基于数据融合的网络安全态势定量感知方法研究.docx
《基于数据融合的网络安全态势定量感知方法研究.docx》由会员分享,可在线阅读,更多相关《基于数据融合的网络安全态势定量感知方法研究.docx(38页珍藏版)》请在冰豆网上搜索。
基于数据融合的网络安全态势定量感知方法研究
基于数据融合的网络安全态势定量感知方法研究
哈尔滨工程大学
硕士学位论文
基于数据融合的网络安全态势定量感知方法研究
姓名:
梁颖
申请学位级别:
硕士
专业:
计算机应用技术
指导教师:
王慧强
20061201
哈尔滨工程大学硕士学位论文
摘要
网络安全态势感知研究的提出是对传统网络安全手段的一次突破和创新,并逐渐成为当前网络安全领域一个新的研究热点。
网络安全态势感知要求从全面、整体的角度审视大规模网络的安全状况,强调对网络系统中潜在的或已经出现的异常做到及时监测,并能对未来一段时间内网络的安全状况做出合理准确的预测。
网络安全态势感知的中心思想是从认知的角度出发,充分利用一种或几种数学方法,融合处理网络环境下的多源异构安全状态数据,生成易于理解的网络安全态势。
本文首先对网络安全态势感知及数据融合在网络安全领域的应用进行了全面研究,涵盖了网络安全态势感知的概念描述、研究现状及未来发展方向等,并介绍了数据融合在网络安全领域应用的前景、关键技术及其数学模型实现方法,初步形成了利用数据融合技术实现网络安全态势感知的理论框架。
进而提出了分层网络安全态势感知实现模型,采用进化策略优化设计神经网络参数,建立了基于进化神经网络(ENN)的态势要素提取模型,并最终完成对网络安全态势数学建模。
借鉴粗糙集理论(RST)的属性重要性度量思想,实现了网络安全态势的定量计算方法,并通过实验验证了该方法的有效性。
最后,本文对课题相关工作进行了总结,并提出了下一步研究的重点所在。
关键词:
网络安全;态势感知;数据融合;进化神经网络;粗糙集
哈尔滨工程大学硕士学位论文
Abstract
mproposalofnetworksecuritysituationalawareness(NSSA)research
meansabreakthroughandaninnovationtothetraditionalnetworksecurity
technologies,andithasbecomeanewhotresearchtopicinnetworksecurityfield.
AnewperspectivetoobservethenetworksecuritystatusisdemandedinNSSA,
timelydetectionofpotentialorarisenanomaliesinnetworksystemisemphasized,
andalsoforecastofnetworksecuritystatusinsometimelatershouldbemade
reasonablyandexactly.ThemainideaofNSSAistolnakefulluseofoneor
severalkindsofmathematicalmethodstofusethemulti-SOUreeheterogeneous
datainthenetworksystem,andtheneasilyunderstandablenetworksecurity
situationwillbegenemtedfromacognitiveperspective.
Firstly,NSSAandtheapplicationofdatafusioninnetworksecurityare
researchedcomprehensivelyinthisthesis,includingtheconceptdescription,
researchstate,anddevelopingdirectionofNSSA,andthentheapplicationfuture
ofdatafusioninnetworksecurityfield,keytechnologiesanditsmathematical
modelsareintroduced,SOthetheoreticalframeworkofNSSAusingdatafusionis
formedprimarily.Secondly,layeredrealizationmodelofNSSAisconstructed,and
thenthesituationalfactorextractionmodelbasedonevolutionaryneuralnetwork
iscons打ucted.inwhichevolutionarystrategyisusedtooptimizetheneural
networkparameters.11削ly,referencingtheideaofattributes’importance
measureinroughsettheory,themathematicalmodelofNSSAissetup,the
quantitativecomputationofnetworksecuritysituationisachieved,andexperiment
isdonetocheckthevalidityofthemethod.Finally,therelativeresearchinthis
fieldissunun卸叵zcd’andthenextresearchpointsarcputforward.
