加載隱私保護(hù)的網(wǎng)絡(luò)安全綜合管理關(guān)鍵技術(shù)研究.pdf

1、網(wǎng)絡(luò)應(yīng)用的普遍化，信息系統(tǒng)的規(guī)模化、網(wǎng)絡(luò)化和去中心化使得惡意攻擊、病毒泛濫等隨之而來的網(wǎng)絡(luò)安全問題愈加凸顯。各類攻擊手段隨應(yīng)用發(fā)展不斷翻新，具有關(guān)聯(lián)化、復(fù)雜化和難以檢測等新的特點(diǎn)。在更加嚴(yán)峻的安全形勢下，為保障網(wǎng)絡(luò)及信息系統(tǒng)的安全，需要對報警關(guān)聯(lián)分析和安全評估等網(wǎng)絡(luò)安全綜合管理技術(shù)開展更為深入的研究。
　　 網(wǎng)絡(luò)安全綜合管理技術(shù)近年來取得了實(shí)質(zhì)性進(jìn)展。在安全報警關(guān)聯(lián)分析方面，基于安全事件因果關(guān)系、預(yù)定義關(guān)聯(lián)規(guī)則、構(gòu)建網(wǎng)絡(luò)攻擊圖和

2、數(shù)據(jù)挖掘技術(shù)的各種關(guān)聯(lián)方法應(yīng)用廣泛，成為構(gòu)建攻擊場景和識別攻擊意圖的主要手段;在安全風(fēng)險評估方面，基于指標(biāo)體系以及各種層次化態(tài)勢評估模型的評估方法，實(shí)現(xiàn)了系統(tǒng)風(fēng)險管理和安全態(tài)勢感知。然而，面對共享協(xié)同的需求和網(wǎng)絡(luò)安全的高復(fù)雜性、強(qiáng)對抗性，現(xiàn)有網(wǎng)絡(luò)安全綜合管理技術(shù)存在局限性:首先，網(wǎng)絡(luò)安全報警關(guān)聯(lián)與分析技術(shù)有較強(qiáng)的專家知識依賴性或高計算代價，與實(shí)際應(yīng)用存在距離;其次，網(wǎng)絡(luò)系統(tǒng)安全威脅狀況的評估通常僅關(guān)注單一網(wǎng)絡(luò)域中攻擊事件對系統(tǒng)安全造成的

3、影響，難以反映全局化的安全威脅態(tài)勢;最后，隱私問題已成為安全數(shù)據(jù)共享及協(xié)同分析邁向?qū)嶋H應(yīng)用的重大阻礙之一，而現(xiàn)有的安全綜合管理方法較少考慮對原始分析數(shù)據(jù)的隱私保護(hù)，已提出的隱私保護(hù)方法也存在運(yùn)算復(fù)雜度高、或?qū)︻I(lǐng)域知識依賴性較大等問題。圍繞上述問題，本文在安全報警關(guān)聯(lián)分析和安全風(fēng)險評估方面展開研究，并結(jié)合隱私保護(hù)技術(shù)，形成了較為完善的加載隱私保護(hù)的網(wǎng)絡(luò)安全綜合管理技術(shù)框架。
　　 在入侵報警敏感數(shù)據(jù)的安全研究方面，本文基于對報警數(shù)

4、據(jù)的結(jié)構(gòu)化分析，設(shè)計了一種面向入侵報警敏感數(shù)據(jù)的隱私保護(hù)方法。本文對Incognito算法進(jìn)行了改進(jìn)，引入熵引導(dǎo)的報警泛化層次設(shè)計方法，形成了對報警數(shù)據(jù)的泛化匿名處理模型，在此基礎(chǔ)上，提出了基于效用的泛化度量方法，實(shí)現(xiàn)了報警信息的保護(hù)程度和數(shù)據(jù)質(zhì)量間的量化評估。隨后，進(jìn)一步設(shè)計了基于泛化子圖的報警頻數(shù)計算方法，以減少對報警數(shù)據(jù)集的遍歷次數(shù)，提升了算法效率。實(shí)驗(yàn)證明，與經(jīng)典的k-匿名模型相比，所提出方法在報警數(shù)據(jù)隱私保護(hù)方面具有高效性和有

