随着网络技术的不断发展和网络应用范围的不断扩大,网络的安全问题也越来越突出,对网络的各类攻击和破坏与日俱增,攻击的手段趋于多元化,攻击的技术趋于智能化。网络病毒及入侵事件日益频发,给企业正常生产和政府机关等事业单位正常工作带来极大威胁。为了预防和处置各类安全隐患,众多的理论研究已经取得了比较深入的研究成果,众多的安全产品已经在企事业网络中得到越来越多的部署,防火墙和入侵检测系统是其中最主要的两种。2000年,Renaud Bidou提出了安全运维中心(Security Operation Center-SOC)的概念。之后,国内外多家公司先后推出了自己的SOC,Arcsight、Computer Associates International,Inc.的SOC 3+1安全运维中心解决方案、Symantec、安氏公司、天融信T-SOC、启明星辰、上海柏安、东软等。各厂家的产品尽管侧重点不同,但都出于一个共同的目的——统一管理网络的安全设施,都围绕安全管理的三个要素：防护、监控和审计来实施。然而,网络安全事件并没有因为企业使用了防火墙、IDS和SOC而下降,反而由于网络使用范围的扩大而迅速增长。究其原因,随着网络应用的普及和技术的发展,病毒和黑客越来越隐蔽和智能化,而网络安全产品无论是防火墙还是入侵检测系统其核心算法大都是基于统计分析和模式匹配的静态技术,SOC提出并实施的目的是集中管理整合分散的、种类各异的各种安全设施,其安全技术的核心算法没有实质性的改善。面对不断增大的网络流量、日益更新的网络设施和层出不穷的攻击方式,种种安全设施都显得力不从心,其主要不足体现在：1)漏检率高；2)错检率高；3)检测的自主性差,智能化程度低；4)发现入侵后,大部分都是人为干预,系统自动采取行动对抗的少。因此,如何改善SOC的性能,使之不但成为防火墙、入侵检测系统等安全设施的管理中心,而且植入智能安全检测算法,使之成为名副其实的在这些设施之上的又一道智能安全门户,对计算机网络安全有着重要的意义。 本文基于上述背景,开展了基于智能对抗的SOC系统研究,提出了可用于提高SOC性能的三种检测算法。本文的主要工作及创新在于： (1)对SOC的全局体系结构进行了深入的研究和设计。从数据的获取、事件的收集和存储、分析和报告到措施采取的全过程进行了深入细致的分析和设计,给出了一个完整的SOC的全局体系结构。分析了各模块的功能,数据的流程。对复杂的数据信息重点讨论了关联操作,上下文的管理,用来定义入侵攻击的危险度的高级关联操作,以及根据安全策略对是否允许这样的入侵攻击进行评估。 (2)首次将多感知器数据融合技术用于SOC的研究中,利用RBF神经网络数据融合技术,提出了一种新的SOC模型,该模型将来自多个网络设施的类型各异的数据进行融合,推导知识库,大大降低了SOC对入侵事件的漏检和错检率； (3)首次将生物免疫系统的工作原理应用到SOC的研究中,提出了一种基于免疫原理的RBF神经网络训练算法--IRBF(Immune Radial Basis Function Neural Network)算法。结果表明,该算法的收敛性明显好于普通的训练算法： (4)提出了一个基于多Agent技术的分布式SOC模型,讨论了其总体结构、各模块功能,并给出了详细的设计和实现细节。重点叙述了检测器的产生原理、产生算法以及检测器的检测过程,首次提出了先天检测器和自适应检测器相结合,误用检测和异常检测相结合的方法； (5)在检测的基础上,针对检测结果,提出了响应和对抗策略； (6)对(3)、(4)的模型进行了仿真实验。