前言:中文期刊网精心挑选了网络安全态势感知技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全态势感知技术范文1
中图分类号:TP393 文献标识码:A
0.引言
随着计算机网络的高速发展,各种新型的网络攻击手段不断出现,网络安全的问题成为计算机网络使用者和管理员们高度关注的问题。由于各行各业活动都开始线上线下共同发展,因而网络作为现代人们活动的主要场所,其安全性也成为了现代社会关注的焦点问题之一。由于网络信息交流主要依赖于数字化信息,而数字信息容易受到攻击,而被破坏盗用,引发诸多不安全问题。传统的网络安全防御措施,如:查看安全日志、添加和配置网络安全设备(防火墙、路由器访问控制列表、IDS等)无法全局地分析网络的安全状况和预测网络安全的态势发展。网络安全技术也在不断变革,从传统的入侵检测、入侵防御到入侵容忍、可生存性研究等。
网络安全态势是一种通过现有的网络信息进行实施评估系统安全的研究领域,通过对信息的分析,为网络管理员的操作提供依据,避免即将到来的网络不安因素和风险,将损失降到最低,安全态势评估准确性提高,可以为网络管理员决策提供更加有力的信息支持。
网络安全态势感知NSSA(network security situ-ation awareness)是目前的研究热点,它能实时感知安全风险,使安全分析员可以掌握网络安全状况,从而为准确决策提供可靠依据,将安全事件带来的风险和损失降低到最低限度。网络安全态势感知通过分析威胁传播对网络系统的影响,对系统的安全性进行全面、准确地评估,并提供出对应的系统加固方法,通过不同的数据模型进行相关算法的优化分析,有效地抑制威胁的扩散。
1.基于时空维度分析的网络安全态势感知
空间数据发觉理论是针对实体的几何形状、物理位置、拓扑结构、维度等进行研究的空间特性的理论和方法,早期主要应用于环境研究、地理信息系统、交通控制、医学影像识别等领域。后来,由于具有空间特性的网络数据也逐渐被引用到网络安全领域中了。
基于时间维度分析的网络安全态势模型对已经出现的攻击序列Asi进行攻击追踪分析,在攻已成功实施攻击的情况下,不存在继续被攻击序列利用的脆弱性,所以该攻击序列不会再发生变化;其次,对已攻击序列进行时间序列的分析,由于时空维度模型(ARMA)在安全态势领域的预测结果误差较小,所以选用ARMA模型进行分析。ARMA模型首先进行平稳性检测。
基于时空维度分析的网络安全态势感知系统,从网络体系中的进攻方、防御方、环境三方进行安全态势的要素集收集,然后在时空维度上进行对未来各个时间段内的网络安全态势要素集的预测,并根据要素集之间的关联性在空间维度模型上进行数据发掘计算网络的安全态势。最后利用公用数据集DARPA进行结果验证,证明基于时间维度的感知模型是可以提高安全态势的预测能力的。
2.基于Markov博弈模型的网络安全态势感知
传统认知态势感知的核心是对态势量化进行评估。我们首先要对数据进行采集,将其中检测出的安全类数据进行融合并进行归类,如:威胁集合、信息集合、脆弱性集合和网络架构等信息。将这部分数据进行格式规范化并保存在数据库中,这样就可以进行数据地实时操作了;其次,对集合中的每个威胁元素建立TPN;并对用户、管理者、威胁进行Markov模型的博弈分析,评估单个威胁的保密性态势以此来给出优化的系统加固方案;最终,对威胁集合中的保密性态势进行综合分析进而评估系统的保密性安全态势;同理,我们可以评估系统的可用性态势和完整性态势。针对不同的网络系统应用环境和需求,对系统的完整性、保密性、安全性、可用性态势加权,以此评估整个系统当前的安全态势情况。
系统在不同的时间段内安全态势是相互关联的,态势预测模块以态势评估结果为基础。我们可以利用此种相关联的态势变化规律结果进行分析和预测。
Markov博弈模型通过态势评估将资产、威胁、脆弱性之间的关系进行了详细地描述,评估结果准确、全面、具有科学客观性,为管理者提供的系统加固方案能很好地针对具体的某个威胁找到其路径和节点,有效地提供了系统安全性、抑制了威胁的扩散。
3.基于神经网络的网络安全态势感知
BP神经网络模型的并行处理能力,自适应性相对较强,因而灵活性相对较高,能够利用任意精度处理函数关系。除此之外,由于不确定的非线性态势值,传统模型的预测结果误差相对较大。RBF网络在对复杂系统的描述中,可以进行非线性系统描述,因而在网络安全预测中可以发挥巨大的作用,因此神经网络参数优化可以通过遗传算法进行。
RBF态势预测模型最主要进行基函数中心、宽度的计算以及隐节点数目和隐层的计算,从而降低预测误差,建立相对精确到网络。遗传算法的全局搜索性相对较高,因而局部极值出现的可能性有效降低,基于这一点,RBF网络利用遗传算法可以有效优化参数、结构。
基于BP神经网络评估模型,引入了遗传算法,对网络态势预测相关参数进行有效优化,从而提高态势预测的准确性、有效性。
结语
本文综述了3种基于数学模型建立的网络安全态势感知系统,从网络安全态势感知的预测、发现、解决、系统的加固给出了具体的方法,针对不同算法的优化进行了简要的描述。在实际网络应用中应根据不同的情况进行感知系统的选择。
参考文献
[1]张勇.基于Markov博弈模型的网络安全态势感知方法[J].软件学报,2011,22(3):495-508.
