本文選題：網(wǎng)絡(luò)安全態(tài)勢(shì)感知　切入點(diǎn)：主機(jī)行為輪廓建立　出處：《東南大學(xué)》2016年博士論文　論文類型：學(xué)位論文

【摘要】：互聯(lián)網(wǎng)是一個(gè)由數(shù)以百萬計(jì)的本地網(wǎng)絡(luò)組成的全球性網(wǎng)絡(luò),承載著廣泛的信息資源與和服務(wù)。在網(wǎng)絡(luò)空間中運(yùn)作的系統(tǒng)和網(wǎng)絡(luò)存在安全漏洞,給使用它們的個(gè)人、組織與國家?guī)戆踩L(fēng)險(xiǎn)。互聯(lián)網(wǎng)威脅是各國面臨的最嚴(yán)重的經(jīng)濟(jì)和安全挑戰(zhàn)之一。安全研究人員提出了各種的策略,以減少網(wǎng)絡(luò)威脅的影響,提高抵御網(wǎng)絡(luò)攻擊的能力。這其中的一個(gè)關(guān)鍵是對(duì)攻擊準(zhǔn)確而及時(shí)的發(fā)現(xiàn),因此防御方的角色中包括復(fù)雜的認(rèn)知任務(wù)。種類繁多的安全、監(jiān)控和分析工具被用于檢測(cè)網(wǎng)絡(luò)滲透和分析網(wǎng)絡(luò)性能,例如防病毒軟件,防火墻,日志審計(jì)工具,基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)IDS,低交互和高交互的蜜罐系統(tǒng),通用和專用的蜜罐系統(tǒng),網(wǎng)絡(luò)流量分析工具等等。這些不同來源的安全工具產(chǎn)生的海量數(shù)據(jù)使得網(wǎng)絡(luò)安全工程師越來越更難以處理。同時(shí)人們也意識(shí)到,依賴單一工具是不足以保護(hù)網(wǎng)絡(luò)使其免遭各種威脅�；诔掷m(xù)監(jiān)控和所得的安全警報(bào)事件,網(wǎng)絡(luò)安全態(tài)勢(shì)感知NSSA提供了高層次的安全視圖,可以有能力依據(jù)這些安全事件之間的多維度關(guān)聯(lián)來確定計(jì)算機(jī)網(wǎng)絡(luò)的總體安全狀態(tài)。本文的貢獻(xiàn)在于為建立IP信息數(shù)據(jù)庫提供了關(guān)于網(wǎng)絡(luò)流量行為的背景信息,以支持網(wǎng)絡(luò)安全態(tài)勢(shì)感知。這種IP信息有助于預(yù)測(cè)網(wǎng)絡(luò)安全的變化趨勢(shì)。論文研究了IP主機(jī)行為輪廓建立(Profiling)和分簇問題,目的在于標(biāo)識(shí)出主機(jī)流量行為中主要的和持續(xù)性的部分,借以構(gòu)成主機(jī)的行為輪廓,分析具有相似行為的主機(jī)群組。這將豐富IP特性數(shù)據(jù)庫的內(nèi)容,支持網(wǎng)絡(luò)安全態(tài)勢(shì)感知在覺察階段和理解階段的研究工作。IP行為輪廓的建立基于所觀察到的最顯著活躍的IP地址的流量模式。論文提出了一種算法來提取用于分析的最顯著IP節(jié)點(diǎn),避免了對(duì)全部流量中數(shù)以百萬計(jì)的IP節(jié)點(diǎn)進(jìn)行全部分析(數(shù)據(jù)壓縮)。論文討論了主機(jī)通信行為模式的特征,這些特征可用于描述主機(jī)的行為特征以建立主機(jī)行為輪廓。論文從抽取或計(jì)算了15個(gè)有關(guān)IP地址流量行為的流量模式,作為特征用于之后的數(shù)據(jù)聚類處理。論文以選定的IP地址進(jìn)行了相對(duì)較長時(shí)間范圍內(nèi)的流量數(shù)據(jù)分析,以便提取其更為穩(wěn)定的主機(jī)流量行為。以往的研究都集中在相對(duì)較短時(shí)間粒度的主機(jī)行為觀察上,論文選擇以一個(gè)小時(shí)作為一個(gè)時(shí)間粒度,這意味著限定時(shí)間內(nèi)一個(gè)粒度內(nèi)需要處理更多的流量數(shù)據(jù)。論文研究了可表示管理域內(nèi)網(wǎng)絡(luò)主機(jī)與外部IP網(wǎng)絡(luò)主機(jī)之間的社會(huì)關(guān)系的IP地址之間關(guān)系問題。論文方法的起點(diǎn)是將整個(gè)IP地址空間分割成為內(nèi)部(被管域內(nèi))和外部(網(wǎng)絡(luò)外)兩部分。聚類的策略是將有共同外部IP地址作為通信對(duì)端的內(nèi)部IP地址定義一個(gè)群組,兩個(gè)內(nèi)部IP地址的相似性測(cè)度是兩者擁有的相同的對(duì)端外部IP地址數(shù)量。論文提出用了一種使用近似算法的新方法,可在大規(guī)模的被管理域中發(fā)現(xiàn)存在的社區(qū)結(jié)構(gòu),該方法基于二部圖方法,單模式投影和相似圖的圖形分割方法。將從實(shí)際的管理域邊界路由器采集NetFlow數(shù)據(jù)集中包含的IP地址按內(nèi)部地址空間和外部地址空間構(gòu)造二部圖,然后使用單模式投影方法構(gòu)建內(nèi)部IP地址社會(huì)關(guān)系的相似圖。論文設(shè)計(jì)了一個(gè)新的社區(qū)檢測(cè)算法來檢測(cè)具有類似行為的社區(qū)。論文通過應(yīng)用深度流檢測(cè)(DFI)方法和深度數(shù)據(jù)包檢測(cè)(DPI)方法對(duì)理論計(jì)算結(jié)果進(jìn)行了實(shí)驗(yàn)驗(yàn)證,證明用同一群集的主機(jī)的主要流量行為通常相似。論文展示了探索IP主機(jī)社會(huì)行為相似性的用途,包括理解應(yīng)用程序的使用,理解用戶的行為,檢測(cè)惡意用戶和禁止的應(yīng)用的用戶。
[Abstract]:The Internet is a by millions of local network composed of global network, carries a wide range of information resources and service system and network operation. In the space of Internet security vulnerabilities, use them to individuals, organizations and countries pose a security risk. The Internet threat is one of the most serious economic and security challenges of the world facing. Security researchers have proposed various strategies to reduce the impact of cyber threats, improve the ability to resist network attacks. One of the key is to attack the accurate and timely discovery, thus including complex cognitive tasks defending role. Many kinds of security monitoring and analysis tools are used detection of network penetration and network performance analysis, such as antivirus software, firewall, log audit tools, host and network intrusion detection system based on IDS, low and high. The honeypot system interaction honeypot system, general and special, network traffic analysis tools and so on. These produce vast amounts of data from different sources of security tools makes network security engineers more and more difficult to deal with. At the same time people realized