（无线电物理专业论文）基于可拓学的网络安全管理相关技术.pdf

摘要 随着网络技术的发展，网络应用日益普及，人们的社会和经济生活呈现出对网络越来越大 的依赖性。然而网络安全问题成为人们有效地利用网络的主要障碍，各种网络安全技术得到大 量研究和应用。现在的网络安全技术从过去分散式、独立的技术研究朝着综合化、统一化的方 向发展，网络安全管理技术是其中的典型代表。网络安全管理技术将管理的理念应用于网络安 全，通过对各种网络安全相关因素进行融合和分析，实现对整个网络安全的综合管理和控制。 在网络安全管理框架下，各种网络系统安全技术彼此补充、相互配合。经典的网络系统安全技 术、网络安全分析技术和管理技术被统称为网络安全管理相关技术。 可拓学是用形式化的模型研究事物拓展的可能性和开拓创新的规律与方法，并用于解决矛 盾问题的新兴学科。可拓学理论形成了以基元理论、可拓集合理论和可拓逻辑为支柱的理论框 架和特有的可拓方法。它用基元表示一切事物及事物之间的关系。可拓集合是可拓学中用于对 事物进行动态分类的重要方法，是形式化描述量变和质变的手段，是解决矛盾问题的定量化工 具。可拓集合概念的普适性，使可拓集合可应用于诸多研究领域进行分类、识别和评价。可拓 方法以可拓推理为基础，以变换为核心，并建立描述量变和质变的定量化工具，把定量计算和 定性分析结合起来处理矛盾问题。可拓策略生成系统是可拓学与人工智能结合的产物，它是一 个利用计算机辅助人们生成解决矛盾问题的策略的智能系统，成为自动解决矛盾问题的重要工 具。 本文将可拓学理论和方法引入到网络安全领域，建立基于可拓学的网络安全检测技术和分 析技术模型，主要内容为： 一、网络安全模型及其可拓表示 网络安全检测技术和分析技术一般都基于对网络安全因素建立模型的基础上实现。可拓方 法应用的基础是知识的可拓表示。本文首先对各种网络安全因素建立模型并用基元进行表示， 实现了网络安全知识的统一表达，为后面基于可拓学的网络安全管理相关技术模型的建立打下 基础。 二、基于可拓识别的入侵检测模型 首先建立了入侵检测性能的分析模型，然后通过特定行为的评价特征的经典域和节域及其 评价特征的融合方式描述入侵行为模式，并给出了直接基于关联函数和基于序列模式两种检测 方法。分别用检测性能分析模型对各种检测方法的检测性能进行了分析。此模型的定量分析方 法能够实现多个评价特征的多种不同的方式的融合和对行为的综合评判，增强检测模型的普适 性和检测性能的稳定性。另外，还能够给出入侵行为的异常程度的定量描述，为风险评估和防 御提供更丰富的信息。 三、基于e s g s 的网络攻击图的自动生成 从攻击者角度，利用攻击者对网络的期望状态与现实状态之间的差距构建矛盾问题，将攻 击图自动生成纳入到可拓策略生成系统体系下。在该系统下，攻击被看作是攻击者为了解决自 身矛盾问题采取的策略，攻击图即为在现有状态下所能够采取的所有策略的集合。一次具体的 博士学位论文 d o c t o r a ld i s s e r i - a t i o n 攻击行为被看作是对系统状态的可拓变换，攻击链则为传导变换链，攻击图则为传导变换图。 通过定义网络状态及其之间的偏序关系构建网络状态相关网模型，从而大大提高了攻击图的生 成效率。将这种新的方法应用到攻击图的生成中，为攻击图的自动生成研究提供了一种新的规 范化的方式，而且可拓方法也为攻击图生成方法的改进、攻击图分析和应用的研究提供了理论 支持。 四、基于可拓评价的信息安全风险评估模型 此模型实现简单、灵活，能够根据已有的信息和知识选择评价因素和模型，实现已知信息 和知识的最为充分地利用，最大限度的保证评估结果的准确性、客观性和有效性。特别地，针 对风险评价因素难以准确度量的状况，提出基于区间距的评估方案，并根据风险评估的实际需 求对传统的区间距和区间关联函数的定义进行了改进，建立了一个更具有一般性的带有参数的 关联函数，其中参数的可选性使得关联函数的应用更为灵活和更能满足现实需求。然后用基于 阈值和参数的决策规则对评估精度进行控制，弥补区间取值的不精确性对评估结果的有效性和 准确性的影响。 本文的创新之处在于将可拓方法引入到网络安全管理领域，实现对某些传统的网络安全管 理相关技术的改进和补充。可拓理论的支持有助于各种网络安全管理相关技术的规范化、统一 化发展，最终实现各种技术的协同及其对网络安全的整体控制和管理，这与网络安全管理技术 的发展目标具有一致性。另外，在应用可拓方法的同时，针对实际需求对可拓学的有关理论也 进行了创新和改进，使其更能适应实际的需要。 