加載隱私保護(hù)的網(wǎng)絡(luò)安全綜合管理關(guān)鍵技術(shù)研究.pdf

1、網(wǎng)絡(luò)應(yīng)用的普遍化，信息系統(tǒng)的規(guī)?；?、網(wǎng)絡(luò)化和去中心化使得惡意攻擊、病毒泛濫等隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題愈加凸顯。各類攻擊手段隨應(yīng)用發(fā)展不斷翻新，具有關(guān)聯(lián)化、復(fù)雜化和難以檢測(cè)等新的特點(diǎn)。在更加嚴(yán)峻的安全形勢(shì)下，為保障網(wǎng)絡(luò)及信息系統(tǒng)的安全，需要對(duì)報(bào)警關(guān)聯(lián)分析和安全評(píng)估等網(wǎng)絡(luò)安全綜合管理技術(shù)開展更為深入的研究。
　　 網(wǎng)絡(luò)安全綜合管理技術(shù)近年來(lái)取得了實(shí)質(zhì)性進(jìn)展。在安全報(bào)警關(guān)聯(lián)分析方面，基于安全事件因果關(guān)系、預(yù)定義關(guān)聯(lián)規(guī)則、構(gòu)建網(wǎng)絡(luò)攻擊圖和

2、數(shù)據(jù)挖掘技術(shù)的各種關(guān)聯(lián)方法應(yīng)用廣泛，成為構(gòu)建攻擊場(chǎng)景和識(shí)別攻擊意圖的主要手段;在安全風(fēng)險(xiǎn)評(píng)估方面，基于指標(biāo)體系以及各種層次化態(tài)勢(shì)評(píng)估模型的評(píng)估方法，實(shí)現(xiàn)了系統(tǒng)風(fēng)險(xiǎn)管理和安全態(tài)勢(shì)感知。然而，面對(duì)共享協(xié)同的需求和網(wǎng)絡(luò)安全的高復(fù)雜性、強(qiáng)對(duì)抗性，現(xiàn)有網(wǎng)絡(luò)安全綜合管理技術(shù)存在局限性:首先，網(wǎng)絡(luò)安全報(bào)警關(guān)聯(lián)與分析技術(shù)有較強(qiáng)的專家知識(shí)依賴性或高計(jì)算代價(jià)，與實(shí)際應(yīng)用存在距離;其次，網(wǎng)絡(luò)系統(tǒng)安全威脅狀況的評(píng)估通常僅關(guān)注單一網(wǎng)絡(luò)域中攻擊事件對(duì)系統(tǒng)安全造成的

3、影響，難以反映全局化的安全威脅態(tài)勢(shì);最后，隱私問(wèn)題已成為安全數(shù)據(jù)共享及協(xié)同分析邁向?qū)嶋H應(yīng)用的重大阻礙之一，而現(xiàn)有的安全綜合管理方法較少考慮對(duì)原始分析數(shù)據(jù)的隱私保護(hù)，已提出的隱私保護(hù)方法也存在運(yùn)算復(fù)雜度高、或?qū)︻I(lǐng)域知識(shí)依賴性較大等問(wèn)題。圍繞上述問(wèn)題，本文在安全報(bào)警關(guān)聯(lián)分析和安全風(fēng)險(xiǎn)評(píng)估方面展開研究，并結(jié)合隱私保護(hù)技術(shù)，形成了較為完善的加載隱私保護(hù)的網(wǎng)絡(luò)安全綜合管理技術(shù)框架。
　　 在入侵報(bào)警敏感數(shù)據(jù)的安全研究方面，本文基于對(duì)報(bào)警數(shù)

4、據(jù)的結(jié)構(gòu)化分析，設(shè)計(jì)了一種面向入侵報(bào)警敏感數(shù)據(jù)的隱私保護(hù)方法。本文對(duì)Incognito算法進(jìn)行了改進(jìn)，引入熵引導(dǎo)的報(bào)警泛化層次設(shè)計(jì)方法，形成了對(duì)報(bào)警數(shù)據(jù)的泛化匿名處理模型，在此基礎(chǔ)上，提出了基于效用的泛化度量方法，實(shí)現(xiàn)了報(bào)警信息的保護(hù)程度和數(shù)據(jù)質(zhì)量間的量化評(píng)估。隨后，進(jìn)一步設(shè)計(jì)了基于泛化子圖的報(bào)警頻數(shù)計(jì)算方法，以減少對(duì)報(bào)警數(shù)據(jù)集的遍歷次數(shù)，提升了算法效率。實(shí)驗(yàn)證明，與經(jīng)典的k-匿名模型相比，所提出方法在報(bào)警數(shù)據(jù)隱私保護(hù)方面具有高效性和有

