基于异构传感器的网络安全态势感知若干关键技术研究哈尔滨工程大学博士学位论文基于异构传感器的网络安全态势感知若干关键技术研究姓名:赖积保申请学位级别:博士专业:计算机应用技术指导教师:王慧强20090401基于异构传感器的网络安全态势感知若干关键技术研究摘要随着全球信息化的迅猛发展和人们对网络依赖程度的不断增加,网络已经成为社会生活、经济、军事等领域中不可或缺的组成部分。传统的单点异构防御体系(如IDS、Firewall等)虽然在一定程度上提高了网络系统的安全性,但由于彼此间缺乏有效的协作,无法实现全网的安全态势监控。在这种背景下提出了开展面向大规模复杂网络的安全态势感知研究,旨在将不同领域的安全部件融合成一个无缝的安全体系。目前,网络安全态势感知研究处于起步阶段,所涉及到的技术问题有很多,结合项目具体需求,需要解决系统框架结构、态势要素提取、态势量化评估、态势动态预测、态势可视化等技术问题。基于上述情况,本文提出一个网络安全态势感知系统(NSSAS)的整体解决方案,并对所涉及到的网络安全态势要素提取、态势评估和态势预测几个核心技术进行了深入研究,为项目进一步推进提供理论依据和技术参考。首先,针对应用背景需求,采用“分布式获取,分域式处理”的思想研究基于多传感的网络安全态势感知系统框架结构,并在此基础上给出系统的环形物理结构和层次概念模型;该框架结构自下而上依次分为“信息获取层——要素提取层——态势决策层”三个层次,对每个层次所涉及的模块进行详细设计,并给出多源异构安全信息XML格式化的解决方案。该结构是一个开放、可扩展的环形结构,能有效地降低系统实现复杂性,避免单点失效问题。此外,还从整体上明确了层次与层次、组件与组件的关系,可以指导工程实践和关键技术的进一步开展。其次,为了融合多源异构的网络安全信息,提取出反映网络整体安全状况的要素信息,研究基于相异度计算(DissimilarityComputing,DSimC)和指数加权DS证据理论(ExponentiallyWeightedDSEvidenceTheory,EwDS)的网络安全态势要素提取方法,包括多源报警聚类和融合两个阶段。针对多源报警的不同阶段,首先研究一种基于DSimC的多源报警聚类方法,通过计算报警之间的不同类型特征相异度来判断报警之间的相似程度,其次研究一种基于EWDS的多源报警融合方法,通过融合不同数据源所提供的证据综合识别入侵攻击行为。实验结果表明,所提出的方法在TPR、FPR和DIR指标方面均取得了不错的效果,克服了单个安全设备误报率和漏报率高的问题,为进一步的网络安全态势评估和预测提供有力的数据保障。再次,从攻击和防御两个角度出发,研究基于IAHP(ImprovedAnalyticHierarchyProcess,IAHP)的网络安全态势量化评估方法。首先建立多层次多角度网络安全态势量化评估模型;然后在综合考虑攻击威胁和防御机制对服务、主机和网络的影响基础上,给出相应的量化计算方法;最后采用区间形式表示两两指标之间的比对结果,确定不同层次指标的贡献率,研究一种一致性自动修正算法,自动判断修正不满足一致性要求的矩阵,获得满足实际需求的权值,并将其运用到所提出的评估模型中,以便动态地完成整个网络安全状况的自动定量评估。实验结果表明,从攻击和防御两个角度综合评估各级安全态势,所得实验结果更加客观真实,并能直观地为安全管理人员呈现出服务、主机和网络的安全态势走势,减轻其数据分析负担,进而及时调整系统安全策略。最后,为了更加准确地对网络安全态势进行预测,研究基于遗传小波神经网络的网络安全态势动态定量预测方法。在对过去和当前网络安全态势统计分析的基础上,首先建立网络安全态势动态预测的小波神经网络模型;然后从编码、适应度计算以及遗传操作(选择、交叉和变异)方面对标准遗传算法进行改进;最后采用改进的遗传算法对态势预测小波神经网络模型结构和参数进行优化,实现网络安全态势的非线性时间序列预测。仿真实验表明,该预测方法比同等规模的小波神经网络、BP神经网络具有更快的收敛速度和更强的逼近能力,并能得到较高的预测精度。而且,可以从预测结果中尽早地发现系统安全趋势和规律,以便辅助安全分析人员和管理人员及时调整安全策略。关键词:网络安全;态势感知;要素提取;态势评估;态势预测AbstractWiththerapiddevelopmentofglobalinformationandtheincreasingdependenceonnetworkforpeople,networkhasbecomeanindispensablepartinmanydomainsincludingsociallife,economicactivityandmilitary,andSOon.However,traditionalsingle-pointheterogeneoussecuritydefensetechnologies,suchasIDS,FirewallandVDS,canenhancesecurityperformanceofnetworksystemtoacertaindegree,butamongwhichlackofeffectivecollaborationleadstobeunabletomonitorthewholenetworksecuritysituation.Underthecircumstances,studyoflarge—scalecomplexnetwork-orientedsecuritysituationawarenessisputforwardtofusesecuritycomponentsindifferentsecuritydomainsandformaseamlesssecuritysystem.AtPresent,researchonnetworksecuritysituationawareness(NSSA)isstiIiinitsinfancystage,andthereexistsmanytechnicalproblems.Combiningwithspecificrequirementsoftheproject,systemarchitecture,Situationelementextraction,situationquantitativeevaluation,situationdynamicpredictionandsituationvisualizationneedbesolved.Aimingatthis,anoverallsolutionfornetworksecuritysituationawarenesssystem(NSSAS)isproposed,andthecoretechnologiesconsistingofsecuritysituationelementextraction,situationevaluationandsituationpredictionaredeeplystudiedinthisdissertation.Theworkwi11offertheoreticbaseandtechnicalreferenceforadvancingtheproject.Firstly,combinedwiththeapplicationrequirements,networksecurltySituationawarenesssystemarchitecturebasedonmulti——sensorsisstudiedwithusingtheideaof‘distributedacquisition,multi—domainprocessing’,andthenthecorrespondingringphysicalarchitectureandhierarchicalconceptualmodelofNSSASareputforward.ThearchitectureofNSSASiScomposedofthreelevelS,includinginformationacquisitionlevel,elementextractionlevelandsituationdecision—makinglevelfrombottomtOtopsuccessively.Themodulesofeverylevelaredesignedindetail,andthesolutionofmulti—sourceheterogeneoussecurityinformationXMLformatiSgiven.TheNSSASarchitecturebasedonmulti—sensorsiSanopenandextensibleringarchitecturethatcanreducesystemimplementationcomplexityandavoidsingle—pointfailureproblem.Atthesametime,itcanclearlydescribetherelationshipamonglevelSandcomponents,andguidethedevelopmentofengineeringpracticeandkeytechnologies.Secondly,forthesakeoffusingmulti—sourceheterogeneoussecurityinformationandextractingsecurityelementinformationaboutthewholenetwork,networksecuritySituationelementextractionmethodbasedonDissimilarityComputing(DSimC)andExponentiallyWeightedDSEvidenceTheory(EWDS)iSstudied.ThemethodiSdividedintotwophasesincludingmulti——sourcealertclusteringandalertfusing.Firstofall,multi—sourcealertclusteringmethodiSputforwardthroughcomputingdifferentcharacteristicsdissimilarityofalerttOjudgethedissimilarityamongalerts.Aftermulti—sourcealertfusionmethodbasedonEWDSisproposedthroughfusingdifferentsourcestOindentifyintrusionattackbehaviors.ExperimentalresultsindicarethattheproposedmethoddoeswellinTruePositiveRate(TPR),FalsePositiveRate(FPR)andDatatoInformationRate(DIR),remarkablyreducesthenumberofalertsandenhancesdetectionperformance,andsuppliesdatasourcesfornetworksecuritysituationevaluationandsituationprediction.Thirdly,fromviewofattack—defenseconfrontation,networksecuritysituationquantitativeevaluationmethodbasedonimprovedanalytichierarchyprocess(IAHP)iSstudied.Atthesametime,wegivethecorresp