基于多源融合的網(wǎng)絡(luò)安全態(tài)勢量化感知與評估.pdf

1、隨著計算機技術(shù)的普及，網(wǎng)絡(luò)已成為社會進步的重要推動力量。然而，日益嚴(yán)峻的安全形勢使得網(wǎng)絡(luò)技術(shù)的發(fā)展面臨著巨大的挑戰(zhàn)，傳統(tǒng)的單點安全系統(tǒng)（如IDS、Firewall、VPN等）雖然在一定程度上提高了網(wǎng)絡(luò)的安全性，但由于彼此間缺乏有效的協(xié)作，無法實現(xiàn)全網(wǎng)的安全態(tài)勢監(jiān)控。在這種背景下，開展對網(wǎng)絡(luò)安全態(tài)勢感知的研究，具有較高的學(xué)術(shù)價值和廣泛的現(xiàn)實意義。
　　 目前，對于網(wǎng)絡(luò)安全態(tài)勢感知的研究還不成熟，態(tài)勢感知模型多基于單源環(huán)境；量化感知

2、主要依靠對安全傳感器原始報警信息的統(tǒng)計量化，仍無法實現(xiàn)對攻擊階段和序列的感知；對態(tài)勢評估的研究多集中于指標(biāo)體系的確立，仍缺乏對評估模型和評估方法的深入討論。鑒于上述情況，本文提出基于多源融合的網(wǎng)絡(luò)安全態(tài)勢感知研究，并對所涉及到的框架模型、攻擊軌跡獲取、量化感知和評估等技術(shù)問題進行深入探討。
　　 首先，針對技術(shù)背景需求，研究基于多源融合的網(wǎng)絡(luò)安全態(tài)勢感知層次模型(MsFHM)。本模型自下而上分為信息獲取層、量化感知層和態(tài)勢評估層

3、三個層次，對融合、軌跡重構(gòu)、量化感知和評估等模型組件展開詳細(xì)描述，并從整體上明確了層次與層次、組件與組件之間的關(guān)系。對組件的分析表明，MsFHM能夠滿足多源融合、面向攻擊軌跡的復(fù)雜態(tài)勢感知和態(tài)勢評估等方面的研究需求，并以MsFHM為指導(dǎo)，構(gòu)建一條從信息獲取到量化感知再到態(tài)勢評估的研究路線。通過模型的應(yīng)用，驗證本框架模型是有效的，可用于指導(dǎo)工程實踐，并為后續(xù)研究內(nèi)容的開展奠定基礎(chǔ)。
　　 其次，在MsFHM的基礎(chǔ)上，根據(jù)融合算法對

4、推理準(zhǔn)確性、先驗知識和魯棒性等的需求，以報警聚合和位圖沖突證據(jù)剔除為多源融合的預(yù)處理，研究基于粒子群D-S證據(jù)理論(PSO-DS)的多源融合算法，降低不確定性，融合生成準(zhǔn)確的報警。接著，根據(jù)融合報警構(gòu)造超警，提出基于超警復(fù)合關(guān)聯(lián)相異度(HACCD)的攻擊軌跡重構(gòu)方法，達(dá)到分階段、細(xì)粒度安全信息獲取的目的，并為層次量化感知提供必要的條件。仿真試驗結(jié)果表明，在PSO-DS多源融合算法提高檢測率和降低誤警率的基礎(chǔ)上，基于HACCD的軌跡重構(gòu)方

5、法也具有較高的準(zhǔn)確性和完整性。
　　 再次，研究基于威脅因子生成的量化感知方法，包括態(tài)勢要素提取和量化感知兩個方面的研究內(nèi)容。一方面，根據(jù)態(tài)勢要素提取模型，以攻擊強度、攻擊階段和事件威脅程度等作為態(tài)勢要素，并結(jié)合對威脅因子和威脅等級函數(shù)關(guān)系的推演，生成威脅因子；另一方面，提出基于威脅因子加權(quán)量化的感知方法，實現(xiàn)對攻擊階段、攻擊軌跡和網(wǎng)絡(luò)三個層次的量化感知。仿真實驗結(jié)果表明，該量化感知方法能夠并行、直觀和準(zhǔn)確的反映攻擊軌跡和網(wǎng)絡(luò)系

6、統(tǒng)安全態(tài)勢的動態(tài)演化情況，能夠有效的監(jiān)控和管理網(wǎng)絡(luò)，并為正確決策提供依據(jù)。
　　 最后，研究基于最優(yōu)線性分配的NSSA評估方法。首先，從報警準(zhǔn)確性、軌跡可信性、量化感知精確度和應(yīng)用時效性等方面確立信息獲取層和量化感知層兩個層次的評估指標(biāo)。然后構(gòu)建NSSA的評估模型，并在模型的指導(dǎo)下，通過分析線性分配理論，最終提出基于最優(yōu)線性分配的網(wǎng)絡(luò)安全態(tài)勢評估方法，并利用信息獲取層和量化感知層的評估指標(biāo)，實現(xiàn)對NSSA的定量評估。仿真實驗表明