[01371467]海量网络安全事件多尺度分析与态势预警技术应用

1.课题来源与背景 本课题来源于国家242信息安全计划,课题编号2007A16。 2.研究目的与意义 随着计算机和互联网技术的飞速发展,电子商务、网络银行等新兴网络业务的普遍使用,网络信息安全问题日益突出。一方面由于新型网络攻击手段层出不穷、网络攻击拓扑复杂度显著增加以及信息系统中不断出现的安全漏洞,造成了大量的网络攻击与弱点扫描安全事件,给国民经济和社会生活各个领域带来了极大的危害;另一方面由于各种反动、谣言、暴力、淫秽等不良有害信息及垃圾信息借助互联网的开放性肆意传播,严重威胁到国家安全、社会稳定和民众健康上网。因此,对各类网络信息安全事件进行有效安全监测对于保障网络空间安全及信息内容安全具有重要意义。 3.主要技术内容 对网络安全事件进行有效监测对于保障网络空间安全及信息内容安全具有重要意义。针对现有网络安全监测系统功能分散,无法满足海量网络安全事件监测和态势预警需求的问题,本项目分别从特征属性、行为属性和内容属性等角度对网络数据流进行多尺度分析,生成各类不同的多源初级网络安全事件。通过智能分析技术消除冗余、虚假信息,多层次、多角度地融合分析多源安全信息。在项目实施过程中,集中解决了“网络数据流信息获取与解析技术”、“网络安全事件监测引擎与模型”等关键技术,研制了相关软件系统。已申请相关国家发明专利21项,其中授权发明专利15项,受理发明专利6项;获得计算机软件著作权17项;发表论文52篇,其中EI收入43篇。 4.课题创新点 1)提出了主动信息获取与网络被动监听相结合的分布式多源安全事件监测与分析模型。该模型分别从特征属性、行为属性和内容属性等角度对网络数据流进行多尺度分析,生成各类不同的多源初级安全事件。其中当特征数量达到千万级时,内存开销仅为900MB。在国内权威机构组织的技术竞赛中取得了第一名的优异成绩,处于国内领先水平。已授权相关发明专利8项,软件著作权12项。 2)建立了包含服务、数据、弱点、攻击等安全要素的多维评估体系,首次提出沿依赖关系和授权关系传递的间接网络风险评价方法,从而形成全面、准确的安全态势分析结果;在此基础上,结合多步攻击识别机制和态势预测模型,建立了一个相互支撑的预警平台,告警延时小于1秒,平均误差小于10%,并且能够对复杂多变的态势序列保持自适应。已授权相关发明专利2项,软件著作权3项。 3)提出并建立了基于P2P的海量网络数据存储模型,为网络数据流安全事件监测提供高可靠、高可用和高安全的网络存储与查询服务。通过设计一种新的Chord模型及路由算法,提高P2P存储模型路由算法的查询速度,增强其稳定性。已授权相关发明专利5项,软件著作权2项。 5.应用及效益情况 基于本项目的相关成果与技术积累,应用到大量家国信息安全工程建设中,近三年共获得直接经济效益2297.8万元。通过与北京思普崚技术有限公司的战略合作,获得直接经济效益5010万元。通过发明专利技术转让或合作等方式,间接经济效益达到6470万元。 6.第三方评价结论 本项目已通过国家计算机网络与信息安全管理中心组织的项目验收,项目整体技术水平达到国内领先、国际先进。项目相关系统已经在公安部计算机信息系统安全产品质量监督检验中心进行了全面测试,并通过了公安部信息安全产品销售许可认证。国内外查新和同行广泛咨询表明,项目填补了网络安全事件监测领域的多项技术空白。 7.历年获奖情况 无