第1章 网络空间态势感知:网络防御态势感知 1
1.1 网络空间态势感知问题的范围 1
1.2 背景情况 3
1.3 研究目标 4
1.4 研究议程 4
1.4.1 基本原则和原理 4
1.4.2 关于研究日程的观点集萃 5
1.5 结论 10
参考文献 10
第2章 网络空间态势感知概述 11
2.1 何谓态势感知 11
2.2 态势感知参考模型与过程模型 14
2.2.1 态势感知参考模型 14
2.2.2 态势感知过程模型 19
2.3 可视化 21
2.4 态势感知在网络空间的应用 22
2.5 性能和有效性的度量 23
2.5.1 置信度 25
2.5.2 纯度 26
2.5.3 费效比 27
2.5.4 时效性 28
2.5.5 有效性衡量尺度 29
2.6 结论 29
2.7 致谢 29
参考文献 29
第3章 基于识别主导决策的假设推理 31
3.1 引言 31
3.2 基于自然决策的网络空间态势感知整体模型 32
3.2.1 决策与假设 32
3.2.2 识别主导决策(RPD)模型 34
3.3 基于RPD的假设生成和推理 35
3.3.1 基于辨识的假设生成 36
3.3.2 假设驱动的故事构造 36
3.3.3 基于RPD的协作性假设生成和推理 37
3.4 基于超图的假设推理 38
3.4.1 将事件建模为网络实体 39
3.4.2 基于超图的网络分析技术 39
3.5 基于市场的证据收集 40
3.6 小结 42
3.7 致谢 42
参考文献 43
第4章 网络空间态势感知的不确定性与风险管理 45
4.1 推断不确定性的必要性 45
4.2 处理动态不确定性的两种方法 47
4.2.1 逻辑学方法 47
4.2.2 统计学方法 47
4.3 从攻击图到贝叶斯网络 48
4.3.1 案例研究 48
4.3.2 贝叶斯网络在入侵分析方面的理想属性 50
4.3.3 根据攻击图构建贝叶斯网络 51
4.4 建立不确定性的逻辑关系的经验性方法 53
4.4.1 案例研究 53
4.4.2 案例研究的逻辑编码 54
4.4.3 与传统方法比较 58
4.5 静态不确定性与风险管理 60
4.5.1 通用漏洞评分系统(CVSS)衡量标准 61
4.5.2 CVSS与攻击图的结合 62
4.6 结论 62
参考文献 63
第5章 运用蜜网进行网络态势感知 68
5.1 简介 69
5.2 背景 71
5.3 蜜网活动的分类 72
5.4 关于活动分类的经验 75
5.5 深度态势感知 76
5.5.1 源到达属性 77
5.5.2 目标/源网络覆盖 80
5.5.3 源的宏观分析 82
5.6 走向自动化分类 85
5.7 评估僵尸网络扫描模式 87
5.7.1 单调趋势检查 87
5.7.2 活性感知扫描检查 87
5.7.3 均匀性检查 89
5.7.4 依赖性检查 89
5.8 外推全局属性 90
5.8.1 假设和要求 91
5.8.2 估算全局总数 92
5.8.3 利用IPID/端口的连续性 93
5.8.4 根据时间间隔外推 96
5.9 对自动化分类的评估 97
5.9.1 僵尸网络事件的基本特征 98
5.9.2 事件的相关性 99
5.9.3 属性检查结果 101
5.9.4 外推的评估与确认 102
5.10 小结 106
参考文献 107
第6章 通过WOMBAT评估网络犯罪 110
6.1 前言 110
6.2 简介 111
6.3 Leurré.com v1.0 Honeyd 112
6.3.1 历史背景 112
6.3.2 若干技术问题的说明 112
6.3.3 监测结果图 115
6.3.4 举例 117
6.4 Leurre.com v2.0:SGNET 120
6.4.1 提升交互水平 120
6.4.2 ScriptGen 121
6.4.3 SGNET:基于ScriptGen技术的蜜罐部署 122
6.5 攻击事件分析 126
6.5.1 攻击事件的识别 126
6.5.2 僵尸军团 128
6.5.3 观察点的影响 130
6.6 攻击事件的多维分析 134
