基于多源数据流分析的网络安全态势感知技术研究

摘要

随着互联网技术的不断普及，使得网络在社会发展过程中逐渐成为不可或缺的关键角色，网络安全在这种趋势下受到了越来越多的关注，各类基于安全防御的手段层出不穷，在一定程度上防止了系统遭受安全威胁的可能性，但随着各类新型攻击的出现，这些传统的安全防御手段无法有效的更新防御方案，导致系统仍然存在着潜在的威胁和风险。面对这种严峻的形式，网络安全态势感知技术应运而生，成为网络安全研究领域内的新兴热点。
　　传统的安全态势感知设备以入侵检测设备、入侵防御设备、防火墙以及主机安全服务为主。通常，这些设备在面对收集具有高利用和分析价值的信息、抽象化网络安全的特征属性以及特征化信息分类检测这一系列复杂任务中表现出比较高的局限性。
　　本文以数据流为研究基础，从安全态势的要素指标确立、安全态势评估方法、数据流异常检测方法、安全态势模型的更新方案这四个方面研究了基于多源数据流的网络安全态势感知技术。研究内容有：
　　(1)分析现有的网络安全态势评估方法和模型，使用适用于多源异构数据流特性的层次化分析方法，整合主机要素、链路要素和历史反馈要素三个方面的态势要素信息，提出了基于多源数据流分析的网络安全态势评估模型。依据多源数据流分析的要求，着重研究了主机安全态势评估方法和链路态势评估方法；主机层面中，通过引入时间衰减因子改进了原有的 D-S理论从而简单高效地对主机安全要素进行评估。链路安全态势方面，转换了攻击图的构建思路，有针对性的利用链路的性能指标描述攻击图的状态节点，有效的评估了异常数据流对链路安全的影响态势。
　　(2)根据多源数据流在端点之间数据包传输的序列化特性，构造单位时间段内的数据流元组，结合由隐马尔科夫模型(HMM)改进而来的条件随机场模型(CRF)对序列化数据流进行分类检测并实现了部分算法。同时，在检测方法的概念之上改进了条件随机场对序列化数据的串行检测的传统方案，提出了基于CRF的异常数据流分层并发检测框架。实验分析表明，该方法对异常数据流的分类检测精度要略好于其他方法，在算法复杂度方面基本适应数据流的实时性要求。
　　(3)概括了选择集成学习方法现有的研究现状，提出了面向异常数据流的多分类器选择集成方案，该方法主要包括三个步骤：决策轮廓矩阵的构建、整合支持熵，使用差异度度量的方式计算各分类器集合的平均不一致度量，最终得到最优的分类器集合。
　　本文的创新点主要包括：
　　(1)在网络安全态势评估方面，使用层次分析法融合各安全态势要素，使得安全态势评估范围更加全面。另外，在层次分析的基础上，从主机和链路的角度分别使用改进的D-S理论和基于贝叶斯的攻击图理论构建网络安全态势评估体系，提高了安全态势评估的准确性。
　　(2)使用基于CRF条件随机场的分层并发框架检测序列化异常数据流，该方法对异常数据流的检测结果相比于其他方法具有稳定和高效等特点。
　　(3)将决策轮廓矩阵应用于支持熵的构建，结合差异度度量方法评估面向异常数据流的分类器集合，选择表现突出的集合。相比其他方案，该方案使分类器集合对异常数据流的分类效果更加稳定，并能适应数据流检测的实时性要求。

目录

第一章 绪 论

1.1 研究背景

1.2 国内外研究现状

1.3 研究意义

1.4 论文结构安排

第二章 基于多源数据流分析的安全态势评估体系

2.1 网络安全态势评估基本概念

2.2 网络安全态势常用评估方案

2.3 网络安全态势要素评估模型

2.4 网络安全态势感知指标体系的建立

2.5 网络安全态势评估体系的构建

2.6 本章小结

第三章 面向多源数据流的异常检测研究

3.1 相关概念与技术

3.2 基于分层并发CRF的多源数据流实时异常检测方法

3.3 实验与分析

3.4 本章小结

第四章 基于选择集成的异常分类器实时更新方案

4.1 选择集成常用方法概述

4.2 分类器集合预处理

4.3 基于差异度集成的异常分类器选择算法

4.4 基于差异度集成的异常分类器选择模型

4.5 实验分析

4.6 本章小结

总结与展望

参考文献

攻读硕士学位期间发表的论文及著作权

声明

致谢