论文部分内容阅读
在信号场之于无限边界的开放空间域上,构成了继陆、海、空、天的第五空间域,形成了物理空间内人与人、物与物、人与物的动态可交互虚拟空间。国家在无界开放网络空间域上提出保障信息和资源安全和保障关键信息基础设施互联互通的战略要求,势必为网络空间安全重要内容之一的网络异常行为检测和识别研究提出新的挑战。
本文以国家网络空间安全战略为导向,以保障关键信息基础设施互联互通为目标,立足分组交换技术的网络环境,针对虚拟空间反射物理空间过程中影响网络性能或者安全的小概率事件,分别从上层网络空间通信信息和下层网络空间通信结构出发,实现对网络空间域内和域外异常行为的研究。
首先,研究分组交换环境中的网络流交互行为,采用复杂网络方法提出了大规模网络空间流交互模型。引入时间局部性原理刻画网络流的时序交互关系,构建了基于时间局部性的网络流交互模型。面向多网络应用的模型结构统计特征分析,结果表明模型对网络应用定义行为的有效表达性,发现弱交互流易形成小世界网络而强交互流易形成无标度网络;设计了多元流相似性算法过滤大流量中的伪交互流,构建了基于局部多元相似性的网络流交互模型。面向异常流的模型结构动态性分析,设计了高斯分布的特征量对网络状态(异常/正常)显著性度量方法,其最高显著性为97.06%,发现了特征量与网络状态的正相关、负相关和不相关关系,表明模型对网络异常流行为的有效表达性;以上研究表明,流交互模型能用于关键信息基础设施上的大规模流量监控、分析和可视化研究。
然后,引入直觉模糊集理论量化流交互模型特征量与网络状态之间的关系,提出了单特征量的直觉模糊集检测方法和多特征量的直觉模糊集组合检测方法,实现了网络异常流行为检测研究。针对模型特征量的时序性和聚集性,提出了模型特征量的直觉模糊集构建方法;针对单特征量聚类区间对网络状态表示不唯一,提出了两态语言变量的直觉模糊集概率累加方法,设计多语言变量的检测结果判断规则,构建出单特征量的直觉模糊集检测方法(IFS-AD)。多个异常数据集上的实验结果表明该方法取得较好的检测性能;针对多特征量在数据上的不一致性,设计了聚类区间到语言变量的映射方法,构建了多特征量的直觉模糊集组合检测方法(IFSE-AD)。实验结果表明,除CTU-4外的异常检测准确率在94.44%以上,与已有方法对比分析验证了IFSE-AD方法在检测性能上的优越性。
接着,根据流交互模型特征量对网络应用定义行为表达的显著性,提出了网络空间异常应用流识别方法,实现了网络流的有效分组和异常应用识别。针对持续流设计了网络流预处理,降低了问题规模和实现面向目标的应用识别过程;面向海量而丰富的网络流,提出了先聚类后合并的网络流分组方法。实验结果表明,该方法不仅有效过滤孤立流,而且实现对非唯一数据包指纹和复合协议流的有效聚合;针对多样本空间的多网络流分组,提出同种异常应用的流分组集合构建方法。构建多异常应用的流交互模型并分析特征量序列后,结果表明异常应用的模型特征量分布呈现区间聚集性;面向多异常应用的多维模型特征量序列,引入聚类算法实现了序列的聚类划分,采用随机森林实现了在多维模型特征量聚类区间上的识别器构建。实验结果表明本文的异常应用流识别的准确率在96%以上。与已有方法对比分析发现本方法不仅在分组阶段实现早期检测和流聚合,还挖掘异常流交互模式。
最后,面对突破地理空间的网络空间域,构建了主动探测的网络空间结构监测机制,实现对网络结构的动态性和突变性测量。依托课题组研究计划,设计了网络空间实时监测框架,实现分布式协同的网络结构探测;分析异常活动时的网络结构动态变化,提出了网络路径变化系数指标,可对网络结构突变前后进行有效区分和避免奇异节点链对测量的影响,实现了网路结构的动态性测量;针对网络空间结构动态系统,构建了前向足近邻的斐波那契稳态域,实现了对网络结构正常态的量化,进而定义了网络结构异常活动检测规则,实现了对网络结构的突变性测量。实验结果表明,在k=36时,网络空间异常活动的检测准确率达到了97.78%以上。
