基于融合決策的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)的日益復(fù)雜，安全威脅也趨于多元化，面對(duì)大量格式不一、形式各異的日志和警報(bào)，傳統(tǒng)的處理方法早已不堪重負(fù)，從而衍生出網(wǎng)絡(luò)安全態(tài)勢(shì)感知，對(duì)來(lái)自監(jiān)管設(shè)施的多源安全信息進(jìn)行過(guò)濾、融合與抽象，繼而預(yù)測(cè)未來(lái)的變化趨勢(shì)，使管理者對(duì)網(wǎng)絡(luò)的安全狀況和演化趨勢(shì)有一個(gè)全面的了解，對(duì)復(fù)雜多變的安全威脅做出快速響應(yīng)，以減輕認(rèn)知與響應(yīng)壓力。接下來(lái)剖析現(xiàn)存的問(wèn)題，介紹本文的工作。
　　 同一攻擊往往會(huì)體現(xiàn)在多種日志或警報(bào)中，借助融合決策各檢測(cè)系統(tǒng)能互相

2、彌補(bǔ)不足、抑制虛警。大多數(shù)融合決策方法對(duì)訓(xùn)練樣本的種類(lèi)和數(shù)量要求過(guò)高，未考慮輔助決策的措施，引入了很難被滿(mǎn)足的約束條件，當(dāng)攻擊種類(lèi)較多時(shí)存儲(chǔ)開(kāi)銷(xiāo)太高。針對(duì)這些問(wèn)題，本文提出了一種基于統(tǒng)計(jì)空間映射的多源告警融合決策模型：將警報(bào)向量映射至表決模式，以縮小統(tǒng)計(jì)空間，降低對(duì)訓(xùn)練樣本的要求，僅需小規(guī)模訓(xùn)練便可達(dá)到較好的融合決策效果；依據(jù)統(tǒng)計(jì)特征的差異動(dòng)態(tài)推斷待檢測(cè)流量的構(gòu)成情況，持續(xù)地跟蹤、預(yù)測(cè)、適應(yīng)其變化，自主選擇抑制漏報(bào)或虛警，能達(dá)到較好的折

3、中效果；未引入任何違反檢測(cè)系統(tǒng)相關(guān)性的約束條件；支持在線(xiàn)增量訓(xùn)練乃至對(duì)先前某些訓(xùn)練的撤銷(xiāo)，能通過(guò)持續(xù)改進(jìn)來(lái)應(yīng)對(duì)初期訓(xùn)練的不足或片面：空間復(fù)雜度僅與檢測(cè)系統(tǒng)的數(shù)量有關(guān)，而與攻擊種類(lèi)的數(shù)量無(wú)關(guān)，適用于本領(lǐng)域用少數(shù)系統(tǒng)檢測(cè)眾多攻擊的情況。
　　 傳統(tǒng)的評(píng)估方法大多孤立地看待網(wǎng)絡(luò)中部署的各種服務(wù)，忽略了由弱點(diǎn)或攻擊引發(fā)、沿依賴(lài)關(guān)系傳遞的間接風(fēng)險(xiǎn)或威脅。若攻擊者竊取了服務(wù)讀寫(xiě)數(shù)據(jù)的權(quán)限，就有能力導(dǎo)致數(shù)據(jù)泄密或損毀，多數(shù)方法未予考慮。針對(duì)這

4、些問(wèn)題，本文提出了一種基于擴(kuò)散分析的態(tài)勢(shì)評(píng)估方法：將服務(wù)、數(shù)據(jù)、弱點(diǎn)、攻擊等安全要素納入評(píng)估體系，從多個(gè)側(cè)面評(píng)估安全態(tài)勢(shì)；依據(jù)操作系統(tǒng)的管理信息和網(wǎng)絡(luò)通信的監(jiān)測(cè)記錄辨識(shí)服務(wù)間的依賴(lài)關(guān)系；從控制權(quán)限表和對(duì)象權(quán)限表中查詢(xún)服務(wù)被授予的讀寫(xiě)數(shù)據(jù)的權(quán)限，剖析了權(quán)限集被弱點(diǎn)暴露或被攻擊竊取后對(duì)數(shù)據(jù)安全性的影響；引入非線(xiàn)性增量疊加方法，合成源自多個(gè)弱點(diǎn)或攻擊、經(jīng)由多條路徑的風(fēng)險(xiǎn)或威脅，依據(jù)資源安全性的價(jià)值及其面臨的風(fēng)險(xiǎn)或威肋計(jì)算出安全態(tài)勢(shì)。本方法將各

5、種服務(wù)和數(shù)據(jù)視為一個(gè)高度關(guān)聯(lián)的有機(jī)整體，能深入地揭示網(wǎng)絡(luò)安全狀況以及依賴(lài)關(guān)系、授權(quán)關(guān)系的影響，得出更為全面、完整、精準(zhǔn)、可信的評(píng)估結(jié)論。
　　 針對(duì)態(tài)勢(shì)預(yù)測(cè)的專(zhuān)項(xiàng)研究很少，大多是沿用現(xiàn)有的預(yù)測(cè)方法，存在以下欠缺：態(tài)勢(shì)序列中蘊(yùn)含著大量復(fù)雜多變的演化趨勢(shì)，不是靠某個(gè)公式、函數(shù)或某次訓(xùn)練就能表達(dá)及預(yù)測(cè)的；難以消解訓(xùn)練樣本間的沖突，強(qiáng)烈依賴(lài)數(shù)據(jù)預(yù)處理和人工介入；不支持增量學(xué)習(xí)，一旦態(tài)勢(shì)序列發(fā)生變化就要重新構(gòu)建模型。鑒于此，本文提出了一種

6、基于場(chǎng)景擬合的態(tài)勢(shì)預(yù)測(cè)方法：從形態(tài)及精度上度量序列子圖間的相似度，使用多階差分運(yùn)算辨析趨勢(shì)差異；從錄制的歷史態(tài)勢(shì)序列中查找相似的跡象，衡量事發(fā)跡象對(duì)延續(xù)效應(yīng)的支配強(qiáng)度，依據(jù)當(dāng)前跡象推測(cè)某種效應(yīng)重現(xiàn)的可能性；輔以進(jìn)化算法，計(jì)量預(yù)測(cè)的偏差，通過(guò)逐步微調(diào)持續(xù)提升適應(yīng)性。本方法最大限度地保留了序列中蘊(yùn)含的規(guī)律，無(wú)需數(shù)據(jù)預(yù)處理，能持續(xù)地跟蹤、適應(yīng)態(tài)勢(shì)序列的變化。
　　 本文將沿著融合決策、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)的脈落展開(kāi)研究，融合決策旨在獲得