網絡安全態(tài)勢感知若干關鍵性問題研究.pdf

1、隨著信息技術的持續(xù)發(fā)展和網絡規(guī)模的日益擴大，信息安全的重要性已經得到了業(yè)內人士的普遍認同。為了保障網絡信息安全，開展大規(guī)模的網絡安全態(tài)勢感知研究是十分必要的。相關研究對于提高我國網絡系統(tǒng)的應急響應能力、緩解網絡攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義。網絡態(tài)勢感知技術作為一項新技術，具有很大的發(fā)展空間。 網絡安全態(tài)勢感知的研究，目前尚未有嚴格統(tǒng)一的標準。但是業(yè)內人士在該領域的不懈研究，已對

2、態(tài)勢感知形成共識。網絡安全態(tài)勢感知包括三個階段的處理過程，即網絡安全態(tài)勢覺察(Perception)、網絡安全態(tài)勢理解(Comprehension)和網絡安全態(tài)勢預測(Prediction)，其通過定性或定量的網絡安全態(tài)勢評價體系對底層各類安全事件進行歸并、關聯(lián)和融合處理，并將獲取的態(tài)勢感知結果以可視化圖形提供給網絡管理人員。管理人員根據視圖提供的信息判斷網絡當前及未來可能的安全態(tài)勢發(fā)展趨勢，進而做出有效應對措施。因此，使用信息融合和風

3、險評估等技術，提高底層監(jiān)測設備對事件的檢測能力，并在此基礎上獲取準確有效的定性或定量評價體系，成為網絡安全態(tài)勢感知領域的重要研究方向。 在網絡安全態(tài)勢覺察階段，網絡安全態(tài)勢感知使用的安全事件或性能指標來自底層安全設備，因此其感知能力受到底層安全設備的準確性和效率的直接影響。通過考察Dempster-Shafer證據合并理論及其不確定性分配原則，將該理論身份推理方法同多個傳感器檢測的結果進行聯(lián)合，定義主觀不確定度和客觀不確定度的概

4、念，提出了傳感器空間合并方案及不確定度再分配原則，達到了消除單傳感器檢測盲區(qū)，提升檢測準確度的目的。此外，為解決以往研究中較少討論如何在流量指標選擇過程中利用特征提取方案有效地甄別異常的問題，本文引入無指導學習(Unsupervised Learning)算法對特征選擇(Feature Selection)方案進行了最優(yōu)評估，得出了流量統(tǒng)計特征能夠有效地區(qū)分流量狀態(tài)的結論，為檢測融合方案的實現(xiàn)提供了理論基礎。 當前，網絡安全態(tài)勢

5、感知多集中在面向攻擊威脅的態(tài)勢理解研究。態(tài)勢理解方案一般采用風險指數(RiskIndex)作為評價指標，通過將網絡進行層次劃分，利用加權融合底層元素的風險值來實現(xiàn)對態(tài)勢感知結果的定量評價。本文的研究旨在獲得更具客觀性和通用性的評價結果，消除以往定量評價指標體系中加權系數分配所帶有的隨機性和主觀性的不足。在深入分析網絡層次化結構的基礎上，將層次分析法(Analytic Hierarchy Process)引入網絡安全態(tài)勢定量評價指標體系中

6、，將服務層、主機層和網絡層與AHP中的方案層、指標層和目標層對應起來。本文定義態(tài)勢元(Situation Meta)、態(tài)勢權(Situation Weight)和態(tài)勢基(Situation Base)概念來規(guī)范網絡安全態(tài)勢的定量評價指標體系。并通過實例描述了如何構建成對比較矩陣(判斷矩陣)，利用服務風險指數作為態(tài)勢基，最終獲得定量的網絡安全態(tài)勢感知結果的過程。仿真結果證明了方案的可行性。 不同的研究組織對網絡安全態(tài)勢感知過程的理

7、解不同，再加之缺少一個標準的態(tài)勢信息載體和態(tài)勢提取框架，使得網絡安全態(tài)勢理解能力無從評價，缺少規(guī)范性。Endsley態(tài)勢模型是傳統(tǒng)態(tài)勢感知領域內的經典模型，具有規(guī)范的數據處理和態(tài)勢提取過程，但該模型較少應用于網絡安全態(tài)勢領域。同時針對以往研究多集中在安全態(tài)勢的定性或定量評價體系設計，較少涉及安全態(tài)勢建模的現(xiàn)狀，本文提出了基于Endsley模型的可擴展網絡安全態(tài)勢模型及態(tài)勢提取框架。該方案將用戶所關心的攻擊頻次、攻擊時間以及空間等態(tài)勢信息

8、合并形成細粒度的多元結構，同時引入重要的知識庫概念輔助態(tài)勢提取，使用戶可在態(tài)勢模型之上進行基于時間、空間因素的二次分析，提取感興趣的態(tài)勢信息，進而輔助用戶決策。該方案分別使用HoneyNet和交大校園網的數據進行評估，能夠形成高效明確的態(tài)勢可視圖。在突出高危態(tài)勢變化的同時也注重低危態(tài)勢變化的細節(jié)，便于用戶的分析和管理，對規(guī)范態(tài)勢提取過程及安全態(tài)勢建模具有一定的參考價值。 完整的網絡安全態(tài)勢感知包括網絡安全態(tài)勢覺察、態(tài)勢理解和態(tài)勢

9、預測，但歷史研究多集中在前兩階段。由于網絡入侵或攻擊的強隨機性和不確定性，使得以此為基礎所獲取的安全態(tài)勢變化是一個復雜非線性過程，限制了傳統(tǒng)預測模型的使用。本文在對網絡攻擊導致的態(tài)勢變化過程分析中，得到了網絡安全態(tài)勢風險值的累加曲線具有“S”型曲線特征的論點，并對經典的灰色Verhulst模型提出改進方案。所提出的基于自適應參數(AdaptiveParameters)及等維灰數遞補(Equal-DimensionsGreyFilling

10、)灰色Verhulst模型，利用一階累加數列的波動情況進行模型參數的動態(tài)調整。該方案還通過引入等維灰數遞補方法，能夠在不增加常規(guī)模型計算復雜度的情況下，克服以往預測方案不能對曲線趨勢變化及時更新的不足。試驗結果證明，相對于以往基于常規(guī)GM(1，1)及常規(guī)灰色Verhulst模型的預測方法，本方案有效地改善了預測精度，并且具有可推廣的價值。 最后本文在總結全文的基礎上討論了未來安全態(tài)勢感知研究需要面對的問題，并提出了時間序列(Ti