论文部分内容阅读
随着互联网技术的高速发展,网络安全态势感知技术已成为当前互联网安全研究领域的一个重要课题,并引起越来越多研究人员的关注。目前网络安全技术和防范手段已经得到了巨大的发展,但是不断涌现的互联网新技术也面临新的安全威胁和挑战。网络攻击技术与安全防范手段在一定时期和范围内仍将共同向前发展,如何制定合理的安全防范措施则显得尤为重要,其前提就是如何对网络安全态势做出准确的评估。 现有的安全态势评估方法对单个主机和小型系统有不错的效果,但是对大规模网络的安全态势评估来说,还存在诸多局限性:1)受限于从爆炸式增长的各类监控日志和告警信息中获取有用的安全相关信息的能力;2)各类安全日志和信息无法有效的进行整合和关联,难以描述信息系统的整体安全状况;3)安全评估的结果仅能反映信息系统被测评期间的安全状态,缺乏实时对当前网络安全态势的直观描述和分析手段,也很难对安全态势发展趋势进行预测和分析;4)现有的网络安全评估主要依赖人工的方式,对评估人员的技术水平和评估经验要求比较高;5)如何在遵守既定的安全策略的前提下,用最少的资源获取最大的安全也是目前安全管理中难点所在。 因此,本文通过对国内外网络安全态势技术的研究现状进行分析,总结出当前研究的不足,尤其是针对大规模网络的安全态势评估与预测技术还不够成熟。在结合目前国内外主要的网络安全态势相关技术的基础上,本文首先对大规模网络安全态势评价体系进行研究,提出适用于大规模网络的安全评估框架,并对影响安全态势的多数据源的评价因素进行研究。在此基础上,本文对大规模网络安全态势的评估和预测技术进行深入研究。论文的研究工作得到了中国科学院“十二五”信息化专项的支持,其主要研究内容包括: (1)从大规模网络安全态势评价体系着手,通过对大规模网络的结构进行分析,并结合传统的安全评估模式,提出了网络拓扑层次化安全评估框架(HTSAP)。并就HTSAP中的各个风险因素的权重算法进行了研究,在层次分析法的基础上,提出了基于AHP的综合熵权算法,修正了层次分析算法中由于主观因素而带来的误差。同时就多源数据融合的安全态势评价因素进行了分析,提出了安全态势评价因素的相关规范。 (2)提出了一种基于状态变迁的安全态势评估方法。建立了基于状态变迁的安全态势评估模型,并确定了具体的评估方法,尤其是对模型的参数确定方法进行了详细讨论。该方法的优点在于确定评估模型时考虑的因素比较全面,因此计算结果相对精确可信。但是在用该方法进行评估时需要做大量的比较复杂的准备工作,从而导致了该方法无法实时快速的对当前安全态势进行计算,仅能对历史数据进行分析。 (3)为了实现对整体网络的安全态势进行实时评估或者在较短时间间隔内进行持续评估,考虑通过获取方便且实时性高的安全攻击事件日志对大规模网络安全态势进行评估,因此提出了一种基于关联性分析的安全态势评估方法。在该方法中首先介绍了如何对安全告警事件进行预处理,然后介绍了影响该算法的两个重要因素即安全告警事件的相似度和安全告警事件的相关度,并提出其相关的计算方法。该算法计算量小,能够快速计算出网络安全态势,并且灵活性高,可以适用于不同的需求和应用场景。 (4)提出了一种基于组合攻击序列的安全态势预测方法,一定程度上解决了传统基于数学理论的预测方法中预测参数单一的问题。该方法通过对已发生的攻击事件序列分析攻击者的攻击意图,从而对攻击者还未实施的攻击进行预测,并进一步结合安全态势评估方法对安全态势值进行预测。该方法适用于较短时间内的安全态势预测,其结果比传统的预测方法更为精确。 因此,本文提出的大规模网络安全态势评估与预测的方法具有实现简单、易于扩展、应用广泛等特点,不仅在实践中具有较大的应用价值,而且在理论方法上还有更深入的研究价值。