网络安全态势感知与趋势分析系统的研究与实现.pdf

《网络安全态势感知与趋势分析系统的研究与实现.pdf》由会员分享，可在线阅读，更多相关《网络安全态势感知与趋势分析系统的研究与实现.pdf（79页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电占科技麦誊硕士学位论文M A S T E RD I S S E R T A T l o N论殳题目刚络安仝念势感知与趋势分析系统的研究i 实现学科妒业指导教l|l|j作者姓名班学号信息安全套志光教授竖型塞2 0 0 5 2 0 6 0 5 I m 2摘要摘要随着信息时代的来临，计算机和通信技术得到了飞速的发展，它们对人们的生活产生了日益重要的影响。但与此同时，计算机网络和操作系统本身的漏洞也越来越多的暴露在人们面前，利用计算机网络的各种违法犯罪活动层出不穷，不仅造成了巨大的财产损失，甚至威胁到了国家整体的信息安全。因此，及时了解当前网络状态并预测其发展趋势成为保障各网络服务安全所急需解决的问

2、题。为了对网络态势进行预测，结合网络自身的特征，本文首先提出了四套相互关联，且覆盖了整个网络各个层面的指标体系，它们定量描述了网络各个部分的特征并通过综合计算最终得出描述网络总体状态的网络安全态势值。在得到对网络安全态势的定量描述数据后，我们就可以通过分析该基于时间序列的数据集，对网络态势进行预测。本文主要工作包括以下几个方面：(1)提出了一个基于砒强神经网络的网络安全态势预测算法：(2)设计并实现了一个网络安全态势感知与趋势分析系统。针对网络态势预测，本文主要采用了基于R B F 神经网络的安全态势预测方法。神经网络是模拟人脑神经网络的结构与功能特征的一种技术系统。它用大量的非线性并行处理器

3、来模拟众多的人脑神经元，用处理器间错综灵活的连接关系来模拟人脑神经元间的突触行为，是一种大规模并行的非线性动态系统。与传统预测方法相比，它具有高度的非线性运算和映像能力，能以任意精度逼近函数关系，具有很强的适应能力，预测精度较高。我们在分析传统神经网络算法的基础上，针对其不足提出了相应的改进并将其运用到态势预测中。随后，我们对系统进行了总体设计，其中包括总体结构设计，数据库设计及界面设计。并着重实现了网络安全态势预测子系统。该子系统主要包括缓存，数据预处理，R B F 神经网络结构确定，权值调整四个模块。其中缓存模块主要负责数据的优化存储，数据预处理模块负责样本数据的准备，而后两个模块则实现对

4、历史数据的分析并得出预测值。最后，我们对系统进行了测试。通过在实际网络环境中的运行，我们发现原型系统能够有效地对网络态势进行预测并指明其发展趋势。关键词：网络态势感知，网络态势预测，网络态势值，R B F 神经网络A B S T R A C TW i t l l 也ea d v e n to ft 1 1 ei n f o m a：t i o na g e，c 0 啪p 1】t e r 觚d 恤脚埘1 i c a t i o n st e 6 h I l o l o g yk 峪d I e l o p e dr a p i d l 弘a n d 也e yh，L v ea ni n c r e

5、裙i n 舀yi n l p o r t 姐ti I I l p a c to np e o p l e s1 i V 铺A t 也es a m e 缸c c 0 埘p u t 贸咖r!l(S 跹d0 p e f 础l gs y s 蛔阻s o w n1 0 0 p h o l 销懿誓I o s e dm o r e 姐dm o r et 0t l l ep e o p l e，d l e s sc r i l i n a l 枷t i 销h a p p e nb y 璐i n gc o m p u t 盯n 咖0 r k s，n o t0 1 1 l yc a=吣e de n 0 衄o u

