论文题目:基于多分类安全事件的网络安全风险评估技术研究
摘要:随着网络应用的普及与发展,互联网已经成为当代安全博弈的主战场,我国面临的安全问题也变得越来越复杂。然而传统的防御和评估技术已经越来越跟不上时代发展的需求,目前的风险评估体系仍然存在安全防御系统中误报率、漏报率较高,以静态评估为主,过度依赖专家知识等问题。这些问题的存在使当前的风险评估技术难以适应现阶段复杂的网络,并且会加大实时、动态评估的难度,无法为防御多变的网络攻击提供一个安全的、可靠的环境。结合当今国内外关于网络安全风险评估的研究现状,本文在其基础上,对基于多分类安全事件的网络安全风险评估技术进行了进一步的研究,主要的工作和创新点如下:(1)针对一些网络安全设备漏报率较高的问题,提出了一种基于最大相关最小冗余(mRMR)和信息增益的两级特征选择方法,用于对安全事件进行分类和采集。网络设备作为常用的安全要素收集工具,其检测结果将作为网络安全评估的依据。然而它们存在着误报率、漏报率较高的问题,若不改善这些问题,会对评估结果造成一定的影响。本文通过改进特征选择算法来提高其检测率,主要对流经入侵检测系统(IDS)的流量等安全信息进行特征选择处理,进行处理操作之后可降低安全要素的数据维度,去除冗余特征对结果的干扰,提高设备的检测率。经实验表明利用该方法筛选得到的特征子集与传统的特征选择方法相比具有更好的分类性能,有效的提高了准确率,降低了漏报率,使数据更具有真实性。(2)针对攻击图较为复杂、具有不确定性的问题,提出了一种将隐马尔可夫模型(HMM)和攻击图模型进行结合的评估方法,用各个路径的态势值作为衡量标准来判断攻击者的最优选择路径,推测攻击者的攻击意图。在攻击图中,每个节点代表了主机的安全状态。因此将各节点作为状态变量,攻击过程中利用的脆弱性信息和原子攻击行为作为观测变量。在得到了攻击图之后,求得需要的参数值并建立相应的HMM模型,并求出各个路径的态势值,选择最高态势值对应的攻击路径作为攻击者的最佳选择路径,即攻击者的攻击意图。(3)针对网络设备多为被动防御和攻击图多为静态评估的缺点,提出了一个基于多分类安全事件的网络安全风险评估原型系统,用于结合各种安全要素,实现对网络安全的实时、动态评估。通过结合收集安全要素和评估网络风险这两部分,将攻击图中的攻击行为与日志中提取到的安全证据进行融合,并根据融合结果进行实时计算,实现动态评估。该系统能从总体上观测态势,并根据结果制定相应的安全加固方案。由于安全事件的融合会使得之前的评估结果不断改变,因此在融合时要重新计算参数并得到动态的态势变化。
关键词:风险评估;网络安全态势感知;特征选择;攻击图;隐马尔可夫模型
学科专业:计算机科学与技术
摘要
abstract
第一章 绪论
1.1 课题背景和意义
1.2 国内外研究现状
1.3 论文主要内容
1.4 论文章节安排
第二章 网络安全风险评估技术相关研究
2.1 网络安全态势感知
2.1.1 态势要素的提取
2.1.2 态势评估
2.1.3 态势预测
2.2 安全事件的提取
2.2.1 入侵检测系统
2.2.2 多分类安全事件
2.3 攻击图技术
2.3.1 攻击图发展概述
2.3.2 攻击图生成工具
2.4 本章小结
第三章 安全事件的分类与采集
3.1 数据预处理
3.1.1 数据过滤与筛选
3.1.2 数据变换
3.2 两级特征选择方法
3.2.1 基于mRMR的特征缩减
3.2.2 基于信息增益的特征选择
3.2.3 特征子集的获取
3.3 实验设计与结果
3.3.1 特征选择方法准确性实验设计与结果
3.3.2 特征选择方法必要性实验设计与结果
3.3.3 特征选择方法在多种分类器下的适用性
3.4 本章小结
第四章 基于隐马尔可夫模型和攻击图的风险评估技术
4.1 攻击图生成技术
4.1.1 安全信息建模
4.1.2 基于MulVAL的攻击图生成技术
4.2 基于攻击图的评估模型
4.2.1 基于HMM的评估方法
4.2.2 基于CVSS的参数计算方法
4.2.3 攻击路径的态势值计算方法
4.3 实验设计与结果
4.3.1 实验环境
4.3.2 实验结果分析
4.4 本章小结
第五章 基于多分类安全事件的网络安全风险评估原型系统
5.1 总体设计
5.2 模块测试
5.3 本章小结
第六章 总结与展望
6.1 总结
6.2 展望
参考文献
致谢