外文文献__中文翻译.doc

专业资料专业资料参考首选基于知识发现的网络安全态势感知框架摘要:由于以往的安全警戒事件,网络安全态势感知提供了独特的高级别安全观。但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。在本文中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的网络安全态势感知框架。该框架包括网络安全态势模型生成、网络安全态势产生。建模的目的,是构建基于 d-s 理论的网络安全态势检测的形式化模型, 并支持融合和分析来自于传感器安全态势的安全警报事件的一般化过程。新一代网络安全态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模式, 并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势图。集成网络安全态势感知系统( Net- SSA )的应用表明, 这种框架支持网络安全态势模型的精确生成和有效发展。关键词:网络安全;态势感知;数据挖掘;知识发现一、引言传统的网络安全设备,如入侵检测系统( IDS ),防火墙,安全扫描器彼此独立运作,它们几乎没有自己所要保护的网络资源的信息。由于缺乏信息,在对安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态势感知是解决这些问题的有效途径。网络安全态势感知的一般过程就是,感知发生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安全趋势。在实现网络安全态势感知时存在着一些困难,如下: (1)从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。(2)由于大规模网络攻击(例如:DDos ) 所产生的琐碎的安全警报非常复杂, 并且它们之间的关系难以确定。(3)安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处理时警专业资料专业资料参考首选报处理程序得不到足够的信息,而且自动获取这些信息是相当困难的。在本文中,我们总结的网络安全态势感知的研究过程,提出了一个基于知识发现的网络安全态势感知的框架,并应用到我们的网络安全态势感知系统( NET- SSA )。本文其余部分组织如下:第2节介绍了网络安全态势感知的概念和功能, 并总结了该领域的相关研究;第3节提出我们的“基于知识发现的网络安全态势感知框架”;第4节演示实验结果,第 5节总结今后的工作方向。二、基本概念和相关工作 ,相关的名词定义如下: 安全态势:它指的是处于监督状态的网络的整体安全状况, 在一定的时间窗口遭受的网络攻击,对整个网络安全的影响。一般来说,安全态势的信息,包括两个方面,时间维度和空间分布维度。安全事件: 它是指由各种网络安全态势传感器产生和由网络入侵或检测参数超出阈值产生的警报事件。它可以表示成一个多元组 ie ={ detectTim ie , eventTyp ie ' atta c ik , src I iP , desI iP , srcPor it , desPor it , protoco il , sensorI iD , confidenc ie , severit iy , othe ir }。其中, detectTimei 指警报事件发生的时间; eventTypei 是指警报事件的类型, attacki 是指攻击检测警报所属的类; srcI 和 Desi 指警报事件的源和目的地址; srcPorti 和 desPorti 指警报事件的源和目的端口; protocol 指协议类型; sensorID 是指传感器检测到的事件; confidence i 是指警报的事件的可信率; severit iy 是指警报事件的严重级别; otheri 是指警报事件的其他信息。安全态势建模: 它指的是分析各种安全传感器所产生的警报事件,并最终产生全局网络安全态势的过程。它包括以下功能: 事件简化: [ 1e , 2e , 3e ,…, ne ]? me , 简化其中有重复定义或并发性关系的冗余警报事件,以减少有效警报的数量。事件过滤:[ ie ,P( ie )? H]??, 警报事件已被删除或标记为无关的事件,如果属性 P( ie )不属于H的某个合法集。如果一些键的属性丢失或者超出预定义范围, 专业资料专业资料参考首选警报事件就会被删除。事件融合: ie confidence ?????'ie ,利用信息融合技术(如 D-S 证据理论的),它主要解决了碰撞警报和警报合并使用的问题,从而提高警报事件的可信率,降低假阳性率。事件关联:[ 1e , 2e , 3e ,…, ne ] confidence ????? 1ne ?,当前的网络安全事件,活动和情况,可以从不同类型