关键词：可拓学，网络安全管理，入侵检测，攻击图，网络风险评估，网络安全 a b s t r a c t 晰廿lt h ed e v e l o p m e n to fn e t 、v o r kt e c t l i l o l o 科卸dt h eg r o w i n gp 叩u l 撕t yo fn e t 、) i ，o r k 印p l i c a t i o 邶， 觚i n c r e a s i t 培d e p e n d e n c e0 i ln e t 、o r k 哪e 玛e si i lp e o p l e ss o c i a l 锄de c o m i cl i v e s h o w e v e r ，伽e n e t 、0 r ks e c u r i t yb e c o m e s l em a i l lo b s t a c l ep r e v 朗t i n gp e o p l e 丘o me 仃e c t i v e l y 吣i n gn 嘶v o f l ( a n d 笛 r e s u l t ，v 撕o u sr e s e a r c h e s 锄d 印p l i c a t i o n so nn e t 、】l ，o r ks e c 嘶够t e c h n o l o g i e sb o o mn o w a d a y s f r o m d e c e n t r a j i z e d 锄di n d 印e n d e n tt oc o m p r e h e n s i v e 锄d 蛐i f i e d ，c u r f e n tn e t w o r ks e c u r i 锣t e c h n o l o g ) ， d e v e l o p sd m m a t i c a l l y ，a m o n gw h i c ht t l en e t w o r ks e c u r i 够m 锄a g e m e mi so n eo ft h e 够p i c a le x 锄p l e s u n d e rt h e 仔踟e w o r ko fn e t w o r ks e c u r i 够m a n a g e m e n tt e c h n o l o g 蜘m em a n a g e m e n tc o n c e p t 锄dt 1 1 e 丘塔i n ga n d 锄甜y s i st e c h n o l o 百e sf o rs e c u r i 勺，- r e l a t e df 砬t o r sh a v eb e e n 印p l i e dt 0a c l l i e v e 廿l ei 1 1 t e g r a l m a l l a g e m e n t 锄dc o 加r o lo ft l l en 印 ，o r k c 嘶劬m e a n w h i l e ，av 撕e 够o fn e 觚o r ks y s t e ms e c u r i 够 t e c h n o l o g i e sc o m p l e m e n t 锄dc o o p e 饱c ew i 廿le h0 t h c r t h ec l 雒s i cn e t w o r ks y s t e i ms e c 面锣 t e c h i l o l o 鼢n 咖o r ks e c i l r i 哆锄a l y s i s 锄dm a n a g e m e n tt e c l l l l o l o 日a 陀i n t e 卿e di n t 0n 咖o r k s e c 面移m 锄a g e m e n t r e l a t e dt e c l l l l o l o 黟 1 1 h ee ) c t e n t i c si san e wf i e l do fs t u d y i n gt l l ee x t e n s i o np o s s i b i l 时o fo b j e c t s 锄dm l e so fi i l i l o v 商v e e x p a 眦i o nb yf o m a 土i v em o d e ，w h i c hc 锄b cu s e ds p e c i f i c a l l yf o rc o n f i i c tp r o b l e m s a tp r e s e n t ，廿l e 绌i l s i o n 廿l e 0 哆h 雒f b n n e d 砌q u ee ) ( t 印s i o nm e t l l o d s 锄dt 1 1 et l l e o r 甜c a lf 锄e w o r ki n c l u d i n gb 豁i c e l e m e n tm e o r y e x t e 鹏i o ns e tt l l e o d r 鲫de ) 【t e n s i o nl o 西ct l l e o 呼t h eb 雒i ce l e m e n tc 锄豫p r e s e n t o b j e c t i v e l i n g s 锄dt l l e 陀l a t i o 璐h i pb 嘶v e e nt t l e m n l ee x t e n s i o ns 酞i s 柚i m p o n 锄tm 砒o do f d y i l 锄i cc l 丛s i f i c a t i o no fo b j e 两v e 吐l i n 笋，t h ed e s c r i p t i o no fq u 锄t i 枷v e 锄dq u a l i t a t i v ec h a l l g e s ，锄d a l s oaq 陇m t i 诅t i v et 0 0 l 仃e a t i