论文部分内容阅读
【摘 要】本文提出了需要采集的多维、深层次网络安全数据集,并建立了从原子态势、主机态势及网络态势的层次化分析流程;采用自信息熵的理论去计算原子态势发生的概率,利用加权求和的方法对各层态势进行分析;最后,使用真实的网络环境数据对提出的分析流程和模型进行了验证。
【关键词】安全信息;原子态势;安全态势;数据分析
随着我国互联网的飞速发展,网络环境日益复杂,攻击用户不断增加以及攻击手段愈加复杂,使来自网络的威胁猛烈地增长,网络安全遭受重大挑战。为了进一步加强网络安全,保护人们的日常工作、学习和生活,快速掌握当前安全形势,于是人们试图寻求一种评估当前环境“安全态势”的方法,以判断网络的安全性和可靠性。
网络安全专家Bass提出了网络安全态势感知的概念,借鉴了空中交通监管态势感知的成熟技术和理论。网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络安全态势感知是在大规模网络环境中,对影响网络安全的诸多要素进行获取、理解、评估以及未来发展趋势的预测。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是通过整合采集到的安全数据和信息,进行数据挖掘,分析其相关性并从威胁中获得安全态势图来得到整个网络的安全状态。本文基于网络的安全信息,建立网络安全态势感知评估模型,通过数据挖掘,分析当前网络的安全态势。
一、需要采集的安全信息
为了分析当前网络的安全态势,需要针对要评估的内容进行相关安全数据的采集,之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势,本课题以原子态势为基础,构建需要采集的影响原子态势的多维、深层次安全数据集。
(一)原子态势
主机安全态势包含多个原子态势,是整个网络安全态势评估分析的基础和核心,由此可以推出所在主机的安全状态。
(二)需要采集的安全数据
分析各个原子态势,其中包含信息泄露类原子态势、拒绝服务类原子态势、数据篡改类原子态势、入侵控制类原子态势、网络欺骗类原子态势及安全规避类原子态势,由此可以分析出需要在主机采集的安全数据。
由于网络安全态势是动态的,它随着当前的网络运行状况的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素发生变化。原子态势是影响网络安全状况的基础态势,故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。 图1的原子态势一般只用于分析一个主机的安全性,如果要分析一个网络的安全性,需要对网络中各主机的安全信息进行挖掘分析,进而得出整个网络的安全态势。
二、基于安全信息的态势挖掘模型
本文将全信息熵理论引入到网络安全态势感知评估中,全信息的三要素分别代表的含义如下:语法信息是指从网络安全设备中得到某一类威胁事件,并转换为概率信息;语义信息是指该类威胁事件具体属于什么类型;语用信息是某一类威胁事件对网络造成的威胁程度。
(一)网络安全态势分析过程
根据采集操的安全数据集,进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势等一系列的过程。
具体的网络安全态势分析评估流程如下所示:
1.从网络安全设备中提取各种原子态势,对原子态势进行分类后提取原子态势频率和原子态势威胁程度两个量化指标。针对原子态势类型不同,计算分析相应的原子态势。
2.将原子态势利用加权信息熵的相关理论计算原子态势值;
3.根据原子态势和原子态势值,分析计算主机安全态势和主机安全态势值;
4.根据网络中主机的安全态势情况,利用安全数据挖掘模型分析网络安全态势。
(二)原子态势分析量化
为了综合评价原子态势给网络带来的损失,将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。常用的方法是根据指标的实际数据将指标归一化到[0,1]之间。
原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合,用原子态势发生概率表示,设第i 个原子态势发生概率为Pi,且(m为网络系统中原子态势的总数);语义信息决定原子态势包含的态势内涵;语用信息是某一个原子态势的威胁程度,记为w,当w等于1时,威胁程度最大,w等于0时威胁程度最小,在描述威胁程度时,因为威胁程度表示单一态势对网络造成的危害,故类型的威胁程度之和可不为1。
本文将原子态势威胁分为很高、高、中等、低、极低五个等级,并转换为[0,1]区间的量化值。以最大威胁赋值1为标准,得五个威胁等级0与1之间的赋值为1、0.8、0.6、0.4、0.2。
