第一章 绪论
1.1 研究背景与意义
随着经济科技的进步,计算机走进了人们的生活,网络的开放、共享和互连程度越来越大,给人们的生活、工作都带来了极大的便利。但是有好的一面必然也会有坏的一面,网络带来的便捷性与网络信息泄露等风险矛盾显著,各种各样的网络安全事件不断发生,网络的安全性面临着极大的挑战,严重的影响了人民的信息财产安全,所以有效地增强网络系统的安全成为当前的重要目标。习近平总书记在 2016 年 4 月的座谈会上指出:“要全天候全方位感知网络安全态势,加强网络安全防御和威慑能力”,且在《网络安全法》中也对此提出了明确的要求[1],这都表明了网络安全态势感知技术对提高网络安全的重要性。
网络安全自网络普及以来一直处在至关重要的地位,技术人员为了维护网络的安全也提出了许多的方法与措施。目前常用来增强网络安全性的措施是安装防火墙、入侵检测系统或者杀毒软件等,这些措施虽然为网络筑起了一道安全防线,但是伴随着网络的不断发展与进步,其复杂性和不确定性因素逐步增加,这些措施只能检测已经发生的攻击行为或者异常活动,并且只能从某个方面或者某个方法对网络进行独立防护,除此之外,这些措施每天产生大量的警报信息,且误报率高,不能够动态的调整来高效安全的保护网络,在大规模网络中很难起到有效的保护作用。
网络安全态势感知就是对会影响大规模网络的安全要素进行获取,并通过数据的融合、挖掘以及分析,最后利用可视化技术显示出来来预测未来的趋势[2]。网络安全态势评估与预测技术的提出可以帮助网络管理人员更好的掌握到网络系统的安全运行情况,对网络中的脆弱点和潜在的威胁有更清晰更准确的了解,从而可以及时有效地采取正确的防范措施,再通过可视化技术可以让网络管理人员更加直观的掌握网络情况。网络安全态势感知可以将所有获取到的信息实时地用来评估和预测网络安全态势,将网络中的不安全因子对网络造成的风险与损失降到最小,极大的提高了网络的安全性以及应急响应能力。
...........................
1.2 国内外研究现状
1999 年 Tim Bass 结合态势感知与网络安全技术首次提出了网络安全态势感知的概念,由此开启了网络安全态势感知这一研究领域,为网络安全作出了巨大的贡献。
1.2.1 国外研究现状
在 20 世纪 80 年代,美国空军应用态势感知的概念根据环境这个态势因子对战场上的情况做出准确分析和快速的判断。1988 年,Endsley 提出“态势感知是在一定的时间、空间下[3],对影响环境的要素进行捕获和理解,来达到对未来预测的目的”,这是态势感知概念第一次被提出,引起了一大片研究的热潮。他所提出的态势感知三级模型:态势要素提取、态势理解、态势预测,对后来研究人员起到了极大的指导和引领作用。到 2000 年,Tim Bass 综合态势感知与网络安全技术首次提出了网络安全态势感知的概念[4],提出了基于多传感器数据融合的新型网络态势感知模型,强调了数据融合的重要性,这个模型为后来的研究人员指明了更加详细的研究方向,同时在他的一篇论文中他提出了网络安全态势感知的五层模型,即:数据精炼、对象精炼、态势精炼、威胁评估和资源管理。在网络安全态势评估和预测方面,国外的学者做了大量的研究,在 Tim Bass 提出网络安全态势感知的同一年,Andrew Blyth 在他的文章中定性地评估了网络受到的威胁[5]。2002 年,E. Wright,S. Mahoney 提出了多实体贝叶斯网络的态势评估方法,基于贝叶斯网络的结合自上而下和自下而上的证据驱动过程控制能够自动构造贝叶斯网络的技术片段。这些技术已被用于原型融合系统,该系统能够在不完全观测的基础上,对不确定数量的不确定层次组织实体进行推理,这些系统已成功地产生了部队水平的情况[6]。2003 年,美国国家能源研究科学计算中心的劳伦斯伯克利国家实验室(Lawrence Berkeley National Labs)开发了“The SpinningCube of Potential Doom”系统[7],这个系统用点在三维空间中表示网络流量信息,使得网络安全态势感知能力得到了巨大的提升。2005 年,CMU/SEI 领导的CERT/NetSA 开发了对大规模网络安全态势进行实时监控[6],并在异常的恶意网络行为失控前对网络进行识别、防御,给出及时有效的应对策略的 SILK 系统。同一年,Jajdia 等人设计了一种拓扑弱点分析工具 TVA 以检测网络系统弱点为目的来评估网络的安全状况。2011 年,Yegneswaran 和他的伙伴提出了将蜜网的网络活动作为威胁的数据源[8],通过入侵检测系统来检测报警事件绘制态势曲线,用此来对网络进行态势评估,但是这个方法必须是要网络受到攻击为前提才可以验证其是否有效。2012 年,Stephen E.Smith 在文献中提出综合利用包括分析流量的工具、扫描脆弱性的工具和入侵检测系统等网络安全工具来全面评估和保护网络安全[9]。
.............................
