随着网络技术的飞速发展,网络攻击愈演愈烈。为应对日益复杂隐蔽的网络攻击,通过协同、主动的方式有机结合多种防御技术的网络动态防御已成为网络空间安全领域的研究热点。异常检测能够及时发现复杂隐蔽的网络攻击,是网络动态防御的重要前提。根据对异常检测结果的分析可以采取更具针对性的防御措施,从而提高网络动态防御有效性。因此,本文基于异常检测对网络动态防御关键技术进行研究,主要工作如下:1、为厘清多种类型防御技术的防御机制和协同关系,提出基于异常检测的网络动态防御模型(Anomaly Detection based Network Dynamic Defense,ADNDD)。首先给出模型基本元素、操作、关系和规则的形式化定义,描述ADNDD模型工作机制;然后基于有限状态机(Finite State Machine,FSM)理论证明模型的正确性;最后结合具体网络攻防场景给出ADNDD模型的应用实例,实验结果表明模型在应对已知类型攻击时,能够采取隔离清除、访问控制等防御策略消除攻击影响;在应对未知类型攻击时,能够结合异常判断和攻击效果评估结果采取动态赋能防御策略降低攻击成功概率。2、为解决基于批量学习的异常检测方法存在检测模型动态更新困难、运算存储开销大的问题,提出基于改进自组织增量式神经网络(Self-Organizing Incremental Neural Network with Weight Modification,WM-SOINN)的异常检测方法。首先对SOINN算法进行改进:在SOINN算法竞争学习周期内,根据全排列思想搜索所有样本输入次序下神经元的权重调节量,计算所有权重调节量的平均值作为神经元最终权重调节量,避免不同样本输入次序影响训练所得神经网络的稳定性,使得所得神经网络更能反映原始数据本质特征;然后采用非负矩阵分解和Z-score归一化对数据进行预处理,将特征向量从高维高数量级转换至低维低数量级,在提高检测速度的同时有效降低高数量级维度对特征学习的不利影响;最后将具有增量更新特性的WM-SOINN与具有高准确率的有监督分类器有机结合,在保证高准确率情况下实现检测模型动态更新,并有效降低运算和存储开销。实验结果表明:所提方法支持检测模型动态更新,对未知新异常的检测准确率显著高于传统检测方法,且运算存储开销更小。3、为量化分析不同网络动态防御策略的有效性,提出基于入侵成功概率的网络动态防御策略有效性分析方法。首先将时间概率密度函数引入随机抽样模型,利用该模型从脆弱性变换角度给出网络动态防御体系单路径入侵成功概率计算公式,用于刻画网络动态防御中的变换空间、变换周期及脆弱性数量对网络入侵过程的影响;然后根据攻击者初始权限、网络连接关系和脆弱性分布情况构造攻击者权限转移图,引入节点访问队列对递归深度优先搜索算法进行改进以避免搜索过程因存在自环而无法终止,通过搜索攻击者权限转移图寻找潜在入侵路径并计算多路径入侵成功概率;最后设计基于入侵成功概率的网络动态防御策略有效性分析实验,结果表明:所提方法可以量化分析多种类型防御策略的有效性,能够为调整和优化防御策略提供重要参考。4、为合理选取网络动态变换策略,深入分析动态变换空间、变换周期及脆弱性数量与入侵成功概率的关系。首先针对单、多脆弱性变换两种情况,分别提出给定变换周期和脆弱性数量时的入侵成功概率极限定理并予以证明,在此基础上给出两种情况下的最优动态变换空间计算方法。通过仿真实验分析变换周期和脆弱性数量与入侵成功概率的关系,发现增大单条入侵路径上依次攻击的脆弱性数量、减小变换周期可持续提高网络动态变换策略的有效性。进一步通过仿真实验验证最优动态变换空间计算方法的正确性,结果表明:增大变换空间初始可以提升网络动态变换策略有效性,但是由于入侵成功概率会随变换空间的持续增大而逐渐收敛,在入侵成功概率收敛时,网络动态变换策略的有效性无法持续提高,此时的动态变换空间取到最优值。