中国科学技术大学博士学位论文网络安全态势感知模型研究与系统实现姓名:张勇申请学位级别:博士专业:信息安全指导教师:奚宏生20100501
摘要摘要随着网络技术的发展,网络规模和复杂性不断增大,网络的脆弱性越来越多,网络的攻击技术不断革新,新型的攻击工具大量涌现,传统的网络安全技术显得力不从心,网络安全问题越发严峻。网络安全技术从传统的入侵阻止、入侵检测发展到入侵容忍、可生存行研究,从关注信息的保密性发展到关注信息的可用性和服务的可持续性,从关注单个安全问题的解决发展到研究整个网络的安全状态及其变化趋势。网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,是对网络安全性定量分析的一种手段,是对网络安全性的精细度量,研究态势感知技术具有重要意义。态势感知技术通过对各种影响系统安全性的要素进行融合,评估网络的整体安全状况,并对其发展趋势进行预测。目前,国内外对态势感知的研究越来越多,但是对态势感知的具体含义的理解上还存在诸多分歧,相应的技术框架还尚未完善,对具体评估模型和评估算法的研究还在起步阶段,并缺乏系统化的量化分析技术和工具。本论文在各种现有网络安全技术的工作基础上,依据国家相关标准规范,研究网络信息系统安全性定性与定量的分析方法,建立面向网络信息系统的安全态势感知技术框架和评估预测模型,研究态势感知中的关键技术和方法,研制相应的安全态势感知系统支撑平台。本论文首先阐述网络安全态势感知的研究背景和研究意义,从网络技术的发展及其存在的安全问题出发,介绍传统的安全技术及其在应对网络安全问题时的不足,引出网络安全态势感知技术及其研究意义,并分析国内外几个有代表性的态势感知技术及其存在的不足,引出态势感知技术面临的问题和挑战。在此基础上,依据态势感知的概念模型,分析态势感知的过程和结果,建立态势感知的体系框架,从态势理解、态势评估和态势预测三个阶段分别介绍态势感知的相关技术和算法。态势理解的目的是对多种传感器检钡,mlN的异构安全数据进行信息融合,是态势感知的基础,为态势评估做准备。首先,介绍简单的数据级融合技术,对大量原始安全数据进行初步处理,得到规范化的资产数据集、威胁数据集、脆弱性数据集和网络结构数据集;然后,分析资产、威胁和脆弱性之间的关系,对影响网络安全性的安全事件进行分析,采用关联分析方法得到规范化的安全事件数据集;最后,分析威胁传播对网络安全性的影响,提出威胁传播网络的概念,综合分析资产、威胁、脆弱性和网络结构信息,得到威胁数据集中每个威胁的威胁传播网络。I
摘要态势评估是态势感知的核心,是对网络安全状况的定性定量描述。首先,给出多层次多角度的评估框架,分析态势评估的流程,分别从专题、要素和整体层次对网络安全态势进行评估;然后,介绍专题评估的内容,分别从资产、威胁、脆弱性和安全事件四个角度对网络安全状况进行评估;接着,介绍基于隐Markov模型的态势评估技术,通过对资产上安全事件和管理员采取措施的分析,评估网络中单个资产的保密性、完整性和可用性态势分量;然后,介绍基于Markov博弈模型的态势评估技术,通过对威胁、管理员和普通用户之间的博弈分析,评估网络中单个威胁的安全态势分量;最后,介绍基于指对数分析的态势评估技术,用于由单个资产和单个威胁的安全态势分量评估整个网络的安全态势分量,并根据网络的安全态势分量评估网络的整体安全态势。态势预测根据态势评估输出的安全数据,采用预测模型对安全态势的发展趋势进行预测。基于时间序列分析的预测技术能很好的刻画序列的前后依赖关系,适合对网络安全态势变化趋势的预测,本论文介绍基于Box-Jenkins模型和HoIt-Winter模型两种态势预测模型和算法,Box-Jenkins模型通过对原序列进行周期差分和趋势差分,将非平稳时间序列转化为平稳时间序列,再根据新序列的自相关函数和偏相关函数的性质,建立自回归滑动平均模型分析新序列的变化规律:HoIt-Winter模型直接将序列之间的相关性分解为周期变化项、趋势变化项和随机成分项,分别进行分析。论文的最后建立网络安全态势感知支撑平台,分析组成平台的各个子系统之间的交互关系,介绍态势感知流程的各个阶段,阐述态势评估与预测子系统的实现方法,建立一个具体的网络实例,演示态势感知的流程和功能,并详细分析了态势感知的结果。通过对测评实例的分析,验证了态势感知框架的合理性、可行性和实用性,态势感知结果的精确性和有效性。网络安全态势感知作为一种新兴的安全技术,能够从各个侧面刻画目标网络的安全状况及其变化趋势,能够为网络管理员提供合适的安全加固方案,被越来越多的应用到网络安全的各个领域,成为下一代网络安全技术的焦点,为信息保障起到非常重要的作用。关键词:网络安全态势感知多层次多角度评估态势理解态势评估态势预测隐Markov模型Markov博弈模型时间序列分析
AbstractABSTRACTWiththedevelopingofthenetworktechnology,networkscaleandcomplexityarebecominghrge.Networkvulnerabilitiesareincreasing.Networkattacktechnobgieshavebeenrenovated.Somenewattacktoolsarecomingforth.Traditionalnetworksecuritytechnologiesareinadequate.Networksecurityproblemisbecomingmoreandmoresevere.Securitytechnologiesaredevelopingfromintrusionpreventionandintrusiondetectiontointrusiontoleranceandnetworksurvivability,frominformationconfidentialitytoinformationavailabilityandservicesustainability,fromsinglesecuritysolutiontothedescriptionofentirenetworksecuritystatusanditstrends.NetworksecuritysituationawarenessfNSSA)isconcernaboutallofthesecurityelements.Itcollectssecurityelements,andunderstandsrelations,andevaluatesimpacts,andforecaststrends。