网络安全态势异常检测技术研究

网络安全态势感知已成为下一代安全技术的研究热点,有望解决网络安全与管理中某些方面的问题。针对目前网络安全态势异常检测的时空复杂度较高且不易操作等问题,提出通过一组观测样本,利用假设检验检测网络安全态势是否异常的一个可行的量化方法,该方法能预测系统安全态势变化趋势,为网络管理员制定决策和防御措施提供可靠依据,做到防患于未然。最后,利用仿真数据,对所提出的网络安全态势异常检测技术与算法进行了验证,结果验证了该方法的正确性且具有简捷可行性。     

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

网络安全态势感知新方法

针对网络安全态势感知问题,为了提高态势感知和预测过程的速度和精准度,提出一种基于神经网络的网络安全态势感知方法. 首先利用网络安全态势评估的指标体系来表征整个网络的安全状态,然后提出一种基于逆向传播(BP)神经网络的网络安全态势评估方法. 为解决态势要素与评估结果之间的不确定性及模糊性问题,提出一种基于RBF神经网络的网络安全态势预测方法,利用RBF神经网络找出网络态势值的非线性映射关系,采用自适应遗传算法对网络参数进行优化并感知网络安全态势,在真实网络环境下对提出的方法进行验证,实验结果证明该方法对网络安全态势感知是可行和有效的.     

网络入侵防御系统的分析与设计

网络入侵防御系统IPS是网络安全领域中为弥补防火墙及入侵检测系统的不足而新发展起来的一种计算机信息安全技术.本文设计并实现了一种具备了初步入侵防御功能的原型系统.     

应用危险理论的网络安全风险感知模型

为了对网络安全风险进行有效感知,进而采取有效的防御措施,借鉴免疫危险理论,利用抗体浓度,提出了一种网络风险实时、定量的感知模型.首先,建立了基于动态自体的自体耐受、各类检侧器的数学模型及动力学演化方程、抗体浓度的定量表示方法;然后,设计了随机生成和检测器基因库相结合的候选检测器生成机制,并采用疫苗接种和分发机制提高了网络主动检测能力;最后,对模型进行仿真和对比.实验结果表明,该模型可高效检测出网络攻击,并能正确评估主机及网络面临每类攻击时的风险以及网络整体综合风险;同时,该模型经过适当变换,还可应用于病毒检测及垃圾邮件识别等相关领域.     

基于贝叶斯方法的网络安全态势感知模型

提出了一种基于贝叶斯方法的网络安全态势感知模型。分析了目前国内外NSSA模型的研究现状。本模型先对历史监测数据进行分析,得到先验概率,随后以构建的时序模型为时间推进过程,利用贝叶斯方法对数据进行处理,将历史的统计数据与监测数据相结合,进行有效的安全预测。在网络结构的构建上,采用层次化结构,配合较合理的评价体系,使得该模型能够准确、快速、合理的对网络安全状态进行预测,并且具有较好的实时性。     

集对分析的可信网络安全态势评估与预测

为了解决可信网络中网络管理和安全监控审计的问题,通过对可信网络连接框架(TNC)和网络态势感知体系(CSA)的研究,针对可信网络安全中多数据源确定性与不确定性的特点,提出了基于集对分析的网络安全态势评估与预测方法 SPSAF.SPSAF首先采用基于特征库的方法审计网络连接信息、系统管理信息、系统监控信息和应用服务信息,然后综合改进的熵权法和层次分析法提取安全态势指标权重,再利用集对分析方法对安全态势指标进行评估得到网络安全态势值,进而绘制网络安全态势图,最后采用Box-Jenkin模型基于安全态势值预测网络安全趋势.仿真实验结果表明SPSAF能够准确有效地反映当前及未来的网络安全态势,有助于管理员有效地制定网络安全策略,并能及时发现风险,迅速准确地调整策略和实施应对措施,提供更全面可靠的网络安全保障.     

基于蚁群优化聚类的网络入侵检测研究

随着计算机网络特别是因特网技术的发展,网络安全已变得越来越重要.入侵检测作为一种主动防御的安全技术正成为实现网络安全的另一个重要技术手段和第二道防御措施.分析了基于聚类分析的入侵检测技术,在对入侵检测和数据挖掘理论分析基础上,提出基于蚁群优化聚类的入侵检测算法,详细阐述了算法的基本原理和过程,计算机仿真实验结果表明,该算法能够检测新型未知入侵,并能有效提高入侵检测的检测率、降低误检率,并可用于实际环境下数据集的入侵检测.     

数据挖掘技术在网络信息安全中的应用

信息的获取、使用和控制的竞争愈演愈烈,网络安全问题变得日益重要,信息安全成为维护国家安全和社会稳定的一个焦点.如何辨别防御与攻击和增强网络安全已成为技术管理人员研究的问题.入侵检测已成为网络安全领域的热点课题.异常检测和误用检测是入侵检测的主要分析方法.     

