论文部分内容阅读
近年来,在网络技术飞速发展和网络规模不断增大的同时,与网络有关的攻击、入侵等安全事件也愈来愈多。理论和实践表明,其主要原因在于计算机主机及网络存在着安全脆弱性。因此,如何对网络脆弱性做出准确的评估,对网络安全报警做出及时的判断,就显得尤为重要。目前,网络安全性评估已经成为网络安全领域的研究热点之一。本文从网络脆弱性角度出发,对网络系统安全性评估中涉及的网络脆弱性评估和入侵报警分析等关键技术进行了深入研究,主要包括以下四个方面:(1)构建主机状态攻击图攻击图由于其具备描述网络脆弱性及其相互关系的能力,通常被用来进行网络安全性分析。本文在以主机为中心的攻击图中,引入节点状态概率和前置状态节点,提出主机状态攻击图的生成方法。该方法不仅有利于控制攻击图的生成规模,而且能够有效表达到达目标状态的最有可能被利用的攻击路径,为后续网络安全分析提供决策支持。(2)基于成本模型,采用多目标优化的遗传算法进行安全加固成本分析如何求解最小安全加固措施集合,即以最小的成本代价,最大限度的减少脆弱性带来的影响,从而保证网络的整体安全性成为攻击图分析的研究重点。本文提出了一种基于遗传算法的加固措施多目标优化模型,该模型首先从损失影响的角度,基于攻击图评估目标网络的潜在损失;进一步地,当采取一系列安全控制措施后,基于成本模型,在目标网络的剩余损失值和安全措施的总成本间寻求平衡;在此基础上,通过多目标优化的遗传算法找到近似最优解,管理员可以有针对性的进行网络脆弱性修补,增强网络的总体安全性能。(3)提出基于特征分布的报警分析方法在大规模网络系统中,网络管理员面临着严峻的挑战,很难从大量入侵检测系统的报警中提取攻击行为,因为真正有威胁的报警被淹没在海量的包含正常行为的报警中。基于“网络攻击行为间的相关性必然反映在其报警信息间的某种相关性”这一假设,我们对网络异常行为引起的报警特征分布的突变进行分析,并将这种检测看作是报警特征(如报警类型,特征,IP地址和端口)的多元变化检测。报警属性间的规律性正是攻击行为模式的体现,可作为攻击检测的依据。在此基础上,本文提出了一种基于相对熵理论的报警分析方法,计算报警流的特征分布相对于参考分布的KL距离,即反映了报警流的特征分布相对于参考分布的变化,其中参考分布是历史数据和专家知识的混合分布。实验将该方法应用于从实际大型网络中收集的报警数据,结果表明,该方法能够揭示攻击行为之间的联系,有效发现多种类型的攻击,攻击事件不仅包括安全事件,如端口扫描,DoS攻击,还包括网络事件,如网络失效或者不恰当的配置。(4)基于置信度理论的入侵诊断及预测基于置信度理论,建立了一个用于实时评估主机威胁状况的模型。该模型结合攻击图,计算各个时刻目标网络面临的攻击威胁,评估主机的攻击能力和受威胁程度的变化,把握威胁态势,预测下一步可能发生的攻击,从而实现对目标网络安全性的综合评估。实验使用了DARPA2000数据集对方法进行验证,实验结果显示该方法能够对多步攻击行为提前做出判断。