文档介绍:国防科学技术大学
硕士学位论文
基于多传感器数据融合的攻击检测与意图识别方法研究
姓名:林加润
申请学位级别:硕士
专业:计算机科学与技术
指导教师:殷建平
2010-11
国防科学技术大学研究生院硕士学位论文
摘要
不同的传感器被用于保护网络安全,但是各传感器单独运行具有功能局限性,
会产生大量重复的安全数据和事件,误报率和漏报率较高。因此,多传感器数据
融合技术被越来越广泛地应用于网络安全领域。目前的多传感器数据融合技术采
用的数据源较为单一、在对各传感器独立产生的决策结果进行融合时较少考虑不
同传感器的优缺点,不能充分利用多传感器数据的冗余性和互补性。本文将多传
感器数据融合技术应用于网络攻击检测与意图识别中,并对其进行了深入研究,
最后实现了其原型系统。本文工作的主要贡献和创新点总结如下:
1、提出了一种基于时间和空间的网络安全数据融合技术的分类方法。该方法
考虑数据融合技术在网络安全领域特殊的应用特点,从时间和空间的角度,将用
于网络安全的多传感器数据融合技术分为基于时间的数据融合技术和基于空间的
数据融合技术两类。比较分析了这两类数据融合技术的特点以及优缺点,讨论了
用于网络安全的多传感器数据融合技术的发展趋势。
2、提出了一种基于多传感器数据融合的简单攻击检测方法。该方法中各传感
器关联逻辑相关的报警事件,生成超报警事件;融合中心将各传感器独立产生的
超报警事件作为证据,采用扩展的 D-S 证据理论进行融合,获取更准确的检测结
果;最后结合攻击所依赖的漏洞和服务信息,求得相应攻击的成功概率。实验结
果表明,该方法能有效减少报警事件的数量,并提高对简单攻击检测的准确率。
3、提出了一种基于扩展的 D-S 证据理论的组合攻击检测和意图识别方法。该
方法首先定义同一组合攻击中不同简单攻击间攻击序的概念,提出了基于攻击序
的攻击意图场景表示方法,并预先定义典型的组合攻击意图场景。最后采用扩展
的 D-S 证据理论融合各传感器产生的具有不同可信度的超报警事件,从而完成组
合攻击的检测和其意图的识别。实验结果表明,该方法能有效检测组合攻击,并
识别攻击者的攻击意图。
4、设计并实现了基于多传感器数据融合的攻击检测和意图识别原型系统。该
系统采用模块化设计,具有良好的可扩展性;采用分布式的系统物理结构,在网
络中分布式部署不同的安全传感器;采用层次化系统逻辑结构,将不同传感器独
立产生的超报警事件上传到上层融合中心进行融合;采用 Eclipse RCP(Rich Client
Platform,胖客户端)搭建系统框架和 Eclipse Zest 技术展示网络拓扑,具有良好的
可视化效果与可操作性。
关键词:多传感器数据融合,扩展的 D-S 证据理论,组合攻击,攻击检测,
攻击意图识别
第 i 页
国防科学技术大学研究生院硕士学位论文
ABSTRACT
To work security, different sensors with different functions are deployed
work. But if working individually, each sensor will produce large redundant
security data and alerts, with high false positive rate and high false negative rate. In this
context, multi-sensor data fusion technology has been more and more widely applied in
network security realm. Nowadays, data fusion technology cannot make full use of
advantages because the datum for fusing are still monotone without utilizing the
datum’s redundancy plementary. In this thesis, multi-sensor data fusion
technology is applied work attack detection and intent recognition and lastly a
prototype system is implemented. The main contributions of this paper are