论文部分内容阅读
当前各种网络攻击活动时有发生,如漏洞攻击、分布式拒绝服务攻击、恶意软件攻击等,造成严重的经济损失和恶劣的社会影响。尽管学术界和工业界提出多种网络安全威胁检测和防御技术,如恶意软件检测、漏洞检测、入侵检测、包过滤等,但不难发现,由于当今网络攻击类型复杂多变,现有的威胁检测和防御技术已经不足以应对当前网络安全现状。网络安全问题日益严重,不仅对人们日常生活工作造成较大影响,甚至还危及国家安全。网络安全态势感知技术通过采集多种网络安全要素,辨识和理解网络中不同类型威胁,从而评估网络安全态势。网络安全态势感知技术通过全面理解网络系统中存在的真实威胁,量化评估网络系统中的安全风险,提高网络系统的监控预测和应急响应能力,有利于改善当前网络安全现状,已成为当前热门研究之一。但现有的网络安全态势感知技术仍然存在一些不足,如现有主机威胁辨识技术准确性不足、现有网络风险量化评估技术适应性较差、潜在网络安全风险难以评估等问题。本文针对这些问题,依托电力监控系统业务场景,提出一系列方法用于提升网络安全态势智能感知技术。针对加壳等反检测技术导致现有恶意软件检测方法检测精度和召回率不足的问题,本文提出一种基于系统内核调用行为的加壳恶意软件检测方法。通过采集软件调用系统内核的日志数据,分析系统内核调用的时间序列,构建系统内核调用二元组,用以表示系统内核调用的上下文关系。基于信息增益理论,提取敏感的系统内核调用实例,从而对混淆的恶意软件行为进行降噪,并基于统计表征对子序列进行表示。最后通过采用深度信念网络训练异常系统内核调用序列的检测模型进行检测。理论分析和实验结果表明该加壳恶意软件检测方法的准确性约为92%,检测时间开销小于0.001秒。针对现有告警信息聚合与关联分析技术漏报率较高的问题,本文提出一种基于告警信息融合分析的入侵检测方法。通过实时采集主机入侵告警信息,提取其中的IP地址、端口号和告警类型等,构建告警信息3D模型,用以聚合和关联分析告警信息,并采用3D卷积神经网络自适应训练检测模型对入侵行为进行精准检测,有效规避人工构建规则库对新的攻击活动覆盖率较低这一问题。理论分析和实验结果表明该网络入侵检测方法的准确性约为86%。针对传统电力监控系统攻击检测方法难以适用于检测复合攻击活动的问题,提出一种基于安全事件证据组合推理的系统攻击活动检测方法。通过提出一种改进D-S证据组合方法,以更有效地识别复合攻击活动,并提出一种证据分类合成策略,以发现同一时段内可能存在的多种网络攻击活动。根据安全事件时间序列计算安全事件偏离度,并利用该偏离度对证据进行加权,从而提高攻击活动检测的准确性,同时该方法利用证据理论,鉴别冲突证据,从而有效地辨识同一时段内的多种攻击行为。理论分析和实验结果表明该攻击活动辨识方法具有90%以上的准确性。针对潜在网络安全风险难以评估的问题,本文提出一种基于网络风险投射与传播分析的网络安全态势分布评估方法。根据DNS数据中的网络节点通信构建网络拓扑结构,通过标记已知的异常网络节点确定威胁源,分析威胁源对周边可达网络节点的影响以及风险传播行为特征,构建网络风险传播模型,最后基于随机游走理论,采用置信度传播方法评估威胁源对其他节点的影响,从而量化评估网络安全态势分布以及预测网络节点潜在的风险。理论分析和实验结果表明该网络安全态势分布评估方法的精度约为98%,召回率约为86%。