6、Sl o s so f p r o p 酬M0 re v 饥a 也r e a tt 0 坞c 0 I l n 仃y so V e r a l li n f o 衄a：t i o ns e 训够T h e r e f o r e，i no r d e rt 0p r o t e c tm en e t w o 呔s e 砥t)rs e r v i c 鳃，也ep r o b l e m so ft i】【n e l yu n d e r s t a 幽go fm ec I 加-e n ts t a t eo f 蚀屺n I 栅0r!k 姐df I o r e c 嬲t i l 玛i t sd e

7、 v e l o p m e n t 慨di su r g t l y t 0s o l v e 1 1 1o 柑盱t 0 册地c t t l l e 缸锄do f t l l e 北研。如w i t h 也en l 粥7 I r o r k so、n 吐哪a c t e r i s 6 c s，m ep a p e rp u t 姗a r df o u ri n d e xs y s t 锄啮t l l a ta r ei n t e r r d a t e d，a r I dc 0 V e fo ft h e 豇I t i r en l；M o r ka ta nl e V d s T h

8、 韶ei n d e x 铝q【嗽缸觚l yd e s c f i pt 1 1 eV a r i 0 1 娼p a n so f 廿l eC h a r a c t 嘶s t i c so ft h en e t w o r ka n dt t l 瑚I u g hc o n 幢h e n S i V ec 0 I I l p l l t ef h l do u t 也en e 呐o r ks 谢哆V a l u e，w h i c hi su S e dt 0d e s c 啦t l l en e 呐o r k so V e r 2 L l ls t a t e A R e rw eg e

9、 tm es e to ft 1 1 eI l c 栅o r ks e c u r i t)rV a l u 髓，w e 咖b 嬲eo nm e 趾a l y s i so f t i l n es 嘶销d a t as e c st 0f o r e c a S t 也en e t、)l r o r ks 协c e 1 1 1 i sp a p 盯i l l c l u d 岱日1 e 向1 1 0 w i n gw o r l【s：(1)P o s tan e t w o 出s e 吼l r i 够v a l l l ep r e d i c t i o na l g o r i t h

10、I 玛w h i c hi sb 弱e do n 也eR B Fn 即r a ln e t、)l r o r l【(2)D 韶i 盟a n di m p l e m e n tan I 蜘f ks e 训锣s i t I l a：d o n 矗la w a r e n e s sa n d 电r e n da n a l y s i ss y s t e m A g a i l l s t 也en 曲r k 仃e n d 如r e c 戤n l i sp a p _ e fm a i n l yb 嬲e d0 nm eR B Fn 即r a ln e 栅o r ks e c I】d t yV

11、山ep 砌c t i o nm 础o d s N 即r a ln e 哺o r ki sat e c h o l o 秽s y s t a 呜W I l i c hs i n l l l l a t e dh u m 姐sb l 咖曲m c t I l r ca n df I l n c t i o n I ti sal 舡g c-s c a l ep 舢dn o n l i I l e 盯d y n a I n i cs y s t e l I l，W h ic：h1】s 锱al 鹕em 加1 b e fo fn o n l i 饿撒p a r a l l dp r o c e s s o

12、r st 0s i m l l l a t ep e o p l e sn 棚r 0 璐，跹da l s 0 璐髑丑镙曲l ei n t r i c a t em 缸巾f o c e s s o rc o n n e 晚。璐t 0s i l u l a t e 血eh l l m 距sb r a i nn 即r 0 璐s y n a p C o m p a r。dw i m 也e 仕础d 伽I a lf o r e c 础gm e t h o d s，小m r a ln e t、)l，耐kh 勰h i g h l yn o n l i I l e 缸c(n l p u：t i|1 9 锄di

13、玎1 a g i n gc 印a b i l i 够t 0f i】n c t i o n 丽t l l 锄yd e g r e eo f a c 锄c ya p p r o)【i m 撕o nr e l 撕o n s，a n dh 勰as n 0 n ga b i l 时t 0f o r e c a S tm o r ca o c I l r a t e O nt h eb a S i so f 锄a l y s i s 嘲i 缸0 n a ln e l l mn e 魄。伙a 1 鲥m m，w e 丘n do u ti t Si 1 1 a d e p a t c 孤dm a k es 咖e