that, depending on the single tool is not enough to protect the network from various threats. Security alert and continuous monitoring based on the network security situational awareness, NSSA provides a safe view of high level, can have the ability on the basis of multi dimension association between these events to determine the overall security of computer network. The contribution of this paper is to provide background information about the network traffic behavior for the establishment of a IP information database, to support the network security situation awareness. The change trend of this IP information can help to predict the network security. This paper studies the IP host behavior profile establishment (Profiling) and cluster The problem, purpose is to identify the host traffic behavior in major and persistent part, so as to constitute a behavior profile of the host, the host group with similar behavior analysis. This will enrich the IP characteristics of the contents of the database, support network security situation awareness based on the research work of.IP awareness and understanding of phase behavior profile of the observed phase based on the most significant active IP address traffic patterns. This paper presents an algorithm to extract the most significant IP for node analysis, avoid all nodes on the IP to analyze tens of millions in all traffic (data compression). This paper discusses the characteristics of the host communication behavior, these features can be used to describe the behavior of the characteristics of the host to establish the host behavior profile. This paper calculated the 15 IP address flow behavior from the extraction or traffic patterns, as the features for the data clustering Processing. In order to selected IP addresses analyzed traffic data relatively long time range, in order to extract the more stable host traffic behavior. Previous studies have focused on the host behavior in a relatively short time to observe the size, we take an hour as a time granularity, which means limited a time granularity within the need to deal with more traffic data. The relationship between the network management domain host can be expressed with the external IP network host IP address. The social relationship is the starting point of the method of IP address space is divided into internal (managed domain) and external (Network) two. Clustering strategy is to have a common external IP address as the internal communication IP address to end the definition of a group, two internal IP address similarity measure is the same for both have end The number of IP addresses. This paper proposed a new method using approximate algorithm, can be found in the large-scale management of community structure exists in the domain, the method is based on the method of figure two, single pattern projection segmentation method and similarity map graphics. From the management of actual road boundary consists of a collection containing NetFlow the data set IP address according to the internal and external address space address space two map, and then construct similar graph of the internal IP address social relations using single mode projection method. This paper designed a new community detection algorithm to detect similar to the community. Through the application of deep flow inspection (DFI) method and deep packet inspection (DPI) methods are used to validate the theoretical calculation, proved that the main flow behavior of the same cluster host usually similar. This thesis demonstrated the exploration of IP host social behavior similarity The use of understanding the use of the application, understanding the behavior of the user, detecting the malicious users and users of the forbidden application.

