本文探讨了通过以任务为中心的网空态势感知框架,监控网络安全盲点,包括广义依赖关系图、攻击场景图、超图告警机制和补丁部署博弈分析。同时,文章介绍了如何通过大规模半监督学习优化Android系统的安全策略,以提高自动化分析与完善能力。
接(一)7. 主要研究成果
7.2 实现对“盲点”的监控
7.2.1 以任务为中心的网空态势感知框架
框架提出的原因,首先,攻击图不能为每一种攻击模式提供对可能性或者对复杂组织体或任务所造成影响的评估机制。其次,告警关联的规模可扩展性问题未得到解决。
该框架可用于实时分析海量的原始安全数据。可能会涉及到当前的态势情境、攻击的影响与演化、攻击者的行为、取证分析、可用信息与模型的质量,以及对未来攻击的预测。
主要组件如下:
第一,引入了广义依赖关系图的概念,可以描绘网络组件间是如何相互依赖的。
第二,通过时间跨度分布来验证对攻击图的传统定义,用于对所了解的攻击者行为概率分布情况编码。
第三,引入攻击场景图。结合了依赖关系图和攻击图,已知漏洞与最终可能受影响的任务或服务联系起来。
第四,为检测和预测提出了高效的算法,可用于大型图模型和大量告警的情况。
第五,基于按需生产部分攻击图的方法,开发了能高效评估0Day漏洞风险的方法。
第六,要回答安全分析人员可能提出的问题,就一定要通过定义安全度量指标来定义防御体系的若干方面,如面对0Day攻击时的健壮性。基于攻击图开发了一套能够度量全网网空安全风险的指标。
7.2.2 自动解释安全告警
超图告警机制(HAM):用于解决如何自动化从一组Snort规则中学习到一套超图告警机制。
针对复杂图形的可达性属性,适当修改以便解决时间约束和超图结构方面的问题,进而对安全分析人员所面对的某个告警组合做出解释。
一个超图告警机制的框架中,假定Snort规则被用于产生告警。一个超图告警机制由特定类型的阶段(node)和特定特殊类型的超边(hyper-edge)所组成。
(a)一个节点是一个二元组(m,a),用于标识snort在机器m上产生了告警a
(b)超边是一个三元组e=(H,n,δ),H是一个节点的集合;n是一个具体的节点;
δ{e}是一个映射,将每一个节点 n'∈H关联至一个非负实数。
超边e标识H中的所有事件或多或少会趋向于一起发生,而H中事件发生的时间点与n发生的时间点之间存在着一个时间延迟。对于某一个给定的事件n'∈H,δ{e}(n’)表示n’事件发生的时间点与n事件发生的时间点之间存在的时间量。
开发了一种算法,将现有的Snort规则和企业网络拓扑一起作为输入,自动生成一系列超图告警机制。
给定某一组实际发生过的告警A={a1,..., ak},解释E是具有各种不同属性的一组超边。
为某一组给定告警的解释设置了一个形式化定义,定义了几个度量指标来对每个解释进行评价。
同时将度量指标与NIST的国家漏洞数据库以及MITRE评分系统关联,使用这些度量指标,开发了一种算法,该算法能够利用度量指标间的前缀顺序关系或通过Pareto最优性,根据所有不同的度量方法找到一组最佳解释。
-----------------------------------------
(该段只说了大的思路,具体的细节后续再看是否有描述?)
帕累托最优(Pareto最优性)是指资源分配的理想状态,也可以叫做帕累托效率。假定固有的人员和可分配资源从分配的一种状态变为另一种状态,使至少一个人变得更好而其他人没有变得更糟的情况称为帕累托改进或帕累托优化。
------------------------------------
7.2.3 基于漏洞数据库的补丁部署博弈分析
常规作法,是限于时间和成本,只对被认为最易遭受攻击的软件进行补丁修复。
提出了博弈论分析方法的目标是预测攻击者的行为并做出准备,利用这些信息给防御带来对抗优势。提出了 Stackelberg博弈框架,根据该框架,防御者可以选择一组可用于修复的补丁程序,在费用和时间约束条件下,将攻击者采用破坏最大化策略可能造成的预期损害降到最低。
通过博弈论分析,能够从理论上证明攻击者采用最佳策略将很容易穿透此类防御。
研究引入了一个攻击者最佳策略的形式化概念,来表明攻击者要找到最优化的策略其实并入容易,并开发了一个适用于攻击者的算法。
问题:给定一组公开信息,如对漏洞进行补丁修复的成本,攻击者会采用什么策略来将其造成的预期破坏最大化?
防御方可以做的两件事:1.停用某些产品,以减小攻击的影响;2.对某些漏洞进行补丁修复。防御的目标是采取措施将攻击方所造成的最大影响降至最低。
7.2.4 通过大规模半监督学习为安全增强型Android系统实现自动化策略分析与完善
这个创新点重点关注对访问控制系统所生成的审计日志的自动化分析。
SELinux执行强制访问控制(MAC),相较于自主访问控制(DAC)有很大优势。理论上,如果可以预先识别每个可安装软件的可执行的非恶意访问操作,则可以据此推导出一个适当的安全策略。但这是一个不现实的目标。
相对来说有一种现实的方法,在一段足够长的时间内,通过对大量用户的访问操作进行记录,可以采集到实际使用所需的大多数访问操作,对这些信息处理后,可以推导出相应的安全策略。具体地,涉及这几个问题
(1)能够将正常用户和软件执行操作,与恶意软件执行操作分开来?
(2)能否自动生成允许正常访问并阻止恶意访问的安全策略,而且所生成的策略具有人工可读性、能够被高效强制执行?
(3)这种方法能否通过规模扩展用以处理更长时间短内采集到的数百万用户的信息?
(4)安全分析人员是否认为这种自动生成的安全策略与人工编写的策略相比,质量相对或更好?
半监督学习的训练基于标记数据(由监督学习使用)和未标记数据(由无监督学习使用)。通常在标记数据不足且收集成本偏高,而同时存在大量可用的未标记数据时才使用。半监督学习工具通过将未标记数据的特征与标记数据进行关联,可以推断出具有强关联性的未标记实例的标记。通过这种方式,可以对标记数据集的规模进行扩充。
半监督学习适用于信息提取和知识库构建。
安全分析人员将他们对各种访问模式的知识编码到策略中,并通过检查分析审计日志来完善。由于人工通常很难及时准确地完成上述手工的策略开发与完善过程,因此安全策略通常会偏于宽松,半监督学习可以将这一过程自动化,并在策略优化中实现规模可扩展性。
457
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
