網(wǎng)絡(luò)安全態(tài)勢感知若干關(guān)鍵性問題研究.pdf

1、隨著信息技術(shù)的持續(xù)發(fā)展和網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，信息安全的重要性已經(jīng)得到了業(yè)內(nèi)人士的普遍認(rèn)同。為了保障網(wǎng)絡(luò)信息安全，開展大規(guī)模的網(wǎng)絡(luò)安全態(tài)勢感知研究是十分必要的。相關(guān)研究對于提高我國網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義。網(wǎng)絡(luò)態(tài)勢感知技術(shù)作為一項新技術(shù)，具有很大的發(fā)展空間。 網(wǎng)絡(luò)安全態(tài)勢感知的研究，目前尚未有嚴(yán)格統(tǒng)一的標(biāo)準(zhǔn)。但是業(yè)內(nèi)人士在該領(lǐng)域的不懈研究，已對

2、態(tài)勢感知形成共識。網(wǎng)絡(luò)安全態(tài)勢感知包括三個階段的處理過程，即網(wǎng)絡(luò)安全態(tài)勢覺察(Perception)、網(wǎng)絡(luò)安全態(tài)勢理解(Comprehension)和網(wǎng)絡(luò)安全態(tài)勢預(yù)測(Prediction)，其通過定性或定量的網(wǎng)絡(luò)安全態(tài)勢評價體系對底層各類安全事件進(jìn)行歸并、關(guān)聯(lián)和融合處理，并將獲取的態(tài)勢感知結(jié)果以可視化圖形提供給網(wǎng)絡(luò)管理人員。管理人員根據(jù)視圖提供的信息判斷網(wǎng)絡(luò)當(dāng)前及未來可能的安全態(tài)勢發(fā)展趨勢，進(jìn)而做出有效應(yīng)對措施。因此，使用信息融合和風(fēng)

3、險評估等技術(shù)，提高底層監(jiān)測設(shè)備對事件的檢測能力，并在此基礎(chǔ)上獲取準(zhǔn)確有效的定性或定量評價體系，成為網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的重要研究方向。 在網(wǎng)絡(luò)安全態(tài)勢覺察階段，網(wǎng)絡(luò)安全態(tài)勢感知使用的安全事件或性能指標(biāo)來自底層安全設(shè)備，因此其感知能力受到底層安全設(shè)備的準(zhǔn)確性和效率的直接影響。通過考察Dempster-Shafer證據(jù)合并理論及其不確定性分配原則，將該理論身份推理方法同多個傳感器檢測的結(jié)果進(jìn)行聯(lián)合，定義主觀不確定度和客觀不確定度的概

4、念，提出了傳感器空間合并方案及不確定度再分配原則，達(dá)到了消除單傳感器檢測盲區(qū)，提升檢測準(zhǔn)確度的目的。此外，為解決以往研究中較少討論如何在流量指標(biāo)選擇過程中利用特征提取方案有效地甄別異常的問題，本文引入無指導(dǎo)學(xué)習(xí)(Unsupervised Learning)算法對特征選擇(Feature Selection)方案進(jìn)行了最優(yōu)評估，得出了流量統(tǒng)計特征能夠有效地區(qū)分流量狀態(tài)的結(jié)論，為檢測融合方案的實現(xiàn)提供了理論基礎(chǔ)。 當(dāng)前，網(wǎng)絡(luò)安全態(tài)勢

5、感知多集中在面向攻擊威脅的態(tài)勢理解研究。態(tài)勢理解方案一般采用風(fēng)險指數(shù)(RiskIndex)作為評價指標(biāo)，通過將網(wǎng)絡(luò)進(jìn)行層次劃分，利用加權(quán)融合底層元素的風(fēng)險值來實現(xiàn)對態(tài)勢感知結(jié)果的定量評價。本文的研究旨在獲得更具客觀性和通用性的評價結(jié)果，消除以往定量評價指標(biāo)體系中加權(quán)系數(shù)分配所帶有的隨機(jī)性和主觀性的不足。在深入分析網(wǎng)絡(luò)層次化結(jié)構(gòu)的基礎(chǔ)上，將層次分析法(Analytic Hierarchy Process)引入網(wǎng)絡(luò)安全態(tài)勢定量評價指標(biāo)體系中