n gc o n j l i c tp r o b l e m s t h ee 妣e n s i o nm e t h o d s ，w h i c ht a k et l l ee x t e n s i o n 仃黜f o m a t i o n 笛m ec 0 他吐l e m e 锄de s t a _ b i i s hq m t i t a t i v et o o lt 0d e s c r i b em eq 眦m i t a t i v ea n d q 删i 伽v ec h a n g e s ，a r eb a s e d 廿l ee ) ( t e n s i o nr e a s o n i n ga 1 1 dc o m b i n et 1 1 eq 皿n t i 诅t i v ec o m p u t a l i o n a l o n gw i 廿lq u a l i t a l i v e 锄a l y s i si i lo r d e rt 0 d e a lw i 廿1c o n f l i c tp r o b l e m s t h ee ) ( t e n s i o ns 臼锨e 影 g e n e r a t i n gs y s t e m ( e s g s ) w l l i c hi st l l er e s u l to fc o m b i n a t i o no f e ) ( t e n t i c s 锄da n i 矗c i a ii n t e l l i g e i l c ei s 锄i 1 1 t e l l i g e n t 盯s t e mt 0g e n 础蛐咖e g yr e s o l v i n gc o n f l i c tp r o b l e m sm r o u g ht h ec o m p u t e r 锄c i l l a r y 觚d 廿l 璐h 硒b e c o m e 锄i i i l p o n a m t 电0 0 ld e a l i n g 诵t hc o n n i c tp r o b l e m sa u t o m a t i c a l l y i i l 廿l i sp 印e r ，t l l ee 嫩s i o n 也巧锄dm e t l l o da 把i n t r o d u c e di i i t 0t t l ed o m a i no fn e 觚o r k c u r i t ) ， t 0e s t l b l i s hn e t 、】i ，o r ks o c 面t ) ，d e t e c t i o n 锄d 觚2 l l y s i st e c h n o l o 留m o d e l s 锄dt 1 1 em a i nc o n t e n t sa r e 笛 f o l l o w s 一t h en e t w o r ks e c 嘶锣m o d e la n de x t e n s i o nr e p r e s e n 枷o n g e n e r a l l y 廿l e n e t 、j i ，o 成s e c 谢够 d 晾娥i o n锄d 锄a l y s i st e c h n o l o 西e s a r eb 罄e d0 nn l e i m p l e m e n t a t i o no fm o d e l i n gn e t 、v o r ks e c 吲锣f a c t o r a tt h es 锄et i m e ，t l l ee x t e 粥i o nr e p r e s 朗伽0 no f k n o w l e d g ei s t 量l ef 0 d 撕0 no fe x t e n s i m e t l l o d n i sp 印e rf i r s t l ym o d e i i n gv 撕。吣n e t 、】l ，o r k s c c u r i t y 锄d 廿l e n 鹏e sb 笛i ce l e m e n tt 0r e p r e s e n tm e mt 0u n i 匆t h en e 撕o r ks e c 删t yl m o w l e d g e e x p r e s s i o i l 舾ar e s u l tt 0e l i c i tt h en e t w o r ks e c u r i 锣m a n a g e m e n t r e l a t e dt e c h n o l o g ym o d e l 二t 1 1 ei n 仃心0 nd e 眦t i o nm o d e lb a s e do ne 疵n s i o nr e c o 印i t i o n f i r s t l y ，锄锄a l y s i sm o d e li se s t a b l i s h e df o ri 1 1 t n l s i o nd e t e c t i o np e r f - o 玎i l 锄c ea n dt 1 1 e 1 1 t h ei n 仃u s