网络安全威胁态势评估分析方法及研究.pdf

I华中科技大学博士学位论文摘要面对日益严峻的网络安全形势,传统的安全检测和防护手段已不能满足当前网络安全管理的需求。网络态势感知与安全评估作为安全管理的新手段,是安全领域的重要研究方向。其目标是融合现有安全设备信息,提取安全要素,对网络攻击威胁和实时安全状态进行评估和预测,为网络安全规划和管理策略的制定提供科学依据。目前网络安全及威胁态势评估技术还存在诸多问题。例如告警误报率偏高,导致评估质量低下;评估模型无统一标准,安全要素关系混淆不清;静态评估方法为主,难以动态感知威胁;专家知识依赖较多,评估指标缺乏量化等等。提出基于告警分析的威胁感知方法。在分析告警重尾分布特性的基础上,建立了告警数据的时序模型。对告警序列进行谱分析表明,它可分解为主要部分和残差部分,前者变化平缓而有持续的规律,反映了告警序列的本质特征,后者可反映异常,是威胁感知的重要依据。提出了基于谱分解的告警序列异常检测方法,采用滑动窗口方式,通过基准窗口构建序列本质特征,用检测窗口判断异常,并把两者异常距离的大小作为检测标准。针对基准窗口滑动需要进行谱分解和重新计算会影响效率的问题,采用了一种基准序列主结构增量更新的方法,降低了基准序列重建的时间开销。该方法不以告警序列周期性、趋势性、平稳性等特征为假设前提,以告警序列本质规律为根本,具有适应序列结构变化的能力。对比实验表明,异常检测率达92%以上,在去除大量误报的同时,还能有效感知隐匿于误告警数据之中的威胁。提出了基于信息融合的网络威胁态势量化评估方法。在对安全事件与安全事件、安全事件与脆弱性、安全事件与资产环境等威胁要素间关系进行分析的基础上,构建出多要素关联融合的威胁态势评估模型。该模型由威胁度,威胁严重度、资产值三部分组成:威胁度描述攻击成功的可能性,威胁严重度描述攻击造成破坏的严重性,资产值则反映攻击对资产造成的损失。通过挖掘告警的时空关联关系,建立起告警的关联模式及关联规则。计算告警与关联规则的匹配程度并融合告警与环境信 II华中科技大学博士学位论文息的匹配结果得到量化的威胁度评估值。构建由告警、脆弱性和服务可靠性等要素组成的威胁严重度评估指标体系,提出了基于模糊隶属函数的指标量化方法,解决了告警、脆弱性等抽象对象难以量化融合的问题,给出了进行威胁严重度计算的模糊规则。整个评估方法是以告警为线索,以威胁要素量化指标为依据,对各指标值进行逐步融合的过程,其结果是构建出评估对象的实时威胁态势图。实验表明,该方法能动态地量化出受保护主机或网络的威胁状况,直观显示网络威胁态势,为管理员及时查找安全原因、调整安全策略提供了有效依据。针对威胁态势预测,提出了基于组合预测模型的预测方法,通过组合多个单一预测模型,实现模型之间的取长补短。模型之间关系的确立,采用一种基于信息熵值的权重确定方法。实验表明组合预测模型能提高网络威胁态势预测的准确度,提高了预警水平。提出了基于攻击图的网络威胁态势分析方法。在对网络威胁传播行为方式进行分析的基础上,构建了基于告警的攻击图模型。该模型是利用告警中拓扑信息构建的赋权有向图,告警的每个IP地址构成图的节点,图的每一边代表告警本身,边上的权值代表节点间的威胁影响程度。攻击图的节点是潜在的威胁传播节点,攻击图的路径对应潜在的威胁传播路径。提出基于威胁频率的边权值确定方法,并建立了攻击图构造方法。指出最具威胁的节点(边)是通过其进行威胁传播最频繁节点(边),并以此引入了攻击图的介数概念。通过计算每个节点(边)在图中所有最短路径的出现的次数得到攻击图的点(边)介数。利用攻击图序列的概念,对不同时间周期内的告警建立攻击图模型。根据攻击图序列中的高介数节点(边)出现频繁程度来确认威胁节点和威胁路径,实现了宏观网络威胁态势分析的目标。基于上述告警攻击图威胁态势分析方法的优点在于:1)能动态反映网络实际威胁场景;2)能自动完成攻击图生成与威胁态势分析流程,减少对专家知识库的依赖;3)告警信息易于获取,适应网络范围广。关键词:威胁态势评估,威胁态势预测,威胁态势分析,信息融合,关联分析,攻击图 III华中科技大学博士学位论文Abstract Facing the plex and work security environment, the traditional security detection and protection method have not been able to satisfy the current demand work security management. As a new approach work security management, work situation awareness and security evaluation has e an impo