基于智能对抗的网络安全运维中心系统研究

摘要

随着网络技术的不断发展和网络应用范围的不断扩大,网络的安全问题也越来越突出,对网络的各类攻击和破坏与日俱增,攻击的手段趋于多元化,攻击的技术趋于智能化。网络病毒及入侵事件日益频发,给企业正常生产和政府机关等事业单位正常工作带来极大威胁。为了预防和处置各类安全隐患,众多的理论研究已经取得了比较深入的研究成果,众多的安全产品已经在企事业网络中得到越来越多的部署,防火墙和入侵检测系统是其中最主要的两种。2000年,Renaud Bidou提出了安全运维中心(Security Operation Center-SOC)的概念。之后,国内外多家公司先后推出了自己的SOC,Arcsight、Computer Associates International,Inc.的SOC 3+1安全运维中心解决方案、Symantec、安氏公司、天融信T-SOC、启明星辰、上海柏安、东软等。各厂家的产品尽管侧重点不同,但都出于一个共同的目的——统一管理网络的安全设施,都围绕安全管理的三个要素：防护、监控和审计来实施。然而,网络安全事件并没有因为企业使用了防火墙、IDS和SOC而下降,反而由于网络使用范围的扩大而迅速增长。究其原因,随着网络应用的普及和技术的发展,病毒和黑客越来越隐蔽和智能化,而网络安全产品无论是防火墙还是入侵检测系统其核心算法大都是基于统计分析和模式匹配的静态技术,SOC提出并实施的目的是集中管理整合分散的、种类各异的各种安全设施,其安全技术的核心算法没有实质性的改善。面对不断增大的网络流量、日益更新的网络设施和层出不穷的攻击方式,种种安全设施都显得力不从心,其主要不足体现在：1)漏检率高；2)错检率高；3)检测的自主性差,智能化程度低；4)发现入侵后,大部分都是人为干预,系统自动采取行动对抗的少。因此,如何改善SOC的性能,使之不但成为防火墙、入侵检测系统等安全设施的管理中心,而且植入智能安全检测算法,使之成为名副其实的在这些设施之上的又一道智能安全门户,对计算机网络安全有着重要的意义。 本文基于上述背景,开展了基于智能对抗的SOC系统研究,提出了可用于提高SOC性能的三种检测算法。本文的主要工作及创新在于： (1)对SOC的全局体系结构进行了深入的研究和设计。从数据的获取、事件的收集和存储、分析和报告到措施采取的全过程进行了深入细致的分析和设计,给出了一个完整的SOC的全局体系结构。分析了各模块的功能,数据的流程。对复杂的数据信息重点讨论了关联操作,上下文的管理,用来定义入侵攻击的危险度的高级关联操作,以及根据安全策略对是否允许这样的入侵攻击进行评估。 (2)首次将多感知器数据融合技术用于SOC的研究中,利用RBF神经网络数据融合技术,提出了一种新的SOC模型,该模型将来自多个网络设施的类型各异的数据进行融合,推导知识库,大大降低了SOC对入侵事件的漏检和错检率； (3)首次将生物免疫系统的工作原理应用到SOC的研究中,提出了一种基于免疫原理的RBF神经网络训练算法--IRBF(Immune Radial Basis Function Neural Network)算法。结果表明,该算法的收敛性明显好于普通的训练算法： (4)提出了一个基于多Agent技术的分布式SOC模型,讨论了其总体结构、各模块功能,并给出了详细的设计和实现细节。重点叙述了检测器的产生原理、产生算法以及检测器的检测过程,首次提出了先天检测器和自适应检测器相结合,误用检测和异常检测相结合的方法； (5)在检测的基础上,针对检测结果,提出了响应和对抗策略； (6)对(3)、(4)的模型进行了仿真实验。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究目的与意义

1.1.1问题提出与研究目的

1.1.2理论研究意义

1.1.3实际应用意义

1.2研究现状综述

1.3基于智能对抗的SOC关键技术

1.3.1基于智能对抗的SOC研究的任务与目标

1.3.2基于智能对抗的SOC体系结构

1.3.3基于智能对抗的SOC关键技术

1.4本文的研究内容与组织结构

1.4.1本文的研究内容

1.4.2本文的组织结构

第二章 网络安全与智能计算

2.1引言

2.2网络安全

2.2.1网络安全的主要问题

2.2.2目前主要的安全策略

2.2.3主要技术

2.3入侵检测系统

2.3.1入侵检测系统模型

2.3.2入侵检测系统分类

2.2.3入侵检测过程分析

2.2.4入侵检测技术

2.2.5发展趋势

2.4智能计算

2.4.1智能计算概述

2.4.2 RBF神经网络

2.4.3免疫原理

2.5本章小结

第三章基于智能对抗的SOC体系结构研究

3.1安全运维中心的概念

3.2 SOC的宏观体系结构

3.2.1感知器(E盒子)

3.2.2轮询器(E盒子)

3.2.3事件收集器(C盒子)和格式化数据库(D盒子)

3.2.4事件分析器(A模块)和知识库(K模块)

3.2.5 R模块

3.3 SOC的全局体系结构

3.3.1数据获取

3.3.2事件产生、收集和存储

3.3.3数据分析和报告

3.3.4界面

3.3.5响应和升级程序

3.4数据的收集和存储

3.4.1数据收集宏观体系结构

3.4.2协议代理

3.4.3发送器和应用代理

3.4.4发送器与应用代理的合并

3.4.5数据格式化和存储

3.4.6消息

3.5关联(Correlation)

3.5.1关联操作

3.5.2上下文功能性体系结构

3.5.3上下文数据结构及实现策略

3.5.4上下文状态

3.5.5分析

3.6本章小结

第四章基于智能对抗的SOC数据融合技术研究

4.1多感知器数据融合技术

4.1.1概念

4.1.2应用

4.1.3优点

4.1.4多感知器数据融合分类

4.1.5多感知器数据融合的结构

4.1.6多感知器数据融合的一般方法

4.2 RBF神经网络在SOC中的应用研究

4.2.1基于RBF神经网络的SOC模型

4.2.2各部件的功能

4.2.3 RBF神经网络的数据融合方法

4.2.4.数据包的捕获

4.2.5网络行为特征的表示

4.2.6神经网络的训练和检测

4.2.7 IRBF神经网络训练算法

4.3免疫原理在SOC中的应用研究

4.3.1基于免疫原理的SOC模型

4.3.2系统工作原理

4.3.3系统的总体结构

4.3.4系统的功能要求

4.3.5检测器的产生

4.3.6入侵响应及对抗

4.4基于多AgentT的SOC模型

4.5本章小结

第五章仿真实验

5.1实验环境

5.2实验过程描述和结果分析

5.2.1基于RBF神经网络的SOC模型

5.2.2基于多Agent的SOC模型

结论和展望

结论

展望和下一步工作

参考文献

攻读博士学位期间取得的研究成果

致谢