论文部分内容阅读
网络威胁态势感知对于加强网络综合体系防护能力、提高系统应急响应水平具有重要意义。网络安全设备信息多源、异构、动态的特性给网络威胁态势感知带来了新的挑战。如何对多源异构态势要素信息进行有效处理,提高网络威胁态势分析和量化评估的准确性成为当前需要解决的关键问题。本文针对网络威胁态势感知技术展开深入研究,主要工作如下:构建了基于本体的网络威胁态势要素知识库模型。针对现有方法对海量多源异构态势要素信息统一描述时缺乏通用共享的数据模型问题,分析了网络威胁态势要素数据的类型结构,利用知识库在知识描述、管理和共享方面的优势,构建了基于本体的网络威胁态势要素知识库模型,该知识库包括两个组成部分:基于%&’的本体知识库和基于(&)’的规则知识库,实现了态势要素信息的统一描述,为威胁态势知识的共享和复用奠定了一致的语义基础。提出了网络威胁态势推演图构建算法与威胁实时分析算法。针对现有威胁分析方法大都对局部网络的威胁状况进行直接叠加,缺乏对全网威胁的时空关联关系进行深入分析和直观显示等问题,根据应用需求的不同,提出面向威胁目标的反向构建算法和面向全局网络的正向构建算法,构建了网络威胁态势推演图;针对威胁分析模型因规模庞大而出现的状态爆炸问题,采取限制威胁状态转移分析次数的优化策略,有效降低威胁态势推演图规模;针对威胁分析实时性较差的问题,提出基于网络威胁态势推演图的威胁实时分析算法,以便及时掌握和分析网络威胁的入侵状态。提出了基于推演图的网络威胁态势量化评估方法。针对现有方法评估粒度较粗,无法从不同阶段、不同层面、不同角度对网络威胁态势进行全面评估的问题,提出了基于推演图的网络威胁态势量化评估方法,依据推演图的组成结构,从威胁事件、威胁状态转移原子序列、威胁路径、威胁目标和全网威胁态势五个层面评估网络威胁态势;针对评估结果因数据存在不确定性和不完整性而导致准确性较低的问题,利用改进的*"证据理论,对初始证据进行修正,并进一步提出基于相异度矩阵的冲突证据合成算法对评估结果进行可信度度量,提高了决策的准确性。