网络安全态势感知技术范文2
目前随着互联网的发展普及,网络安全的重要性及企业以及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势,还包括对威胁事件的预判,为网络安全管理员的决策分析和溯源提供有力的依据,将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。
那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中,静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。
电力企业作为承担公共网络安全艰巨任务的职能部门,通过有效的技术手段和严格的规范制度,对本地互联网安全进行持续,有效的监测分析,掌握网络安全形势,感知网络攻击趋势,追溯恶意活动实施主体,为重要信息系统防护和打击网络违法活动提供支撑,保卫本地网络空间安全。
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面很早就已经做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。
1安全态势感知系统架构
网络安全态势感知系统的体系架构(如图一),由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。
网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上,进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置,态势展示则结合上述三个模块的数据进行综合的展示,身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下,进行网络安全事件关联分析和威胁情报的深度挖掘,形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理,通报下发,调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。
1.1数据采集层
数据采集系统组成图(如图二),由采集集群与数据源组成,采集集群由管理节点,工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。
1.2基础数据管理
基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三),数据存储访问组件式基础数据平台的多源数据整合组件,整合流量安全事件、非流量平台接入数据、互联网威胁数据等,网络安全态势感知,分析与预警涉及的数据较广,有效地态势分析与预测所需资源库需要大量有效数据的支撑,因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作,并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。
1.3威胁线索分析
网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业,包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。
1.4网络安全态势分析
态势分析功能(如图五)应从宏观方面,分析整个互联网总体安全状况,包括给累网络安全威胁态势分析和展示;微观方面,提供对特定保护对象所遭受的各种攻击进行趋势分析和展示,包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件,网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外,态势分析应提供网络安全总体态势的展示和呈现。
1.5攻击反制
通过分析发现的安全事件,根据目标的IP地址进行攻击反制,利用指纹工具获得危险源的指纹信息(如图六),如操作系统信息、开放的端口以及端口的服务类别。漏洞扫描根据指纹识别的信息,进行有针对性的漏洞扫描[4],发现危险源可被利用的漏洞。根据可被利用的漏洞进行渗透测试,如果自动渗透测试成功,进一步获得危险源的内部信息,如主机名称、运行的进程等信息;如果自动渗透测试失败,需要人工干预手动进行渗透测试。
通过攻击反制,可以进一步掌握攻击组织/攻击个人的犯罪证据,为打击网络犯罪提供证据支撑。
1.6态势展示
图七:态势展示图
态势展示依赖一个或多个并行工作的态势分析引擎(如图七),基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析,借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出,数据分析结果通过大数据可视化技术进行展示[5]。
2安全态势感知系统发展
网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析,凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势。众所周知,网络安全态势感知的发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同。根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测[6]。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。
3结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策[7]。
网络安全态势感知技术范文3
摘 要:网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点;最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。
关键词:态势感知;网络安全;数据融合;态势预测
中图分类号: TP393.08 文献标志码:A
Research survey of network security situation awareness
XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng
(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )
Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.