i o n b e h a v i o rp a t t e mi se x p 陀s s e db o t hb yt h ec l 弱s i c a ld o m a i n s ，l i m i t e dd o m a i n sa n dt h ei n t e g r a t e d a p p r o a c h e so fe v a j u a t i o nc h 锄c t e r i s t i c s a l s o ，铆op a n i c u l 盯d e t e c t i o nm e t h o d sb a s e do nd 印c n d e n t 博士学位论文 d o c t o r a ld i s s e r l a t i o n 允n “0 na n ds e q u e n t i a lp a n e ma 陀p r e s e n t e dr e s p e c t i v e l y 锄dt h e i rp e r f - 0 m 锄c e sa r e 孤a l y z e db yt h e 卸a l y s i sm o d e l i nm i sd e t e c t i o nm o d e l ，t h eq 啦m t i t a t i v em 劬o d ，w i l i c hh e i p st 0e n l l a n c e t h e 吼i v e r s a l i 谚锄dr o b 咖e s so fd i 吼e c t i o nm o d e l ，c a n 犯h i e v ed i a c r e n tf 0 1 1 n so fi i i t e 窒，a t i o no fv a r i o 憾 e v a l u a t i o nc h 黜l c l 蜊s t i c s 锄dc o m p r e h e n s i v e 勰s e s s m e n to fi n 仇塔i o nb e h a v i o r i i la d d i t i o n ，廿l e d e t e c t i o nm o d e lc a no 行醯l eq 啪t i t a t i v ed e s c r i p t i o na _ b o u ta b n o m a ld e 舀c eo fm 仃吣i o nb e h a v i o r a n di nt h i sw a y ，w ec a n0 b t a i nm o r ea b u n d a n ti n f o m a t i o nf i o rr i s k 雏s e s s m e n ta n dd e f c n s e 三e s g sb 罄e dn e 铆o r ka ：t t a c k 舯p ha u t o m a t e dg e n 哪t i o nm o d e l f r o mt t l ep e r s p e c t i v eo fm ea t t a c k e r ，t h ec o n f l i c tp r o b l 啪i sc o n 鲫n j 曲e db y 璐i n g 廿l eg a pb e t w n e x p e c t a t i o ng 眦e 肌dr e a j i 够g t a l eo ft l l ea t t k e r 访t l l en e t w 0 吒锄dt h ea u t o m 删g e n e r a t i o no f 抛k 鲫h i s f a l l e nu n d e rt h ee s g s i n 廿1 es y s t e m ，廿l ea t t a c kb e h 撕0 ri sc o n s i d e r e d 嬲as t r a t e 影 t 1 1 r o u 曲w h i c ht 1 1 ea ：t t a c k e rs o l v e sh i so 、 】t lc o n f l i c tp r o b l 锄m e n t i o n e dd b o v e ；m ea t t a c k 孕即hi sas e t o fa l ls 仃a c e g i e st h a tc 锄b e 绌e nu n d e re x i s t i n gc o n d i t i o 璐a tt h es 跚et i m e ，锄a t o ma ：t t a c kb e h a v i o r i s 他g a r d e d a ne ) ( t e n s i o n 咖s f o m a t i o nf o rn e t 、】l ，o r ks y s t e m 咖眈；l e 抛c kl i l l ki sn l ec o n d u c t i o n 岫s f o m l a t i o nl i n k ；t l l ea t k 孕即hi st h ec o n d u c t i o n 仃a n s f o m l a t i o n 鲫h c o n s 蚋j c t i n gr e l e v 锄c e n