Itisameansofquantitativeanalysisofnetworksecurity.Theresearchofsituationawarenesstechnologyissignificant.Basedonthefusionofvarietyofnetworksecurityelements,situationawarenesstechnobgyevaluatessecuritystatusoftheentirenetworkandforecastsitstrends.Recently,moreandmoreresearchesfoCusonNSSA,butthereiSnocommonconcept.NSSAfi'ameworkisnotappropriate.Theevaluatbnmodelsandalgorithmsarestillininitialstage.Therearefewsystematicquantitativeanalysistechniquesandtools.Basedonexistentnetworksecuritytechnologies,accordingtOrelevantnationalstandards,thispaperinvestigatesqualitativeandquantitativeanalysismethodsofthenetworksecurity.Fh-stly,thispaperbuildstechnologyfi'ameworkofNSSAandconsummatesevaluationandforecastingmodels.Afterthat,thispaperstudieskeytechnologiesandmethodsofNSSAanddevebpsNSSAsupportingplatform.Firstly,thispaperelaboratesbackgroundandsignificanceofNSSA.Startingfromthedevelopmentofnetworktechnobgyandsecurityproblems,itexplainstraditionalnetworksecuritytechnobgiesandtheirshortages,andextractsthesignificanceofNSSAtechnology.AfteranalyzessomeNSSAtechnologiesanditsshortages,thispaperintroducestheproblemsandchallengesofNSSA.Aftert瓯accordingaSNSSAconceptualmodel,thispaperanalyzestheprocessandresultsofNSSA,andbuildsNSSAframework.AccordingtothreestagesofsituationIII
Abstractcomprehension,situationevaluationandsituationforecasting,thispaperdiscussesNSSAtechnologiesandalgorithmsseparately.Thepurposeofsituationcomprehensionisfusionheterogeneoussecuritydatawhichdetectedbymultiplesensors.ItisabasisofNSSAandpreparesforsituationevaluation.Firstly,itintroducessimpledatalevelfusiontechnoiogywhichcandealwithoriginalsecuritydataandacquiresstandardizeddatasetofassets,threats,vulnerabilitiesandnetworktopology.Next,itanalyzesthecorrelationofasset,threatandvulnerability.Afterstudiesofnetworksecurityincidents,itacquiresstandardizeddatasetofsecurityincidents.Finally,itproposesthreatpropagationnetworkwhichcandescribetheimpactofthreatpropagation.Accordingtocomprehensiveanalysisasset,thremvulnerabilityandnetworktopology,itgainseverythreatpropagationnetworkofthreatsdataset.SituationevaluationisthecoreofNSSAwhichisqualitativeandquantitativedescriptionofnetworksecurity.Firstly,itestablishesMulti-levelandmulti-angleevaluationfi-ameworkwhichcanevaluatenetworksecurityfromthreelevelsofspecialtopiclevel,elememlevelandwholelevel.Afterwards,itintroducesspecialtopicevaluationlevelwhichcanevaluatenetworksecurityfromfouraspectsofasset,threat,vulnerabilityandsecurityincident.Afterthat,itgivesanapproachtosituationevaluationwhichbasedonhiddenMarkovmodelThroughanalyzingsecurityincidentsandsecuritymeasureswhichhappenedontheasset,itevaluatesthesituationcomponentofconfidentialitMintegrityandavailabilityofsingleasset.Then,itproposesanapproachtosituationevaluationwhichbasedonMarkovgamemodel.Accordingtoanalysisoftheinfluencesofthreatpropagation,administmtorandordinaryuseraction,itevaluatesthesituationcomponentofconfidentiality,integrityandavailabilityofsinglethreat.Finally,itgivesamethodofsituationevaluationwhjchbasedonexponentandbgarithmanalysis.Itcanevaluatetheentirenetworkwholesituationfromsinglesituationcomponent.Accordingtothesituationevaluatingoutput,withthehe舾offorecaStingmodel,situationforecaStingcanforecastsecuritysituationdevebpmenttrends.Timeseriesanalysiscanwelldescribethecorrelationofsituationsequenceswhichissuitableforforecastingitstrends.ThispaperintroducestwosituationforecastingmodelofBox-JenkinsmodelandHolt-Wintermodel,bothofwhicharebasedontimeseriesanalysis.Viaseasolldifferenceandtrenddifference,Box—Jenkinsmodelconvertsnon-stationaryoriginalseriestostationaryneWseries.AccordingtotheIV
Abstractcharacteristicsofamocorrelationandpartialautocorrehtionfunctionofthenewseries,itproposesautoregressivemovingaveragemodeltOinvestigatenewseriestrend.HoIt—Wintermodelseparatesthecorrelationoforiginalseriesintothreepartsofseasonchangeitem,trendchangeitemandrandomcomponent.Foreachitemoforiginalseriesitbuildsmodelrespectively.Intheend,thispapergivessupportplatformofNSSA.Firstly,itdiscussesthecorrelationsamongofeachsubsystemofthisplatform.Then,itintroduceseachstageofNSSA.Afterthat,itexpoundstheimplementationofsituationevaluationandforecastingsubsystem.Finally,itsetsupaspecificnetworktodemonstratetheprocessesandfunctionsofNSSA,andanalyzestheresultsofNSSA.TheinvestigationofapplicationindicatesthattheNSSAfi'ameworkisrational,feasibleandpracticalforactualnetworkenvironmentandtheresultsarepreciseandefficient.Networksecuritysituationawarenessisanewsecuritytechnologywhichcandescribenetworksecurityanditstrendsfromdifferentperspectives.Itcanalsoprovideappropriatesecurityreinforcement.MoreandmoreapplicationsofNSSAarebeingused.NSSAbecomesthefocusofthenextgenerationofnetworksecuritytechnobgywhichplaysaveryimportantroleininformationassurance.KeyWords:networksecuritysituationawareness,multi-levelandmulti-angleevaluation,situationcomprehension,situationevaluation,situationforecasting,hiddenMarkovmodel,Markovgamemodel,TimeseriesanalysisV