6.6.1 分析方法 134
6.6.2 基于团的聚类 134
6.6.3 攻击者团的组合 137
6.7 超越事件相互关系:探索epsilon-gamma-pi-mu空间 139
6.7.1 自由度 141
6.7.2 有趣案例 142
6.8 结论 144
参考文献 145
第7章 拓扑漏洞分析 149
7.1 简介 149
7.2 系统体系结构 151
7.3 说明性示例 153
7.4 网络攻击建模 156
7.5 分析和可视化 158
7.6 可扩展性 161
7.7 相关工作 164
7.8 总结 164
7.9 致谢 165
参考文献 165
第8章 网络空间态势感知的跨层损害评估 168
8.1 引言 169
8.1.1 多层损害评估框架 169
8.1.2 现有的损害评估技术 173
8.1.3 本项工作的焦点:跨指令层和操作系统层的损害评估 175
8.2 PEDA:用于运行环境中的准确损害评估架构 176
8.3 基于虚拟机的跨层损害评估:概述 178
8.3.1 系统模型 178
8.3.2 问题陈述 179
8.3.3 我们的方法介绍 180
8.4 设计与实现 181
8.4.1 客户端内核未受到侵害时的跨层损害评估 181
8.4.2 跨层损害评估:客户端内核受到侵害 184
8.4.3 “假设”损害评估 185
8.5 初步仿真 188
8.5.1 受害进程的损害评估实验 188
8.5.2 恶意内核模块的实验 189
8.6 相关工作 190
8.7 局限性 192
8.8 结论 192
8.9 致谢 192
参考文献 192
第9章 用于入侵分析的一种说明性框架 196
9.1 简介 196
9.2 相关工作评述 197
9.2.1 入侵的取证分析 198
9.2.2 网络入侵修复与补救 200
9.2.3 入侵检测 200
9.2.4 安全分析 201
9.2.5 事件收集与处理结构 202
9.2.6 现行技术的共同特点 205
9.3 概述与个案研究 206
9.3.1 入侵场景 207
9.3.2 系统审查 208
9.4 入侵分析框架 208
9.4.1 信息提取与标准化 209
9.4.2 事件相关性和依存性分析 210
9.4.3 简化与精炼 211
9.5 SLog说明性编程语言 212
9.5.1 语言构造与句法 212
9.5.2 语义 214
9.6 功能评价 215
9.6.1 对已收集数据的处理 215
9.6.2 分析工具的用法与效果 216
9.7 结论 217
9.8 致谢 218
参考文献 218
第10章 自动化软件漏洞分析 224
10.1 引言 224
10.2 共同基础 226
10.3 MemSherlock:针对未知内存篡改漏洞的自动化调试工具 227
10.3.1 生成写指令集 229
10.3.2 调试漏洞 231
10.3.3 使用MemSherlock进行自动化调试 234
10.4 CBones:使用程序结构约束进行安全调试 237
10.4.1 程序的结构性约束 238
10.4.2 通过约束验证进行安全调试 242
10.4.3 提取约束 243
10.4.4 实时监控 244
10.4.5 使用CBones进行安全调试 246
10.5 比较 247
10.6 小结 248
参考文献 249
第11章 高层次网络态势感知的机器学习方法 252
11.1 引言 252
11.2 TaskTracer系统 253
11.2.1 跟踪用户当前项目 253
11.2.2 协助用户 254
11.2.3 事件探测器 256
11.3 项目关联的机器学习 258
11.3.1 邮件标注器 258
11.3.2 项目切换检测器 261
11.3.3 文件夹预测器 265
11.4 发现用户工作流 269
11.4.1 构建信息流图 270
11.4.2 挖掘信息流图 270
11.4.3 识别工作流 271
11.4.4 试验评估 271
11.5 讨论 274
11.6 结语 275
11.6.1 致谢 275
参考文献 275