14、i l l l p r 叫e m 铷晦，a n dm a l【el l s eo f i ti nm e 碱w o r ks i 删o n 删c d o n A B S T R A C TS u b s 叩锄t l y，、C 0 n d u c t e do nt 1 1 es y s t e md e S i 乳i I l d u d i n gt h eo V e r m ls 臼m l r cd e s i 弘，d a t a b 鹤ed 髓i 弘a I l di n 搬f a C ed e s i 萨A n df b c 吣0 nt 1 1 e 砌e v e m e n to f l

15、en e t l)l r o 血s e 饥l r i 锣v 面u e 鼢a s ts u b s y s t 锄T h e 劬s y s t a m si n c l u d ec a c h e，d a t ap r 印r o c c s s i l l g，R B Fn 即r d ln 咖o r k 灿c t u r ci d e n t i 6 c 撕o n，龃dt 1 1 er i g h tV a l u e锄咖tf b l l rm o d l l l 懿C 把h cm o d m ei sm a 试I yr e s p o n s i b l ef 1 0 rm eo p 姚a

16、t i o no fd a t as t o r a g e，d a t ap r 印m c e s s i l l gm o d u l ei sr e s p o n s i b l ef o rt h ep r e p 删o no fs a r I l p l ed a t a，t 1 1 el a t t 髓t w om o d u l 器a r er e s p o 璐i b l ef 0 ra n a l y z em el l i s 缸呵d a t ai no r d e rt 0o b t a i nm ep 础i c d v eV a l u e F i n a l l y

17、，w et e s t e dt l l es y s t e m I l lt：h e 觚砌n e t w o r k锄v i r o n m e n tt h r o u g hm eo p e r a t i o 玛w ef o u n dt 1 1 a tt h ep r o t o t y p es y s 把mc 趾e f f 硎V e l yp r e d j c tt l l en e t v l，o r l【S i m a t i o na n dt 0s p e c i 匆i t sd e v e l o p m 锄t 仃c m K e y w o r d s：N e 咐o

18、 r kS m 戚o nA w 鲫鼬e 鼹，N 咖o r kS 诹僦o nP r e i【i：c i 0 玛N e t 0 r kS i m a t i o nV 甜u e，R B FN e u r a lN e 咐o r l(独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。签名：烂垒日期：2 t)口彦年5 月2 7 日关于

19、论文使用授权的说明本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后应遵守此规定)签名：型丝丈导师签名日期：二。谚年多月2 1 日第一章引言1 1 课题的背景与意义第一章引言弟一早j I 置本课题为来源于。国家2 4 2 信息安全计划的研究项目“网络安全态势感知与趋势分析系统。随着信息时代的来临，计算机和通信技术得到了飞速的发展，它们对人们的生活产生了日益

20、重要的影响。但与此同时，计算机网络和操作系统本身的漏洞也越来越多的暴露在人们面前，利用计算机网络的各种违法犯罪活动层出不穷，不仅造成了巨大的财产损失，甚至威胁到了国家整体的信息安全。因此，及时了解当前网络状态并预测其发展趋势成为保障各网络服务安全所急需解决的问题。传统的网络安全产品，如防火墙和D S，它们通过网络数据包审计，信息融合以及数据挖掘等手段实现对网络攻击的管控和防御。然而，不管是防火墙还是D s，阻止和报告的都是已发生的攻击行为和异常活动，在检测出之前，异常事件对网络资源的占用和破坏已经发生，这说明该类模式的网络安全保护还处于被动防御阶段，不足以为用户提供有力的信息安全保证。例如：2