图表目录图表目录图1.1脆弱性数量变化趋势……………………………………………………………2图1.2中国大陆网页被篡改情况的年份统计(2003.2007)………………………………3图1.3脆弱性扫描器的组成……………………………………………………………4图1.4渗透测试系统的组成………………………………………………………………..5图1.5基于行为的恶意代码检测模型………………………………………………….7图1.6通用的入侵检测模型…………………………………………………………………9图1.7风险评估示意图…………………………………………………………………11图1.8Endsley态势感知流程…………………………………………………………13图1.9美国工作岗位态势………………………………………………………………………………14图1.10JDL数据融合模型……………………………………………………………16图1.1l基于数据融合的网络态势评估框架…………………………………………..17图1.12层次化网络系统安全威胁态势评估模型………………………………………18图1.13层次化分析得到的网络安全态势图…………………………………………..18图1.14主干网络连接状态图…………………………………………………………19图l,15NVisionIP显示的网络连接状态……………………………………………………20图1.16VisFlowConneet显示的主机连接状态…………………………………………20图1.17网络连接的三维空间显示图……………………………………………………2l图2.1网络安全态势感知的概念模型…………………………………………………26图2.2网络安全态势感知的体系框架………………………………………………….28图2.3安全事件对资产保密性损害关系图……………………………………………34图3.1多层次多角度的态势评估框架…………………………………………………38图3,2基于HMM的态势评估流程…………………………………………………一45图3.3资产保密性的状态转移图………………………………………………………,46图3.4HMM训练过程………………………………………………………………..47图3.5基于MGM的态势评估流程…………………………………………………..53图3.6Markov博弈过程示意图………………………………………………………一58图3。7态势评估和加固方案生成示意图………………………………………………一59图4.1三层BP神经网络的结构………………………………………………………66图4.2基于Box.Jenkins模型的建模流程……………………………………………一67IX
图表目录图5.1态势感知支撑平台的组成……………………………………………………一74图5.2支撑平台子系统之间的交互接口………………………………………………75图5.3支撑平台在安全态势感知中的工作流程………………………………………..77图5.4态势评估与预测子系统的组成…………………………………………………78图5.5态势评估与预测子系统界面…………………………………………………..79图5.6待评估的网络系统的体系结构……………………………………………………80图5.7资产安全属性的多粒度评估结果………………………………………………84图5.8资产的重要性分布图…………………………………………………………………………..84图5.9资产的类型分布图…………………………………………………………………85图5.10脆弱性安全属性的多粒度评估……………………………………………………85图5.1l脆弱性的数量变化趋势图……………………………………………………86图5.12脆弱性的严重程度分布图………………………………………………………86图5.13脆弱性的类型分布图…………………………………………………………87图5.14脆弱性的位置分布图…………………………………………………………87图5.15整个网络的完整性态势变化趋势图…………………………………………..88图5.16不同种类的威胁的完整性态势图……………………………………………………..88图5.17整个网络的安全态势变化趋势图……………………………………………..89图5.18网络最薄弱的环节……………………………………………………………89图5.19不同种类的脆弱性的整体安全态势图…………………………………………90图5.20FTP服务器的保密性安全态势评估…………………………………………..91图5.21威胁t的TPN……………………………………………………………………………………..92图5.22保密性态势评估与预测………………………………………………………93图5.23保密性加固方案列表…………………………………………………………………94图5.24支撑平台报表生成界面………………………………………………………94表2.1表2.2表2.3表2.4表2.5表2.6表2.7X烈弛砣”弘靳拍一~~~||~~~~~~~~~一~一~一~一~~一~~~~~一~~~~~~一一一一~一~一~一~一~~~~~~~~~~~~~~~~~~~~~一一~||~~~~~~~~~~~~~~~~~~~~一一~~一~~~~一一一~~一一一~一一|||;i|一~一~~~~~i;~~~~~~一~~~一~~~~~~~一~一~一一~~一一一一一~一一~~~~~~i|~~~~~~~~~一一一一~述述一述;|~一描描一描~~述的的||化;|述描点路述式述描的节链描形描的件播播的的的性事传传产路胁弱全胁胁资链威脆安威威