e t 廿l r o u g l ld e f i n i n gm en e t w o r ks t a t e s 柚dp a r t i a lr c l a t i o n 锄o n gt t l e m ，廿l ee 行e c t i v e n e s so fa t t k g r a p hg e n 咖i o nw o u l db eg 陀a t l yi m p r 0 v e d t h u s ，t 量l i ss c h 啪ei sa 眦ws t 锄d a r d i z e dm 劬o dt 0 g e n e r a t ea t t a c kg r a p ha u t o m a t i c a i l y ，锄dt i l ee ) ( t i 嘶s i o nm 础0 dc 锄a l p m v i d e 廿l et l l e 0 佗t i c a is u p p o r t f o rm ei m p r o v e m e n to fg e n e r a t i o nm e 廿l o 也锄a l y s i s 锄da p p l i c a l i o no fa t t a c kg r a l 札 四e ) ( t e n s i o ne v a l u a t i o nb 孤沦di n f o n n a t i o ns e c u r i “r i s ka s s e s s m e n tm o d e l t h em o d e li ss i m p l e 卸df l e ) 【i b l e ，锄dt h eu s 盯c a n 辩l e c te v a l l l a t i o nf k t 0 飓a n dm o d e l s 副c c o r d i i l g t 0k i l o 、v ni n f o m a t i o n 锄dl ( 1 1 0 w l e d g e 锄dm 铋r n a k e 砌1u o f 廿l e mt 0g u 猢1 蚍t 1 1 ea c c 硼k i y o b j e c t i v i 妙锄dv a l i d i t ) ，o fa s s e s s m e n tr e s u l t i np a n i c u l 甄i n t e r v a ld i s t 锄b 鹬e d 笛s s m e n ts c h e m e i sa j s 0p r e s e m e dt 0r e s 0 1 v e 恤ed i 伍c u l 够i na c c m t em e 舔u 佗o fe v a l 岫t i o nf 础o r s f u h e 咖。咒， t l l r o u g hi m p r o v i n g l ec l 雒s i c a li i l t e r v a ld i s t a n c ea n dd e p e n d e n t 如n 嘶o ni i lt e m so fr e q u i 嘲n e n to f n e r kr i s k 丛s e s s m e 吐am o r eg e n e r a ld e p e n d e n t 劬c t i o nw 曲p 踟e t e ri sc 0 咖c t e di n 仰c h l e o p t i o n a jp 硼珊e t e rm d k e st 1 1 e 印p l i c a t i o no fd e p e n d e n tf h n 鲥m o r en e x i b l e 锄dm o 他 他s p o n s i v et 0a c t u a ln e e d s f i n a l l y ，ad e c i s i o n m a k j n gm l eb 签e do nn l r e s h o l d 锄dp 扰强e t e ri s 印p l i e dt 0m a l ( eu pf o rt l l ei m p a c to fi n a c c u m t ei n t e r v a lv a l u e so nv a l i d n y 锄da c c 眦猢7o f 雏s e s s m e m r i e s u l t i nt h i sp 印e r ，m ei 彻o v a t i o l l sa r et h a t 廿l ei n 仃d u 嘶0 n0 fe x 嘲1 s i m 劬o di i i _ t 0m en e t w o r k s e c 谢哆 m a n a g e m e n t f i e l d c o m p l e m e n _ t s 锄dh n p r 0 v e s 缸硼i t i o r 试n e 呐o r k s e c 州够 m 锄a g e m e n t r e l a t e dt e c h n o l o g y t h es u p p o r to fe ) ( t 朗s i o n 廿l e o 巧m a l 【e sf 0 r l es t a n d a r d i z e