21、 0 0 0 年Y a h o o 等网站遭到大规模拒绝服务攻击，2 0 0 1 年爆发的红色代码等蠕虫事件，2 0 0 2 年全球的根域名服务器遭到大规模拒绝服务攻击，2 0 0 3 年又爆发了S Q LS l 觚皿贸等蠕虫事件，以及2 0 0 6 年底的“熊猫烧香 病毒等，每次安全事件都造成了巨大的经济损失，给网络的使用带来巨大的阴影。随着攻击技术的变异提升，仅仅对已发生攻击的报警和拦截已不能满足需要。人们需要对恶意代码、网络攻击等网络威胁进行综合分析，对网络的安全状况进行实时评估，对网络安全的态势及其发展趋势进行预判，以期能在安全事件发生之前，对网络进行主动的管控，从而避免破坏的发生，以

22、保障网络资源的完整性和安全性。网络安全态势感知与趋势分析的必要性就在于此。因此，在国家2 4 2信息安全计划的支持下，本课题将研究一个集成化的网络安全态势感知与趋势分析系统，以实现对网络安全状况的实时评估及对网络态势发展趋势的预测，从而实现对大规模网络安全事件的预报，减少恶意攻击带来的损失，为网络监管部门及时了解当前网络状态，制定有效的预见性应急响应策略提供依据。笔者将在研究设计系统总体框架的基础上，着重讨论网络安全态势预测及趋势分析等方面的电子科技大学硕士学位论文内容。1 2 国内外研究现状态势感知(s i 劬t i o nA w a r 即e s s)这一概念源于航天飞行的人因(H u m

23、 锄F a c t o r s)研究【l】，此后在军事战场、核反应控制、空中交通监管(A i rT r a 伍cc o I 灯o l，A T c)以及医疗应急调度等领域被广泛地研究。1 9 9 9 年T i mB a S s 在空中交通监管态势感知的基础上首次提出了网络态势感知(C y b e r s p a c eS i t u 撕0 nA w a r 饥e S s)的概念口J，意图把A T C 态势感知的成熟理论和技术应用到网络态势感知中。T i mB a L s s 提出了网络态势感知概念后，又提出了基于多传感器数据融合的人侵检测框架【3】，并把该框架用于下一代入侵检测系统和网络态势感知

24、系统(N e 铆o r kS i t 嘶o nA w 锄m 懿s，N S A S)。采用该框架能够实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。随后，S t 印h 锄G B a t s e l l【4 J、J 嬲o nS 蛐f!f 1 甜别等人也提出了类似的模型。同时，也有许多研究机构在进行相应的研究，如美国国防部计算机安全中心、美国空军、加拿大国防研究与开发中心等。鉴于当前网络的现状、发展以及入侵与攻击行为所造成的巨大损失，有关政府部门已经意识到开展网络态势感知研究的必要性。美国国防部在2 0 0 5 年的财政预算报告旧中就包括了对网络态势感知项目的资

25、助，并提出分三个阶段予以实现，分别为：第一阶段完成对大规模复杂网络行为可视化新算法和新技术的描述和研究，着重突出网络的动态性和网络数据的不确定性；第二阶段基于第一阶段所研究的工具和方法，实现和验证可视化原型系统；第三阶段实现可视化算法，提高网络态势感知能力。美国高级研究和发展机构(蛆v 趾c e dR e s e a c ha n dD e v e l 叩m e n tA c t i v i 饥U s A)【7】在2 0 0 6 年的预研计划中，明确指出网络态势感知的研究目标和关键技术。研究目标是以可视化的方式为不同的决策者和分析员提供易访问、易理解的信息保障数据攻击的信息和知识、漏洞信息、防

