基于异构传感器的网络安全态势感知若干关键技术研究.docx
- 文档编号:29282894
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:142
- 大小:4.46MB
基于异构传感器的网络安全态势感知若干关键技术研究.docx
《基于异构传感器的网络安全态势感知若干关键技术研究.docx》由会员分享,可在线阅读,更多相关《基于异构传感器的网络安全态势感知若干关键技术研究.docx(142页珍藏版)》请在冰豆网上搜索。
基于异构传感器的网络安全态势感知若干关键技术研究
基于异构传感器的网络安全态势感知若干关键技术研究
哈尔滨工程大学
博士学位论文
基于异构传感器的网络安全态势感知若干关键技术研究
姓名:
赖积保
申请学位级别:
博士
专业:
计算机应用技术
指导教师:
王慧强
20090401
基于异构传感器的网络安全态势感知若干关键技术研究
摘要
随着全球信息化的迅猛发展和人们对网络依赖程度的不断增加,网络已经成为社会生活、经济、军事等领域中不可或缺的组成部分。
传统的单点异构防御体系(如IDS、Firewall等)虽然在一定程度上提高了网络系统的安全性,但由于彼此间缺乏有效的协作,无法实现全网的安全态势监控。
在这种背景下提出了开展面向大规模复杂网络的安全态势感知研究,旨在将不同领域的安全部件融合成一个无缝的安全体系。
目前,网络安全态势感知研究处于起步阶段,所涉及到的技术问题有很多,结合项目具体需求,需要解决系统框架结构、态势要素提取、态势量化评估、态势动态预测、态势可视化等技术问题。
基于上述情况,本文提出一个网络安全态势感知系统(NSSAS)的整体解决方案,并对所涉及到的网络安全态势要素提取、态势评估和态势预测几个核心技术进行了深入研究,为项目进一步推进提供理论依据和技术参考。
首先,针对应用背景需求,采用“分布式获取,分域式处理”的思想研究基于多传感的网络安全态势感知系统框架结构,并在此基础上给出系统的环形物理结构和层次概念模型;该框架结构自下而上依次分为“信息获取层——要素提取层——态势决策层”三个层次,对每个层次所涉及的模块进行详细设计,并给出多源异构安全信息XML格式化的解决方案。
该结构是一个开放、可扩展的环形结构,能有效地降低系统实现复杂性,避免单点失效问题。
此外,还从整体上明确了层次与层次、组件与组件的关系,可以指导工程实践和关键技术的进一步开展。
其次,为了融合多源异构的网络安全信息,提取出反映网络整体安全状况的要素信息,研究基于相异度计算(DissimilarityComputing,DSimC)和指数加权DS证据理论(ExponentiallyWeightedDSEvidenceTheory,EwDS)的网络安全态势要素提取方法,包括多源报警聚类和融合两个阶段。
针对多源报警的不同阶段,首先研究一种基于DSimC的多源报警聚类方法,通过计算报警之间的不同类型特征相异度来判断报警之间的相似程度,其次研究一种基于EWDS的多源报警融合方法,通过融合不同数据源所提供的证据综合识别入侵攻击行为。
实验结果表明,所提出的方法在TPR、FPR和DIR指标方面均取得了不错的效果,克服了单个安全设备误报率和漏报率高的问题,为进一步的网络安全态势评估和预测提供有力的数据保障。
再次,从攻击和防御两个角度出发,研究基于IAHP(ImprovedAnalytic
HierarchyProcess,IAHP)的网络安全态势量化评估方法。
首先建立多层次多角度网络安全态势量化评估模型;然后在综合考虑攻击威胁和防御机制对服务、主机和网络的影响基础上,给出相应的量化计算方法;最后采用区间形式表示两两指标之间的比对结果,确定不同层次指标的贡献率,研究一种一致性自动修正算法,自动判断修正不满足一致性要求的矩阵,获得满足实际需求的权值,并将其运用到所提出的评估模型中,以便动态地完成整个网络安全状况的自动定量评估。
实验结果表明,从攻击和防御两个角度综合评估各级安全态势,所得实验结果更加客观真实,并能直观地为安全管理人员呈现出服务、主机和网络的安全态势走势,减轻其数据分析负担,进而及时调整系统安全策略。
最后,为了更加准确地对网络安全态势进行预测,研究基于遗传小波神经网络的网络安全态势动态定量预测方法。
在对过去和当前网络安全态势统计分析的基础上,首先建立网络安全态势动态预测的小波神经网络模型;然后从编码、适应度计算以及遗传操作(选择、交叉和变异)方面对标准遗传算法进行改进;最后采用改进的遗传算法对态势预测小波神经网络模型结构和参数进行优化,实现网络安全态势的非线性时间序列预测。
仿真实验表明,该预测方法比同等规模的小波神经网络、BP神经网络具有更快的收敛速度和更强的逼近能力,并能得到较高的预测精度。
而且,可以从预测结果中尽早地发现系统安全趋势和规律,以便辅助安全分析人员和管理人员及时调整安全策略。
关键词:
网络安全;态势感知;要素提取;态势评估;态势预测
Abstract
Withtherapiddevelopmentofglobalinformationandthe
increasingdependenceonnetworkforpeople,networkhasbecomean
indispensablepartinmanydomainsincludingsociallife,economic
activityandmilitary,andSOon.However,traditionalsingle-point
heterogeneoussecuritydefensetechnologies,suchasIDS,Firewalland
VDS,canenhancesecurityperformanceofnetworksystemtoacertain
degree,butamongwhichlackofeffectivecollaborationleadstobe
unabletomonitorthewholenetworksecuritysituation.Underthe