【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡(luò)安全問題研究[J];情報(bào)科學(xué);2000年08期

2 ;計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J];工業(yè)控制計(jì)算機(jī);2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡(luò)安全技術(shù)及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡(luò)安全技術(shù)[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認(rèn)識(shí)網(wǎng)絡(luò)安全──與3Com電子商務(wù)發(fā)展經(jīng)理的對(duì)話[J];市場(chǎng)與電腦;2000年08期

6 ;網(wǎng)絡(luò)安全,路在腳下[J];市場(chǎng)與電腦;2000年08期

7 陳永;上海加強(qiáng)網(wǎng)絡(luò)安全──“互聯(lián)網(wǎng)絡(luò)安全問題與對(duì)策”研討會(huì)舉行[J];上海微型計(jì)算機(jī);2000年12期

8 徐晨;網(wǎng)絡(luò)安全 商機(jī)無限[J];上海微型計(jì)算機(jī);2000年34期

9 屠政;正有網(wǎng)絡(luò)公司開啟網(wǎng)絡(luò)安全之門[J];中國信息導(dǎo)報(bào);2000年09期

10 馮婷婷;網(wǎng)絡(luò)安全警句[J];軟件工程師;2000年08期

相關(guān)會(huì)議論文 前10條

1 李正男;吳亞非;丁志新;;計(jì)算機(jī)網(wǎng)絡(luò)安全概述[A];第六次全國計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡(luò)安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達(dá);劉龍;;網(wǎng)絡(luò)安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡(luò)安全課程中學(xué)生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，，努力增強(qiáng)高校創(chuàng)新與服務(wù)能力——北京市高等教育學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2008年

5 張軍;;網(wǎng)絡(luò)安全的形勢(shì)與對(duì)策[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

6 ;積極推進(jìn)全球網(wǎng)絡(luò)安全[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網(wǎng)絡(luò)安全與對(duì)策[A];福建省圖書館學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集[C];2006年

8 陳雯;;淺談圖書館網(wǎng)絡(luò)安全[A];福建省圖書館學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2007年

9 李穎;;淺談網(wǎng)絡(luò)安全應(yīng)對(duì)策略[A];天津市電視技術(shù)研究會(huì)2012年年會(huì)論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡(luò)安全探討[A];海南省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集（2008）[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 肖健;六大趨勢(shì)“惹火”2005網(wǎng)絡(luò)安全[N];中國計(jì)算機(jī)報(bào);2005年