26、御措施等等；关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。国内对网络态势感知的研究才刚刚起步。冯毅【8】从我军信息与网络安全的角度出发，阐述了我军积极开展网络态势感知研究的必要性和重要性，指出了两项关键技术多源传感器数据融合和数据挖掘。国内其它相关研究主要是围绕网络安全态势评估、大规模网络预警等来开展的。在网络安全态势评估方面，西安交通大学实现了基于D S 和防火墙的集成化网络安全监控平台【9 1，该系统实现了态势2第一章引言评估；并提出了一个基于统计分析的层次化安全态势量化评估模型【l o】，该模型从上到下分为系统、主机、服务和攻击漏洞4 个层次，并且采用了自

27、下而上、先局部后整体的评估策略及相应计算方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统【l l】，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，全威胁水平等。在大规模网络预警方面，用于评估网络设备及结构的脆弱性、安国防科技大学的胡华平等人【1 2】提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点闯题。从以上的阐述，我们不难发现国内在网络安全态势评估和大规模网络预警领域所开展的研究，还存在着诸如实时性不强、数据源单一、准确率不高等问题。1 3 本文要解决的问题及主要工作对网络安全态势进行全面监控与分析是防范网络安全事件的先决

28、条件，是构筑网络安全环境重要而必不可少的环节。在当前网络数据流量极大的情况下，如何从大规模网络中提取有用的信息，并分析数据发展变化规律，及时为计算机网络管理人员提供预警和分析信息，是目前亟待解决的问题。大规模网络数据流的特点是数据多样、连续、快速并随时间非线性变化，本文根据这些特点，研究并提出了一套网络安全状况衡量指标，用于定量的描述网络安全状况；设计了基于R B F 神经网络的网络安全态势预测算法，用以预测网络安全态势的发展变化趋势；实现了原型系统并在实际网络环境中进行了试用。本文的主要研究工作如下：(1)对现有的网络安全技术进行了综述和比较，提出了适用于大规模网络的网络安全态势感知与趋势分

29、析系统模型。(2)对现有常用预测方法进行了总结，讨论了各种方法的优缺点，论证了神经网络对于网络态势预测的适用性。(3)详细介绍了基于R B F 神经网络的网络安全态势预测算法，并针对算法的不足对其进行了改进。(4)设计了网络安全态势感知与趋势分析系统的整体结构，完成了功能划分和描述，以及部分主要功能模块的流程设计和实现。课题的创新点在于网络安全状况指标的选择和建立以及网络安全态势的预测及趋势分析。3电子科技大学硕士学位论文1 4 本文组织结构第一章引言。主要介绍本文所研究课题的相关背景、意义、研究现状等。第二章相关技术介绍。给出了网络安全态势的定义，主要介绍了安全态势感知的通用模型及相关技术，

30、重点介绍了态势感知中的态势预测，列举了一些常用的预测方法，为下文的叙述作好铺垫。第三章讨论了基于强神经网络的安全态势预测算法。描述了神经网络基本原理，详细介绍了算法流程，并提出了改进方案。第四章网络安全态势感知与趋势分析系统需求描述。讨论了整个系统的设计原则和总体结构，提出了一套描述网络状态的指标体系，并介绍了系统各部分的功能及作用。第五章网络安全态势感知与趋势分析系统设计与实现。详细介绍了系统的总体设计，技术要点和设计方案，并详细描述了网络态势预测的具体处理流程和实现细节。第六章结果及分析。主要是对系统态势预测的测试，进行了误差分析和试用效果说明，并对算法改进前后的计算结果进行了比较。第七章

31、总结。总结了本文的研究成果，阐述了本文的创新点以及以后还需要改进的工作。4第二章网络安全态势感知相关技术分析第二章网络安全态势感知相关技术分析为了保障网络信息安全，开展大规模网络态势感知具有十分重要的意义。它不但能缓解网络攻击造成的危害，更有可能通过发现潜在的恶意入侵行为实现网络的主动防御。网络安全态势感知作为一项新兴的技术，具有很大的发展空间，同时也涵盖了许多传统的安全技术领域，在本章接下来的内容当中，将对这些相关的技术作详细的介绍和分析。2 1 网络安全态势感知2 1 1 基本概念描述网络态势感知源于空中交通监管(A i r1 h 伍cC o I l t r o l，A T C)态势感知，

