基于異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知若干關(guān)鍵技術(shù)研究.pdf

1、隨著全球信息、化的迅猛發(fā)展和人們對網(wǎng)絡(luò)依賴程度的不斷增加，網(wǎng)絡(luò)已經(jīng)成為社會生活、經(jīng)濟、軍事等領(lǐng)域中不可或缺的組成部分。傳統(tǒng)的單點異構(gòu)防御體系(如IDS、Firewall等)雖然在一定程度上提高了網(wǎng)絡(luò)系統(tǒng)的安全性，但由于彼此間缺乏有效的協(xié)作，無法實現(xiàn)全網(wǎng)的安全態(tài)勢監(jiān)控。在這種背景下提出了開展面向大規(guī)模復(fù)雜網(wǎng)絡(luò)的安全態(tài)勢感知研究，旨在將不同領(lǐng)域的安全部件融合成一個無縫的安全體系。
　　 目前，網(wǎng)絡(luò)安全態(tài)勢感知研究處于起步階段，所涉及

2、到的技術(shù)問題有很多，結(jié)合項目具體需求，需要解決系統(tǒng)框架結(jié)構(gòu)、態(tài)勢要素提取、態(tài)勢量化評估、態(tài)勢動態(tài)預(yù)測、態(tài)勢可視化等技術(shù)問題?；谏鲜銮闆r，本文提出一個網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)(NSSAS)的整體解決方案，并對所涉及到的網(wǎng)絡(luò)安全態(tài)勢要素提取、態(tài)勢評估和態(tài)勢預(yù)測幾個核心技術(shù)進行了深入研究，為項目進一步推進提供理論依據(jù)和技術(shù)參考。
　　 首先，針對應(yīng)用背景需求，采用“分布式獲取，分域式處理”的思想研究基于多傳感的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)

3、構(gòu)，并在此基礎(chǔ)上給出系統(tǒng)的環(huán)形物理結(jié)構(gòu)和層次概念模型；該框架結(jié)構(gòu)自下而上依次分為“信息獲取層——要素提取層——態(tài)勢決策層”三個層次，對每個層次所涉及的模塊進行詳細設(shè)計，并給出多源異構(gòu)安全信息XML格式化的解決方案。該結(jié)構(gòu)是一個開放、可擴展的環(huán)形結(jié)構(gòu)，能有效地降低系統(tǒng)實現(xiàn)復(fù)雜性，避免單點失效問題。此外，還從整體上明確了層次與層次、組件與組件的關(guān)系，可以指導(dǎo)工程實踐和關(guān)鍵技術(shù)的進一步開展。
　　 其次，為了融合多源異構(gòu)的網(wǎng)絡(luò)安全信息

4、，提取出反映網(wǎng)絡(luò)整體安全狀況的要素信息，研究基于相異度計算(Dissimilarity Computing， DSimC)和指數(shù)加權(quán)DS證據(jù)理論(Exponentiaily weighted DS Evidence Theory，EWDS)的網(wǎng)絡(luò)安全態(tài)勢要素提取方法，包括多源報警聚類和融合兩個階段。針對多源報警的不同階段，首先研究一種基于DSimC的多源報警聚類方法，通過計算報警之間的不同類型特征相異度來判斷報警之間的相似程度，其次研究

5、一種基于EWDS的多源報警融合方法，通過融合不同數(shù)據(jù)源所提供的證據(jù)綜合識別入侵攻擊行為。實驗結(jié)果表明，所提出的方法在TPR、FPR和DIR指標(biāo)方面均取得了不錯的效果，克服了單個安全設(shè)備誤報率和漏報率高的問題，為進一步的網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測提供有力的數(shù)據(jù)保障。
　　 再次，從攻擊和防御兩個角度出發(fā)，研究基于IAHP(Improved AnalyticHierarchy Process，IAHP)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法。首先建

6、立多層次多角度網(wǎng)絡(luò)安全態(tài)勢量化評估模型；然后在綜合考慮攻擊威脅和防御機制對服務(wù)、主機和網(wǎng)絡(luò)的影響基礎(chǔ)上，給出相應(yīng)的量化計算方法；最后采用區(qū)間形式表示兩兩指標(biāo)之間的比對結(jié)果，確定不同層次指標(biāo)的貢獻率，研究一種一致性自動修正算法，自動判斷修正不滿足一致性要求的矩陣，獲得滿足實際需求的權(quán)值，并將其運用到所提出的評估模型中，以便動態(tài)地完成整個網(wǎng)絡(luò)安全狀況的自動定量評估。實驗結(jié)果表明，從攻擊和防御兩個角度綜合評估各級安全態(tài)勢，所得實驗結(jié)果更加客觀

7、真實，并能直觀地為安全管理人員呈現(xiàn)出服務(wù)、主機和網(wǎng)絡(luò)的安全態(tài)勢走勢，減輕其數(shù)據(jù)分析負(fù)擔(dān)，進而及時調(diào)整系統(tǒng)安全策略。
　　 最后，為了更加準(zhǔn)確地對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測，研究基于遺傳小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢動態(tài)定量預(yù)測方法。在對過去和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢統(tǒng)計分析的基礎(chǔ)上，首先建立網(wǎng)絡(luò)安全態(tài)勢動態(tài)預(yù)測的小波神經(jīng)網(wǎng)絡(luò)模型；然后從編碼、適應(yīng)度計算以及遺傳操作(選擇、交叉和變異)方面對標(biāo)準(zhǔn)遺傳算法進行改進；最后采用改進的遺傳算法對態(tài)勢預(yù)測小波