d 锄d u i l i f i e dd e v e l o p m e n to fn 咖o r ks e c 嘶t ym 勰a g e m e n tt e c l l i l o l o 斟t 0 l l i e v et i l ec o o p e m t i o no f v a r i o 峪s e c 嘶t ) ，t e c h n o l o 百e s 部w e n 舔t h e0 v e r a l lc 0 i l t r o l 觚dm 锄a g e m e mo fn e 帆o r ks e c 嘣吼 w h i c hi sc o n s i s t e n tw i 也l eu l t i m a t et a i 咎to fn e t w o r ks e c u r i 吟m a n a g e m e n t m o r e o v e r a l o n gw i m t 1 1 e 印p l i c a t i o n ，m i sp 印e rb e t t e ri m p r o v e st l l e o r i e sr e l a t e dt 0e ) 【t e n t i c si i lo r d e rt 0a d a 讲t 0 廿l ep m c t i c e n e e d s 1 ( e yw o r d s ：e ) 【t e n t i c s ，n e t w o r ks e c 谢t ym 狮a g e m e n t ，i n t m s i o nd e t e c t i o n ，a n a c k 鲫h ，n e 伯，o r kr i s k 嬲s e s s m e n t ，n e t 、o r ks e c u r i 妙 博士学位论丈 d o c t o r a ld i s s e r 砌0 n 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作者始商钕 日期：鲫徉月日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 作者签名：莴孤作者签名：纷甾铁 日期：孙君年6 月7 日 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程”，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库”中全文发布，并可按“章程 中的 规定享受相关权益。园童途塞握童卮溢蜃! 旦坐生；旦二生；旦三生筮壶! 作者签名：弘新始喘廊 日期：驴拜月f 日 日期：年月 日 1 1 网络安全技术概述 第一章绪论 网络与信息安全要实现的目标是保证网络空间的信息安全问题，涉及信息机密性、完整性、 真实性、可用性、不可否认性、可控制性、可审查性等。从不同的角度和层面对网络与信息安 全的研究对象与范围有不同的界定，而网络安全威胁和网络安全技术是网络与信息安全中的两 种最基本的研究对象。在文献 1 】中，根据安全机理、技术方法和应用模式将网络安全技术分为 信息交换安全技术和网络系统安全技术。信息交换安全技术保证信息传输过程中的安全，主要 有密码、密码协议和认证技术。网络系统安全技术主要保证网络环境中各种应用系统和信息资 源的安全，主要有网络防护、网络检测、灾难恢复和安全管理等技术。 网络防护技术的目的是保证合法的用户能够以规定的权限访问网络系统和资源，并且拒绝 未经授权的非法用户入侵网络来窃取信息或破坏系统，其是保护网络系统安全的第一道屏障， 主要有接纳控制技术和防火墙技术。相对于网络防护技术，网络检测技术是一种主动的网络： 全技术，主要包括漏洞扫描技术、入侵检测技术、病毒检测技术等。灾难恢复技术又称为系! 容灾技术，主要是保证系统在面临威胁时健壮性和可用性，包括数据备份技术、系统容错技术 等。 文献【2 】将以上技术称为经典的网络安全技术。它们以威胁为出发点而设计，对于威胁的多 样性和不断变化性具有一定的局限性。另外，这些网络安全技术具有各自不同的安全机理、技 术方法和应用模式，它们只能实现在某一个方面对网络系统进行保护，各有自己的优势和不足。 而在实际的应用中，各种安全技术之间往往缺乏关联，比较独立，这种形式不利于保护网络的 整体安全性。而下一代网络安全技术从网络系统业务和结构特点出发、以管理和监控作为核心 手段、以经典的网络安全技术为重要补充实现综合增强网络系统的安全性能的目的。 下一代网络安全技术有四类基本方法：网络安全设备技术、安全网络设备技术、针对性网 络安全防范技术和网络安全管理技术。网络安全设备技术是指以专用设备或专用安全系统形式、 提供专门网络安全服务的网络安全技术，包括传统的防火墙技术、n 技术、i d s 和病毒防范 系统及其传统技术的综合和延伸。安全网络设备技术指在原有的网络设备的基础上，通过增加 提供安全功能的软件和硬件组件以增强设备的安全能力的技术，它使得网络从设计开始就成为 一个安全的网络。针对性防范技术是针对少数流行且较难防范的安全威胁的专用技术，比如防 范d d o s 攻击的流量迁移和过滤技术。