原子态势的态势值由原子态势发生的个数(归一化后为概率)及威胁程度权重共同决定。若信息发生ai的概率为p,按照香农信息熵的定义,ai的自信息可通过来表示。从网络安全态势评估的角度来看,网络安全事件发生的概率越大时,对应的信息熵值应该是越大,可以用香农信息论中的自信息的倒数来表示。
(三)网络态势数据挖掘模型
网络态势的分析和计算需要原子态势数据的支持,然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类,最后进行网络态势的分析。
三、实验分析
按照属性的不同,分别计算各个属性的态势值,根据公式,对表2的数据进行统计可得:机密性态势值为1.18686;权限态势值为0.88;完整性态势值为0.21;可用性态势值0.23926;不可否认性态势值0;可控性态势值0。主机受到其各个属性的影响,包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重,以主机机密性为参照标准:机密性比完整性比较重要,机密性比可用性稍微重要,机密性比权限比较重要,机密性比不可否认性十分重要,机密性比可控性比较重要。故经matlab计算可得机密性权重为0.4522,可用性权重为0.2296,完整性权重为0.0931,权限权重为0.0931,不可否认性权重为0.0389,可控性权重为0.0931。主机的态势值是将各个属性的态势值进行加权求和得到,故主机态势值为0.69291。
网络内主机主要分为服务器和客户端两种,服务器一般具有重要的数据资源,在此定义服务器重要性权重为3,客户端重要性权重为1,权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析,数据库服务器的日志不存在异常现象,即可认为数据库服务器的网络态势值为0,依据格式计算可得网络安全态势值为0.51968。
若安全信息量继续增大,可按照本节计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是用来展现不同时间点不同主机的网络安全态势情况,故在考虑的时间点较多的情况下,可构建网络安全态势值与时间点形成的网络安全态势曲线,由此可以推测未来网络的安全趋势和受到的攻击类型。
四、结论
本文提出了需要采集的多维、深层次网络安全数据集,建立了基于原子态势的安全态势分析流程和模型,并搭建了局域网的实验环境,利用网络环境中两台服务器日志数据分析了Web服务器的主机态势及该局域网的网络态势,并提出了未来网络安全态势趋势预测的方法。
【关键词】安全信息;原子态势;安全态势;数据分析
随着我国互联网的飞速发展,网络环境日益复杂,攻击用户不断增加以及攻击手段愈加复杂,使来自网络的威胁猛烈地增长,网络安全遭受重大挑战。为了进一步加强网络安全,保护人们的日常工作、学习和生活,快速掌握当前安全形势,于是人们试图寻求一种评估当前环境“安全态势”的方法,以判断网络的安全性和可靠性。
网络安全专家Bass提出了网络安全态势感知的概念,借鉴了空中交通监管态势感知的成熟技术和理论。网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络安全态势感知是在大规模网络环境中,对影响网络安全的诸多要素进行获取、理解、评估以及未来发展趋势的预测。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是通过整合采集到的安全数据和信息,进行数据挖掘,分析其相关性并从威胁中获得安全态势图来得到整个网络的安全状态。本文基于网络的安全信息,建立网络安全态势感知评估模型,通过数据挖掘,分析当前网络的安全态势。
一、需要采集的安全信息
为了分析当前网络的安全态势,需要针对要评估的内容进行相关安全数据的采集,之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势,本课题以原子态势为基础,构建需要采集的影响原子态势的多维、深层次安全数据集。
(一)原子态势
主机安全态势包含多个原子态势,是整个网络安全态势评估分析的基础和核心,由此可以推出所在主机的安全状态。
(二)需要采集的安全数据
分析各个原子态势,其中包含信息泄露类原子态势、拒绝服务类原子态势、数据篡改类原子态势、入侵控制类原子态势、网络欺骗类原子态势及安全规避类原子态势,由此可以分析出需要在主机采集的安全数据。
由于网络安全态势是动态的,它随着当前的网络运行状况的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素发生变化。原子态势是影响网络安全状况的基础态势,故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。 图1的原子态势一般只用于分析一个主机的安全性,如果要分析一个网络的安全性,需要对网络中各主机的安全信息进行挖掘分析,进而得出整个网络的安全态势。
