大规模网络安全态势感知关键技术研究

摘要

随着互联网技术的发展以及社会信息化程度的提高，网络安全的重要性已经得到普遍认可，各种网络安全产品被应用到网络中以提供多源的安全数据。但现有的网络安全保障或管理系统，虽然能够获取大量的安全数据，却缺乏有效的数据融合和协同管理机制。网络态势感知作为下一代网络管理系统，受到越来越多的关注，成为网络安全研究中的新热点。
　　 传统的网络态势感知基本以入侵检测报警记录为数据源。而入侵检测系统在大规模高速主干网上难以部署，导致目前的网络态势感知研究局限于中小规模网络。本文针对大规模网络研究其态势感知方法，数据来源不限于入侵检测的报警记录，更偏重网络链接设备产生的网络流量记录，把觉察扩大到高速主干网。研究取得如下创新性成果：
　　 1．针对大规模网络建立了一个“层次化的大规模网络态势感知模型”，将传统中小规模网络感知推广到大规模网络中。该模型底层以报警记录为主要数据源进行分支网络感知，高层以流量特征为数据源进行主干网感知，并确定了对分支网络的感知基于对象进行，而对主干网络的感知基于流量特征进行的感知原则。
　　 2．创建了一个“基于网络模块化结构的异常发现”理论，来应对现有流量分析方法应用在高速主干网络时表现出的检测准确率和检测效率双双降低的问题。该理论建模分析了网络划分策略和网络总体检测率之间的关系，将复杂网络的模块理论引进网络划分中，确定了基于网络固有的模块特性划分网络的策略，将网络划分为一个个的“模块”分别并行检测，并设计了具有模块特性的流量特征，在用强相关分析优选特征集后，引进小波偏离值方法进行精细检测，实验表明该理论可以有效提高主干网感知的准确率和效率。
　　 3．设计了一个“基于相似度的宏观网络报警觉察算法”，在现有基于相似度的报警关联算法基础上重新定了相似度和相似度阈值选取方法以及输出结果的形式，使得关联结果反映人能够理解的攻击步骤及范围；并在此基础上设计了一套简洁适用的底层应急响应机制，通过预先设置策略模板，实时产生应急策略，联动网络安全设备执行，抑制局部异常的蔓延。

目录

文摘

英文文摘

缩略语

第一章 引言

1.1 研究背景和动机

1.2 网络态势感知国内外研究现状

1.2.1 国外研究概述

1.2.2 国内研究概述

1.3 论文的主要工作及创新点

1.3.1 本文主要工作

1.3.2 本文主要创新点

1.4 论文的章节安排

第二章 课题相关理论及技术基础

2.1 网络态势感知的概念

2.2 网络态势感知觉察研究

2.2.1 基于报警记录的觉察研究

2.2.2 基于流量记录的觉察研究

2.3 网络态势感知理解研究

2.4 网络态势感知趋势预测研究

2.5 本章小结

第三章 大规模网络安全态势感知建模

3.1 态势感知模型相关研究

3.1.1 传统的人因态势感知模型

3.1.2 网络态势感知与传统态势感知的不同

3.1.3 已有网络态势感知模型分析

3.1.4 当前态势感知模型分析

3.2 层次化大规模网络态势感知

3.2.1 层次化感知模型

3.3 本章小结

第四章 基于网络流量特征的主干网觉察研究

4.1 现有流量分析方法存在的主要问题

4.2 基于复杂网络模块理论的网络流量觉察

4.2.1 网络划分策略与网络总体检测率关系建模

4.2.2 复杂网络的模块研究

4.2.3 流量特征集的综合和优选

4.2.4 基于模块的流量检测

4.3 实验及分析

4.3.1 实验一：KDD99数据集实验

4.3.2 实验二：中国教育网西南节点数据集实验

4.4 本章小结

第五章 基于IDS报警记录的分支网络觉察研究

5.1 相关工作

5.1.1 态势报警觉察与IDS报警分析的区别

5.1.2 觉察阶段报警分析的任务

5.1.3 现有报警分析方法的主要问题

5.2 基于相似度的宏观网络报警觉察算法

5.2.1 报警分析相关定义

5.2.2 基于相似度的报警关联

5.3 异常的自动应急响应

5.3.1 现有应急事件处理流程分析

5.3.2 策略模版设计

5.3.3 策略归类

5.3.4 策略的生成

5.4 实验及分析

5.4.1 实验环境

5.4.2 实验分析

5.5 本章小结

第六章 网络安全状态评估与趋势预测

6.1 网络安全评估

6.1.1 安全等级划分

6.1.2 分支网评估策略

6.1.3 基于神经网络的网络安全状态评估

6.2 网络趋势预测

6.3 实验及分析

6.3.1 评估实验

6.3.2 预测实验

6.4 本章小结

第七章 全文总结和未来工作展望

7.1 全文总结

7.2 未来工作展望

致谢

参考文献

攻博期间取得的研究成果