本文關鍵詞：網(wǎng)絡安全風險評估關鍵技術研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計算機技術和網(wǎng)絡技術的快速發(fā)展,計算機以及網(wǎng)絡的應用已深入到了政治、經(jīng)濟、軍事和社會等各領域,然而隨之而來的網(wǎng)絡安全問題也日益突出。為了應對日益嚴峻的網(wǎng)絡安全問題,各種網(wǎng)絡安全防御和控制技術應需而生。網(wǎng)絡安全風險評估技術作為一種主動防御技術,在安全事件未發(fā)生時主動分析和評估自身存在的安全風險和安全隱患,從而能夠未雨綢繆,防范于未然；在安全事件正在發(fā)生時及時分析和評估安全事件的威脅態(tài)勢狀況,并根據(jù)評估結果采取適當?shù)娘L險控制措施,從而能夠及時遏制威脅的蔓延。因此,準確高效地進行網(wǎng)絡安全風險評估對保障網(wǎng)絡或信息系統(tǒng)的安全具有重要的意義。本文在分析已有工作的基礎上,對網(wǎng)絡安全風險評估的關鍵技術進行了深入的研究,主要包括以下三個方面： 在定性評估方面,針對攻擊圖分析中的兩個重要問題：最優(yōu)原子攻擊修復集問題和最優(yōu)初始條件修復集問題,定義了原子攻擊拆分加權攻擊圖和初始條件拆分加權攻擊圖,將最優(yōu)原子攻擊修復集問題和最優(yōu)初始條件修復集問題分別歸結于原子攻擊拆分加權攻擊圖中的最小S-T割集問題和初始條件拆分加權攻擊圖中的最小S-T割集問題,并證明其等價性。在此基礎上提出了基于網(wǎng)絡流的具有多項式復雜度的算法。實驗表明,與已有成果相比,該算法具有較高的性能和很好的可擴展性,能應用于大規(guī)模攻擊圖的分析中。 在定量評估方面,(1)針對已有的貝葉斯攻擊圖模型無法表達網(wǎng)絡運行環(huán)境因素對攻擊發(fā)生可能性的影響,提出了廣義貝葉斯攻擊圖模型,該模型涵蓋了攻擊者利用網(wǎng)絡或信息系統(tǒng)中存在的脆弱性發(fā)動一步或多步攻擊的各種可能性,攻擊發(fā)生的不確定性,以及環(huán)境影響因素對攻擊發(fā)生可能性的影響,在保留貝葉斯攻擊圖已有優(yōu)點的基礎上,進一步拓展了語義,引入了攻擊收益和威脅狀態(tài)變量,使得廣義貝葉斯攻擊圖能夠包括被評估網(wǎng)絡或信息系統(tǒng)的業(yè)務應用環(huán)境和環(huán)境威脅信息對攻擊可能性的影響,以及這些影響在廣義貝葉斯網(wǎng)絡上的傳播,使得廣義貝葉斯攻擊圖能夠更真實地反映網(wǎng)絡或信息系統(tǒng)中的網(wǎng)絡攻擊發(fā)生可能性的現(xiàn)實情況。(2)提出了基于廣義貝葉斯攻擊圖的層次化定量評估方法,該方法利用廣義貝葉斯攻擊圖表達被評估網(wǎng)絡或信息系統(tǒng)中攻擊者利用存在的脆弱性發(fā)動一步或多步攻擊的各種可能性,攻擊發(fā)生的不確定性,以及環(huán)境影響因素對攻擊發(fā)生可能性的影響。在構建廣義貝葉斯攻擊圖的基礎上,提出了節(jié)點攻擊概率、主機攻擊概率、網(wǎng)絡攻擊概率三個層次攻擊概率的計算方法,以及節(jié)點風險值、主機風險值和網(wǎng)絡風險值三個層次風險值計算方法,使得安全管理員能夠在節(jié)點、主機和網(wǎng)絡三個層次了解網(wǎng)絡的安全風險狀況。實驗表明,該方法更加切合被評估網(wǎng)絡或信息系統(tǒng)的攻擊發(fā)生可能性的真實情況,使得評估結果更客觀準確。并且從理論和實驗都證明了已有的基于貝葉斯攻擊圖的方法是本方法的一個特例,因此,本方法具有更廣泛的應用價值。 在實時評估方面,(1)針對入侵檢測系統(tǒng)產(chǎn)生的警報存在大量的誤報問題和漏報問題,提出D-S證據(jù)攻擊圖模型,該模型利用D-S證據(jù)理論將安全警報得到的證據(jù)融合到攻擊圖中所關聯(lián)的節(jié)點上,并在攻擊圖中進行前向和后向的信度傳遞,更新相應節(jié)點的預測支持因子和后驗支持因子,進而計算節(jié)點攻擊信度和節(jié)點預測信度。該模型既利用了D-S證據(jù)理論對不確定信息的融合處理能力,又利用了攻擊圖上脆弱點利用之間的關聯(lián)關系優(yōu)勢,使得該模型能夠有效地抑制安全警報中存在的誤報和漏報問題。(2)提出基于D-S證據(jù)攻擊圖模型的增量式實時評估方法,該方法從空間上分為檢測層、攻擊圖層、主機層和網(wǎng)絡層四個層次,在時間上分為初始化階段和實時更新階段。該方法由于利用D-S證據(jù)攻擊圖模型很好地抑制了安全警報中存在的誤報和漏報問題,對安全警報進行關聯(lián)和融合,然后計算節(jié)點、主機和網(wǎng)絡三個層次的攻擊信度和預測信度,從而能夠準確地進行攻擊場景還原和攻擊行為預測,并計算相應的威脅值和最終的網(wǎng)絡安全態(tài)勢值,從而獲得了網(wǎng)絡或信息系統(tǒng)在節(jié)點、主機以及網(wǎng)絡三個層面的安全威脅態(tài)勢狀況,具有完善的功能。由于該方法是一種增量式的評估方法,并且具有線性的算法復雜度,實時性能較高。實驗表明,該方法能夠客觀準確地進行攻擊場景還原和攻擊行為預測,并得出符合客觀情況的實時網(wǎng)絡安全威脅態(tài)勢,并且,該方法具有高性能高可擴展性的特點,能應用于大規(guī)模網(wǎng)絡或信息系統(tǒng)的實時評估之中。
