论文部分内容阅读
随着互联网技术的发展和社会信息化程度的不断提高,网络逐渐成为人们生产、生活中不可或缺的一部分,网络安全受到了越来越多的关注。各种各样的安全产品被用于检测网络中的攻击威胁,维护网络的安全运行。但这些安全手段一般只能在一定范围内发挥特定的作用,互相之间缺乏有效的数据融合和协同管理机制。面对众多分散的信息,,网络安全管理人员无法及时的应对这些网络攻击威胁。.出于从整体上把握网络攻击威胁、维护网络安全运行目的,网络安全威胁态势感知技术应运而生,成为网络安全研究中的新热点。基于各种网络安全防护设备的报警日志进行网络安全威胁态势感知是当今研究的主流,主要包括入侵检测设备、入侵防御设备、防火墙和操作系统等的报警日志。但大部分的研究都是对各类报警日志进行单独的分析和处理,不能有效利用数据之间的关联性和互补性,得到的结果不能准确的反映出当前网络所面临的安全威胁。本文以多源报警日志为基础,从网络安全威胁态势感知模型、.威胁态势信息获取、威胁态势要素分析等几个重要方面研究网络安全威胁态势感知关键技术,主要包括以下内容:1.在模型研究方面,.针对现有网络安全态势感知模型应用到多源报警日志上的不足,提出了基于多源报警日志的网络安全威胁态势感知模型。按照威胁态势数据获取、威胁态势要素分析的主线给出了相应的解决方案。2.在威胁态势数据与要素分析方面,对常见网络安全防护设备的工作原理和报警日志特点、格式进行了深入分析,给出了相应的处理方法,提出了威胁态势数据标准化模型。对网络攻击的研究是威胁态势感知工作重要方面,在深刻理解网络攻击的基础上,针对当前现有攻击分类方法的不足,提出了一种以攻击过程为导向的攻击分类体系。3.在多源报警日志处理方面,采用了分步策略。首先在单源上利用报警属性相似度的方法进行聚合分析,得到网络攻击事件。其次,对多源攻击事件采用改进的D-S证据理论方法进行数据融合,得到可信度较高的攻击事件,作为网络安全威胁态势要素。4.在网络攻击事件关联分析方面,提出了一种基于推理模型的网络攻击事件关联分析方法。首先把融合之后的攻击事件通过语义映射模型转换成对应的攻击语义,其次利用推理模型得到所有可能的攻击转换向量,最后结合关联分析算法得到反映攻击行为的网络攻击场景图,展示攻击意图,有效的指导网络安全防护工作。最后对全文的工作进行了总结,并对基于多源报警日志进行网络安全威胁态势感知的研究工作进行了展望,指出了下一步的研究方向。