模糊認(rèn)知與關(guān)聯(lián)融合在信息安全保障中的應(yīng)用.pdf

1、網(wǎng)絡(luò)信息安全系統(tǒng)及其生存環(huán)境中存在著廣泛的不確定性，構(gòu)建和完善網(wǎng)絡(luò)信息安全保障體系是一項(xiàng)復(fù)雜的系統(tǒng)工程。由于諸多不確定性因素的存在、以及諸因素間的復(fù)雜關(guān)聯(lián)關(guān)系，對于系統(tǒng)安全風(fēng)險(xiǎn)的總體分析與量化評估、入侵檢測與監(jiān)控系統(tǒng)的警報(bào)融合關(guān)聯(lián)、以及網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢評估等關(guān)鍵問題，傳統(tǒng)技術(shù)方法難以提供有效的解決方案。 本文基于建設(shè)和改進(jìn)某動態(tài)網(wǎng)絡(luò)安全保障系統(tǒng)的實(shí)際工程背景，在多個(gè)相關(guān)課題項(xiàng)目的資助下，以系統(tǒng)認(rèn)知推理的模糊性和系統(tǒng)構(gòu)成要素

2、之間關(guān)聯(lián)關(guān)系的復(fù)雜性為切入點(diǎn)，深入研究了模糊認(rèn)知與關(guān)聯(lián)融合方法及其在系統(tǒng)風(fēng)險(xiǎn)評估、入侵警報(bào)融合、安全態(tài)勢評估中的應(yīng)用，為工程項(xiàng)目的具體實(shí)施提供理論算法依據(jù)和專業(yè)技術(shù)支撐，取得了如下幾個(gè)方面的研究成果和創(chuàng)新點(diǎn)： 1.基于關(guān)聯(lián)融合的模糊認(rèn)知圖框架與模型。針對現(xiàn)有FCM模型的普遍缺陷，為有效模擬節(jié)點(diǎn)間與或關(guān)聯(lián)的不確定性，將多屬性決策中的OWA/WOWA算子族引入模糊認(rèn)知圖理論研究領(lǐng)域，構(gòu)建了基于OWA算子和WOWA算子的模糊認(rèn)知圖框架

3、：OWA-FCM、WOWA-FCM。進(jìn)而分別在上述框架下提出了基于OWA算子的概率模糊認(rèn)知圖(OWA-PFCM)模型、基于WOWA算子的混合模糊認(rèn)知圖(HFCM)模型。OWA-PFCM模型能同時(shí)表示因果節(jié)點(diǎn)狀態(tài)的不確定性、因果聯(lián)系強(qiáng)度的不確定性、與或組合關(guān)系的不確定性，比傳統(tǒng)FCM具有更強(qiáng)的模擬能力和靈活性。HFCM模型增強(qiáng)了傳統(tǒng)FCM的語義信息和模擬能力，解決了規(guī)則組合激增問題，提高了FCM的表示與推理性能，兼有數(shù)值型FCM和語言型F

4、CM的優(yōu)點(diǎn)。 2.基于模糊關(guān)聯(lián)融合的層次化網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法與模型。從系統(tǒng)風(fēng)險(xiǎn)分析與評估的角度，建立了信息系統(tǒng)安全保障體系的整體框架模型。為保證漏洞檢測的效果并提高掃描效率，提出一種基于信息層次，以端口掃描為基礎(chǔ)、漏洞庫匹配與插件檢測技術(shù)相結(jié)合，通過“逐級判斷”來組織的漏洞掃描策略。針對網(wǎng)絡(luò)風(fēng)險(xiǎn)評估中存在的不確定性和主觀性、評估要素關(guān)聯(lián)關(guān)系的模糊性與復(fù)雜性、以及屬性關(guān)聯(lián)性合成權(quán)重在實(shí)際評估中難以獲得的特點(diǎn)，提出了基于Shapley

5、熵與Choquet積分的層次化風(fēng)險(xiǎn)評估模型。該模型通過引入多人合作對策中的Shapley值概念，基于最大Shapley熵原理、運(yùn)用逐級Choquet積分融合的層次分析法解決貧信息情況下信息系統(tǒng)風(fēng)險(xiǎn)綜合評估問題。園區(qū)子網(wǎng)信息安全風(fēng)險(xiǎn)評估實(shí)例驗(yàn)證了方法與模型的有效性。 3.基于模糊認(rèn)知的入侵警報(bào)關(guān)聯(lián)融合方法與模型。針對網(wǎng)絡(luò)分布式IDS存在的問題，基于攻擊意圖分析與因果認(rèn)知思想，提出了模糊入侵警報(bào)融合關(guān)聯(lián)框架模型。該模型僅包含警報(bào)規(guī)范

6、化、警報(bào)聚合、警報(bào)驗(yàn)證、關(guān)聯(lián)認(rèn)知四個(gè)環(huán)節(jié)，簡化了傳統(tǒng)的警報(bào)融合過程，并具有較強(qiáng)的適應(yīng)性。提出了基于特征屬性相似度的警報(bào)聚合算法、基于目標(biāo)環(huán)境屬性相關(guān)度的警報(bào)驗(yàn)證算法、以及基于WOWA-FCM的復(fù)合攻擊警報(bào)關(guān)聯(lián)認(rèn)知方法。上述方法將警報(bào)聚合、警報(bào)驗(yàn)證、關(guān)聯(lián)認(rèn)知過程有機(jī)結(jié)合于WOWA-FCM模型，不僅能有效消除警報(bào)冗余、提高警報(bào)質(zhì)量，并且能識別復(fù)合攻擊各個(gè)階段、構(gòu)建完整的攻擊視圖、動態(tài)評判攻擊的總體進(jìn)度和目標(biāo)系統(tǒng)的安全狀態(tài)。DARPA2000

7、LLDOS數(shù)據(jù)集實(shí)驗(yàn)證明了方法與模型的有效性。 4.面向入侵響應(yīng)決策的層次化安全態(tài)勢評估方法與模型。從系統(tǒng)安全防護(hù)與安全管理的實(shí)際需求出發(fā)，建立了層次化安全態(tài)勢評估模型。提出了基于WOWA合成的模糊層次分析法(WOWA-FAHP)和基于WOWA-FAHP的網(wǎng)絡(luò)安全態(tài)勢評估模型。WOWA-FAHP方法在繼承模糊層次分析法優(yōu)點(diǎn)的基礎(chǔ)上兼顧屬性間的客觀、主觀關(guān)聯(lián)性，能夠適應(yīng)各種決策偏好?；赪OWA-FAHP的評估模型把動態(tài)評估與靜態(tài)