大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及社會信息化程度的提高，網(wǎng)絡(luò)安全的重要性已經(jīng)得到普遍認(rèn)可，各種網(wǎng)絡(luò)安全產(chǎn)品被應(yīng)用到網(wǎng)絡(luò)中以提供多源的安全數(shù)據(jù)。但現(xiàn)有的網(wǎng)絡(luò)安全保障或管理系統(tǒng)，雖然能夠獲取大量的安全數(shù)據(jù)，卻缺乏有效的數(shù)據(jù)融合和協(xié)同管理機(jī)制。網(wǎng)絡(luò)態(tài)勢感知作為下一代網(wǎng)絡(luò)管理系統(tǒng)，受到越來越多的關(guān)注，成為網(wǎng)絡(luò)安全研究中的新熱點(diǎn)。
　　 傳統(tǒng)的網(wǎng)絡(luò)態(tài)勢感知基本以入侵檢測報(bào)警記錄為數(shù)據(jù)源。而入侵檢測系統(tǒng)在大規(guī)模高速主干網(wǎng)上難以部署，導(dǎo)致目前的網(wǎng)絡(luò)態(tài)勢

2、感知研究局限于中小規(guī)模網(wǎng)絡(luò)。本文針對大規(guī)模網(wǎng)絡(luò)研究其態(tài)勢感知方法，數(shù)據(jù)來源不限于入侵檢測的報(bào)警記錄，更偏重網(wǎng)絡(luò)鏈接設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量記錄，把覺察擴(kuò)大到高速主干網(wǎng)。研究取得如下創(chuàng)新性成果：
　　 1．針對大規(guī)模網(wǎng)絡(luò)建立了一個“層次化的大規(guī)模網(wǎng)絡(luò)態(tài)勢感知模型”，將傳統(tǒng)中小規(guī)模網(wǎng)絡(luò)感知推廣到大規(guī)模網(wǎng)絡(luò)中。該模型底層以報(bào)警記錄為主要數(shù)據(jù)源進(jìn)行分支網(wǎng)絡(luò)感知，高層以流量特征為數(shù)據(jù)源進(jìn)行主干網(wǎng)感知，并確定了對分支網(wǎng)絡(luò)的感知基于對象進(jìn)行，而對主

3、干網(wǎng)絡(luò)的感知基于流量特征進(jìn)行的感知原則。
　　 2．創(chuàng)建了一個“基于網(wǎng)絡(luò)模塊化結(jié)構(gòu)的異常發(fā)現(xiàn)”理論，來應(yīng)對現(xiàn)有流量分析方法應(yīng)用在高速主干網(wǎng)絡(luò)時(shí)表現(xiàn)出的檢測準(zhǔn)確率和檢測效率雙雙降低的問題。該理論建模分析了網(wǎng)絡(luò)劃分策略和網(wǎng)絡(luò)總體檢測率之間的關(guān)系，將復(fù)雜網(wǎng)絡(luò)的模塊理論引進(jìn)網(wǎng)絡(luò)劃分中，確定了基于網(wǎng)絡(luò)固有的模塊特性劃分網(wǎng)絡(luò)的策略，將網(wǎng)絡(luò)劃分為一個個的“模塊”分別并行檢測，并設(shè)計(jì)了具有模塊特性的流量特征，在用強(qiáng)相關(guān)分析優(yōu)選特征集后，引進(jìn)小波