Keywords:
networksecurity;situationalawareness;datafusion;evolutionary
neuralnetwork;roughset
哈尔滨工程大学
学位论文原创性声明
本人郑重声明:
本论文的所有工作,是在导师的
指导下,由作者本人独立完成的。
有关观点、方法、
数据和文献的引用已在文中指出,并与参考文献相对
应。
除文中已注明引用的内容外,本论文不包含任何
其他个人或集体已经公开发表的作品成果。
对本文的
研究做出重要贡献的个人和集体,均已在文中以明确
方式标明。
本人完全意识到本声明的法律结果由本人
承担。
作者(签字):
邋
日期:
2卯∥年殷月
哈尔滨工程大学硕士学位论文
1.1课题背景
第1章绪论
任何一种新技术的诞生,其原动力都来源于人类的需求,其目的也都是为了满足人类的需求,网络安全态势感知技术也不例外。
当今社会,随着网络技术和网络规模的不断发展,针对网络和计算机系统的攻击交得越来越普遍,攻击手法也越来越复杂。
目前网络攻击主要呈现出三个特点:
(1)攻击组织严密化;
(2)攻击行为趋利化;(3)攻击目标直接化。
这些攻击有的是针对计算机系统和软件的漏洞,有的是针对网络系统本身的安全缺陷,但都或多或少造成了破坏,网络安全技术因此显得愈加重要,两络安全设备市场也越来越开阔。
目前网络安全系统主要采用的是以防火墙和入侵检测系统为主的安全管理方式。
防火墙本身就容易受到攻击,且对于内部网络出现的安全问题经常束手无策,而很多的网络攻击都是从内部进行的,所以这种被动的安全机制不能够满足目前的网络安全需要;入侵检测系统则只能对攻击行为的某一局部进行检测,对一些复杂化的网络攻击行为则束手无策,尤其对组合式、分布式的入侵攻击,目前还没有有效的解决办法。
美国著名的网络安全专家TimBass“1提出的网络安全态势感知(NetworkSecuritySituationalAwareness,NSSA)正是为解决上述存在的种种问题而提出的。
网络安全态势感知系统区别于业界普遍采用的“辅助工具+人工”的网络安全管理方式,弥补了传统方式时间长,周期维护繁琐等不足,能够实时地监测网络安全状态,快速准确地做出安全状态评判,并能利用网络安全属性的历史记录,以多角度、多尺度的可视化方式,为用户提供~个准确直观的网络安全态势走向图。
网络安全态势感知系统的研究是网络安全领域必然要经历的下一个发展阶段,该项研究的开展也必会为网络安全技术提供一个更宽、更广的发展空间,大大增强网络安全管理手段的有效性和实时性。
1.2网络安全态势感知
1.2.1NSSA概念描述
态势感知”(situationawareness,SA)源于航天飞行的人因(Human
Factors)研究,被用来描述飞行员对当前情境的观察、理解及做出决策的过程,这就构成了飞行员大脑中的意识框架。
直到目前,态势感知仍然是航天飞行、军事战场、核反应控制等许多领域的热点研究内容之一,在网络安全领域亦是如此。
然而,给出一个明确的态势感知概念描述不是一项简单的任务,在不同领域的态势感知,其含义也有所不同。
态势感知定义越概括,在特定领域理解起来就会越困难;而定义过于具体又会影响态势感知在其他领域的应用。
TimBass首次提出了网络安全态势感知概念,并将其与空中交通监管(AirTrafficControl,ATC)领域的态势感知进行类比,旨在把ATc领域态势感知的成熟理论和技术借鉴到网络安全态势感知中去。
Bass还建立了网络安全态势感知框架,通过推理识别攻击者身份、攻击速度、威胁性和攻击目标,但是并没有做出明确的网络安全态势感知概念描述,也没有实现具体的原型系统;GregCole和NatashaBulashova'31认为网络安全态势感知是指网络管理人员通过人机交互界面对当前网络状况的认知程度;KiranLakkaraju和YifanLi"等则认为网络安全态势感知就是网络安全管理人员根据提供的网络信息意识到网络中发生着什么,包括对入侵行为的检测,但又不仅限于此。
根据对大规模网络进行实时安全管理的需求,定义网络安全态势感知为网络安全管理员通过对反映网络安全状态的网络流量、端口连接、网络行为等异常因素的理解与综合评判,从而形成的对整个网络安全状况的认知,及对未来一段时间内网络安全状况的预测。
