基于多源數(shù)據(jù)流分析的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷普及，使得網(wǎng)絡(luò)在社會發(fā)展過程中逐漸成為不可或缺的關(guān)鍵角色，網(wǎng)絡(luò)安全在這種趨勢下受到了越來越多的關(guān)注，各類基于安全防御的手段層出不窮，在一定程度上防止了系統(tǒng)遭受安全威脅的可能性，但隨著各類新型攻擊的出現(xiàn)，這些傳統(tǒng)的安全防御手段無法有效的更新防御方案，導(dǎo)致系統(tǒng)仍然存在著潛在的威脅和風(fēng)險。面對這種嚴(yán)峻的形式，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)運而生，成為網(wǎng)絡(luò)安全研究領(lǐng)域內(nèi)的新興熱點。
　　傳統(tǒng)的安全態(tài)勢感知設(shè)備以入侵檢測設(shè)備、入

2、侵防御設(shè)備、防火墻以及主機安全服務(wù)為主。通常，這些設(shè)備在面對收集具有高利用和分析價值的信息、抽象化網(wǎng)絡(luò)安全的特征屬性以及特征化信息分類檢測這一系列復(fù)雜任務(wù)中表現(xiàn)出比較高的局限性。
　　本文以數(shù)據(jù)流為研究基礎(chǔ)，從安全態(tài)勢的要素指標(biāo)確立、安全態(tài)勢評估方法、數(shù)據(jù)流異常檢測方法、安全態(tài)勢模型的更新方案這四個方面研究了基于多源數(shù)據(jù)流的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)。研究內(nèi)容有：
　　(1)分析現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢評估方法和模型，使用適用于多源異構(gòu)

3、數(shù)據(jù)流特性的層次化分析方法，整合主機要素、鏈路要素和歷史反饋要素三個方面的態(tài)勢要素信息，提出了基于多源數(shù)據(jù)流分析的網(wǎng)絡(luò)安全態(tài)勢評估模型。依據(jù)多源數(shù)據(jù)流分析的要求，著重研究了主機安全態(tài)勢評估方法和鏈路態(tài)勢評估方法；主機層面中，通過引入時間衰減因子改進(jìn)了原有的 D-S理論從而簡單高效地對主機安全要素進(jìn)行評估。鏈路安全態(tài)勢方面，轉(zhuǎn)換了攻擊圖的構(gòu)建思路，有針對性的利用鏈路的性能指標(biāo)描述攻擊圖的狀態(tài)節(jié)點，有效的評估了異常數(shù)據(jù)流對鏈路安全的影響態(tài)勢

4、。
　　(2)根據(jù)多源數(shù)據(jù)流在端點之間數(shù)據(jù)包傳輸?shù)男蛄谢匦裕瑯?gòu)造單位時間段內(nèi)的數(shù)據(jù)流元組，結(jié)合由隱馬爾科夫模型(HMM)改進(jìn)而來的條件隨機場模型(CRF)對序列化數(shù)據(jù)流進(jìn)行分類檢測并實現(xiàn)了部分算法。同時，在檢測方法的概念之上改進(jìn)了條件隨機場對序列化數(shù)據(jù)的串行檢測的傳統(tǒng)方案，提出了基于CRF的異常數(shù)據(jù)流分層并發(fā)檢測框架。實驗分析表明，該方法對異常數(shù)據(jù)流的分類檢測精度要略好于其他方法，在算法復(fù)雜度方面基本適應(yīng)數(shù)據(jù)流的實時性要求。

5、r>　　(3)概括了選擇集成學(xué)習(xí)方法現(xiàn)有的研究現(xiàn)狀，提出了面向異常數(shù)據(jù)流的多分類器選擇集成方案，該方法主要包括三個步驟：決策輪廓矩陣的構(gòu)建、整合支持熵，使用差異度度量的方式計算各分類器集合的平均不一致度量，最終得到最優(yōu)的分類器集合。
　　本文的創(chuàng)新點主要包括：
　　(1)在網(wǎng)絡(luò)安全態(tài)勢評估方面，使用層次分析法融合各安全態(tài)勢要素，使得安全態(tài)勢評估范圍更加全面。另外，在層次分析的基礎(chǔ)上，從主機和鏈路的角度分別使用改進(jìn)的D-S理論