外文文獻(xiàn)--中文翻譯

《外文文獻(xiàn)--中文翻譯》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架摘要：由于以往的安全警戒事件，網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供了獨(dú)特的高級(jí)別安全觀。但基于網(wǎng)絡(luò)的安全警報(bào)數(shù)據(jù)的復(fù)雜性和多樣性使得對(duì)其作分析極為困難。在本文中，我們分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中存在的問題，并提出了基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架。該框架包括網(wǎng)絡(luò)安全態(tài)勢(shì)模型生成、網(wǎng)絡(luò)安全態(tài)勢(shì)產(chǎn)生。建模的目的，是構(gòu)建基于d-s理論的網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)的形式化模型，并支持融合和分析來(lái)自于傳感器安全態(tài)勢(shì)的安全警報(bào)事件的一般化過程。新一代網(wǎng)絡(luò)安全態(tài)勢(shì)就是從基于知識(shí)發(fā)現(xiàn)方法的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)集中提

2、取出頻繁模式和序列模式，并把這些模式轉(zhuǎn)換為網(wǎng)絡(luò)安全態(tài)勢(shì)的相關(guān)規(guī)則，最后自動(dòng)生成網(wǎng)絡(luò)安全態(tài)勢(shì)圖。集成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)（Net-SSA）的應(yīng)用表明，這種框架支持網(wǎng)絡(luò)安全態(tài)勢(shì)模型的精確生成和有效發(fā)展。關(guān)鍵詞：網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；數(shù)據(jù)挖掘;知識(shí)發(fā)現(xiàn)一、引言傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，如入侵檢測(cè)系統(tǒng)（IDS），防火墻，安全掃描器彼此獨(dú)立運(yùn)作，它們幾乎沒有自己所要保護(hù)的網(wǎng)絡(luò)資源的信息。由于缺乏信息，在對(duì)安全警告作解釋和對(duì)相應(yīng)的態(tài)勢(shì)作出決策時(shí)，它往往給出很多模棱兩可的答案。網(wǎng)絡(luò)系統(tǒng)遭受各種安全威脅，包括網(wǎng)絡(luò)蠕蟲、大規(guī)模的網(wǎng)

3、絡(luò)攻擊等，網(wǎng)絡(luò)安全態(tài)勢(shì)感知是解決這些問題的有效途徑。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一般過程就是，感知發(fā)生在一定時(shí)間段和網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全事件，綜合處理安全數(shù)據(jù)，分析系統(tǒng)所受到攻擊行為，提供全局的網(wǎng)絡(luò)安全觀，評(píng)估整體的安全態(tài)勢(shì)并預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全趨勢(shì)。在實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知時(shí)存在著一些困難，如下：（1）從各種安全傳感器生成的警報(bào)事件數(shù)量是巨大的，假陽(yáng)性率太高。（2）由于大規(guī)模網(wǎng)絡(luò)攻擊（例如:DDos）所產(chǎn)生的瑣碎的安全警報(bào)非常復(fù)雜，并且它們之間的關(guān)系難以確定。（3）安全傳感器產(chǎn)生的警報(bào)事件數(shù)據(jù)類型數(shù)量巨大，然而對(duì)警報(bào)事

4、件進(jìn)行處理時(shí)警報(bào)處理程序得不到足夠的信息，而且自動(dòng)獲取這些信息是相當(dāng)困難的。在本文中，我們總結(jié)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究過程，提出了一個(gè)基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的框架，并應(yīng)用到我們的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)（NET-SSA）。本文其余部分組織如下：第2節(jié)介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念和功能，并總結(jié)了該領(lǐng)域的相關(guān)研究;第3節(jié)提出我們的“基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架”;第4節(jié)演示實(shí)驗(yàn)結(jié)果，第5節(jié)總結(jié)今后的工作方向。一、基本概念和相關(guān)工作A.基本概念為方便描述和避免混淆，相關(guān)的名詞定義如下：安全態(tài)勢(shì)：它指的