二、基于安全信息的态势挖掘模型
本文将全信息熵理论引入到网络安全态势感知评估中,全信息的三要素分别代表的含义如下:语法信息是指从网络安全设备中得到某一类威胁事件,并转换为概率信息;语义信息是指该类威胁事件具体属于什么类型;语用信息是某一类威胁事件对网络造成的威胁程度。
(一)网络安全态势分析过程
根据采集操的安全数据集,进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势等一系列的过程。
具体的网络安全态势分析评估流程如下所示:
1.从网络安全设备中提取各种原子态势,对原子态势进行分类后提取原子态势频率和原子态势威胁程度两个量化指标。针对原子态势类型不同,计算分析相应的原子态势。
2.将原子态势利用加权信息熵的相关理论计算原子态势值;
3.根据原子态势和原子态势值,分析计算主机安全态势和主机安全态势值;
4.根据网络中主机的安全态势情况,利用安全数据挖掘模型分析网络安全态势。
(二)原子态势分析量化
为了综合评价原子态势给网络带来的损失,将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。常用的方法是根据指标的实际数据将指标归一化到[0,1]之间。
原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合,用原子态势发生概率表示,设第i 个原子态势发生概率为Pi,且(m为网络系统中原子态势的总数);语义信息决定原子态势包含的态势内涵;语用信息是某一个原子态势的威胁程度,记为w,当w等于1时,威胁程度最大,w等于0时威胁程度最小,在描述威胁程度时,因为威胁程度表示单一态势对网络造成的危害,故类型的威胁程度之和可不为1。
本文将原子态势威胁分为很高、高、中等、低、极低五个等级,并转换为[0,1]区间的量化值。以最大威胁赋值1为标准,得五个威胁等级0与1之间的赋值为1、0.8、0.6、0.4、0.2。
原子态势的态势值由原子态势发生的个数(归一化后为概率)及威胁程度权重共同决定。若信息发生ai的概率为p,按照香农信息熵的定义,ai的自信息可通过来表示。从网络安全态势评估的角度来看,网络安全事件发生的概率越大时,对应的信息熵值应该是越大,可以用香农信息论中的自信息的倒数来表示。
(三)网络态势数据挖掘模型
网络态势的分析和计算需要原子态势数据的支持,然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类,最后进行网络态势的分析。
三、实验分析
按照属性的不同,分别计算各个属性的态势值,根据公式,对表2的数据进行统计可得:机密性态势值为1.18686;权限态势值为0.88;完整性态势值为0.21;可用性态势值0.23926;不可否认性态势值0;可控性态势值0。主机受到其各个属性的影响,包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重,以主机机密性为参照标准:机密性比完整性比较重要,机密性比可用性稍微重要,机密性比权限比较重要,机密性比不可否认性十分重要,机密性比可控性比较重要。故经matlab计算可得机密性权重为0.4522,可用性权重为0.2296,完整性权重为0.0931,权限权重为0.0931,不可否认性权重为0.0389,可控性权重为0.0931。主机的态势值是将各个属性的态势值进行加权求和得到,故主机态势值为0.69291。
网络内主机主要分为服务器和客户端两种,服务器一般具有重要的数据资源,在此定义服务器重要性权重为3,客户端重要性权重为1,权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析,数据库服务器的日志不存在异常现象,即可认为数据库服务器的网络态势值为0,依据格式计算可得网络安全态势值为0.51968。
若安全信息量继续增大,可按照本节计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是用来展现不同时间点不同主机的网络安全态势情况,故在考虑的时间点较多的情况下,可构建网络安全态势值与时间点形成的网络安全态势曲线,由此可以推测未来网络的安全趋势和受到的攻击类型。
四、结论
本文提出了需要采集的多维、深层次网络安全数据集,建立了基于原子态势的安全态势分析流程和模型,并搭建了局域网的实验环境,利用网络环境中两台服务器日志数据分析了Web服务器的主机态势及该局域网的网络态势,并提出了未来网络安全态势趋势预测的方法。