circumstances,studyoflarge—scalecomplexnetwork-orientedsecurity
situationawarenessisputforwardtofusesecuritycomponentsin
differentsecuritydomainsandformaseamlesssecuritysystem.
AtPresent,researchonnetworksecuritysituationawareness(NSSA)
isstiIiinitsinfancystage,andthereexistsmanytechnicalproblems.
Combiningwithspecificrequirementsoftheproject,system
architecture,Situationelementextraction,situationquantitative
evaluation,situationdynamicpredictionandsituationvisualization
needbesolved.Aimingatthis,anoverallsolutionfornetwork
securitysituationawarenesssystem(NSSAS)isproposed,andthecore
technologiesconsistingofsecuritysituationelementextraction,
situationevaluationandsituationpredictionaredeeplystudiedin
thisdissertation.Theworkwi11offertheoreticbaseandtechnical
referenceforadvancingtheproject.
Firstly,combinedwiththeapplicationrequirements,network
securltySituationawarenesssystemarchitecturebasedon
multi——sensorsisstudiedwithusingtheideaof‘distributed
acquisition,multi—domainprocessing’,andthenthecorresponding
ringphysicalarchitectureandhierarchicalconceptualmodelofNSSAS
areputforward.ThearchitectureofNSSASiScomposedofthreelevelS,
includinginformationacquisitionlevel,elementextractionleveland
situationdecision—makinglevelfrombottomtOtopsuccessively.The
modulesofeverylevelaredesignedindetail,andthesolutionof
multi—sourceheterogeneoussecurityinformationXMLformatiSgiven.
TheNSSASarchitecturebasedonmulti—sensorsiSanopenandextensible
ringarchitecturethatcanreducesystemimplementationcomplexityand
avoidsingle—pointfailureproblem.Atthesametime,itcanclearly
describetherelationshipamonglevelSandcomponents,andguidethe
developmentofengineeringpracticeandkeytechnologies.
Secondly,forthesakeoffusingmulti—sourceheterogeneous
securityinformationandextractingsecurityelementinformation
aboutthewholenetwork,networksecuritySituationelementextraction
methodbasedonDissimilarityComputing(DSimC)andExponentially
WeightedDSEvidenceTheory(EWDS)iSstudied.ThemethodiSdivided
intotwophasesincludingmulti——sourcealertclusteringandalert
fusing.Firstofall,multi—sourcealertclusteringmethodiSput
forwardthroughcomputingdifferentcharacteristicsdissimilarityof
alerttOjudgethedissimilarityamongalerts.Aftermulti—source
alertfusionmethodbasedonEWDSisproposedthroughfusingdifferent
sourcestOindentifyintrusionattackbehaviors.Experimentalresults
indicarethattheproposedmethoddoeswellinTruePositiveRate(TPR),
FalsePositiveRate(FPR)andDatatoInformationRate(DIR),
remarkablyreducesthenumberofalertsandenhancesdetection
performance,andsuppliesdatasourcesfornetworksecuritysituation
evaluationandsituationprediction.