第二章 网络安全态势感知相关理论与技术
2.1 网络安全态势感知概述
本节首先介绍态势感知(SituationalAwareness,SA)的概念,然后通过将态势感知(Network Security Situation Awareness,NSSA)运用到网络安全领域来引出网络安全态势感知这个概念,并对网络安全态势感知进行阐述。
2.1.1 态势感知概念
态势感知(SituationalAwareness,SA)这一概念最早是应用在军事研究上,美国的导弹报警系统就是此概念的最早应用。态势感知是一种基于环境的、动态的、全面的理解安全风险的能力,其中态势是对系统中的对象状态进行综合描述,它是一个整体全局性的概念,单一的对象或者状态都不可以作为态势,它反映的是系统和系统对象的关系;感知的过程是不断用认知映射来获得更多更全面的过程,它不仅仅是数据的转换过程,更是语义的提取过程;对状态的评估是指预测活动对系统中的对象有何作用。态势感知以安全大数据为基础,从全局角度提升发现、识别、理解、分析和应对安全威胁的能力,实现安全能力落地。其中,威胁检测的源数据是基础,基于流量检测、人工智能等技术是核心,视觉呈现是必要,最终的响应处理落地能力是关键。
1988 年,Endsley 提出“态势感知是在一定的时间、空间下,对影响环境的因素或者事件的理解和认知,并对未来的发展状态进行预测。”这个定义的实现过程分为以下三个层面:态势要素的获取、态势的理解、以及态势的的预测,如图 2-1 所示,描绘了这三层模型。
图 2-1 Endsley 态势感知过程图
2.2 网络安全态势感知的关键技术
由于网络的普及,各种网络安全隐患日益增加,增强网络安全迫在眉睫。其中为了解决这一问题所产生的网络安全态势感知技术,根据其模型结构的划分将有以下几个技术需要解决。
2.2.1 入侵检测技术
网络安全检测是指对采集到的数据进行检查,并根据观测到的异常事件和数据产生报警的过程,它通常是由某一软件完成的,这个过程也称为网络安全检测机制。这种检测通常是通过一种叫做入侵检测的技术来实现的,但也有其他的方法,如入侵响应、入侵取证等,当收集的安全数据通过预处理和验证并在其中发现异常时将发生此过程[18]。一旦网络安全检测机制产生报警数据,就会将这些数据提供给安全人员进行分析,然后就可以进入下一步网络安全分析环节。
入侵检测技术作为网络分析的前提,是近十几年来备受关注的技术,它是一种动态监测、预防或抵御系统行为的安全机制。它通过对行为、安全日志、审计数据或者其它网络上可以获得的信息进行操作,检测对系统的闯入以及闯入的企图”[19],其作用包括了威慑、监测、响应和损失情况评估、攻击预测以及起诉支持,入侵检测的对象包括了系统外部的入侵和内部用户的非授权行为[20]。
一个入侵检测系统至少有三个功能模块,即提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应模块[21]。根据检测的数据来源对入侵检测系统可以分为三类,第一类的数据一般是被监测系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录等,这个方法依赖性较高,且实时性和可移植性差,对基于网络协议的攻击不适用;基于网络的入侵检测系统的数据源一般是网络上的原始数据包,这个类型不依赖被监测的系统主机,实时性和隐蔽性都比较好,但是检测率较低;最后一种类型经常被配置为分布式模式,它的检测目标是多种数据源,检测的数据较丰富,对前面两种方法取其精华去其糟粕,克服了单一结构的缺陷,但是网络管理的难度和开销相对较大。最常用的分类方法是基于检测分析方法的不同来分为以下三类:误用检测系统、异常检测系统以及两者的混合检测系统,混合之后可以实现两者的优势互补。
...........................