网络安全管理技术将管理的理念应用于网络安全，通过 对业务、网络设备、安全设备、威胁、异常现象、缺陷等网络安全相关因素进行融合和分析， 实现对整个网络安全的综合管理和控制。网络安全设备、安全网络设备和针对性网络安全防范 技术是经典网络安全技术的直接延伸，是下一代网络安全技术的基础，而网络安全管理技术是 下一代网络安全技术的核心。 网络安全管理技术涉及到网络安全技术和管理的方方面面。在网络安全管理框架下，各种 博士学位论文 d o c t o r a ld l s s e k 隧r i a n 网络系统安全技术彼此补充、相互配合，对网络行为进行检测和控制，形成一个安全策略集中 管理、安全检查机制分散布置的分布式安全防护体系结构。网络安全管理是一种维护网络系统 安全的综合化、统一化管理理念，其在经典的或者延伸的网络系统安全技术的基础上综合各种 网络安全分析技术和管理技术。从广义上，我们将以上与网络安全管理有关的技术都称为网络 安全管理相关技术。 安全检测技术和安全分析技术是两种重要的网络安全管理相关技术。安全检测技术实现网 络安全的主动监控；安全分析技术能够综合多个方面安全因素和多源安全事件进行整体的安全 态势分析和预测，如威胁分析技术、风险评估技术等，是综合化、统一化的网络安全管理理念 得以实现的技术保证。 网络安全问题是网络安全保护者与网络安全破坏者之间的永无休止的对抗和博弈。网络技 术的发展总是为网络威胁的存在提供机遇，网络安全技术的发展也总是为威胁技术的发展提供 动力。因此，无论从理论上还是实践中，网络安全技术的发展都没有终点。本文将可拓学理论 应用网络安全领域，从理论上研究基于可拓学的网络安全管理相关技术模型和实现，包括网络 安全信息和知识的可拓表示以及以此为基础的基于可拓识别的入侵检测技术、基于可拓策略生 成系统的攻击图自动生成技术和基于可拓评价的风险评估技术。攻击图是一种重要的网络威胁 分析技术。下面分别对本文研究内容的国内外相关研究现状作详细介绍。 1 2 入侵检测方法的研究现状 网络入侵检测是一种动态的攻击检测技术，能够在网络系统运行过程中发现入侵者的攻击 行为和踪迹，并能适当地做出反应。入侵检测系统i d s ( i n 廿1 l s i o nd e t e c t i s y s t e m ) 被认为是防火 墙之后的第二道安全防线，与防火墙相辅相承，构成了比较完整的网络安全基础结构，共同对 付网络攻击，从而提高了网络系统的安全性，扩展了系统管理员的安全管理能力【1 】。美国国际 计算机安全协会( i c s a ) 对入侵检测的定义为：通过从计算机网络或计算机系统中的若干关键点 收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹 象的一种安全技术。入侵检测系统能够在入侵攻击对系统发生危害前，检测到入侵攻击，并利 用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击造成的损失；在入侵攻 击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库中，以增强系统的防范 能力。 根据采用的检测技术，入侵检测系统被分为误用检测( m i s 惦ed e t e c t i o n ) 和异常检测 ( a n o m a l yd e 钯“o n ) 两大类。 1 、误用检测技术 误用检测根据事先定义的入侵模式库，入侵模式描述了入侵行为的特征、条件、排列以及 事件间关系川【3 】，检测时通过将收集到的信息与入侵模式进行匹配来判断是否有入侵行为。误 用检测方法的共同特点是对于模式库中已有的入侵行为具有高的检测精度，但是不能检测模式 库中没有的新入侵行为或变体，具有高的漏报率。因此，误用入侵检测的性能取决于模式库的 完整性，模式的构造和匹配方法为误用检测系统建立的关键。根据模式的构造和匹配方式，可 2 以将误用检测分为状态转换法、专家系统法、模式匹配法、简单地基于规则的方法和基于统计 特征的方法等。 状态模型方法 基于状态模型的方法是用状态序列及其转移表示攻击模式，可分为两种：状态转移分析方 法1 5 】【6 】【7 】【8 1 和p e t r i 网【9 】【1 0 1 法。状态转移方法将攻击表示成一系列被监控的系统状态迁移，攻击模 式的状态对应于系统状态，并具有迁移到另外状态的条件断言【3 】。采用这种方法的系统包括 s 玎订( s t a t e1 伯n s i t i o na n a l y s i st e c t l l l i q u e ) 【5 1 、u s t a t ( s t a t e1 馏n s i t i o na n a l y s i st 0 0 lf o rl 刀n ) 【6 】【7 】 及其分布式的系统n s t a t ( n 酿v o r k 吼j t c1 m i l s i t i o na n a l y s i st e c h l l i q u e ) 【8 】。i d i o t 系统使用着色 p e t r i 网实现模式的有条件匹配。 专家系统方法 用专家系统对入侵进行检测，经常是针对有特征入侵行为。其通过对入侵行为特征的抽取 并表达为i f 恤e n 结构的规则，条件部分为入侵特征，也e n 部分是系统防范措施。