为了清楚直观地理解这些网络安全态势要素,实现多角度、多尺度可视化显示,利用人类对图形的认知处理能力,才能很好地实现对网络安全状态的监控和预测,实现真正的网络安全态势感知。
1.2.2NSSA国内外研究现状分析
网络安全态势感知m作为未来保证信息优势的两大关键技术之一,众多学者、研究机构纷纷在此领域展开了广泛的研究。
StephenG.BatselY'J等开发了一个集成现有网络安全系统的安全框架以提供对大规模网络的实时态势感知,但该方法对网络结构部署有一定的局限;JasonShifflett”采用“纵深防御”的思想,综合各种网络攻击检测技术,搭建了一个模块化技术无关框架结构,该方法只能对有限攻击进行检测,尚无法实现真正的网络安全态势感知。
ChristopherJ.Matheus等人“1将Ontology用于刻画战场环境态势感知,这对网络安全态势感知的研究有一定的借鉴启发作用。
其他开展该项研究的个人还有加拿大通信研究中心的A.DeMontigny—Leboeuf,伊利诺大学香槟分校的WilliamYurcik等。
同时,很多研究机构也开始着手对网络安全态势感知系统的研究。
美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“TheSpinningCubeofPotentialDoom”系统m,该系统实现了网络流量的三维空间视图,清楚直观的反映了网络流量的变化情况,极大地提高了网络安全态势感知能力;2005年,卡内基梅隆大学软件工程研究所(cMU/SEI)领导的计算机应急响应组织(CERT)成立了网络态势感知小组(NetworkSituationalAwarenessGroup),专门负责开发工程途径和理论方法以分析大规模网络入侵行为,定量评估各种威胁活动,最终实现网络安全态势感知;伊利诺大学香槟分校的国家高级安全系统研究中心(NCASSR)开发的SIFT(SecurityIncidentFusionTools)工具,提供集成的框架以评估整个计算机网络的安全状况,从而形成对全网的安全态势感知“一。
其他机构还有加拿大国防研究与开发中心(DefenceRE)Canada),瑞士联邦技术院(SwissFederalInstituteofTechnologyZurich,ETHZurich)等等。
同时国内开展网络安全态势相关研究的主要集中在高校研究机构。
西安交通大学的管晓宏等人“”结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估模型及相应计算方法,但集成数据源的选择还有一定局限性,不足以反映全面的网络安全态势。
北理工信息安全与对抗技术研究中心自行研制开发的网络安全态势评估系统是一套综合评估网络安全状态及变化趋势的软件,由网络安全风险状态评估和网络威胁发展趋势预测两部分组成,但其仅适用于局域网的安全态势评估。
通过对国内外网络安全态势感知研究现状的对比分析,可以看出网络安全态势感知的研究虽然处于起步阶段,但此领域已有大量的研究工作,且主要集中在国外。
目前国外学者主要从网络系统状态、连接情况,端口活动情况等几个方面对网络安全态势感知开展了理论及应用上的研究工作。
而国内的网络安全态势感知研究主要是在国外态势感知研究的基础上,针对网络安全态势感知的分析和需求,对目前网络安全手段的一些改进,尚没有取得突破性的研究进展。
1.3数据融合在网络安全中的应用分析
数据融合作为一项技术出现于20世纪70年代,其发展之初就在军事领域得到了广泛应用。
1987年以来,美国国会一直将其列为对美国国防具有重要影响的20项关键技术之一,并在数据融合技术研究方面投入巨资。
1998年在美国成立了国际信息融合学会(ISIF),每年举行一次信息融合国际学术大会,对该领域的研究成果进行系列总结。
目前应用最广泛的数据融合定义是由美国国防部JDL数据融合小组从军事应用的角度给出的:
数据融合是将来自多传感器和信息源的数据和信息加以联合(Association)、相关(Correlation)和组合(Combination),以获得精确的位置估计(PositionEstimation)和身份估计(IdentityEstimation),以及对战场情况和威胁及其重要程度进行实时评价。
目前数据融合在工业控制、机器人制造、医疗诊断、空中交通管制、网络安全等诸多领域得到了广泛应用。
本文主要探讨数据融合在网络安全领域的应用。
