网络安全态势感知技术研究

【摘要】： 近年来,Internet技术迅速发展,计算机网络在政治、经济、军事、社会生活等各个领域发挥着日益重要的作用。然而,网络中存在着大量黑客攻击、木马和病毒等威胁,使得网络安全状况日益严重。虽然防火墙、入侵检测、防病毒软件、身份认证、安全审计等安全防护和管理产品在网络中得到了广泛应用,但是这些设备往往仅限于对单点、单一的安全问题进行处理,不能相互支撑、协同工作,而且日志中存在大量的冗余、虚假警报,使得它们尚不能满足全局网络尤其是大规模网络安全状况的监控需求。因此,本文从态势感知的角度,对安全事件关联分析、网络威胁及宏观安全态势评估、态势预测等方面进行了相关研究,主要包括以下四个方面： 首先,根据网络安全威胁态势评估指标的提取原则选取威胁评估指标。在此基础上,给出了评估指标的量化方法。针对灰色关联分析方法中分辨系数的选取意义不明确的问题,还提出了基于改进灰色关联分析的评估指标权重确定方法。该方法采用层次分析法对评价指标赋予归一化的重要性权重,对关联系数赋予比较序列与参考序列数值接近程度的量化权重,从而实现了对传统的灰色关联分析模型的修正,得到的指标权重更加客观、可信。 其次,提出了基于层次式聚类的安全事件聚类方法。该方法采用层次方式结合不同的聚类方法对告警事件进行聚合,在充分体现不同聚类算法优点的同时避免了因方法单一而导致的聚类结果的单一性。此外,还提出了基于攻击图的安全事件关联方法。该方法借助网络攻击图提供的信息,得到弱点利用节点间距离(攻击图距离),通过攻击图距离来衡量安全事件间相关性,从而对多步攻击进行关联。 再次,提出了基于灰色模糊权矩阵的网络威胁评估模型和基于自适应神经模糊推理系统的网络安全宏观态势评估模型。通过建立模糊权矩阵得到最终的网络威胁评估结果和网络威胁态势图,对网络威胁评估数据进行灰色关联分析,得到每种威胁类型的和各主机的威胁程度排序结果,进而发现哪些攻击类型更危险、哪些主机受到的威胁更严重。从入侵检测系统、漏洞扫描系统等多种设备提取能够反映网络安全性的指标,并采用自适应神经模糊推理技术对其进行融合、评估,最终以量化的形式显示宏观的网络安全态势演变趋势。 最后,针对网络安全态势的预警问题,提出基于时间序列分析的网络安全态势预测技术。通过分析过去和当前的网络安全状况,结合ARMA (Auto-Regressive and Moving Average Model)时间序列分析模型对历史网络安全态势序列进行分析,得到了较为准确的网络安全态势的预测值。