基于Snort的网络安全管理平台入侵检测技术研究

运用轻量级入侵监测系统Snort入侵检测技术,讨论开放源代码功能强大的网络入侵检测系统Snort的报警机制和原理,及运用Unix套接字技术的服务器端接收报警信息的实现方法.讨论在网络安全管理平台中Snort入侵检测技术应用的集成方法和技术,给出在网络通信中采用对称加密,提高网络安全管理平台中入侵检测技术的效率和安全性的办法.     

基于入侵检测技术的网络安全分析

计算机网络的安全已成为国家和国防安全的重要组成部分,而入侵检测技术是保证计算机网络安全的核心技术之一。本文首先剖析了网络面临的各种威胁,接着在分析防火墙技术的缺陷的基础上,引出了入侵检测技术,并对入侵检测方法进行了分析,最后指出了入侵检测技术的发展趋势。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

内生安全支撑的新型网络体系结构与关键技术研究构想与成果展望

目前,网络威胁已进入未知威胁时代。然而,传统网络安全基于“马奇诺”式的静态被动防御,缺乏自主性以及自我演化进化的内生安全能力,对未知威胁基本上只能通过“打补丁”的方式事后弥补。这种亡羊补牢的处理方法往往伴随巨大的损失,必须寻求新的思路。网络安全保护系统与人体免疫系统具有惊人的相似性,免疫系统无需病毒先验知识,学习推演能力强,天生具备未知病毒的灭活能力。有鉴于此,本研究以“未知威胁”为核心,以“人工免疫”为创新手段,研究内生安全支撑的新型网络体系结构与关键技术。首先,通过模拟人体免疫系统的基本原理,提出一种面向内生安全的网络空间安全免疫体系结构,以提供如同人体免疫系统一样的网络内生安全能力；然后,基于 mRNA 免疫思想,提出一种基于mRNA免疫的可信任网络寻址与路由控制方法,以有效识别和防范路由劫持；通过基因进化演化等方法,提出一种基于基因进化演化的未知网络威胁自适应发现方法,以形成先验知识不完备条件下未知网络威胁的快速发现能力；通过模拟人体免疫系统“体温风险预警”以及“特异性免疫”机制,提出一种基于人体体温预警机制的网络动态风险实时定量计算方法以及一种基于特异性免疫的快速动态反馈迭代网络风险控制方法,提供先验知识不完备情况下的未知威胁风险评估与应对能力,实现未知攻击的自适应防御；最后,通过构建一个面向内生安全基于免疫的新型网络原型系统,对研究成果进行技术验证,同时根据验证结果对所提出理论及方法进行改进和提高,藉此突破传统网络安全以“打补丁”为主被动防御的技术瓶颈。研究成果对网络空间安全保护的科学研究、技术研发、产业发展等具有十分重要的理论意义和实际应用价值。     

用户网络行为习惯模型

在对基于知识推理的智能网络入侵检测模型和网络安全预警方法的研究过程中,通过对网络黑客攻击方式和手段以及Internet上用户网络行为特征的分析,给出了用户违反网络安全规则行为的分类原则,在此基础上,提出了基于数理统计思想的用户网络行为习惯模型,并在FireGuard代理防火墙系统的智能安全预警子系统中进行了实现.\     

基于支持向量机的网络入侵异常检测

针对入侵检测系统(IDS)这门新兴的安全技术,提出了一种基于支持向量机的网络入侵异常检测模型,以支持向量机(SVM)的二类分类能力对网络入侵进行异常检测,实验结果与ANN方法结果相比较证明:该方法具有较高的准确性,而且可以大大缩短训练与检测时间.     

基于随机博弈与网络熵的网络安全性评估

提出了一种网络熵和随机博弈相结合的网络安全性评估方法.基于随机博弈构建了多人、多状态的网络对抗随机博弈模型.引入网络熵描述网络安全性能,通过求解模型的Nash均衡解获得最优防御策略和网络状态概率,进而利用网络状态熵差对网络安全性进行评估;最后给出了网络安全性评估算法.实例分析表明,该方法能有效评估网络安全性能,为主动防御提供决策支持.     

浅谈计算机网络安全与入侵检测技术

计算机网络安全已成为国家与国防安全的重要组成部分,而入侵检测技术是保证计算机网络安全的核心技术之一。本文在研究入侵检测技术的基础上,对入侵检测的过程进行了分析,提出了入侵检测技术的发展趋势。     

基于移动Agent的分布式入侵检测系统的开发研究

针对目前入侵检测系统的不足,将新型分布式处理技术移动Agent与入侵检测融为一体,提出了一种基于移动代理的分布式入侵检测系统(DIDS)的模型;实现了基于该模型的分布式入侵检测系统;采取了保证分布式入侵检测系统自身安全的防范措施.采用层次结构的探测和响应机制,各Agent相互独立,同时能在网络中自由移动,相互协作,以检测分布式攻击,并具有良好的灵活性、健壮性和可扩展性.     

基于双联支持向量机的入侵检测技术

为提高网络入侵检测系统的性能,提出基于双联支持向量机的入侵检测方法。介绍网络入侵检测系统工作的基本原理;引入双联支持向量机和入侵检测分类器;构建基于双联支持向量机的入侵检测模型。仿真结果表明,该方法可以在样本数据很少的情况下,高速率、高精度地对计算机网络安全进行检测,适用于入侵检测系统。