伴随着社会信息化进程加快,网络应用深入发展的同时,网络安全问题也日益突出.虽然在网络环境中部署了大量的防火墙、入侵检测系统、防病毒、身份认证等安全产品,在一定程度上缓解了安全问题,但是它们彼此之间缺乏有效的统一管理协同机制,无法充分发挥各个安全产品的功能,并且对于它们的管理和配置也是一个令人头疼的问题.同时网络应用日趋复杂,单一的检测方法或检测系统难以检测出各种复杂的攻击,需要综合多种检测系统和技术才能够提高检测率,减少误报和漏报;在系统每天产生的海量告警信息中,还包含了大量的误报,漏报和冗余报警,分散了管理员的注意力,加重了他们的负担,因此需要对源自不同安全产品的告警进行融合关联分析,精炼告警信息,识别出入侵意图;关联分析后的告警还需要输入到风险评估模块进行安全态势评估,响应决策模块根据评估结果及时实施响应措施,这样才能保障系统的整体安全.因此急切需要一个整体安全解决方案来让管理员对系统的安全态势有个全局的了解和掌控,提高系统的安全管理水平. 本文针对上述问题,给出基于告警融合关联的统一安全管理平台.通过该平台能够对网络中的安全设备实施统一的数据融合关联分析、统一的监控配置管理、统一的安全策略管理、统一的安全产品协同管理,从而有效简化网络安全管理工作,充分发挥安全防护系统的整体效能,提高系统整体安全性.本文所作的研究和具体工作包括: ◆针对目前告警检测效果不理想的情况,鉴于神经网络和决策树对不同类型攻击检测率高的特点,提出它们的联合模型,使得系统平均检测率提高,同时降低误报率. ◆针对目前网络环境下存在告警数据过多,告警事件间缺乏融合关联分析,使得管理员无法识别攻击者意图,进而采取及时的安全响应措施的问题,提出基于层次的融合关联分析系统模型.首先完成告警的过滤、验证和格式归一化;提出基于时间、空间和攻击类型的冗余聚合算法;提出基于搜索树的高效告警聚类算法来对精简后的告警产生聚类信息;接着给出基于增量的贝叶斯的告警关联分析方法对聚类的结果进行告警特征关联.源告警事件经过这一系列处理之后,提炼出告警事件之间的关联关系,也为下一步的风险评估提供了输入数据. ◆针对目前风险评估中的主观性因素过多,风险评估值难以量化的问题,提出了基于BS7799标准的多层次模糊风险评估方法.通过AHP(Analytic HierarchyProcess)方法确定各个安全要素的综合风险权重值,从定性和定量相结合的角度建立评价模型,得出系统目前的风险等级,同时也为下一步的入侵响应提供了决策的依据. ◆针对入侵响应过程中成本分析和决策响应存在的问题,提出了基于代价敏感的主动响应决策模型,此模型根据安全策略对安全事件进行响应.先对网络安全事件进行分类,然后引入综合风险处理代价,给出量化计算公式. ◆最后融合上述的研究成果,给出基于告警融合关联的统一安全管理平台系统,在此系统平台上可以对安全设备实施统一的管理,动态分析评估网络安全状况,确保整个网络系统的安全. 在863课题支持下,本文把入侵检测算法、告警信息融合关联分析、安全风险评估和响应等关键技术与课题实践相结合,完成了入侵检测联合模型,告警事件标准化、归并和融合关联,以及风险评估量化方法和主动响应决策模型在原型系统中的应用.本文上述的部分研究成果已经成功应用在联想网御安全管理平台系统中,该系统已在不同的行业得到应用,市场反馈良好,因此本文的研究具有一定的理论和实用价值.