● 摘要
网络安全事件的检测和评估是全面动态网络安全保障的关键。传统网络安全事件的检测和评估方法并不提供从具体到宏观的态势信息,而只是大量的系统运行的底层数据。随着网络系统日趋复杂,单一技术和单一层次的安全事件检测和评估技术已无法应对大规模复杂网络环境下海量数据,模糊事件信息和不确定事件信息的处理。如何采用新的理论和方法,充分发挥各种检测手段之间的互补作用,在更大的范围内实现信息共享和关联,提高对系统整体安全态势的估计和推理能力,是下一代网络安全检测和评估技术所面临的问题,也是发展的趋势。针对上述问题,本论文对网络安全态势估计的相关理论和方法进行了研究,主要工作包括以下几个方面:1、针对网络系统结构的复杂特性,从系统工程和复杂网络理论的角度,对网络安全事件的复杂性特征以及网络系统的复杂拓扑结构进行了描述,认为在复杂网络环境下,网络安全事件应该从时间、空间和功能三个维度进行描述。复杂网络的无尺度特征对网络安全事件传播特征以及网络安全防御的理论和方法产生了深刻的影响,借鉴病毒传播模型和复杂网络事件传播的研究成果,对无尺度网络环境下,网络安全事件传播的特征进行了分析,阐述了复杂网络系统的无尺度特征对网络安全事件的传播以及网络安全防御的影响。为复杂网络安全态势估计的研究和系统部署提供参考。2、对网络安全态势估计的内在实质进行了非形式化和形式化分析,指出网络安全态势估计实质上就是利用网络安全事件的信息和知识,对网络安全态势进行不确定推理的过程;参考JDL的信息融合模型,提出了复杂网络系统安全态势估计的三层模型。该模型包括态势待征层、态势关联理解层以及态势估计推理层;采用信息熵的理论和方法,定义了网络安全态势估计的信息熵,证明了多个检测器所获的安全事件信息经过融合处理后,网络安全态势估计的不确定性明显下降,从而论证了信息融合思想在网络安全态势估计应用中的可行性。3、针对网络安全态势估计的决策级融合问题,提出采用D-S证据理论的融合推理方法,给出了具体的实施框架。提出采用基于权重的证据组合方法,解决冲突证据的组合问题;采用距离贴近度的方法来获取安全事件的基本信任函数;采用DARPA的安全事件分类方法,构造了网络安全态势识别空间。D-S证据理论的融合推理方法提高了网络安全态势估计系统对不确定性安全事件信息的融合处理能力。最后给出了具体的实施方法和数值分析结果。4、针对网络安全事件传播的特性以及网络安全事件信息的模糊性和不确定性的推理问题,提出采用一种加权模糊Petri网的安全事件知识表示和安全事件关联分析的方法。该方法将Petri网和模糊产生式方法结合起来,解决了安全事件关联的层次性问题,事件信息保留问题以及模糊知识表示和推理问题;通过引入网络安全事件征兆权值的概念,用权值大小来描述多个安全事件征兆对安全事件发生的贡献程度。该方法在一定程度上能够有效地解决网络安全态势估计中安全事件之间的复杂因果关系及不确定知识的表示和推理问题。5、针对网络安全态势估计系统的构建和部署问题,提出了混合分布式的体系结构,采用了子域分割的思想,将大规模复杂网络系统分成若干子域,在更大范围以及更多层次进行安全事件信息和系统运行数据的融合,从而能够更加全面、及时、准确地对网络系统安全态势进行评估预测。给出了关键模块的设计思路;提出采用结构熵的方法,从信息时效以及质量的有序度对网络安全态势估计系统结构的有效性进行评估,给出了具体的评价方法。