5、效性。
　　 利用頻繁模式挖掘技術(shù)獲取安全報(bào)警屬性之間的關(guān)聯(lián)關(guān)系是進(jìn)行報(bào)警關(guān)聯(lián)分析和研究的主要途徑之一。出于隱私考慮，在缺乏安全共享與協(xié)作機(jī)制的情況下，現(xiàn)有方法難以在實(shí)際關(guān)聯(lián)分析場(chǎng)景下應(yīng)用。針對(duì)上述問(wèn)題，本文結(jié)合典型的頻繁模式挖掘算法，提出了隱私保護(hù)的安全事件屬性關(guān)聯(lián)關(guān)系的挖掘方法PPFPM。該方法通過(guò)頻繁模式樹結(jié)構(gòu)實(shí)現(xiàn)了大型報(bào)警數(shù)據(jù)集中頻繁模式的壓縮存儲(chǔ)，并采用前綴樹結(jié)構(gòu)模式增長(zhǎng)挖掘方法避免了耗時(shí)的候選集生成過(guò)程，提高了挖掘效

6、率。實(shí)驗(yàn)中證明了PPFPM算法的有效性、伸縮性以及較好的挖掘性能。同時(shí)，本算法對(duì)基于類頻繁模式樹的入侵事件頻繁模式挖掘方法，在敏感信息保護(hù)方面具有通用性和普遍意義。
　　 揭示安全報(bào)警之間的序列關(guān)系和因果關(guān)系是進(jìn)行安全報(bào)警關(guān)聯(lián)分析的另一種常用手段。本文分析了網(wǎng)絡(luò)多步攻擊的特點(diǎn)，提出了利用序列模式挖掘技術(shù)進(jìn)行快速多步攻擊關(guān)聯(lián)的方法QSPM，并在此基礎(chǔ)上設(shè)計(jì)了隱私保護(hù)下面向安全報(bào)警多步攻擊的序列模式挖掘方法PPSPM。本文提出的方法

7、無(wú)需事先獲取攻擊場(chǎng)景的專家知識(shí)和預(yù)先設(shè)計(jì)關(guān)聯(lián)規(guī)則，克服了基于規(guī)則、安全事件因果關(guān)系等關(guān)聯(lián)方法的主要缺陷。此外，在分析攻擊行為序列特征的基礎(chǔ)上，采用支持度評(píng)估方法，對(duì)最大攻擊序列生成算法進(jìn)行了優(yōu)化，減少了耗時(shí)的數(shù)據(jù)集遍歷操作，從而使算法具有快速、準(zhǔn)確關(guān)聯(lián)多步攻擊的特點(diǎn)。最后，通過(guò)實(shí)驗(yàn)，對(duì)算法的有效性進(jìn)行了量化分析;并與典型的序列模式挖掘算法進(jìn)行了對(duì)比，實(shí)驗(yàn)結(jié)果表明了所提出算法在發(fā)現(xiàn)攻擊行為序列模式方面較好的準(zhǔn)確性和性能:至少有87.76％

8、的報(bào)警可以被準(zhǔn)確地關(guān)聯(lián)，且算法性能較典型的序列模式挖掘算法提升了1.7-6.5倍。研究隱私保護(hù)環(huán)境下入侵事件序列模式的發(fā)現(xiàn)方法，對(duì)于安全報(bào)警關(guān)聯(lián)分析領(lǐng)域具有通用性和實(shí)用價(jià)值。
　　 識(shí)別、評(píng)估和控制網(wǎng)絡(luò)信息系統(tǒng)自身脆弱性是網(wǎng)絡(luò)安全綜合管理的基礎(chǔ)。為了解決安全評(píng)估領(lǐng)域現(xiàn)存的難以利用海量龐雜報(bào)警信息對(duì)整體安全狀況有效建模，以及缺乏安全協(xié)同環(huán)境下的分布式評(píng)估方法的問(wèn)題，本文結(jié)合服務(wù)重要性、報(bào)警發(fā)生頻率和安全威脅程度等要素，研究和提出了

9、分布式安全態(tài)勢(shì)量化評(píng)估模型及其相應(yīng)計(jì)算方法，實(shí)現(xiàn)了全局化的安全態(tài)勢(shì)綜合評(píng)估模型;并在此基礎(chǔ)上實(shí)現(xiàn)了隱私保護(hù)下的分布式統(tǒng)計(jì)模型。在隱私保護(hù)方法設(shè)計(jì)上，針對(duì)半可信環(huán)境下的共謀推導(dǎo)攻擊問(wèn)題，以及經(jīng)典的同態(tài)加密方法的高計(jì)算代價(jià)，和公私鑰管理等問(wèn)題，本文提出了半可信環(huán)境下的輕量級(jí)分布式安全統(tǒng)計(jì)方法，以較小的計(jì)算代價(jià)解決了現(xiàn)有隨機(jī)路徑統(tǒng)計(jì)方法中共謀推導(dǎo)或惡意攻擊導(dǎo)致的隱私威脅。由于本方法針對(duì)分布式統(tǒng)計(jì)運(yùn)算進(jìn)行安全保護(hù)，故可以推廣到包含有基礎(chǔ)統(tǒng)計(jì)運(yùn)算