32、是一个比较新的概念。1 9 9 9 年，T i mB a s s 首次提出了网络态势感知(c y b 锵p a c eS i 觚l t i o nA w 舢c S s)这个概念，并对网络态势感知与A T C 态势感知进行了类比，旨在把A T C态势感知的成熟理论和技术借鉴到网络态势感知中来。目前，对网络态势感知还未能给出统一的、全面的定义。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。网络态势感知是指在大规模网络环境中，对能够引起网络态势

33、发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。2 1 2 相关概念比较2 1 2 2 入侵检测技术入侵检测：顾名思义，就是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(o nD e t e c t i o nS y s t e m，D s)。入侵检测的对象是网络，可以是局域网，城域网，甚至更大规模的网络。信息收集主要放在各个网关。对个体行为5电子科技大学硕士学位论文的攻击并不涉及。基于网络的入侵检测产品(N D s)，通常也称硬件检

34、测系统，放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接，一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。2 1 2 2 风险评估技术风险评估是在对整个网络安全漏洞的扫描分析，对网络攻击入侵的充分识别基础上，通过对入侵分类，入侵形式化描述，攻击破坏力评估模型等的研究，建立安全评估模型，实现对整个系统安全性、系统关键资源和重要数据文件完整性的评估，得到系统的安全评估分析报告。在此评估分析之上建立网络攻击风险的形式化描述模型。风险评估在信息安全系统工程

35、中占有很重要的地位，它是信息系统安全的基础和前提。当前信息安全对风险的科学定义是：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性和后果的结合。风险评估就是对系统的所有安全要素的多种评测数据进行分析、统计、以确定系统存在的安全隐患和风险级别。根据评估结果向管理员提供周密可靠的安全性分析报告，为提高系统安全整体水平提供重要依据。2 1 2 3 态势感知技术态势感知包括态势元素提取、当前态势分析和未来态势预测几个部分，主要涵盖以下几个方面：(1)在一定的网络环境下，提取进行态势估计要考虑的各要素，为态势推理作准备；(2)分析并确定事件发生的深层次原

36、因，给出对所监控网络当前态势的综合评价；(3)已知T 时刻发生的事件，预测T+1，n 2，T h l 时刻可能发生的事件，进而确定网络态势的发展趋势；(4)形成态势图，以不同图标表示不同网络状态，使管理员能直观的了解网络安全状况。态势感知的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅6第二章网络安全态势感知相关技术分析助决策信息。2 2 通用网络态势感知模型2 2 1 系统模型框架根据前面的描述，网络安全态势感知主要包括四个主要的部分：印原始网络数据的收集与预处理、当前网络态势评估、网络态势预测以及网络状态的可视化显示。其中多源异构数据采集可以通过分布在各个企事业单位现有的N e

37、 t n o w 采集器、D S，F i r e w a l l，V D S 等来实现的。如果有特殊需要，也可在相应的关键节点布置新的采集设备。数据预处理主要完成数据筛选、数据简约、数据格式转换以及数据存储等功能。态势评估可采用数据融合，关联分析等技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别，进而得出综合的结论。同时，管理员可以为系统提供反馈，来辅助态势评估。态势预测则建立在态势评估结果的基础上，通过分析历史数据的变化规律得出网络态势发展趋势。态势可视化则为管理员提供态势评估结果，包括当前态势及未来态势等信息的显示。整个系统模型框架如图2 1 所示：图2 1 网络安全态势感知模