2000年TimBass”,首次指出数据融合方法及其JDL功能模型可直接应用于网络态势感知,网络管理和网络入侵检测系统中。
在前人工作基础上,remcoC.deBoer“.,建立了基于数据融合的入侵检测系统通用框架,并验证了采用数据融合技术可以降低误报率,对入侵行为报警。
ChristosSiaterlis和BasilMaglaris⋯,运用数据融合技术设计检测DoS攻击的模型,表明数据融合是一种可以有效增加DoS检测率、降低虚警率的方法。
JasonShifflet在文献[7]中指出利用数据融合实现异质数据的集中和关联,并指出要建立一个能反映当前网络态势的模型必须要有某种形式的数据融合。
J.Salerno和M.Hir瑚an“”等也深入分析和研究了数据融合和态势感知两个概念模型,构建了态势感知的一般框架,并验证了将数据融合用于态势感知能更好地获取网络安全态势,并能对未来决策提供有力支持。
相对而言,国内针对数据融合在网络安全领域应用开展的研究较少,深度和广度还有局限性。
代表性研究有基于数据融合技术建立的入侵检测模型、网络安全管理平台等,这些研究工作为数据融合在网络安全领域的应用起到了很大的促进作用。
由上可知,将数据融合应用于网络安全领域,尤其是入侵检测领域已经取得了初步的研究成果。
但将数据融合用于网络安全态势感知领域的研究,目前只停留在对系统功能模型的研究及理论探索,还没有取得实质性的进展,尚待进一步开展研究。
1.4本文的主要工作和组织结构
1.4.1研究内容
将数据融合方法引入到网络安全态势感知领域,是一个相对较新的研究方向。
本文的中心思想就是围绕构建一种合理有效的数据融合模型,从而建立起一种网络安全态势感知的量化方法。
本文的研究工作主要包括以下四个方面:
(1)对网络安全态势感知及数据融合从理论和应用两个角度进行了系统化地总结与分析;
(2)探索网络安全态势感知的数据融合新方法及其实现途径,并对其关键技术进行了简要的概括和总结;
(3)运用进化策略优化神经网络的各结构参数,建立了基于进化神经网络的态势要素提取模型,并利用粗糙集理论的属性约简能力,最终提出了一种基于进化神经网络和粗糙集理论的融合新方法;
(4)进行仿真实验,验证基于数据融合的网络安全态势定量感知方法的有效性,并对实验结果进行了分析说明。
1.4.2本文的组织结构
论文其余章节的内容具体安排如下:
第2章对数据融合的信息处理层次及其数学模型进行了总结分析,建立了分层网络安全态势感知实现模型,并对可采用的若干数据融合关键技术进行了分析。
第3章在使用进化策略优化神经网络设计的基础上,建立了基于进化神经网络的态势要素提取模型,并采用仿真实验对结果进行了分析。
第4章结合粗糙集的属性约简能力,对各安全态势要素进行了重要性衡量,最终实现了一种网络安全态势定量感知方法,并进行了仿真实验。
最后,在总结全文研究思路和初步成果的基础上,指出了目前在网络安全态势定量感知方法的研究中存在的不足和尚需改进之处,并在此基础上,提出了今后进一步研究和发展的方向。
第2章实现NSSA的若干数据融合关键技术
2.1数据融合理论基础
到目前为止,多传感器数据融合研究取得了一系列研究成果m,但数据
融合系统的设计仍缺少一个统一的模式,没有找到一个行之有效的解决方法。
综合众多相关研究文献,作者认为实现网络安全态势感知定量研究的关键还
在于数据融合的模型设计问题。
数据融合模型主要包括融合的结构模型、数
学模型和功能模型。
结构模型从融合系统的组成出发,说明数据融合系统的
主要组成结构;数学模型则指数据融合算法和综合逻辑;功能模型从融合的
过程出发,描写数据融合包含的功能、数据库及进行融合处理时各组成部分
之间的相互作用过程。
这三大模型是任何一个数据融合系统必须解决的,因
此它们构成了融合系统的核心问题,其中又以数学模型最为关键。
多传感器
数据融合系统在网络安全领域应用的研究工作已经开始,但还没有取得突破
性的实质进展。
本文将详细阐述融合系统的功能模型和数学模型,并初步确
立基于数据融合的网络安全态势定量感知方法。
2.1.1数据融合的层次化描述
大规模网络环境下的多源异构网络安全状态数据差异性很大,可能是实时数据,也可能是非实时数据;可能是连续数据,也可能是离散数据;可能是互相支持的数据,也可能是互相矛盾的数据。
数据融合系统就是要充分利用多源异构网络安全状态数据,将其冗余或互补的数据依据某种准则进行融合,以获得对待识别安全事件的一致性描述或解释,使得数据融合系统得到的实际输出比依靠任何单一数据源构成的系统获得更优越的性能。