6、，將服務(wù)層、主機(jī)層和網(wǎng)絡(luò)層與AHP中的方案層、指標(biāo)層和目標(biāo)層對應(yīng)起來。本文定義態(tài)勢元(Situation Meta)、態(tài)勢權(quán)(Situation Weight)和態(tài)勢基(Situation Base)概念來規(guī)范網(wǎng)絡(luò)安全態(tài)勢的定量評價指標(biāo)體系。并通過實例描述了如何構(gòu)建成對比較矩陣(判斷矩陣)，利用服務(wù)風(fēng)險指數(shù)作為態(tài)勢基，最終獲得定量的網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果的過程。仿真結(jié)果證明了方案的可行性。 不同的研究組織對網(wǎng)絡(luò)安全態(tài)勢感知過程的理

7、解不同，再加之缺少一個標(biāo)準(zhǔn)的態(tài)勢信息載體和態(tài)勢提取框架，使得網(wǎng)絡(luò)安全態(tài)勢理解能力無從評價，缺少規(guī)范性。Endsley態(tài)勢模型是傳統(tǒng)態(tài)勢感知領(lǐng)域內(nèi)的經(jīng)典模型，具有規(guī)范的數(shù)據(jù)處理和態(tài)勢提取過程，但該模型較少應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢領(lǐng)域。同時針對以往研究多集中在安全態(tài)勢的定性或定量評價體系設(shè)計，較少涉及安全態(tài)勢建模的現(xiàn)狀，本文提出了基于Endsley模型的可擴(kuò)展網(wǎng)絡(luò)安全態(tài)勢模型及態(tài)勢提取框架。該方案將用戶所關(guān)心的攻擊頻次、攻擊時間以及空間等態(tài)勢信息

8、合并形成細(xì)粒度的多元結(jié)構(gòu)，同時引入重要的知識庫概念輔助態(tài)勢提取，使用戶可在態(tài)勢模型之上進(jìn)行基于時間、空間因素的二次分析，提取感興趣的態(tài)勢信息，進(jìn)而輔助用戶決策。該方案分別使用HoneyNet和交大校園網(wǎng)的數(shù)據(jù)進(jìn)行評估，能夠形成高效明確的態(tài)勢可視圖。在突出高危態(tài)勢變化的同時也注重低危態(tài)勢變化的細(xì)節(jié)，便于用戶的分析和管理，對規(guī)范態(tài)勢提取過程及安全態(tài)勢建模具有一定的參考價值。 完整的網(wǎng)絡(luò)安全態(tài)勢感知包括網(wǎng)絡(luò)安全態(tài)勢覺察、態(tài)勢理解和態(tài)勢

9、預(yù)測，但歷史研究多集中在前兩階段。由于網(wǎng)絡(luò)入侵或攻擊的強(qiáng)隨機(jī)性和不確定性，使得以此為基礎(chǔ)所獲取的安全態(tài)勢變化是一個復(fù)雜非線性過程，限制了傳統(tǒng)預(yù)測模型的使用。本文在對網(wǎng)絡(luò)攻擊導(dǎo)致的態(tài)勢變化過程分析中，得到了網(wǎng)絡(luò)安全態(tài)勢風(fēng)險值的累加曲線具有“S”型曲線特征的論點，并對經(jīng)典的灰色Verhulst模型提出改進(jìn)方案。所提出的基于自適應(yīng)參數(shù)(AdaptiveParameters)及等維灰數(shù)遞補(Equal-DimensionsGreyFilling

10、)灰色Verhulst模型，利用一階累加數(shù)列的波動情況進(jìn)行模型參數(shù)的動態(tài)調(diào)整。該方案還通過引入等維灰數(shù)遞補方法，能夠在不增加常規(guī)模型計算復(fù)雜度的情況下，克服以往預(yù)測方案不能對曲線趨勢變化及時更新的不足。試驗結(jié)果證明，相對于以往基于常規(guī)GM(1，1)及常規(guī)灰色Verhulst模型的預(yù)測方法，本方案有效地改善了預(yù)測精度，并且具有可推廣的價值。 最后本文在總結(jié)全文的基礎(chǔ)上討論了未來安全態(tài)勢感知研究需要面對的問題，并提出了時間序列(Ti