38、型7，电子科技大学硕士学位论文2 2 2 与传统安全产品的比较网络态势感知是一种比较新型的网络安全技术，相应的网络安全态势感知与趋势分析系统也是在继承了传统安全产品优秀特点的基础上，进一步发展起来的。下面以I D s 为例，讨论N s A s 较之于传统安全产品的发展与进步。N S A s 与现有的D S 之间有区别也有联系。二者的区别主要体现在：(1)系统功能不同。D s 可以检测出网络中存在的攻击行为，保障网络和主机的信息安全。而N S A S 的功能是给网络管理员显示当前网络态势状况以及提交统计分析数据，为保障网络服务的正常运行提供决策依据。这其中既包括对攻击行为的检测，也包括为提高网络

39、性能而进行的维护。(2)数据来源不同。I D S 通过预先安装在网络中的A g 踮t 获取分析数据，然后进行融合分析，发现网络中的攻击行为。N S A S 采用了集成化思想，融合现有D S，V D S i m s De t e c t i o n S y S t e m)，F 讹w a l l，N e t f l o w(内嵌在交换机和路由器中的流量采集器)等工具提供的数据信息，进行态势分析与显示。(3)处理能力不同。网络带宽的增长速度已经超过了计算能力提高的速度，尤其对于D s 而言，高速网络中的攻击行为检测仍然是有待解决的难点问题。N S A S充分利用多种数据采集设备，提高了数据源的完备

40、性，同时通过多维视图显示，融入人的视觉处理能力，简化了系统的计算复杂度，提高了计算处理能力。(4)检测效率不同。D S 不仅误报率和漏报率高，而且无法检测出未知攻击和潜在的恶意网络行为。N S A S 通过对多源异构数据的融合处理，提供动态的网络态势状况显示，为管理员分析网络攻击行为提供了有效依据。同时，N S A S 与D s 也存在一定的联系。其中D s 便可作为N s A S 的数据源之一，为其提供所需数据信息。2 3 关键技术大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络人侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了

41、实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为，N S A S 必须解决相应的技术问题。2 3 1 数据挖掘技术针对网络日益增长的数据量与要求快速分析数据之间的矛盾，采用数据挖掘技R第二章网络安全态势感知相关技术分析术，旨在从海量数据中发现有用的、可理解的数据模式，便于检测未知攻击和自动构建检测模型。数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知识的非平凡过程【1 3 1。所提取的知识可表示为概念(c o n c e p t)、规则(R“e s)、

42、规律(R e g l l l a r i 矗e s)、模式(P a 位e m)等形式。数据挖掘是知识发现(轮l o w l e d g eD i s c o v e 巧i nD a t a b 龉e，)D)的核心环节。从数据挖掘应用到人侵检测领域的角度来讲，目前主要有4 种分析方法【1 3，1 4】：关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支持度(m i n j 加l】m 飘l p p o r t)和最小可信度(m i n i m 砌C 0 曲d 锄c e)的关联规则，常用算法有A 陋o r i

43、算法、A 两耐T i d 算法等。序列模式分析和关联分析相似，但侧重于分析数据间的前后(因果)关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列(加a)【i n l u ms e q 唧C e)，常用算法有D y n a m i C-S o m e 算法、A 1)r i 耐S o m e 算法等。分类分析就是通过分析训练集中的数据，为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式

44、分析主要用于模式发现和特征构造，而分类分析和聚类分析主要用于最后的检测模型。目前数据挖掘在网络安全领域有着很好的发展前景，但仍有一些问题有待解决。如数据挖掘前期所需要的训练数据来之不易；从大量数据中进行挖掘，很费时间和资源，很难保证实时性等。如何将数据挖掘与机器学习、模式识别、归纳推理、统计学、数据库、数据可视化和高性能计算等相关领域有机结合，达到挖掘有用信息的最佳效果，还有待进一步研究。2 3 2 数据融合技术数据融合技术出现于2 0 世纪8 0 年代，真正得到发展则是在9 0 年代。该项技术发展之初就在军事领域得到了广泛的重视和应用。目前所说的数据融合这一概念来源于早期军事领域，主要研究在

