基于数据融合的网络安全态势定量感知方法研究

基于数据融合的网络安全态势定量感知方法研究哈尔滨工程大学硕士学位论文基于数据融合的网络安全态势定量感知方法研究姓名：梁颖申请学位级别：硕士专业：计算机应用技术指导教师：王慧强20061201哈尔滨工程大学硕士学位论文摘要网络安全态势感知研究的提出是对传统网络安全手段的一次突破和创新，并逐渐成为当前网络安全领域一个新的研究热点。网络安全态势感知要求从全面、整体的角度审视大规模网络的安全状况，强调对网络系统中潜在的或已经出现的异常做到及时监测，并能对未来一段时间内网络的安全状况做出合理准确的预测。网络安全态势感知的中心思想是从认知的角度出发，充分利用一种或几种数学方法，融合处理网络环境下的多源异构安全状态数据，生成易于理解的网络安全态势。本文首先对网络安全态势感知及数据融合在网络安全领域的应用进行了全面研究，涵盖了网络安全态势感知的概念描述、研究现状及未来发展方向等，并介绍了数据融合在网络安全领域应用的前景、关键技术及其数学模型实现方法，初步形成了利用数据融合技术实现网络安全态势感知的理论框架。进而提出了分层网络安全态势感知实现模型，采用进化策略优化设计神经网络参数，建立了基于进化神经网络(ENN)的态势要素提取模型，并最终完成对网络安全态势数学建模。借鉴粗糙集理论(RST)的属性重要性度量思想，实现了网络安全态势的定量计算方法，并通过实验验证了该方法的有效性。最后，本文对课题相关工作进行了总结，并提出了下一步研究的重点所在。关键词：网络安全；态势感知；数据融合；进化神经网络；粗糙集哈尔滨工程大学硕士学位论文Abstractmproposalofnetworksecuritysituationalawareness(NSSA)researchmeansabreakthroughandaninnovationtothetraditionalnetworksecuritytechnologies，andithasbecomeanewhotresearchtopicinnetworksecurityfield．AnewperspectivetoobservethenetworksecuritystatusisdemandedinNSSA,timelydetectionofpotentialorarisenanomaliesinnetworksystemisemphasized,andalsoforecastofnetworksecuritystatusinsometimelatershouldbemadereasonablyandexactly．ThemainideaofNSSAistolnakefulluseofoneorseveralkindsofmathematicalmethodstofusethemulti-SOUreeheterogeneousdatainthenetworksystem,andtheneasilyunderstandablenetworksecuritysituationwillbegenemtedfromacognitiveperspective．Firstly,NSSAandtheapplicationofdatafusioninnetworksecurityareresearchedcomprehensivelyinthisthesis，includingtheconceptdescription，researchstate，anddevelopingdirectionofNSSA,andthentheapplicationfutureofdatafusioninnetworksecurityfield,keytechnologiesanditsmathematicalmodelsareintroduced,SOthetheoreticalframeworkofNSSAusingdatafusionisformedprimarily．Secondly,layeredrealizationmodelofNSSAisconstructed,andthenthesituationalfactorextractionmodelbasedonevolutionaryneuralnetworkiscons打ucted．inwhichevolutionarystrategyisusedtooptimizetheneuralnetworkparameters．11削ly,referencingtheideaofattributes’importancemeasureinroughsettheory,themathematicalmodelofNSSAissetup，thequantitativecomputationofnetworksecuritysituationisachieved,andexperimentisdonetocheckthevalidityofthemethod．Finally,therelativeresearchinthisfieldissunun卸叵zcd’andthenextresearchpointsarcputforward．Keywords：networksecurity；situationalawareness；datafusion；evolutionaryneuralnetwork；roughset哈尔滨工程大学学位论文原创性声明本人郑重声明：本论文的所有工作，是在导师的指导下，由作者本人独立完成的。有关观点、方法、数据和文献的引用已在文中指出，并与参考文献相对应。除文中已注明引用的内容外，本论文不包含任何其他个人或集体已经公开发表的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。作者(签字)：邋日期：2卯∥年殷月哈尔滨工程大学硕士学位论文1．