[01590648]网络安全威胁预警关键技术及系统

互联网时代，网络信息安全已成为新时期国家安全的重要部分，系事关国家安全和发展、事关广大人民群众工作生活的重大战略问题。随着网络规模、速度及业务应用的快速增长，网络安全领域正在面临着多种新挑战。一方面，前所未有的巨量多源异构安全数据快速聚集，形成安全大数据；另一方面，APT等新型威胁的兴起，内控、合规、内容等精细化安全监测需求急剧增加。这些新问题大大增加了网络空间防护与监测预警的难度，“没有网络安全，就没有国家安全”，加强网络安全预警监测和实现全天候全方位感知和有效防护，已经成为国家网络空间安全领域亟待解决的重大需求，在国家中长期科技规划、国家信息安全专项、国家重点研发计划等方面均给予大力支持。就此，2010年开始，项目组针对上述挑战，以网络安全威胁感知及预警为核心，重点研究了安全威胁识别、智能威胁评估、威胁快速预警等，形成了网络安全威胁预警关键技术及系统。主要创新如下： 1.突破大流量Web应用安全预警技术。基于Nginx的反向代理体系结构，逻辑上设计了两层事件驱动模式，以旁路方式，高效且灵活地探测各种Web应用攻击行为，可满足百万级TCP并发连接条件下大流量Web应用安全预警的要求。 2.创新性研究了Web网站系统防篡改技术。提出基于文件驱动的高效水印对比方法，采用多模块文件实时监控体系，在驱动层上全面监测文件特征的变化，并设计了支持多虚拟主机与多工作目录的文件快速同步机制，解决了各种复杂文件系统结构下的Web网站系统防篡改技术。 3.突破了操作系统级安全威胁识别技术。采用内核层Hook技术，设计了基于操作系统层的进程监控模型，与应用层数据分析监控相结合，更加准确刻画恶意代码的行为特征，克服了基于单一传统特征库识别方法的不足，能够准确判断未知恶意进程和已知恶意进程，提升系统级安全威胁识别能力。 4.创新性研究了面向复杂系统的网络安全智能评估技术。针对复杂安全评估要素，引入综合云模型理论和AHP方法，将定量评估与定性决策有机结合，解决了安全数据中大量定性概念的量化评估难题，同时定性描述评估结果为安全管理提供了更强的决策支持。 5.创新性设计了海量安全大数据快速计算技术。针对多源、异构、海量安全数据的计算问题，研究了多层次数据融合技术，提出了一种带有负载平衡机制的安全大数据计算模型，突破了海量安全数据的自动融合、快速查询、计算及更新等关键技术，提高了网络安全威胁感知的时效性。 项目获得国家发明专利5项，软件著作12项，发表EI收录论文1篇。项目成果已应用在网络安全评估、网络安全预警等相关领域，在中电福富信息科技有限公司、福建六壬网安股份有限公司等企业，累计实现销售额1.1012亿元，净利润2380万元，上缴税收508.8万元。此外，项目成果多次服务于省内外重大保障任务，有力确保了网络信息系统及核心数据等国家关键基础设施安全，取得了良好社会效益。