论文部分内容阅读
本文针对网络安全态势分析,研究数据的分析算法和处理流程,致力于提高数据处理的时间效率,增加处理后数据的信息量,优化数据处理流程以及满足态势分析的实时性等。论文对网络安全态势分析系统数据融合方法进行了重新设计,进行了安全事件融合、关联数据融合到态势数据融合三个层面的研究实验和系统设计。主要研究内容包括: ⑴对常用的IDS算法和评测IDS算法性能的标准数据集进行深入分析,实践了三种与分类器无关的属性选择的过滤方法,并同时使用三种属性选择法对以上设计的异常检测算法进行实验比对。在相同的编程实现方法、训练和测试数据以及硬件环境下,从三个维度(训练数据,属性选择方法,异常检测算法)对基于异常的IDS算法进行比较,分析了各因素对异常检测算法的影响。 ⑵提出了一种基于IPTSVM的入侵检测算法。相比传统的基于直推式SVM的入侵检测方法,IPTSVM通过人为控制分类超平面的偏移使其更接近最优解,采取增量学习法更新拉格朗日算子,提高了检测率和效率。满足了网络安全态势分析中的异常检测算法对于适应性、自适应训练时延、可调节性和可靠性等方面的要求。 ⑶提出了一种新的网络安全态势数据关联分析流程,采用原子攻击匹配、基于统计规律的原子攻击过滤、聚类交叉关联以及基于动态相关度的因果关联分析的流程,最终达到还原攻击场景、识别攻击意图的目的。 ⑷提出了基于TPN的原子攻击建模,并在此基础上完成了一种原子攻击匹配算法AMTP。提出了基于统计规律分析原子攻击的方法,提高了数据的压缩比。实现了根据属性相关度的聚合以及结合知识库的交叉关联方法。提出了基于动态相关度的因果关联算法DRA,利用格兰杰因果检测动态更新相关度,完成了自适应的数据关联。 ⑸提出了面向攻击威胁的网络安全态势感知模型,采用分层结构计算节点态势值和子网态势值。在节点态势值的计算中,利用基于AHP的运行态势值计算反映了当前节点的运行状态,基于攻击意图的攻击态势值使用数据关联层中的攻击意图识别的数据,对当前节点可能遭到的攻击威胁进行量化评估。对子网的安全态势采用综合子网威胁指数与节点态势值的计算方法。最终计算结果有效反映了当前网络的安全状态。