1课题背景第1章绪论任何一种新技术的诞生，其原动力都来源于人类的需求，其目的也都是为了满足人类的需求，网络安全态势感知技术也不例外。当今社会，随着网络技术和网络规模的不断发展，针对网络和计算机系统的攻击交得越来越普遍，攻击手法也越来越复杂。目前网络攻击主要呈现出三个特点：(1)攻击组织严密化；(2)攻击行为趋利化；(3)攻击目标直接化。这些攻击有的是针对计算机系统和软件的漏洞，有的是针对网络系统本身的安全缺陷，但都或多或少造成了破坏，网络安全技术因此显得愈加重要，两络安全设备市场也越来越开阔。目前网络安全系统主要采用的是以防火墙和入侵检测系统为主的安全管理方式。防火墙本身就容易受到攻击，且对于内部网络出现的安全问题经常束手无策，而很多的网络攻击都是从内部进行的，所以这种被动的安全机制不能够满足目前的网络安全需要；入侵检测系统则只能对攻击行为的某一局部进行检测，对一些复杂化的网络攻击行为则束手无策，尤其对组合式、分布式的入侵攻击，目前还没有有效的解决办法。美国著名的网络安全专家TimBass“1提出的网络安全态势感知(NetworkSecuritySituationalAwareness，NSSA)正是为解决上述存在的种种问题而提出的。网络安全态势感知系统区别于业界普遍采用的“辅助工具+人工”的网络安全管理方式，弥补了传统方式时间长，周期维护繁琐等不足，能够实时地监测网络安全状态，快速准确地做出安全状态评判，并能利用网络安全属性的历史记录，以多角度、多尺度的可视化方式，为用户提供～个准确直观的网络安全态势走向图。网络安全态势感知系统的研究是网络安全领域必然要经历的下一个发展阶段，该项研究的开展也必会为网络安全技术提供一个更宽、更广的发展空间，大大增强网络安全管理手段的有效性和实时性。1．2网络安全态势感知1．2．1NSSA概念描述态势感知”(situationawareness，SA)源于航天飞行的人因(HumanFactors)研究，被用来描述飞行员对当前情境的观察、理解及做出决策的过程，这就构成了飞行员大脑中的意识框架。直到目前，态势感知仍然是航天飞行、军事战场、核反应控制等许多领域的热点研究内容之一，在网络安全领域亦是如此。然而，给出一个明确的态势感知概念描述不是一项简单的任务，在不同领域的态势感知，其含义也有所不同。态势感知定义越概括，在特定领域理解起来就会越困难；而定义过于具体又会影响态势感知在其他领域的应用。TimBass首次提出了网络安全态势感知概念，并将其与空中交通监管(AirTrafficControl，ATC)领域的态势感知进行类比，旨在把ATc领域态势感知的成熟理论和技术借鉴到网络安全态势感知中去。Bass还建立了网络安全态势感知框架，通过推理识别攻击者身份、攻击速度、威胁性和攻击目标，但是并没有做出明确的网络安全态势感知概念描述，也没有实现具体的原型系统；GregCole和NatashaBulashova'31认为网络安全态势感知是指网络管理人员通过人机交互界面对当前网络状况的认知程度；KiranLakkaraju和YifanLi等则认为网络安全态势感知就是网络安全管理人员根据提供的网络信息意识到网络中发生着什么，包括对入侵行为的检测，但又不仅限于此。根据对大规模网络进行实时安全管理的需求，定义网络安全态势感知为网络安全管理员通过对反映网络安全状态的网络流量、端口连接、网络行为等异常因素的理解与综合评判，从而形成的对整个网络安全状况的认知，及对未来一段时间内网络安全状况的预测。为了清楚直观地理解这些网络安全态势要素，实现多角度、多尺度可视化显示，利用人类对图形的认知处理能力，才能很好地实现对网络安全状态的监控和预测，实现真正的网络安全态势感知。1．2．2NSSA国内外研究现状分析网络安全态势感知m作为未来保证信息优势的两大关键技术之一，众多学者、研究机构纷纷在此领域展开了广泛的研究。StephenG．BatselY'J等开发了一个集成现有网络安全系统的安全框架以提供对大规模网络的实时态势感知，但该方法对网络结构部署有一定的局限；JasonShifflett”采用“纵深防御”的思想，综合各种网络攻击检测技术，搭建了一个模块化技术无关框架结构，该方法只能对有限攻击进行检测，尚无法实现真正的网络安全态势感知。ChristopherJ．Matheus等人“1将Ontology用于刻画战场环境态势感知，这对网络安全态势感知的研究有一定的借鉴启发作用。其他开展该项研究的个人还有加拿大通信研究中心的A．DeMontigny—Leboeuf，伊利诺大学香槟分校的WilliamYurcik等。同时，很多研究机构也开始着手对网络安全态势感知系统的研究。美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“TheSpinningCubeofPotentialDoom”系统m，该系统实现了网络流量的三维空间视图，清楚直观的反映了网络流量的变化情况，极大地提高了网络安全态势感知能力；2005年，卡内基梅隆大学软件工程研究所(cMU／SEI)领导的计算机应急响应组织(CERT)成立了网络态势感知小组(NetworkSituationalAwarenessGroup)，专门负责开发工程途径和理论方法以分析大规模网络入侵行为，定量评估各种威胁活动，最终实现网络安全态势感知；伊利诺大学香槟分校的国家高级安全系统研究中心(NCASSR)开发的SIFT(SecurityIncidentFusionTools)工具，提供集成的框架以评估整个计算机网络的安全状况，从而形成对全网的安全态势感知“一。其他机构还有加拿大国防研究与开发中心(DefenceRE)Canada)，瑞士联邦技术院(SwissFederalInstituteofTechnologyZurich，ETHZurich)等等。同时国内开展网络安全态势相关研究的主要集中在高校研究机构。西安交通大学的管晓宏等人“”结合服务、主机本身的重要性及网络系统的组织结构，提出采用自下而上