网络安全态势感知数据融合技术研究

摘要

互联网的发展给人们带来极大的便捷，同时也导致了各种安全事件频繁发生，网络安全已经成为全球性的挑战，提升网络安全技术水平，对社会和个人都有着重大的意义。然而，传统的安全方法已不能满足网络安全的需求，迫切需要新的技术，及时发现网络安全状况做出预警措施。
　　基于数据融合的网络安全态势感知技术综合利用来自各方面的安全要素，从整体上实时掌握网络安全现状，并对网络安全的发展趋势进行预测和预警。本文在分析网络安全态势感知中数据融合技术所涉及的理论基础上，围绕数据融合的三个层次，探索不同融合层次上有效的融合模型、相应的算法及其应用，深入研究数据融合中的特征层和决策层的相关原理以及在网络安全方面的应用，并提出了一系列新的思想和方法，主要工作如下:
　　1)特征层融合中，结合灰色关联分析和属性相似度方法提出了一种改进的告警聚类融合方法，首先利用灰色关联确定影响系统的主要因素的重要性程度，得到的结果作为影响因素的权值，再利用属性相似度实现告警聚合，聚合的结果能有效地根据系统特点去除冗余，合并同类攻击产生的重复和相似告警。实验采用DARPA1999数据集，利用Snort重放得到告警信息，实验结果表明本文提出的方法可以有效地精简原始告警，消除冗余实现告警信息的关联融合。
　　2)决策层融合中，本文构建了HMM-DS融合分类决策模型结构，为了克服单一隐马尔科夫分类的局限性，将HMM结果集成到DS框架中，HMM为DS提供状态概率输出，将各子HMM的输出作为证据体，以所提出的改进的证据合成方法实现攻击分类决策，提高系统的分类识别能力。实验采用KDD CUP99数据集，结果验证本文方法能更有效地完成网络攻击分类识别。
　　数据融合分层思想是由底层到高层对多源数据信息逐层融合处理，本文中特征层对告警的特征进行关联融合，聚合之后可以有效的去除冗余干扰数据，为决策层提供更加准确的数据，大大提高了决策层判断精准性。决策层对多特征空间进行融合决策判断，提高分类识别精度和速度。

目录

声明

摘要

插图索引

附表索引

第1章 绪论

1．1 研究背景及意义

1．2 网络安全态势感知数据融合研究现状

1．2．1 国外研究现状

1．2．2 国内研究现状

1．3 论文研究内容

1．4 论文组织结构

第2章 数据融合技术概述

2．1 数据融合定义和过程

2．1．1 数据融合的定义

2．1．2 数据融合的过程

2．2 数据融合功能模型

2．2．1 JDL模型

2．2．2 Endsley模型

2．2．3 Tim Bass模型

2．2．4 其他模型

2．3 数据融合层次结构

2．3．1 数据层融合

2．3．2 特征层融合

2．3．3 决策层融合

2．4 数据融合技术和方法

2．4．1 随机类方法

2．4．2 人工智能方法

2．5 小结

第3章 灰色关联和属性相似度的融合方法

3．1 引言

3．2 属性相似度分析和灰色关联计算

3．2．1 属性相似度分析

3．2．2 灰色关联计算

3．3 提出的告警聚合方法

3．3．1 灰色关联确定属性权重

3．3．2 属性相似度定义和计算函数

3．4 实验结果与分析

3．4．1 数据集说明

3．4．2 告警采集

3．4．3 获得各个属性权重

3．4．4 告警聚合效果分析

3．5 小结

第4章 HMM与改进DS理论的融合决策方法

4．1 引言

4．2 HMM和证据理论分析

4．2．1 隐马尔科夫模型

4．2．2 DS证据融合理论分析

4．3 基于HMM-DS的信息融合分类决策模型

4．3．1 改进的DS证据理论

4．3．2 HMM-DS模型

4．4 实验结果与分析

4．4．1 实验数据构建

4．4．2 数据预处理

4．4．3 模型训练初步识别层

4．4．4 融合分类结果比较

4．5 小结

结论

参考文献

附录A 攻读学位期间发表的学术论文

附录B 攻读学位期间所参与的研究项目

致谢