论文部分内容阅读
随着互联网技术的快速发展,网络逐渐成为人们生活中不可或缺的一部分,网络安全问题也越来越严重。各种安全设备被用于检测网络中的攻击事件,但这些设备大多处于独立工作状态,网络安全管理人员无法及时、准确地感知整个网络的状态。在这种情况下,网络安全态势感知(Network Security Situation Awareness,NSSA)技术成为网络安全领域研究热点之一。脆弱性数据是指在硬件的设备实现、软件的安全配置策略以及协议的设计过程中所存在的漏洞信息,攻击者加以利用能够实现非法入侵及破坏,因此它是网络安全态势感知的主要数据来源之一。数据管理和融合分析是网络安全态势感知的基础,只有经过有效的数据管理和融合技术,才能提炼出全面、准确的态势指标更好地服务于态势评估和态势预测。由于网络环境和系统中存在着大量分布、彼此异构的脆弱性数据,如何对这些数据进行管理和融合分析,是网络安全态势感知领域的一个新课题和挑战。因此,利用数据空间、加权D-S证据理论、云计算、本体等技术及方法,来实现面向NSSA的脆弱性数据的统一管理和融合分析。论文的主要创新工作如下: 针对大规模复杂网络环境,采用层次化的思想,并结合云计算并行处理技术,提出了一种基于云计算的层次化网络脆弱性态势感知系统模型。该模型包括网络脆弱性数据采集层、网络脆弱性数据空间构建层、网络脆弱性态势数据融合层以及应用服务层。并基于该模型设计原型系统,该系统可以较好地适应大规模复杂网络环境下的网络脆弱性态势感知。 针对现有的数据库管理系统无法管理网络脆弱性数据中的半结构化和非结构化数据,提出了一种基于本体的网络脆弱性数据空间并行构建方法。该方法利用本体在知识描述方面的优势,对脆弱性态势进行有机、分层、语义化地描述,并结合MapReduce并行计算框架将脆弱性数据空间构建方法并行化;然后将构建好的脆弱性数据空间模型转换为RDF三元组并存储到HBase数据库中。实验结果表明,并行环境下的网络脆弱性数据空间构建效率明显优于单机环境,而且在实现统一管理脆弱性数据的基础上可以有效地提升数据分析的能力。 由于不同的工具对脆弱性的探测能力不同,同时探测结果存在相应的漏报和误报,提出一种基于加权D-S证据理论脆弱性态势数据融合方法。该方法首先根据CVE采用的探测工具和严重程度计算基本概率分配;然后根据基本概率分配和相应探测工具的权值计算融合概率分配;最后采用D-S证据理论进行融合。实验结果表明,相比单一的探测工具和D-S证据理论融合方法,该方法可以从实际情况出发,得到更准确全面的脆弱性态势指标。