行为的可视化方法

10.5　本章小结

参考文献

附录A　缩略词表