45、现代战场中对多源信息的快速有效处理。美国国防部J D“1 5 1 从军事应用角度给出了数据融合的定义。目前数据融合的应用已拓展到图像融合、机器人传感处理、网络安全等领域。9电子科技大学硕士学位论文为了保证网络空间的安全性，针对当前I D S 系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引人了数据融合技术。C l l d s t o sS i a t 甜i s 和B a s i lM a 西撕s【1 6】运用该技术设计出检测D D o s 攻击的模型，验证了数据融合是一种可以有效增加D D o S 检测率、降低误报率的方法。这里所研究的数据融合技术是指对来自网络环境中的具有相似

46、或不同特征模式的多源信息进行互补集成，从而获得对当前网络状态的准确判断。T i I I lB a s s 首次提出将J D L 模型直接运用到网络态势感知领域【1 7 1，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，是该技术在此领域应用的一个起点。J a s o ns l l i m d 运用数据融合技术构造了一个网络人侵检测模型，实现了网络空间的态势感知。国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分析评估系统【1 8 1、入侵检测系统【1 9】等。目前用于数据融合领域的典型算法有贝叶斯网络和D s 证据推理【2 0 1。贝叶斯网络是

47、神经网络和贝叶斯推理的结合。它使用节点和弧来代表域知识，节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定，也可以通过样本进行学习。贝叶斯网络还使用了具有语义性的贝叶斯推理逻辑，它更能反映容易理解的推理过程，因此也在具有内在不确定性的推理和决策问题中得到了广泛的应用。作为一种知识表示和进行概率推理的框架，将贝叶斯网络应用于态势感知，具有广阔的发展前景。D S 证据理论是D e l I l p s t e r 于2 0 世纪6 0 年代提出的，试图用概率上下限来表示实际问题中的不确定性。s h a 向对它做了进一步的发展，并使之系统化、理论化，形成了一种不确定推理理论，即D S 证据

48、理论。它允许人们对不精确和不确定性问题进行建模、推理，为融合不确定信息提供了一条思路；另外，它不要求融合信息具有同类性，因而在融合处理异类、同步、异步信息方面优势也很明显。但是，在证据严重冲突的情况下，组合结果往往与实际情况不相符。基于上述知识我们不难发现，设计出高效、快速的融合算法是数据融合技术快速发展的关键。这就要求我们综合运用多学科的知识，进一步设计出完善的算法，将有利于数据融合技术更好地用于网络态势感知。2。3。3 可视化技术态势生成是依据大量数据的分析结果来显示当前状态和未来趋势，而通过传1 0第二章网络安全态势感知相关技术分析统的文本形式，无法直观地将结果呈现给用户。可视化技术正是

49、通过将大量的、抽象的数据以图形的方式表现，实现并行的图形信息搜索，提高可视化系统信息处理的速度和效率。从计算机安全领域的角度来看，可视化技术最初是用来实现对系统日志或者D s 日志的显示。T T a k a t a 和H K o i l【e 开发的M i e l o d 2 1】可以实现日志可视化和统计分析的交互式系统，依据日志的分类统计分析结果，进行相应的可视化显示。H K 0 i k e和K 0 1 1 l l o 专门为分析S n o r t 日志以及S y s l o g 数据开发的S 删e 甜竭系统，可以实现每2 删视图的一次更新，并可以显示4 h 以内的报警数据。R D 雒v l

50、i w 的A C D(廿1 e知l a J y s i sC o 璐o l e 蠡)rh 1 吣i o nD a t a b a L s e s)系统【2 3】也是为分析s n o n 日志而设计，使用基于w e b 的接口，在H T M L 中以图标的形式表示报警信息。R B 砒e r 基于H l 呦D S 采集的日志实现了E r b a c h 盯sH l 瑚m e rm S 可视化系统【2 4 1。然而，基于日志数据的可视化显示受到日志本身特性的限制，实时性不好，需要较长的时间才能上报给系统，无法满足实时性要求高的网络需求，因此提出了基于数据流的可视化工具。T h es p i l l