本文選題：網(wǎng)絡安全態(tài)勢感知　切入點：主機行為輪廓建立　出處：《東南大學》2016年博士論文　論文類型：學位論文

【摘要】：互聯(lián)網(wǎng)是一個由數(shù)以百萬計的本地網(wǎng)絡組成的全球性網(wǎng)絡,承載著廣泛的信息資源與和服務。在網(wǎng)絡空間中運作的系統(tǒng)和網(wǎng)絡存在安全漏洞,給使用它們的個人、組織與國家?guī)戆踩L險�；ヂ�(lián)網(wǎng)威脅是各國面臨的最嚴重的經(jīng)濟和安全挑戰(zhàn)之一。安全研究人員提出了各種的策略,以減少網(wǎng)絡威脅的影響,提高抵御網(wǎng)絡攻擊的能力。這其中的一個關(guān)鍵是對攻擊準確而及時的發(fā)現(xiàn),因此防御方的角色中包括復雜的認知任務。種類繁多的安全、監(jiān)控和分析工具被用于檢測網(wǎng)絡滲透和分析網(wǎng)絡性能,例如防病毒軟件,防火墻,日志審計工具,基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng)IDS,低交互和高交互的蜜罐系統(tǒng),通用和專用的蜜罐系統(tǒng),網(wǎng)絡流量分析工具等等。這些不同來源的安全工具產(chǎn)生的海量數(shù)據(jù)使得網(wǎng)絡安全工程師越來越更難以處理。同時人們也意識到,依賴單一工具是不足以保護網(wǎng)絡使其免遭各種威脅�；诔掷m(xù)監(jiān)控和所得的安全警報事件,網(wǎng)絡安全態(tài)勢感知NSSA提供了高層次的安全視圖,可以有能力依據(jù)這些安全事件之間的多維度關(guān)聯(lián)來確定計算機網(wǎng)絡的總體安全狀態(tài)。本文的貢獻在于為建立IP信息數(shù)據(jù)庫提供了關(guān)于網(wǎng)絡流量行為的背景信息,以支持網(wǎng)絡安全態(tài)勢感知。這種IP信息有助于預測網(wǎng)絡安全的變化趨勢。論文研究了IP主機行為輪廓建立(Profiling)和分簇問題,目的在于標識出主機流量行為中主要的和持續(xù)性的部分,借以構(gòu)成主機的行為輪廓,分析具有相似行為的主機群組。這將豐富IP特性數(shù)據(jù)庫的內(nèi)容,支持網(wǎng)絡安全態(tài)勢感知在覺察階段和理解階段的研究工作。IP行為輪廓的建立基于所觀察到的最顯著活躍的IP地址的流量模式。論文提出了一種算法來提取用于分析的最顯著IP節(jié)點,避免了對全部流量中數(shù)以百萬計的IP節(jié)點進行全部分析(數(shù)據(jù)壓縮)。論文討論了主機通信行為模式的特征,這些特征可用于描述主機的行為特征以建立主機行為輪廓。論文從抽取或計算了15個有關(guān)IP地址流量行為的流量模式,作為特征用于之后的數(shù)據(jù)聚類處理。論文以選定的IP地址進行了相對較長時間范圍內(nèi)的流量數(shù)據(jù)分析,以便提取其更為穩(wěn)定的主機流量行為。以往的研究都集中在相對較短時間粒度的主機行為觀察上,論文選擇以一個小時作為一個時間粒度,這意味著限定時間內(nèi)一個粒度內(nèi)需要處理更多的流量數(shù)據(jù)。論文研究了可表示管理域內(nèi)網(wǎng)絡主機與外部IP網(wǎng)絡主機之間的社會關(guān)系的IP地址之間關(guān)系問題。論文方法的起點是將整個IP地址空間分割成為內(nèi)部(被管域內(nèi))和外部(網(wǎng)絡外)兩部分。聚類的策略是將有共同外部IP地址作為通信對端的內(nèi)部IP地址定義一個群組,兩個內(nèi)部IP地址的相似性測度是兩者擁有的相同的對端外部IP地址數(shù)量。論文提出用了一種使用近似算法的新方法,可在大規(guī)模的被管理域中發(fā)現(xiàn)存在的社區(qū)結(jié)構(gòu),該方法基于二部圖方法,單模式投影和相似圖的圖形分割方法。將從實際的管理域邊界路由器采集NetFlow數(shù)據(jù)集中包含的IP地址按內(nèi)部地址空間和外部地址空間構(gòu)造二部圖,然后使用單模式投影方法構(gòu)建內(nèi)部IP地址社會關(guān)系的相似圖。論文設(shè)計了一個新的社區(qū)檢測算法來檢測具有類似行為的社區(qū)。論文通過應用深度流檢測(DFI)方法和深度數(shù)據(jù)包檢測(DPI)方法對理論計算結(jié)果進行了實驗驗證,證明用同一群集的主機的主要流量行為通常相似。論文展示了探索IP主機社會行為相似性的用途,包括理解應用程序的使用,理解用戶的行為,檢測惡意用戶和禁止的應用的用戶。
[Abstract]:The Internet is a by millions of local network composed of global network, carries a wide range of information resources and service system and network operation. In the space of Internet security vulnerabilities, use them to individuals, organizations and countries pose a security risk. The Internet threat is one of the most serious economic and security challenges of the world facing. Security researchers have proposed various strategies to reduce the impact of cyber threats, improve the ability to resist network attacks. One of the key is to attack the accurate and timely discovery, thus including complex cognitive tasks defending role. Many kinds of security monitoring and analysis tools are used detection of network penetration and network performance analysis, such as antivirus software, firewall, log audit tools, host and network intrusion detection system based on IDS, low and high. The honeypot system interaction honeypot system, general and special, network traffic analysis tools and so on. These produce vast amounts of data from different sources of security tools makes network security engineers more and more difficult to deal with. At the same time people realized that, depending on the single tool is not enough to protect the network from various threats. Security alert and continuous monitoring based on the network security situational awareness, NSSA provides a safe view of high level, can have the ability on the basis of multi dimension association between these events to determine the overall security of computer network. The contribution of this paper is to provide background information about the network traffic behavior for the establishment of a IP information database, to support the network security situation awareness. The change trend of this IP information can help to predict the network security. This paper studies the IP host behavior profile establishment (Profiling) and cluster The problem, purpose is to identify the host traffic behavior in major and persistent part, so as to constitute a behavior profile of the host, the host group with similar behavior analysis. This will enrich the IP characteristics of the contents of the database, support network security situation awareness based on the research work of.IP awareness and understanding of phase behavior profile of the observed phase based on the most significant active IP address traffic patterns. This paper presents an algorithm to extract the most significant IP for node analysis, avoid all nodes on the IP to analyze tens of millions in all traffic (data compression). This paper discusses the characteristics of the host communication behavior, these features can be used to describe the behavior of the characteristics of the host to establish the host behavior profile. This paper calculated the 15 IP address flow behavior from the extraction or traffic patterns, as the features for the data clustering Processing. In order to selected IP addresses analyzed traffic data relatively long time range, in order to extract the more stable host traffic behavior. Previous studies have focused on the host behavior in a relatively short time to observe the size, we take an hour as a time granularity, which means limited a time granularity within the need to deal with more traffic data. The relationship between the network management domain host can be expressed with the external IP network host IP address. The social relationship is the starting point of the method of IP address space is divided into internal (managed domain) and external (Network) two. Clustering strategy is to have a common external IP address as the internal communication IP address to end the definition of a group, two internal IP address similarity measure is the same for both have end The number of IP addresses. This paper proposed a new method using approximate algorithm, can be found in the large-scale management of community structure exists in the domain, the method is based on the method of figure two, single pattern projection segmentation method and similarity map graphics. From the management of actual road boundary consists of a collection containing NetFlow the data set IP address according to the internal and external address space address space two map, and then construct similar graph of the internal IP address social relations using single mode projection method. This paper designed a new community detection algorithm to detect similar to the community. Through the application of deep flow inspection (DFI) method and deep packet inspection (DPI) methods are used to validate the theoretical calculation, proved that the main flow behavior of the same cluster host usually similar. This thesis demonstrated the exploration of IP host social behavior similarity The use of understanding the use of the application, understanding the behavior of the user, detecting the malicious users and users of the forbidden application.

