论文部分内容阅读
网络威胁是指可以破坏网络系统环境安全的目标或事件威胁是潜在的攻击,很多时候二者等同,但在本文中,威胁还包括攻击意图等内涵网络威胁攻击的不断发生和网络威胁日趋复杂化给互联网络的安全造成很大的隐患,使得网络威胁的检测技术逐渐成为网络安全领域的热点研究课题网络威胁检测技术中,首先通过一定的途径获取当前可能存在网络威胁活动的相关信息,然后根据这些信息,应用多种分析融合检测技术识别并判断出网络威胁的存在近年来,国内外相关领域已经取得了一定的研究成果,但是网络威胁检测技术中的信息采集与信息关联融合阶段时间开销较大,威胁特征的关联融合方法存在局限性,威胁行为协同检测技术与威胁预测技术尚未成熟,这些都是目前网络威胁检测技术尚需解决的问题本文针对网络威胁检测中的相关问题与需求,深入研究了相关技术的发展现状,提出了威胁感知传感器的并行部署算法警报信息的关联技术威胁行为分类模型的构建和基于该模型的威胁匹配检测算法协同检测模型的构建和基于该模型的体系结构威胁预测模型的构建和基于该模型的安全态势分析方法主要贡献包括以下几个方面:一针对网络威胁信息的采集与关联问题,进行网络威胁感知传感器的并行部署研究,提出感知传感器并行部署算法SPDA(Sensor Parallel DeploymentAlgorithm)通过该算法实现快速并行部署传感器,并实现了SensorPool原型系统利用SensorPool部署传感器,通过传感器进行警报信息采集同时针对所采集的海量警报信息,提出警报频繁模式挖掘关联算法与自动时段划分警报关联算法,实现了对频繁模式进一步关联处理,并对警报误报进行过滤消除,提高了警报信息采集的正确率,并大幅减小了时间开销二针对威胁分类的通用性与威胁检测中的匹配技术问题,提出基于威胁行为分类模型与行为序列模板的网络威胁检测体系结构,包括警报信息处理模块威胁检测模块,协同检测模块威胁预测模块和网络态势分析模块通过对Snort规则库与TIAA(a Toolkit for Intrusion Alert Analysis)系统的分析,以及对当前网络威胁行为的特点分析,提出威胁行为分类模型的框架,框架包括初始分类匹配模型结构化语义模型特征匹配重用模型特征匹配自适应迭代模型阈值确定模型匹配类型模型和威胁匹配矩阵模型等模块在威胁行为分类模型的基础上,提出威胁行为序列模板的构建,对复杂攻击的检测提供了更为通用的规则库基于威胁行为分类模型与行为序列模板提出两种威胁检测的匹配算法:模式匹配算法和图匹配算法最终对威胁特征进行融合,实现对网络威胁行为的检测,并实现具有通用性的威胁行为分类模型,与准确性较高,时间开销较小的威胁匹配算法三针对网络威胁的协同检测技术,对威胁检测协同模型给出定义,并通过模型框架建模和协同机制完成对威胁检测层次协同模型——TDLC(ThreatDetection Level Collaboration)模型的构建该模型从框架结构数据结构建模过程和协同机制等四个方面详细介绍了TDLC模型,提出协同检测系统体系结构与协同构件的算法描述以僵尸网络为例提出了基于协同模型的分布式检测方法,描述了威胁检测系统中感知传感器的协同工作机理,提出了传感器的可信性问题针对复杂网络威胁,最终实现网络威胁协同检测,相比单节点威胁检测,协同检测更具有检测复杂威胁的能力,尤其对例如僵尸网络等分布式威胁检测具有更佳效果四针对网络威胁态势分析中对威胁的预测准确性差问题,提出威胁预测模型,通过对粒子群优化算法的研究进行改进,提出一种威胁重叠预测算法,对威胁趋势进行预测结果相比粒子群优化算法误差减小一半左右通过对网络安全态势进行量化评估,将网络系统分为系统级主机级服务级和攻击级针对存在的威胁进行威胁指数定义,提出对威胁指数进行量化和计算的方法对每一层级进行重要性权重比的计算,由此评判整体网络系统的安全态势引入D-S证据理论方法,实现对整体网络中出现所有威胁的可能进行评分,通过计算识别具体网络威胁的种类,判断出现威胁种类的权重比例,对网络系统的安全态势作出详细分析本文研究的相关问题是对网络威胁检测技术一次有益的总结与探究,研究成果对于网络威胁检测技术的发展具有重要的实践意义与理论价值,对网络安全领域的完善和发展起到了积极推动作用