综上所述,本文网络空间异常行为研究从新的角度完成了关键信息基础设施上异常流分析、异常行为检测、异常应用流识别和网络监控与测量等工作。研究结果表明了本文工作在保障关键信息基础设施互联互通方面具有一定的实际应用价值和现实意义,能够为国家网络空间安全建设提供基础支撑。
本文以国家网络空间安全战略为导向,以保障关键信息基础设施互联互通为目标,立足分组交换技术的网络环境,针对虚拟空间反射物理空间过程中影响网络性能或者安全的小概率事件,分别从上层网络空间通信信息和下层网络空间通信结构出发,实现对网络空间域内和域外异常行为的研究。
首先,研究分组交换环境中的网络流交互行为,采用复杂网络方法提出了大规模网络空间流交互模型。引入时间局部性原理刻画网络流的时序交互关系,构建了基于时间局部性的网络流交互模型。面向多网络应用的模型结构统计特征分析,结果表明模型对网络应用定义行为的有效表达性,发现弱交互流易形成小世界网络而强交互流易形成无标度网络;设计了多元流相似性算法过滤大流量中的伪交互流,构建了基于局部多元相似性的网络流交互模型。面向异常流的模型结构动态性分析,设计了高斯分布的特征量对网络状态(异常/正常)显著性度量方法,其最高显著性为97.06%,发现了特征量与网络状态的正相关、负相关和不相关关系,表明模型对网络异常流行为的有效表达性;以上研究表明,流交互模型能用于关键信息基础设施上的大规模流量监控、分析和可视化研究。
然后,引入直觉模糊集理论量化流交互模型特征量与网络状态之间的关系,提出了单特征量的直觉模糊集检测方法和多特征量的直觉模糊集组合检测方法,实现了网络异常流行为检测研究。针对模型特征量的时序性和聚集性,提出了模型特征量的直觉模糊集构建方法;针对单特征量聚类区间对网络状态表示不唯一,提出了两态语言变量的直觉模糊集概率累加方法,设计多语言变量的检测结果判断规则,构建出单特征量的直觉模糊集检测方法(IFS-AD)。多个异常数据集上的实验结果表明该方法取得较好的检测性能;针对多特征量在数据上的不一致性,设计了聚类区间到语言变量的映射方法,构建了多特征量的直觉模糊集组合检测方法(IFSE-AD)。实验结果表明,除CTU-4外的异常检测准确率在94.44%以上,与已有方法对比分析验证了IFSE-AD方法在检测性能上的优越性。
接着,根据流交互模型特征量对网络应用定义行为表达的显著性,提出了网络空间异常应用流识别方法,实现了网络流的有效分组和异常应用识别。针对持续流设计了网络流预处理,降低了问题规模和实现面向目标的应用识别过程;面向海量而丰富的网络流,提出了先聚类后合并的网络流分组方法。实验结果表明,该方法不仅有效过滤孤立流,而且实现对非唯一数据包指纹和复合协议流的有效聚合;针对多样本空间的多网络流分组,提出同种异常应用的流分组集合构建方法。构建多异常应用的流交互模型并分析特征量序列后,结果表明异常应用的模型特征量分布呈现区间聚集性;面向多异常应用的多维模型特征量序列,引入聚类算法实现了序列的聚类划分,采用随机森林实现了在多维模型特征量聚类区间上的识别器构建。实验结果表明本文的异常应用流识别的准确率在96%以上。与已有方法对比分析发现本方法不仅在分组阶段实现早期检测和流聚合,还挖掘异常流交互模式。
最后,面对突破地理空间的网络空间域,构建了主动探测的网络空间结构监测机制,实现对网络结构的动态性和突变性测量。依托课题组研究计划,设计了网络空间实时监测框架,实现分布式协同的网络结构探测;分析异常活动时的网络结构动态变化,提出了网络路径变化系数指标,可对网络结构突变前后进行有效区分和避免奇异节点链对测量的影响,实现了网路结构的动态性测量;针对网络空间结构动态系统,构建了前向足近邻的斐波那契稳态域,实现了对网络结构正常态的量化,进而定义了网络结构异常活动检测规则,实现了对网络结构的突变性测量。实验结果表明,在k=36时,网络空间异常活动的检测准确率达到了97.78%以上。
综上所述,本文网络空间异常行为研究从新的角度完成了关键信息基础设施上异常流分析、异常行为检测、异常应用流识别和网络监控与测量等工作。研究结果表明了本文工作在保障关键信息基础设施互联互通方面具有一定的实际应用价值和现实意义,能够为国家网络空间安全建设提供基础支撑。