【學位授予單位】：東南大學
【學位級別】：博士
【學位授予年份】：2016
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡安全問題研究[J];情報科學;2000年08期

2 ;計算機網(wǎng)絡安全導論[J];工業(yè)控制計算機;2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡安全技術(shù)及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡安全技術(shù)[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認識網(wǎng)絡安全──與3Com電子商務發(fā)展經(jīng)理的對話[J];市場與電腦;2000年08期

6 ;網(wǎng)絡安全,路在腳下[J];市場與電腦;2000年08期

7 陳永;上海加強網(wǎng)絡安全──“互聯(lián)網(wǎng)絡安全問題與對策”研討會舉行[J];上海微型計算機;2000年12期

8 徐晨;網(wǎng)絡安全 商機無限[J];上海微型計算機;2000年34期

9 屠政;正有網(wǎng)絡公司開啟網(wǎng)絡安全之門[J];中國信息導報;2000年09期

10 馮婷婷;網(wǎng)絡安全警句[J];軟件工程師;2000年08期

相關(guān)會議論文 前10條

1 李正男;吳亞非;丁志新;;計算機網(wǎng)絡安全概述[A];第六次全國計算機安全技術(shù)交流會論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達;劉龍;;網(wǎng)絡安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡安全課程中學生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，，努力增強高校創(chuàng)新與服務能力——北京市高等教育學會2007年學術(shù)年會論文集（上冊）[C];2008年