Thirdly,fromviewofattack—defenseconfrontation,network
securitysituationquantitativeevaluationmethodbasedonimproved
analytichierarchyprocess(IAHP)iSstudied.Atthesametime,wegive
thecorrespondingquantitativesecuritysituationcomputationmethods
lrlservice—level,host—levelandnetwork—level,andadoptinterval
matrixtodenotethecomparativeresultbetweenindicesaccordingto
differentimportanceofdifferentindices.Aconsistencytuning
automatlCalgorithmisstudied,whichautomaticallyjudgesandtunes
intervalmatrixwhilethereisinconsistent,andinputsthe
appropriateweightsthataredirectlyusedtOnetworksecuritv
S1tuationquantitatireevaluationmodel.ExperimentalresultSshow
thattheproposedevaluationmethodcanintuitivelyprovidemore
objectivenetworksecuritySituationinservice-1evel,host一1eveland
network—levelandeasedataanalysisburdenforsecuritv
administratorswhocanadjustsystemsecuritypoliciestimelY.
卜lnally,inordertopredictthesecuritysituationmore
accurately,quantitativeprediCtionmethodofnetworksecuritv
sltuationbasedonWaveletNeuralNetworkwithGeneticA190rithm
(GAWNN)isstudied.Afteranalyzingthepastandthecurrentnetwork
securltyS1tuationindetail,webuildanetwork-security—situation
predictionmodelbasedonwaveletneuralnetworkthatiSoptimizedby
theimprovedgeneticalgorithmwhichisimprovedincoding,fitness
computationandgeneticoperation,etc,andthenadopttheGA脒Nto
forecastthenon一1ineartimeseriesofnetworksecuritysituation.
31mulatlonexperimentsprovethattheproposedmethodhasadvantages
overWaveletNeuralNetwork(wxN)methodandBackPropagationNeural
Network(BPNN)methodwiththesamearchitectureintheconvergence
speed,thefunctionalapproximationandpredictionaccuracv.What,s
more,systemsecuritytendencyandlawsarerevealedfromprediction
resultasearlyaspossible,bywhichsecurityanalyzersand
administratorscanadjustsecuritypoliciesinreal—time.
Keywords:
Networksecurity;Situationawareness;Elementextraction:
Situationevaluation;Situationprediction
第l章绪论
1.1研究背景
随着全球信息化的迅猛发展和人们对网络依赖程度的不断增加,网络已经成为社会、经济、军事等领域中不可或缺的重要组成部分。
根据中国互联网络信息中心(CNNIC)调查统计⋯,截至2008年12月31日,中国网民规模达到2.98亿人,较2007年增长41.9%,互联网普及率达到22.6%,略高于全球平均水平(21.9%);继2008年6月中国网民规模超过美国成为全球第一之后,中国的互联网普及再次实现飞跃,赶上并超过了全球平均水平,具体情况如图1.1所示。
依据维基百科(Wikipediap的调查显示,截至2008年底,全球大约有15.82亿用户连入互联网进行信息交互或者商业运作。
