论文部分内容阅读
随着移动互联网、大数据和云计算技术的飞速发展,网络信息安全面临更大的挑战,网络攻击行为成为新常态。现有的单点防御措施(如防火墙、入侵防御系统等)因工作方式的独立性,彼此间缺乏有效的协作,难以实现对整个网络安全状况的准确监控,不能很好地满足互联网+时代的网络安全需求。如何综合地利用多个检测设备产生的安全事件,达到对全网安全状况的整体把握,已经成为网络安全领域的研究热点之一。因此,选择研究和应用网络安全态势感知技术有重要意义。目前,对于网络安全态势感知的研究主要存在两大技术难题:(1)如何从多源、具有不确定性的安全事件中准确地提取有效事件,为网络安全评估提供可靠的数据支持;(2)如何获得合理、科学的网络指标权值系数,实现对网络安全状况的准确评估。为解决以上问题,本文分别从数据融合、态势评估等方面进行了研究,提出了一种多源事件融合的网络安全态势评估方法。在数据融合方面,针对以往算法(如贝叶斯推理、神经网络等)在识别冗余事件及不确定事件上存在低识别率的问题,本文提出了将属性相似度算法与DS证据理论算法进行结合,实现了对多源数据的融合。其中,属性相似度算法通过比较事件间的相似度,能够完成对冗余事件的归并;DS证据理论算法不受先验信息的影响,能够识别因不确定性产生的误报事件。提出的算法在DARPA 2000数据集中进行了仿真实验,验证了此方法的有效性,剔除了大量冗余信息和误报信息,简化了待处理的信息量。在态势评估方面,本文采用了层次化定量评估模型,通过加权融合各层态势实现对网络的安全评估。在加权过程中,本文综合考虑网络主机节点的服务、资产、位置等因素,给出了主机评价指标体系。针对在多层次、多指标评价过程中指标权值系数分配存在随意性及片面性的问题,本文采用了层次分析法和模糊综合评价法相结合的方法来确定主机权值系数,从而获得科学、合理的指标权值系数。评估模型和指标权值系数在DARPA 2000数据集中进行了验证,实验结果表明此方法具有通用性及适用性。通过对数据融合、态势评估方法的研究以及在DARPA 2000数据集实验的基础上,设计并实现了一个多源事件融合的网络态势评估系统。论文给出了关键模块的详细设计方案,结合实际网络环境的采集数据,对态势结果进行了分析。分析表明,本文提出的数据融合方法及态势评估模型能够对网络安全态势做出比较准确地评估,并能为管理员整体把握网络风险状况、及时采取安全措施提供可靠依据。