数据融合可以看作对人脑综合处理复杂问题的一种较全面的高级模仿,可以最大限度地利用多源异构网络安全状态数据,从而获得待识别安全事件的准确判断和描述。
融合的层次性指的是,各传感器提供的数据在什么阶段进行融合。
数据融合与经典信号处理方法之间存在本质差别,其关键在于数据融合所处理的多源异构数据具有较为复杂的形式,而且可以在不同的数据层次出现。
这些数据表征层次有数据层、特征层和决策层。
对于具体的融合系统而言,它接受的数据可以是单一层次上的数据,也可以是几种层次上的数据。
融合的基本策略就是先对同一层次上的数据进行融合,从而获得更高层次上的融合后的数据,然后再汇入相应的数据融合层次。
因此,总的来说,数据融合本质上是一个由低层到高层对多源异构数据进行整合、逐层抽象的数据处理过程。
但在某些情况下,高层数据的融合要起反馈控制的作用,即高层数据有时也参与低层数据的融合,而且,在某些特殊的应用场合,可以先进行高层数据的融合,由此我们可以概括出基本的数据融合过程,如图2.1所示。
多源异构网络安全状态数据依次在各融合节点合成,各融合节点的融合数据和融合结果可以以交互的方式进入其他融合节点,参与融合处理。
由融合过程可见,数据融合按照其处理数据的层次可以分为三类:
数据层融合、特征层融合和决策层融合。
但这并不意味着每个融合系统必须包括三个层次上的融合,它们仅仅是融合的一种分类方式,多源异构数据融合层次的划分,对我们设计融合系统结构,有效地利用多源异构数据具有重要的指导意义。
我们根据融合系统所处的数据层次,对数据融合方法进行简单的描述。
1.数据层融合
数据层融合直接融合来自同类传感器的数据,在各传感器的原始数据经过预处理之前就进行数据的综合分析处理,是最低层次的融合。
此过程一般可通过从原始数据中提取一个特征矢量来完成,并根据此特征矢量做出属性判决。
数据层融合虽能提供最精确的结果,但对数据传输带宽、数据之间配准精度要求很高。
例如在图像分析与理解中,为了再现立体图像的深度,必须首先识别出相应于物体上的同一点像素。
由于无法对各传感器原始数据进行一致性检验,因此数据层融合具有很大的盲目性,数据融合原则上不赞成在数据层上直接进行。
2.特征层融合
特征层融合是在数据的中间层次上进行的,它是对预处理和特征提取后的特征信息进行综合分析和处理。
其优点是既保留了足够数量的重要信息,又实现了可观的数据压缩,有利于实时处理。
特征层融合可划分为两大类:
目标状态数据融合、目标特性融合。
(1)目标状态数据融合
目标状态数据融合主要用于多传感器目标跟踪领域,融合系统首先对传感器数据进行预处理以完成数据配准,之后融合处理主要实现参数相关和状态向量估计。
此领域的大量方法都可以修改移植为多传感器目标跟踪方法,且通常能建立起一个严格的数学模型来描述多传感器的融合跟踪过程。
(2)目标特性融合
特征级目标特性融合就是特征层联合识别,它实质就是模式识别问题。
多源异构数据的特征层融合增大了特征空间的维数,具体的融合方法仍是模式识别的相应技术,只是在融合前必须先对特征进行关联处理,将特征矢量分类成有意义的组合。
特征层融合无论在理论还是应用上都逐渐趋于成熟,形成了一套针对具体问题的解决方法。
在融合的三个层次中,特征层融合可以说是发展较完善的,而且由于在特征层已建立了一整套行之有效的特征关联技术,可以保证融合数据的一致性,所以特征层融合有着良好的应用与发展前景。
3.决策层融合
决策层融合是一种高层次融合。
在融合之前,每个传感器依据自身的数据源已独立地完成了决策或分类任务,融合过程完成的任务是根据一定的准则及每个决策的可信度,进一步融合生成最后的决策。
这种方法具有良好的实时性、容错性和灵活性,系统对数据传输带宽要求较低,能有效地反映目标各个方面不同类型的信息,可以处理非同步信息,目前有关数据融合的大量研究成果都是在决策层取得的,并且构成了数据融合的一个研究热点。
但是决策层融合首先要对源传感器数据进行预处理以获得各自的判定结果,所以预处理代价高。
2.1.2数据融合的数学模型
从上世纪八十年代开始,人们就致力于数据融合方法的研究,并相继提出了许多融合方法。
将这些数学方法从解决数据融合问题的指导思想或哲学观点加以划分,现有数据融合的数学模型可分为三大类“”。
第一类,嵌入约束观点。
这一观点认为多源数据是客观环境
升级会员 