不同的系统与 设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知 识库的完备性叉取决于审计记录的完备性与实时性。运用专家系统防范有特征入侵行为的有效 性完全取决于专家系统知识库的完备性。基于此方法的系统有n i d e s ( n e ) 【tg 朗e m t i o ni n 佻i o n d e t e c t i o ne x p e ns y s t e m ) 【1 1 】【1 2 】，e m e r a l d ( e v e n tm o i l i t o 血ge n a b l i n gr e s p o n s e st 0a n o m a l o 吣 l i v ed i s t u r b 绷c e s l 【1 3 1 ，m i d a s 【1 4 1 ，d i d s 等。 模式匹配方法 将已知的入侵特征编码成与审计记录相符合的模式，能够在审计记录中直接寻找到相匹配 的已知入侵模式。优点是检测效率高。不过，计算负荷大，对已知攻击的变体无能为力。系统 n s m ( n 咖o r ks e c u r i 锣m o n i t 0 i ) 1 6 l 首次将网络数据流作为入侵建模的数据来源，通过提取与协 议相关的特征表达网络数据流记录，建立入侵模式。另外，事件序列( 如击键序列、系统调用 序列等) 常作为描述入侵行为的模式【4 】。利用序列模式进行检测时，可以是基于序列模式的简 单匹配，但此种方式使得攻击者能够很容易地通过小的模式改变绕过检测，漏报率高。概率匹 配比简单匹配更为灵活，能够更有效地防御攻击者的模式改变。此方法需要网络安全专家给出 先验概率并通过入侵报告数据统计分析得出后验概率，最后利用贝叶斯定理计算入侵事件发生 的概率。基于贝叶斯概率的误用入侵检测方法的缺点是先验概率难以给出，而且事件的独立性难 以满足【3 1 。 简单地基于规则的方法，如n a d i r 【1 7 1 ，a s a x 【1 8 1 ，b r 0 等。 2 、异常检测技术 异常检测通过提取审计踪迹( 如网络流量、日志文件) 中的特征数据来描述用户行为，建 立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较，如果两者的 偏离程度超过一个确定的阈值则判定为入侵。由于正常网络、主机或用户行为本身具有高度复 杂性和动态变化性，异常检测技术的主要难题在于选择足以区分正常和异常行为的特征来精确 地建立正常行为模式【2 0 1 ，相比于误用检测，其建模复杂性和误报率较高。这也导致了大量的对 异常检测的建模技术的研究。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘 技术【2 1 1 。 3 博士学位论文 d o c t o r a ld i s s e 掰r a = n o n 统计分析技术 统计分析技术是通过对日志审计记录、流量等信息进行统计分析，获取网络、主机或用户 行为的某个方面的统计特征建立正常行为模式【2 2 1 瞄j 。检测时一般用基于阈值的方法，如果当前 行为的统计特征在正常行为的阈值范围内，则为正常，否则为异常。此方法在网络流量异常检 测中非常普及。网络流量异常检测主要针对蠕虫、d o s 、d d o s 等具有异常流量表现的攻击行为， 这些攻击行为也是当今网络安全的主要威胁。异常流量检测中所采用的数据源主要有网络实时 的数据流、流量时间序列和流数据等。基于网络实时数据流的异常流量检测【2 4 卜【2 9 】一般是实时 地对网络数据包进行不同层次的分析，并将具有某些特征的包在一段固定的时间窗口内的频率 统计作为特征。常选的特征为与协议端口、长度、t c p 和i c 脚标志、数据速率、连接等相关 的变量。基于流量时间序列的异常流量检测f 3 0 j 巾3 】是通过对流量时间序列观察值进行分析获取 特征，其中主要是与网络流量的自相似特性相关的特征，如自相似流量序列的h u r s t 参数、自 相关函数值等。研究表明，有些攻击，特别是d d o s 攻击会对网络流量的自相似性特性产生影 响【3 3 】，小波分析和时间序列分析是两种主要的分析技术。基于流数据的异常检测是利用某种流 收集工具( 如n e t f l o w ) 获取流记录数据，通过对流数据中各标识项进行统计分析获取流量特 征和发现异常流量1 3 4 j 1 3 5 j 。 统计异常检测法不要求对攻击行为的先验知识，能够比较精确地检测到持续时间长、引起 流量分布异常的拒绝服务类型的攻击。另外，变点检测方法在检测中的应用也进一步提高了检 测的精度【2 6 1 【2 8 1 【2 9 l 。此方法实施的难点是阈值难以确定以实现误报率和漏报率之间的平衡。此类 方法的不足之处在于，大多数方法在具体实现时仅考虑单一的特征检测阳卜【2 5 1 【3 6 l 【3 7 1 ，或者仅仅 考虑多个特征的简单组合，缺乏具有理论支持的多特征融合检测方法，然而一种攻击往往会有 多种变体并且在流量上会有多方面的特征显示，这使得检测模型应对攻击的反侦破和动态行为 的能力非常有限，不同情况和不同的检