基于融合決策的網絡安全態(tài)勢感知技術研究.pdf

1、隨著網絡的日益復雜，安全威脅也趨于多元化，面對大量格式不一、形式各異的日志和警報，傳統(tǒng)的處理方法早已不堪重負，從而衍生出網絡安全態(tài)勢感知，對來自監(jiān)管設施的多源安全信息進行過濾、融合與抽象，繼而預測未來的變化趨勢，使管理者對網絡的安全狀況和演化趨勢有一個全面的了解，對復雜多變的安全威脅做出快速響應，以減輕認知與響應壓力。接下來剖析現(xiàn)存的問題，介紹本文的工作。
　　 同一攻擊往往會體現(xiàn)在多種日志或警報中，借助融合決策各檢測系統(tǒng)能互相

2、彌補不足、抑制虛警。大多數(shù)融合決策方法對訓練樣本的種類和數(shù)量要求過高，未考慮輔助決策的措施，引入了很難被滿足的約束條件，當攻擊種類較多時存儲開銷太高。針對這些問題，本文提出了一種基于統(tǒng)計空間映射的多源告警融合決策模型：將警報向量映射至表決模式，以縮小統(tǒng)計空間，降低對訓練樣本的要求，僅需小規(guī)模訓練便可達到較好的融合決策效果；依據(jù)統(tǒng)計特征的差異動態(tài)推斷待檢測流量的構成情況，持續(xù)地跟蹤、預測、適應其變化，自主選擇抑制漏報或虛警，能達到較好的折

3、中效果；未引入任何違反檢測系統(tǒng)相關性的約束條件；支持在線增量訓練乃至對先前某些訓練的撤銷，能通過持續(xù)改進來應對初期訓練的不足或片面：空間復雜度僅與檢測系統(tǒng)的數(shù)量有關，而與攻擊種類的數(shù)量無關，適用于本領域用少數(shù)系統(tǒng)檢測眾多攻擊的情況。
　　 傳統(tǒng)的評估方法大多孤立地看待網絡中部署的各種服務，忽略了由弱點或攻擊引發(fā)、沿依賴關系傳遞的間接風險或威脅。若攻擊者竊取了服務讀寫數(shù)據(jù)的權限，就有能力導致數(shù)據(jù)泄密或損毀，多數(shù)方法未予考慮。針對這

4、些問題，本文提出了一種基于擴散分析的態(tài)勢評估方法：將服務、數(shù)據(jù)、弱點、攻擊等安全要素納入評估體系，從多個側面評估安全態(tài)勢；依據(jù)操作系統(tǒng)的管理信息和網絡通信的監(jiān)測記錄辨識服務間的依賴關系；從控制權限表和對象權限表中查詢服務被授予的讀寫數(shù)據(jù)的權限，剖析了權限集被弱點暴露或被攻擊竊取后對數(shù)據(jù)安全性的影響；引入非線性增量疊加方法，合成源自多個弱點或攻擊、經由多條路徑的風險或威脅，依據(jù)資源安全性的價值及其面臨的風險或威肋計算出安全態(tài)勢。本方法將各

5、種服務和數(shù)據(jù)視為一個高度關聯(lián)的有機整體，能深入地揭示網絡安全狀況以及依賴關系、授權關系的影響，得出更為全面、完整、精準、可信的評估結論。
　　 針對態(tài)勢預測的專項研究很少，大多是沿用現(xiàn)有的預測方法，存在以下欠缺：態(tài)勢序列中蘊含著大量復雜多變的演化趨勢，不是靠某個公式、函數(shù)或某次訓練就能表達及預測的；難以消解訓練樣本間的沖突，強烈依賴數(shù)據(jù)預處理和人工介入；不支持增量學習，一旦態(tài)勢序列發(fā)生變化就要重新構建模型。鑒于此，本文提出了一種

6、基于場景擬合的態(tài)勢預測方法：從形態(tài)及精度上度量序列子圖間的相似度，使用多階差分運算辨析趨勢差異；從錄制的歷史態(tài)勢序列中查找相似的跡象，衡量事發(fā)跡象對延續(xù)效應的支配強度，依據(jù)當前跡象推測某種效應重現(xiàn)的可能性；輔以進化算法，計量預測的偏差，通過逐步微調持續(xù)提升適應性。本方法最大限度地保留了序列中蘊含的規(guī)律，無需數(shù)據(jù)預處理，能持續(xù)地跟蹤、適應態(tài)勢序列的變化。
　　 本文將沿著融合決策、態(tài)勢評估、態(tài)勢預測的脈落展開研究，融合決策旨在獲得