随着网络应用普及和复杂程度增加,传播速度快、危害面广、自动化程度高的新型攻击手段层出不穷,网络安全威胁日益严重。传统的被动式防卫技术在攻击发生后实施单点防卫,安全响应滞后,无法有效应对协同攻击,且容易出现单点防卫失效的问题。为了最大程度地保障网络安全,需要建立主动式防御体系,通过评估网络安全态势来掌握当前安全状况、威胁演变规律和未来发展趋势,达到及时遏制攻击甚至未雨绸缪的目的。本文以国防“十一五”预研项目“面向海上信息对抗的网络安全预警与防卫系统”为背景,结合网络安全的时空特点,沿“过去报警、现在状况、未来趋势”时间主线和“服务、主机、子网、全网”层次结构,深入研究了态势评估和高层次安全防卫等相关技术,主要工作如下:(1)建立一种面向复合攻击的分层时空报警关联模型。IDS(Intrusion Detection System)通常产生大量低层次的报警,造成关联时间长且关联结果难以理解。该模型的主要特点是,在服务层根据目的IP聚类报警、逐类因果关联,重构发生在单台主机上的攻击路径,然后基于服务层关联结果,连接同一条报警的源IP与目的IP,从空间上重构发生在不同主机之间的攻击路径。与因果关联算法相比,分层时空报警关联算法具有较优的时间复杂度。基于DARPA 2000数据集的实验表明,该模型能够准确地重构出攻击场景,且双层关联结果易于识别攻击模式和关键的攻击步骤。(2)建立一种用于评估机密性、完整性和可用性的层次化网络安全威胁态势量化评估模型。该模型包括一套分为服务、主机、子网和全网四层的安全威胁态势指标和各项指标的量化计算方法。其量化计算的要点是,基于DREAD(Damage potential & Reproducibility & Exploitability & Affected users & Discoverability)模型评估单次报警得到服务层态势,基于Markov模型沿攻击路径累加服务层态势得到主机层机密完整性态势,基于D-S证据理论融合带宽耗用和响应时延得到主机层可用性态势,子网、全网层态势分别等于其下一层态势的加权和。在真实的网络中模拟攻击验证了该模型的可行性。(3)建立一种网络蠕虫传播方向预测模型。现有的蠕虫传播模型描述网络中已感染主机总数随时间变化的情况,刻画了蠕虫传播的快慢,但无法描述其传播方向,不能目标明确地指导安全防卫。本模型把网络划分成若干个区域,基于蠕虫传播特征、数据包通过率与带宽耗用之间的关系,设计了单个区域被传染时间和单个区域被感染概率两项预警指标,通过模糊推理得到区域警报等级,等级高的区域是蠕虫即将感染的范围。仿真实验表明,该模型能够较准确地预测出蠕虫的传播方向,而且蠕虫传播越慢,有效预测时间越充裕。(4)提出一种分布式多级委托防卫方法。把访问控制领域的委托机制引入分布式安全防卫系统,采用多步纵向委托方式处理单点防卫失效问题,采用横向委托方式实现协同响应。其中,采用签密算法保证委托消息的机密性和可信性,基于XACML(eXtensible Access Control Markup Language)框架结构评估委托请求,给出了委托防卫算法流程,用形式化方法描述了委托防卫过程,讨论了委托特性在安全防卫中的体现,并通过示例介绍了分布式委托防卫方法的具体实现。大规模网络安全态势评估与防卫技术提供了不同层面的网络安全状况和演化趋势,把传播中的网络蠕虫定位到子网一级,为实施主动安全防卫提供了重要的决策支持;另外,把多级委托机制应用于分布式安全响应,为构建动态的、协作的网络安全防卫系统提供了良好的理论依据。