網(wǎng)絡(luò)安全態(tài)勢分析與可生存性評估研究.pdf

1、態(tài)勢感知（SituationAwareness）這一概念源于航天飛行的人因（HumanFactors）研究，此后在軍事戰(zhàn)場、核反應(yīng)控制、空中交通監(jiān)管（AirTrafficControl，ATC）以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。態(tài)勢感知之所以越來越成為一項熱門研究課題，是因為在動態(tài)復(fù)雜的環(huán)境中，決策者需要借助態(tài)勢感知工具顯示當(dāng)前環(huán)境的連續(xù)變化狀況，才能準確地做出決策。近年來態(tài)勢感知也被用于網(wǎng)絡(luò)安全的研究領(lǐng)域，稱為網(wǎng)絡(luò)安全態(tài)勢感知（Ne

2、tworkSecuritySituationAwareness，NSSA）。 當(dāng)前，網(wǎng)絡(luò)安全管理人員為獲得計算機網(wǎng)絡(luò)中攻擊的高級描述，需要處理來自IDS、防火墻、防病毒軟件，以及漏洞掃描器等安全工具所產(chǎn)生的大量報警信息。報警量大、不相關(guān)報警多，使得安全管理人員面對大量報警信息很難了解系統(tǒng)的安全威脅狀況，不能及時采取合適的響應(yīng)措施，NSSA可有效地解決此問題。本文在態(tài)勢感知三級模型的基礎(chǔ)上提出了基于多源數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢功能模

3、型，接著沿著一條主線展開：多源報警信息輸入→報警提煉→網(wǎng)絡(luò)安全態(tài)勢輸出→攻擊發(fā)生之后網(wǎng)絡(luò)可生存性評估研究。從而完成了從報警的產(chǎn)生到攻擊分析，到態(tài)勢輸出，再到網(wǎng)絡(luò)的可生存性評估，給安全管理人員提供了一個高層次的，可理解的當(dāng)前網(wǎng)絡(luò)狀態(tài)的一個完整的結(jié)果。為達到此目的，主要從三個方面進行研究： 第一，多源數(shù)據(jù)報警相關(guān)性方法的研究。對CPN（ColoredPetriNet）進行擴充，增加了反映安全工具報警信息的觀測集，形成了ECPN（Ex

4、tendedColoredPetriNet），并對它進行形式化的描述與圖形建模；提出了基于ECPN攻擊場景的構(gòu)建關(guān)聯(lián)算法ECPN—Scenario—Constructor以及攻擊動作提取算法Multistep—Abstract；通過對DARPA 2000入侵場景關(guān)聯(lián)評測數(shù)據(jù)集進行實驗，可以對報警進行有效的關(guān)聯(lián)，及早的發(fā)現(xiàn)攻擊者的攻擊策略。 第二，基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知的研究。本文分析安全態(tài)勢在風(fēng)險評估中的作用，通過形式化

5、的方法從三個層次描述了安全態(tài)勢：態(tài)勢特征的提取、當(dāng)前態(tài)勢的理解、下一步態(tài)勢行為的預(yù)測。應(yīng)用D—S證據(jù)從橫向和縱向兩個方面對網(wǎng)絡(luò)安全態(tài)勢元素進行融合。橫向融合主要解決不同安全工具針對同一攻擊事件的報警，從而可以減少攻擊的報警數(shù)量，增加攻擊的可信度。橫向融合的結(jié)果作為縱向融合的輸入，縱向融和研究多傳感器相關(guān)性算法對多步復(fù)雜攻擊行為進行相關(guān)，并用Petrl網(wǎng)描述攻擊發(fā)生時系統(tǒng)狀態(tài)的改變，根據(jù)攻擊事件的到達分析網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢。 第三

6、，攻擊發(fā)生之后網(wǎng)絡(luò)可生存性的研究。網(wǎng)絡(luò)可生存性被作為評價參數(shù)對網(wǎng)絡(luò)將來的態(tài)勢進行預(yù)測，用對象Petri網(wǎng)對網(wǎng)絡(luò)系統(tǒng)進行了形式化的描述與建模，接著構(gòu)建了系統(tǒng)的攻擊失效模型，用模糊推理方法對系統(tǒng)在攻擊發(fā)生時狀態(tài)的變化進行了描述，然后在此基礎(chǔ)上對攻擊行為的嚴重程度和服務(wù)等級進行了有效量化，提出了分布式系統(tǒng)可生存的評價參數(shù)，最后用PCTL（Probabilistic real time Computation Tree Logic）描述了系統(tǒng)的