5、是處于監(jiān)督狀態(tài)的網(wǎng)絡(luò)的整體安全狀況，在一定的時(shí)間窗口遭受的網(wǎng)絡(luò)攻擊，對(duì)整個(gè)網(wǎng)絡(luò)安全的影響。一般來(lái)說(shuō)，安全態(tài)勢(shì)的信息，包括兩個(gè)方面，時(shí)間維度和空間分布維度。安全事件：它是指由各種網(wǎng)絡(luò)安全態(tài)勢(shì)傳感器產(chǎn)生和由網(wǎng)絡(luò)入侵或檢測(cè)參數(shù)超出閾值產(chǎn)生的警報(bào)事件。它可以表示成一個(gè)多元組={detectTim,eventTyp'attac,srcI,desI,srcPor,desPor,protoco,sensorI,confidenc,severit,othe}。其中，detectTimei指警報(bào)事件發(fā)生的時(shí)間;eventT

6、ypei是指警報(bào)事件的類型，attacki是指攻擊檢測(cè)警報(bào)所屬的類;srcI和Desi指警報(bào)事件的源和目的地址;srcPorti和desPorti指警報(bào)事件的源和目的端口;protocol指協(xié)議類型;sensorID是指?jìng)鞲衅鳈z測(cè)到的事件;confidencei是指警報(bào)的事件的可信率;severit是指警報(bào)事件的嚴(yán)重級(jí)別;otheri是指警報(bào)事件的其他信息。安全態(tài)勢(shì)建模：它指的是分析各種安全傳感器所產(chǎn)生的警報(bào)事件，并最終產(chǎn)生全局網(wǎng)絡(luò)安全態(tài)勢(shì)的過程。它包括以下功能：事件簡(jiǎn)化：[,,,…,],簡(jiǎn)化其中有重復(fù)定

7、義或并發(fā)性關(guān)系的冗余警報(bào)事件，以減少有效警報(bào)的數(shù)量。事件過濾：[,P()H],警報(bào)事件已被刪除或標(biāo)記為無(wú)關(guān)的事件，如果屬性P()不屬于H的某個(gè)合法集。如果一些鍵的屬性丟失或者超出預(yù)定義范圍，警報(bào)事件就會(huì)被刪除。事件融合：，利用信息融合技術(shù)（如D-S證據(jù)理論的），它主要解決了碰撞警報(bào)和警報(bào)合并使用的問題，從而提高警報(bào)事件的可信率，降低假陽(yáng)性率。事件關(guān)聯(lián)：[,,,…,]，當(dāng)前的網(wǎng)絡(luò)安全事件，活動(dòng)和情況，可以從不同類型的警報(bào)事件源所使用的數(shù)學(xué)或啟發(fā)式方法推斷出來(lái)，從而提高檢出率，降低假陰性率。狀態(tài)評(píng)估：它指的是

8、對(duì)來(lái)自于多層次的基于空間和時(shí)間維度中的分布式攻擊行為和網(wǎng)絡(luò)資源的作用的安全狀態(tài)評(píng)估。知識(shí)發(fā)現(xiàn)（KD）：它是指確定來(lái)自于從傳感器收集到的安全事件集的新模式的非平凡過程，這些傳感器易于理解，而且對(duì)于獲知安全狀況很有用。知識(shí)發(fā)現(xiàn)的目的是提取安全事件的融合和關(guān)聯(lián)所需要的規(guī)則。安全狀態(tài)產(chǎn)生：在網(wǎng)絡(luò)安全狀態(tài)感知的過程中，安全局勢(shì)的模型是標(biāo)準(zhǔn)化的，受限制的，可推斷的，正確的，通過從知識(shí)發(fā)現(xiàn)中獲取的模式信息進(jìn)行補(bǔ)充，最后生成的全局網(wǎng)絡(luò)的安全狀