5 張軍;;網(wǎng)絡安全的形勢與對策[A];四川省通信學會2006年學術(shù)年會論文集（二）[C];2006年

6 ;積極推進全球網(wǎng)絡安全[A];四川省通信學會2006年學術(shù)年會論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網(wǎng)絡安全與對策[A];福建省圖書館學會2006年學術(shù)年會論文集[C];2006年

8 陳雯;;淺談圖書館網(wǎng)絡安全[A];福建省圖書館學會2007年學術(shù)年會論文集[C];2007年

9 李穎;;淺談網(wǎng)絡安全應對策略[A];天津市電視技術(shù)研究會2012年年會論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡安全探討[A];海南省通信學會學術(shù)年會論文集（2008）[C];2008年

相關(guān)重要報紙文章 前10條

1 肖健;六大趨勢“惹火”2005網(wǎng)絡安全[N];中國計算機報;2005年

2 鮑捷;中外聯(lián)手維護網(wǎng)絡安全[N];人民日報;2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡安全新主張[N];中國經(jīng)濟導報;2006年

4 國際電聯(lián)電信標準化局局長 本報高級顧問 趙厚麟;推進全球網(wǎng)絡安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡安全市場面臨洗牌[N];通信產(chǎn)業(yè)報;2007年

6 ;二季度網(wǎng)絡安全市場銷售額達11億美元[N];網(wǎng)絡世界;2006年

7 Tony;強勁需求拉動網(wǎng)絡安全市場快速增長[N];中國計算機報;2007年

8 黃粵寶 本報記者 叢曉明;公安機關(guān)檢查網(wǎng)絡安全工作[N];丹東日報;2008年

9 記者 方祥生;歐安組織網(wǎng)絡安全會議開幕[N];光明日報;2009年

10 傅曉輝;網(wǎng)絡安全商機開盤[N];通信產(chǎn)業(yè)報;2004年

相關(guān)博士學位論文 前10條

1 薄澄宇;網(wǎng)絡安全與中美關(guān)系[D];中共中央黨校;2015年

2 張武軍;機器類型通信中的網(wǎng)絡安全問題研究[D];西安電子科技大學;2014年

3 羅建;復雜攻擊系統(tǒng)建模及其在網(wǎng)絡安全中的應用[D];清華大學;2015年

4 胡冠宇;基于置信規(guī)則庫的網(wǎng)絡安全態(tài)勢感知技術(shù)研究[D];哈爾濱理工大學;2016年

5 阿漢（Ahmad Jakalan）;網(wǎng)間IP流量行為分析與關(guān)系發(fā)現(xiàn)[D];東南大學;2016年

6 李偉明;網(wǎng)絡安全語言關(guān)鍵技術(shù)的研究[D];華中科技大學;2006年

7 張建鋒;網(wǎng)絡安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D];國防科學技術(shù)大學;2013年

8 司加全;網(wǎng)絡安全態(tài)勢感知技術(shù)研究[D];哈爾濱工程大學;2009年

9 田大新;網(wǎng)絡安全中若干問題的研究[D];吉林大學;2007年

10 Kittichote Rojanakul（開心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的網(wǎng)絡安全的研究[D];吉林大學;2011年

相關(guān)碩士學位論文 前10條

1 張衛(wèi)清;網(wǎng)絡安全與網(wǎng)絡安全文化[D];南華大學;2006年

2 吳磊;網(wǎng)絡安全企業(yè)服務營銷問題研究[D];華北電力大學（北京）;2006年

3 陳雷;網(wǎng)絡安全態(tài)勢評估與預測關(guān)鍵技術(shù)研究[D];解放軍信息工程大學;2015年

4 劉夢;從斯諾登事件看21世紀歐美安全關(guān)系的調(diào)整[D];外交學院;2016年

5 閆一銘;網(wǎng)絡安全關(guān)鍵策略及教學模擬攻防系統(tǒng)設(shè)計[D];中國海洋大學;2014年

6 鄭東東;網(wǎng)絡安全與國家主權(quán)：互聯(lián)網(wǎng)自由的國際法規(guī)制[D];西南政法大學;2014年

7 姚望;外空活動中網(wǎng)絡安全的管理機制研究[D];北京理工大學;2016年

8 黃亮亮;網(wǎng)絡安全態(tài)勢評估與預測方法的研究[D];蘭州大學;2016年

9 張楠;某部門網(wǎng)絡安全管理方案的設(shè)計與實施[D];長春工業(yè)大學;2016年

10 楊建萍;基于維基百科的《網(wǎng)絡安全》課程本體構(gòu)建及應用研究[D];新疆師范大學;2016年

本文編號：1649466