大规模网络安全态势感知关键技术研究

【摘要】：随着互联网技术的发展以及社会信息化程度的提高,网络安全的重要性已经得到普遍认可,各种网络安全产品被应用到网络中以提供多源的安全数据。但现有的网络安全保障或管理系统,虽然能够获取大量的安全数据,却缺乏有效的数据融合和协同管理机制。网络态势感知作为下一代网络管理系统,受到越来越多的关注,成为网络安全研究中的新热点。 传统的网络态势感知基本以入侵检测报警记录为数据源。而入侵检测系统在大规模高速主干网上难以部署,导致目前的网络态势感知研究局限于中小规模网络。本文针对大规模网络研究其态势感知方法,数据来源不限于入侵检测的报警记录,更偏重网络链接设备产生的网络流量记录,把觉察扩大到高速主干网。研究取得如下创新性成果: 1.针对大规模网络建立了一个“层次化的大规模网络态势感知模型”,将传统中小规模网络感知推广到大规模网络中。该模型底层以报警记录为主要数据源进行分支网络感知,高层以流量特征为数据源进行主干网感知,并确定了对分支网络的感知基于对象进行,而对主干网络的感知基于流量特征进行的感知原则。 2.创建了一个“基于网络模块化结构的异常发现”理论,来应对现有流量分析方法应用在高速主干网络时表现出的检测准确率和检测效率双双降低的问题。该理论建模分析了网络划分策略和网络总体检测率之间的关系,将复杂网络的模块理论引进网络划分中,确定了基于网络固有的模块特性划分网络的策略,将网络划分为一个个的“模块”分别并行检测,并设计了具有模块特性的流量特征,在用强相关分析优选特征集后,引进小波偏离值方法进行精细检测,实验表明该理论可以有效提高主干网感知的准确率和效率。 3.设计了一个“基于相似度的宏观网络报警觉察算法”,在现有基于相似度的报警关联算法基础上重新定了相似度和相似度阈值选取方法以及输出结果的形式,使得关联结果反映人能够理解的攻击步骤及范围;并在此基础上设计了一套简洁适用的底层应急响应机制,通过预先设置策略模板,实时产生应急策略,联动网络安全设备执行,抑制局部异常的蔓延。