基于多传感器数据融合的攻击检测与意图识别方法分析-analysis of attack detection and intention identification method based on multisensor data fusion.docxVIP

摘要不同的传感器被用于保护网络安全，但是各传感器单独运行具有功能局限性，会产生大量重复的安全数据和事件，误报率和漏报率较高。因此，多传感器数据融合技术被越来越广泛地应用于网络安全领域。目前的多传感器数据融合技术采用的数据源较为单一、在对各传感器独立产生的决策结果进行融合时较少考虑不同传感器的优缺点，不能充分利用多传感器数据的冗余性和互补性。本文将多传感器数据融合技术应用于网络攻击检测与意图识别中，并对其进行了深入研究，最后实现了其原型系统。本文工作的主要贡献和创新点总结如下：1、提出了一种基于时间和空间的网络安全数据融合技术的分类方法。该方法考虑数据融合技术在网络安全领域特殊的应用特点，从时间和空间的角度，将用于网络安全的多传感器数据融合技术分为基于时间的数据融合技术和基于空间的数据融合技术两类。比较分析了这两类数据融合技术的特点以及优缺点，讨论了用于网络安全的多传感器数据融合技术的发展趋势。2、提出了一种基于多传感器数据融合的简单攻击检测方法。该方法中各传感器关联逻辑相关的报警事件，生成超报警事件；融合中心将各传感器独立产生的超报警事件作为证据，采用扩展的D-S证据理论进行融合，获取更准确的检测结果；最后结合攻击所依赖的漏洞和服务信息，求得相应攻击的成功概率。实验结果表明，该方法能有效减少报警事件的数量，并提高对简单攻击检测的准确率。3、提出了一种基于扩展的D-S证据理论的组合攻击检测和意图识别方法。该方法首先定义同一组合攻击中不同简单攻击间攻击序的概念，提出了基于攻击序的攻击意图场景表示方法，并预先定义典型的组合攻击意图场景。最后采用扩展的D-S证据理论融合各传感器产生的具有不同可信度的超报警事件，从而完成组合攻击的检测和其意图的识别。实验结果表明，该方法能有效检测组合攻击，并识别攻击者的攻击意图。4、设计并实现了基于多传感器数据融合的攻击检测和意图识别原型系统。该系统采用模块化设计，具有良好的可扩展性；采用分布式的系统物理结构，在网络中分布式部署不同的安全传感器；采用层次化系统逻辑结构，将不同传感器独立产生的超报警事件上传到上层融合中心进行融合；采用EclipseRCP(RichClientPlatform，胖客户端)搭建系统框架和EclipseZest技术展示网络拓扑，具有良好的可视化效果与可操作性。关键词：多传感器数据融合，扩展的D-S证据理论，组合攻击，攻击检测，攻击意图识别第i页ABSTRACTToensurenetworksecurity,differentsensorswithdifferentfunctionsaredeployedinnetwork.Butifworkingindividually,eachsensorwillproducelargeredundantsecuritydataandalerts,withhighfalsepositiverateandhighfalsenegativerate.Inthiscontext,multi-sensordatafusiontechnologyhasbeenmoreandmorewidelyappliedinnetworksecurityrealm.Nowadays,datafusiontechnologycannotmakefulluseofadvantagesbecausethedatumforfusingarestillmonotonewithoututilizingthedatum’sredundancyandcomplementary.Inthisthesis,multi-sensordatafusiontechnologyisappliedinnetworkattackdetectionandintentrecognitionandlastlyaprototypesystemisimplemented.Themaincontributionsofthispaperarelistedasfollows.Anetworksecuritydatafusiontechnologyclassificationmethodbasedonbothtemporalandspatialanalysisisproposed.Ittakesapplicationfeaturesofnetworksecurityrealmintoconsideration,andcategorizesmulti-sensordatafusiontechnologyappliedinnetworksecurityintotwoclasses:timebasedandspacebased.Then,analysisofbothadvantagesanddisadvantagesof