5、效性。
　　 利用頻繁模式挖掘技術(shù)獲取安全報警屬性之間的關(guān)聯(lián)關(guān)系是進(jìn)行報警關(guān)聯(lián)分析和研究的主要途徑之一。出于隱私考慮，在缺乏安全共享與協(xié)作機(jī)制的情況下，現(xiàn)有方法難以在實(shí)際關(guān)聯(lián)分析場景下應(yīng)用。針對上述問題，本文結(jié)合典型的頻繁模式挖掘算法，提出了隱私保護(hù)的安全事件屬性關(guān)聯(lián)關(guān)系的挖掘方法PPFPM。該方法通過頻繁模式樹結(jié)構(gòu)實(shí)現(xiàn)了大型報警數(shù)據(jù)集中頻繁模式的壓縮存儲，并采用前綴樹結(jié)構(gòu)模式增長挖掘方法避免了耗時的候選集生成過程，提高了挖掘效

6、率。實(shí)驗(yàn)中證明了PPFPM算法的有效性、伸縮性以及較好的挖掘性能。同時，本算法對基于類頻繁模式樹的入侵事件頻繁模式挖掘方法，在敏感信息保護(hù)方面具有通用性和普遍意義。
　　 揭示安全報警之間的序列關(guān)系和因果關(guān)系是進(jìn)行安全報警關(guān)聯(lián)分析的另一種常用手段。本文分析了網(wǎng)絡(luò)多步攻擊的特點(diǎn)，提出了利用序列模式挖掘技術(shù)進(jìn)行快速多步攻擊關(guān)聯(lián)的方法QSPM，并在此基礎(chǔ)上設(shè)計了隱私保護(hù)下面向安全報警多步攻擊的序列模式挖掘方法PPSPM。本文提出的方法

7、無需事先獲取攻擊場景的專家知識和預(yù)先設(shè)計關(guān)聯(lián)規(guī)則，克服了基于規(guī)則、安全事件因果關(guān)系等關(guān)聯(lián)方法的主要缺陷。此外，在分析攻擊行為序列特征的基礎(chǔ)上，采用支持度評估方法，對最大攻擊序列生成算法進(jìn)行了優(yōu)化，減少了耗時的數(shù)據(jù)集遍歷操作，從而使算法具有快速、準(zhǔn)確關(guān)聯(lián)多步攻擊的特點(diǎn)。最后，通過實(shí)驗(yàn)，對算法的有效性進(jìn)行了量化分析;并與典型的序列模式挖掘算法進(jìn)行了對比，實(shí)驗(yàn)結(jié)果表明了所提出算法在發(fā)現(xiàn)攻擊行為序列模式方面較好的準(zhǔn)確性和性能:至少有87.76％

8、的報警可以被準(zhǔn)確地關(guān)聯(lián)，且算法性能較典型的序列模式挖掘算法提升了1.7-6.5倍。研究隱私保護(hù)環(huán)境下入侵事件序列模式的發(fā)現(xiàn)方法，對于安全報警關(guān)聯(lián)分析領(lǐng)域具有通用性和實(shí)用價值。
　　 識別、評估和控制網(wǎng)絡(luò)信息系統(tǒng)自身脆弱性是網(wǎng)絡(luò)安全綜合管理的基礎(chǔ)。為了解決安全評估領(lǐng)域現(xiàn)存的難以利用海量龐雜報警信息對整體安全狀況有效建模，以及缺乏安全協(xié)同環(huán)境下的分布式評估方法的問題，本文結(jié)合服務(wù)重要性、報警發(fā)生頻率和安全威脅程度等要素，研究和提出了

9、分布式安全態(tài)勢量化評估模型及其相應(yīng)計算方法，實(shí)現(xiàn)了全局化的安全態(tài)勢綜合評估模型;并在此基礎(chǔ)上實(shí)現(xiàn)了隱私保護(hù)下的分布式統(tǒng)計模型。在隱私保護(hù)方法設(shè)計上，針對半可信環(huán)境下的共謀推導(dǎo)攻擊問題，以及經(jīng)典的同態(tài)加密方法的高計算代價，和公私鑰管理等問題，本文提出了半可信環(huán)境下的輕量級分布式安全統(tǒng)計方法，以較小的計算代價解決了現(xiàn)有隨機(jī)路徑統(tǒng)計方法中共謀推導(dǎo)或惡意攻擊導(dǎo)致的隱私威脅。由于本方法針對分布式統(tǒng)計運(yùn)算進(jìn)行安全保護(hù)，故可以推廣到包含有基礎(chǔ)統(tǒng)計運(yùn)算