第三章 基于贝叶斯网络的网络安全态势评估方法............................ 20
3.1 随机森林算法的概述及其实现......................... 20
3.1.1 随机森林方法的概述........................20
3.1.2 并行随机森林算法描述.......................21
第四章 基于支持向量机的网络安全态势预测方法................................... 34
4.1 支持向量机概述及改进.............................34
4.1.1 支持向量机思想................... 34
4.1.2 非线性支持向量机原理.........................36
第五章 总结与展望.................................48
5.1 工作总结......................................48
5.2 展望.............................49
第四章 基于支持向量机的网络安全态势预测方法
4.1 支持向量机概述及改进
支持向量机的通用性、计算简单、运算效率高且理论完善等优点,是当前网络安全态势算法中比较成熟高效的算法,使用支持向量机方法可以极大地提高网络安全态势预测的精度。因为支持向量机方法的预测精确度受核函数的参数影响比较大,所以本文提出使用遗传算法对函数参数进行寻优,首先将态势数据进行训练,然后通过遗传算法来得到最优的预测模型参数,最后通过优化后的预测模型对网络安全态势进行预测,获取最优的预测值。
支持向量机算法可以分为三类:标准算法、改进算法和扩展算法。标准算法包括:线性 SVM、非线性 SVM 和数值求解;改进算法有:偏斜数据的改进算法、概率 SVM、多分类 SVM、最小二乘 SVM、结构化 SVM 和多核 SVM;扩展算法有:支持向量回归、支持向量聚类、半监督 SVM。
传统的支持向量机算法大都是借助二次规划来求解支持向量的,对设计大规模的训练样本将会耗费非常大的机器内存和运算时间,目前对此提出的改进方法,对这一问题有着显著的改进效果。由于经典的支持向量机算法只给了二类分类的算法,所以研究人员为了解决多分类问题的分类精度,结合其他算法的优势形成了优势互补的多分类问题的组合分类器。
图 2-3 贝叶斯网络结构图
第五章 总结与展望
5.1 工作总结
针对目前网络安全态势研究的可改进之处,本文提出了使用贝叶斯网络这个方法来构建网络安全态势评估模型以及使用支持向量机方法来构建网络安全态势预测模型,以此达到高效准确的目的。在本文开始首先介绍了该研究课题的研究背景和意义,且阐述了当前国内外对本课题的研究现状,以此引出研究本课题的重要性。具体工作研究内容包括以下几个方面:
1、为了快速准确的评估网络安全态势,提出了运用随机森林方法来挖掘影响网络安全的因素,构建贝叶斯网络态势评估模型。随机森林中的各颗数相互独立,可以同时生成,采用集成并行算法,准确性和效率比起其他方法要高很多,且对大规模的数据集训练速度快,不易陷入过拟合,对有缺失值的数据也不需要对其预处理。贝叶斯网络在某些条件下,没有连接的节点相互独立,这就让其具有了可调整的特性,当网络安全因素发生变化时可以在原来的图上增加删减节点,适应了网络的动态变化。因为贝叶斯网络的计算量会因为节点数量的增加而增加,运用随机森林方法可以通过网络的变化选出一个时间段最主要变化的几个因素,过滤掉不相关的因素,这样可以减少贝叶斯网络由于参数过多而造成的计算代价,从而可以用高效的态势评估模型来评估网络安全,增强了网络系统的应急能力。
2、提出了支持向量机方法来预测网络安全态势,使用遗传算法来优化支持向量机的核函数参数,以此提高预测的精确度。本文对支持向量机的原理进行了阐述,且因为支持向量机方法的预测精确度受核函数的参数影响比较大,为了提高预测精确,提出了对多项式核函数和高斯核函数线性组合得到混合核函数,并使用遗传算法对其参数进行了寻优。首先将态势数据进行训练,然后通过遗传算法来得到最优的预测模型参数,最后通过优化后的预测模型对网络安全态势进行预测,获取最优的预测值。
本文最后通过仿真实验对比分析了所提出的方法在态势评估和预测方面的可行性,且证明了这个方法比其他方法更优。
参考文献(略)