2 鮑捷;中外聯(lián)手維護(hù)網(wǎng)絡(luò)安全[N];人民日?qǐng)?bào);2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡(luò)安全新主張[N];中國經(jīng)濟(jì)導(dǎo)報(bào);2006年

4 國際電聯(lián)電信標(biāo)準(zhǔn)化局局長 本報(bào)高級(jí)顧問 趙厚麟;推進(jìn)全球網(wǎng)絡(luò)安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡(luò)安全市場(chǎng)面臨洗牌[N];通信產(chǎn)業(yè)報(bào);2007年

6 ;二季度網(wǎng)絡(luò)安全市場(chǎng)銷售額達(dá)11億美元[N];網(wǎng)絡(luò)世界;2006年

7 Tony;強(qiáng)勁需求拉動(dòng)網(wǎng)絡(luò)安全市場(chǎng)快速增長[N];中國計(jì)算機(jī)報(bào);2007年

8 黃粵寶 本報(bào)記者 叢曉明;公安機(jī)關(guān)檢查網(wǎng)絡(luò)安全工作[N];丹東日?qǐng)?bào);2008年

9 記者 方祥生;歐安組織網(wǎng)絡(luò)安全會(huì)議開幕[N];光明日?qǐng)?bào);2009年

10 傅曉輝;網(wǎng)絡(luò)安全商機(jī)開盤[N];通信產(chǎn)業(yè)報(bào);2004年

相關(guān)博士學(xué)位論文 前10條

1 薄澄宇;網(wǎng)絡(luò)安全與中美關(guān)系[D];中共中央黨校;2015年

2 張武軍;機(jī)器類型通信中的網(wǎng)絡(luò)安全問題研究[D];西安電子科技大學(xué);2014年

3 羅建;復(fù)雜攻擊系統(tǒng)建模及其在網(wǎng)絡(luò)安全中的應(yīng)用[D];清華大學(xué);2015年

4 胡冠宇;基于置信規(guī)則庫的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱理工大學(xué);2016年

5 阿漢（Ahmad Jakalan）;網(wǎng)間IP流量行為分析與關(guān)系發(fā)現(xiàn)[D];東南大學(xué);2016年

6 李偉明;網(wǎng)絡(luò)安全語言關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2006年

7 張建鋒;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估若干關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2013年

8 司加全;網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱工程大學(xué);2009年

9 田大新;網(wǎng)絡(luò)安全中若干問題的研究[D];吉林大學(xué);2007年

10 Kittichote Rojanakul（開心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的網(wǎng)絡(luò)安全的研究[D];吉林大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 張衛(wèi)清;網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[D];南華大學(xué);2006年

2 吳磊;網(wǎng)絡(luò)安全企業(yè)服務(wù)營銷問題研究[D];華北電力大學(xué)（北京）;2006年

3 陳雷;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2015年

4 劉夢(mèng);從斯諾登事件看21世紀(jì)歐美安全關(guān)系的調(diào)整[D];外交學(xué)院;2016年

5 閆一銘;網(wǎng)絡(luò)安全關(guān)鍵策略及教學(xué)模擬攻防系統(tǒng)設(shè)計(jì)[D];中國海洋大學(xué);2014年

6 鄭東東;網(wǎng)絡(luò)安全與國家主權(quán)：互聯(lián)網(wǎng)自由的國際法規(guī)制[D];西南政法大學(xué);2014年

7 姚望;外空活動(dòng)中網(wǎng)絡(luò)安全的管理機(jī)制研究[D];北京理工大學(xué);2016年

8 黃亮亮;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)方法的研究[D];蘭州大學(xué);2016年

9 張楠;某部門網(wǎng)絡(luò)安全管理方案的設(shè)計(jì)與實(shí)施[D];長春工業(yè)大學(xué);2016年

10 楊建萍;基于維基百科的《網(wǎng)絡(luò)安全》課程本體構(gòu)建及應(yīng)用研究[D];新疆師范大學(xué);2016年

本文編號(hào)：1649466