论文部分内容阅读
网络应用的普遍化,信息系统的规模化、网络化和去中心化使得恶意攻击、病毒泛滥等随之而来的网络安全问题愈加凸显。各类攻击手段随应用发展不断翻新,具有关联化、复杂化和难以检测等新的特点。在更加严峻的安全形势下,为保障网络及信息系统的安全,需要对报警关联分析和安全评估等网络安全综合管理技术开展更为深入的研究。网络安全综合管理技术近年来取得了实质性进展。在安全报警关联分析方面,基于安全事件因果关系、预定义关联规则、构建网络攻击图和数据挖掘技术的各种关联方法应用广泛,成为构建攻击场景和识别攻击意图的主要手段;在安全风险评估方面,基于指标体系以及各种层次化态势评估模型的评估方法,实现了系统风险管理和安全态势感知。然而,面对共享协同的需求和网络安全的高复杂性、强对抗性,现有网络安全综合管理技术存在局限性:首先,网络安全报警关联与分析技术有较强的专家知识依赖性或高计算代价,与实际应用存在距离;其次,网络系统安全威胁状况的评估通常仅关注单一网络域中攻击事件对系统安全造成的影响,难以反映全局化的安全威胁态势;最后,隐私问题已成为安全数据共享及协同分析迈向实际应用的重大阻碍之一,而现有的安全综合管理方法较少考虑对原始分析数据的隐私保护,已提出的隐私保护方法也存在运算复杂度高、或对领域知识依赖性较大等问题。围绕上述问题,本文在安全报警关联分析和安全风险评估方面展开研究,并结合隐私保护技术,形成了较为完善的加载隐私保护的网络安全综合管理技术框架。在入侵报警敏感数据的安全研究方面,本文基于对报警数据的结构化分析,设计了一种面向入侵报警敏感数据的隐私保护方法。本文对Incognito算法进行了改进,引入熵引导的报警泛化层次设计方法,形成了对报警数据的泛化匿名处理模型,在此基础上,提出了基于效用的泛化度量方法,实现了报警信息的保护程度和数据质量间的量化评估。随后,进一步设计了基于泛化子图的报警频数计算方法,以减少对报警数据集的遍历次数,提升了算法效率。实验证明,与经典的k-匿名模型相比,所提出方法在报警数据隐私保护方面具有高效性和有效性。利用频繁模式挖掘技术获取安全报警属性之间的关联关系是进行报警关联分析和研究的主要途径之一。出于隐私考虑,在缺乏安全共享与协作机制的情况下,现有方法难以在实际关联分析场景下应用。针对上述问题,本文结合典型的频繁模式挖掘算法,提出了隐私保护的安全事件属性关联关系的挖掘方法PPFPM。该方法通过频繁模式树结构实现了大型报警数据集中频繁模式的压缩存储,并采用前缀树结构模式增长挖掘方法避免了耗时的候选集生成过程,提高了挖掘效率。实验中证明了PPFPM算法的有效性、伸缩性以及较好的挖掘性能。同时,本算法对基于类频繁模式树的入侵事件频繁模式挖掘方法,在敏感信息保护方面具有通用性和普遍意义。揭示安全报警之间的序列关系和因果关系是进行安全报警关联分析的另一种常用手段。本文分析了网络多步攻击的特点,提出了利用序列模式挖掘技术进行快速多步攻击关联的方法QSPM,并在此基础上设计了隐私保护下面向安全报警多步攻击的序列模式挖掘方法PPSPM。本文提出的方法无需事先获取攻击场景的专家知识和预先设计关联规则,克服了基于规则、安全事件因果关系等关联方法的主要缺陷。此外,在分析攻击行为序列特征的基础上,采用支持度评估方法,对最大攻击序列生成算法进行了优化,减少了耗时的数据集遍历操作,从而使算法具有快速、准确关联多步攻击的特点。最后,通过实验,对算法的有效性进行了量化分析;并与典型的序列模式挖掘算法进行了对比,实验结果表明了所提出算法在发现攻击行为序列模式方面较好的准确性和性能:至少有87.76%的报警可以被准确地关联,且算法性能较典型的序列模式挖掘算法提升了1.7-6.5倍。研究隐私保护环境下入侵事件序列模式的发现方法,对于安全报警关联分析领域具有通用性和实用价值。识别、评估和控制网络信息系统自身脆弱性是网络安全综合管理的基础。为了解决安全评估领域现存的难以利用海量庞杂报警信息对整体安全状况有效建模,以及缺乏安全协同环境下的分布式评估方法的问题,本文结合服务重要性、报警发生频率和安全威胁程度等要素,研究和提出了分布式安全态势量化评估模型及其相应计算方法,实现了全局化的安全态势综合评估模型;并在此基础上实现了隐私保护下的分布式统计模型。在隐私保护方法设计上,针对半可信环境下的共谋推导攻击问题,以及经典的同态加密方法的高计算代价,和公私钥管理等问题,本文提出了半可信环境下的轻量级分布式安全统计方法,以较小的计算代价解决了现有随机路径统计方法中共谋推导或恶意攻击导致的隐私威胁。由于本方法针对分布式统计运算进行安全保护,故可以推广到包含有基础统计运算的分布式安全评估或分析过程中,以保护运算环境的隐私性,具有普适意义。最后,对本文的研究工作进行了总结和展望。从研究频繁模式和序列模式的深度解释机制、自适应最小支持度阈值及动态时间窗口的适配算法等角度探讨了继续研究的可行性和预期目标。