伴随着互联网的迅速普及和高速发展,网络系统的复杂度、规模和速度也与日俱增,因其开放性和安全漏洞所带来的风险也无时不在。
依据CERT统计结果”’可知,2008年三季度该组织共收到信息系统安全漏洞报告6058个,自1995年以来,漏洞报告总数达至U44074个,具体统计结果如图1.2所示。
随着各种漏洞不断地被曝光,不断地被黑客利用,给企业、机构甚至国家带来了巨大损失。
日益严峻的安全威胁迫使各个职能部门不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了IDS、防火墙、VPN、从A等大量异构的单点安全防御技术。
然而,现有网络安全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,从而形成了一个个的安全“孤岛”,使得网络安全不得不面对新的挑战。
依据网络信息安全的“木桶原则”可知,一个网络的安全不仅依赖于单个安全部件的能力,也依赖于各安全部件之间的紧密协作。
因此,通过全面、集中的安全管理和智能、综合的事件分析,将不同领域的安全部件融合成一个无缝的安全体系,已成为下一代整网安全解决方案的发展趋势。
在这种情况下,很多机构组织提出开展网络安全态势感知研究是非常及时也是非常必要的。
网络安全态势感知关键技术作为实现网络安全态势感知系统的重要前提和基础,目前各项技术处于起步阶段,各种态势要素提取方法、态势评估方法以及趋势预测方法等都不够完善,有其自身的局限性,无法有效地对整个网络实施安全态势的动态评估和趋势预测。
在这种情况下,本文提出开展基于多传感器的网络安全态势感知关键技术研究,重点关注网络安全态势感知系统框架结构、网络安全态势要素提取技术、网络安全态势量化评估技术以及网络安全态势动态预测技术。
本课题来源于某计划——“某网络安全态势感知系统信息获取技术”,国家863项目“基于自律计算的分布式系统可恢复性关键技术(2007“012401)”以及国家自然科学基金重大研究计划“基于自律计算的软件可信性增长模型与方法(90718003)”,重点研究解决网络安全态势感知系统体系结构、模型、指标体系、关键技术(主要包括高速实时采集技术、网络安全态势在线挖掘技术、多源异构信息融合技术以及多角度多视图的态势可视化技术)等,本文尝试解决基于多传感器的大规模网络安全态势感知系统体系结构等若干关键技术问题。
1.2国内外研究现状及分析
态势感知(SituazionAwareness)这一概念源于航天飞行的人因(Human
Factors)研究“’,此后在军事战场”1、核反应控制⋯、空中交通监管“(Air
TrafficControl,ATC)以及医疗应急调度噶}领域被广泛地应用。
态势感知之所以逐渐成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,准确地做出决策。
而随着网络的不断壮大和普及应用,网络病毒、DoS/DDoS攻击等所造成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品已无法实现对整个网络态势的实时监控。
1999年,TimBass等人首次提出了网络态势感知(CyberspaceSituationAwareness)概念”1,并将其与ATC态势感知进行对比,旨在把ATC态势感知的成熟理论和技术推广到网络态势感知中,实现对网络态势的实时监控。
其中较有代表性的个人、科研机构以及军方计划等方面展开介绍,如图l3所示。
当前网络安全态势感知研究主要围绕NSSAS结构设计、态势评估、态势预测、态势可视化”等领域。
值得一提的是,在物理战场态势评估方面””“取得的丰硕成果,这对开展网络安全态势感知系统研究具有一定的借鉴与启发意义。
为了把握该领域的国内外专利申请和授权情况,在“欧洲专利库”、“美国专利库”和“中国专利库”中分别进行检索,给出了与该领域研究相关检索结果,如表1.1所示。
通过分析发现,主要是围绕战场空间来开展态势感知研究,而针对虚拟网络空间的态势感知研究相关专利还未见报道,这也再次验证本课题研究具有一定的新颖性。
纵观国内外,目前网络安全态势感知研究仍处于起步阶段,有很多问题
尚待解决,结合项目具体需求,需要优先解决系统框架结构、态势要素提取、态势量化评估和态势动态预测这几项技术,为项目的后续开展提供理论支持和技术参考。
下面给出现状介绍的具体流程,如图1.4所示,首先“明确功能概念”主要是弄清什么叫态势?
什么叫态势感知?
什么叫网络安全态势感知?
等一系列问题,其次“分析模型结构”主要是对JDL模型、Endsely模型以及融合模型等目前比较流行的几种态势感知模型进行分析,再次“探讨核心技术”主要从网络安全态势要素提取技术、态势评估技术以及态势预测技术三方面进行分析,最后总结提炼出目前该领域所存在的问题和发展趋势。
1.2.1态势感知相关概念
1.2.1.1态势和感知
“态势”(situation)这一概念最早源于军事战场领域,通常用于刻画一个较大范围的、环境动态变化的、受多因素影响的、内部结构比较复杂的被研究对象的整体状态和变化趋势。
随着计算机技术和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 传感器 网络安全 态势 感知 若干 关键技术 研究