【關鍵詞】：網(wǎng)絡安全風險評估 攻擊圖 網(wǎng)絡流 廣義貝葉斯攻擊圖 D-S證據(jù)攻擊圖模型
【學位授予單位】：北京郵電大學
【學位級別】：博士
【學位授予年份】：2013
【分類號】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-9
• 目錄9-12
• 第一章 緒論12-34
• 1.1 研究背景及意義12-14
• 1.2 相關研究工作14-28
• 1.2.1 網(wǎng)絡安全風險評估標準14-17
• 1.2.2 網(wǎng)絡安全風險評估技術17-27
• 1.2.3 當前面臨的主要挑戰(zhàn)27-28
• 1.3 論文的研究內(nèi)容及創(chuàng)新點28-30
• 1.4 論文的組織結構30-34
• 第二章 基于網(wǎng)絡流的攻擊圖分析方法34-48
• 2.1 引言34-35
• 2.2 攻擊圖的定義35-36
• 2.3 基于網(wǎng)絡流的攻擊圖分析36-43
• 2.3.1 最大流-最小割模型37
• 2.3.2 最優(yōu)原子攻擊修復分析37-41
• 2.3.3 最優(yōu)初始條件修復分析41-43
• 2.4 實驗與分析43-46
• 2.4.1 小規(guī)模攻擊圖實驗及分析43-45
• 2.4.2 大規(guī)模攻擊圖實驗及分析45-46
• 2.5 本章小結46-48
• 第三章 基于廣義貝葉斯攻擊圖的定量評估48-98
• 3.1 引言48-50
• 3.2 廣義貝葉斯攻擊圖模型50-63
• 3.2.1 網(wǎng)絡攻擊建模50-52
• 3.2.2 環(huán)境影響因素建模52-57
• 3.2.3 廣義貝葉斯攻擊圖57-60
• 3.2.4 廣義貝葉斯攻擊圖的影響特性60-63
• 3.3 基于廣義貝葉斯攻擊圖的評估框架63-65
• 3.4 廣義貝葉斯攻擊圖的構建65-80
• 3.4.1 攻擊圖的生成及簡化66-70
• 3.4.2 攻擊難度計算70-71
• 3.4.3 攻擊收益計算71-72
• 3.4.4 威脅狀態(tài)變量計算72-74
• 3.4.5 構建廣義貝葉斯攻擊圖74-75
• 3.4.6 局部條件概率分布計算75-80
• 3.5 攻擊概率計算80-83
• 3.5.1 節(jié)點攻擊概率計算80-81
• 3.5.2 主機攻擊概率計算81-82
• 3.5.3 網(wǎng)絡攻擊概率計算82-83
• 3.6 風險值計算83-87
• 3.6.1 節(jié)點風險值計算83-86
• 3.6.2 主機風險值計算86-87
• 3.6.3 網(wǎng)絡風險值計算87
• 3.7 實驗分析87-96
• 3.8 本章小結96-98
• 第四章 基于D-S證據(jù)攻擊圖模型的實時評估98-154
• 4.1 引言98-99
• 4.2 D-S證據(jù)攻擊圖模型99-104
• 4.3 基于DSAGM的增量式實時評估框架104-109
• 4.3.1 初始化階段107-109
• 4.3.2 實時更新階段109
• 4.4 實時更新計算109-125
• 4.4.1 檢測支持函數(shù)更新計算110-116
• 4.4.2 預測支持因子傳遞計算116-121
• 4.4.3 后驗支持因子傳遞計算121-125
• 4.5 攻擊信度及威脅計算125-134
• 4.5.1 節(jié)點攻擊信度及威脅計算125-129
• 4.5.2 主機攻擊信度及威脅計算129-132
• 4.5.3 網(wǎng)絡攻擊信度及威脅計算132-134
• 4.6 攻擊行為預測134-141
• 4.6.1 節(jié)點攻擊預測134-136
• 4.6.2 主機攻擊預測136-138
• 4.6.3 網(wǎng)絡攻擊預測138-141
• 4.7 實驗分析141-151
• 4.7.1 功能驗證實驗分析141-148
• 4.7.2 性能驗證實驗分析148-151
• 4.8 本章小結151-154
• 第五章 總結與展望154-158
• 5.1 本文工作總結154-155
• 5.2 課題研究展望155-158
• 參考文獻158-168
• 致謝168-170
• 作者在攻讀學位期間發(fā)表的學術論文170

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 諸葛建偉;王大為;陳昱;葉志遠;鄒維;;基于D-S證據(jù)理論的網(wǎng)絡異常檢測方法[J];軟件學報;2006年03期

  本文關鍵詞：網(wǎng)絡安全風險評估關鍵技術研究，，由筆耕文化傳播整理發(fā)布。

本文編號：380974