Key words: Situation Awareness (SA); network security; data fusion; situational prediction
0 引言
随着网络的飞速发展,安全问题日益突出,虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。
网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。
1 网络安全态势感知概述
1988年,Endsley首次明确提出态势感知的定义,态势感知(Situation Awareness, SA)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”[1],该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。
1999年,Bass等[2]指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situational awareness)”,并且基于数据融合的JDL(Joint Directors of Laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。
虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。
Endsley[1]和Bass[2]为网络安全态势感知的研究奠定了基础。基于Endsley[1]态势感知的概念模型和Bass[2]的功能模型,后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:
1)网络安全态势要素的提取;
2)网络安全态势的评估;
3)网络安全态势的预测。
下面将从这3个方面对网络安全态势的研究进行详细的阐述。
2 网络安全态势的提取
准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的提取存在很大难度。
目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。
国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等[3]和Wang等[4-5]采集网络的脆弱性信息来评估网络的脆弱性态势;Ning等[6-7]采集网络的警报信息来评估网络的威胁性态势;Barford等[8]和Dacier等[9]利用honeynet采集的数据信息,来评估网络的攻击态势。
国内的学者一般综合考虑网络各方面的信息,从多个角度分层次描述网络的安全态势。如王娟等[10]提出了一种网络安全指标体系,根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标,并拟定了20多个一级指标构建网络安全指标体系,通过网络安全指标体系定义需要提取的所有网络安全态势要素。
综上所述,网络安全态势要素的提取存在以下问题:1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。
第1期 席荣荣等:网络安全态势感知研究综述 计算机应用 第32卷3 网络安全态势的理解
网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。本文将该过程称为态势评估,数据融合是网络安全态势评估的核心。
网络安全态势评估摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。
目前应用于网络安全态势评估的数据融合算法,大致分为以下几类:基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。
3.1 基于逻辑关系的融合方法
基于逻辑关系的融合方法依据信息之间的内在逻辑,对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。
警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观的攻击态势。警报之间的逻辑关系分为:警报属性特征的相似性,预定义攻击模型中的关联性,攻击的前提和后继条件之间的相关性。Ning等[6-7]实现了通过警报关联,从海量警报信息中分析网络的威胁性态势的方法。
基于逻辑关系的融合方法,很容易理解,而且可以直观地反映网络的安全态势。但是该方法的局限性在于:1)融合的数据源为单源数据;2)逻辑关系的获取存在很大的难度,如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度;3)逻辑关系不能解释系统中存在的不确定性。
3.2 基于数学模型的融合方法
基于数学模型的融合方法,综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合R到态势空间θ的映射关系θ=f(r1,r2,…,rn),ri∈R(1≤i≤n)为态势因素,其中最具代表性的评定函数为加权平均。
加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等[11]提出的层次化网络安全威胁态势量化评估方法,对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。
加权平均法可以直观地融合各种态势因素,但是其最主要的问题是:权值的选择没有统一的标准,大都是依据领域知识或者经验而定,缺少客观的依据。
基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源,但是当前网络安全设备提供的信息,在一定程度上是不完整的、不精确的,甚至存在着矛盾,包含大量的不确定性信息,而态势评估必须借助这些信息来进行推理,因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息,最好的解决办法是利用对象的统计特性和概率模型进行操作。
3.3 基于概率统计的融合方法
基于概率统计的融合方法,充分利用先验知识的统计特性,结合信息的不确定性,建立态势评估的模型,然后通过模型评估网络的安全态势。贝叶斯网络、隐马尔可夫模型(Hidden Markov Model, HMM)是最常见的基于概率统计的融合方法。
在网络态势评估中,贝叶斯网络是一个有向无环图G=〈V,E〉,节点V表示不同的态势和事件,每个节点对应一个条件概率分配表,节点间利用边E进行连接,反映态势和事件之间概率依赖关系,在某些节点获得证据信息后,贝叶斯网络在节点间传播和融合这些信息,从而获取新的态势信息。以色列IBM海法实验室的Etzion等[12]在不确定性数据融合方面作了大量的研究工作,Etzion等[12]和Gal[13] 提出利用贝叶斯网络进行态势感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于贝叶斯网络,通过融合多源数据信息评估网络的攻击态势[14-16]。李伟生等[17]根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型,并给出相应的信息传播算法,以安全事件的发生为触发点,根据相应的信息传播算法评估网络的安全态势。
HMM相当于动态的贝叶斯网络,它是一种采用双重随机过程的统计模型。在网络态势评估中,将网络安全状态的转移过程定义为隐含状态序列,按照时序获取的态势因素定义为观察值序列,利用观察值序列和隐含状态序列训练HMM模型,然后运用模型评估网络的安全态势。Arnes等[18-19]和Ourston等[20]将网络安全状态的变化过程模型化为隐马尔可夫过程,并通过该模型获取网络的安全态势。
基于概率统计的融合方法能够融合最新的证据信息和先验知识,而且推理过程清晰,易于理解。但是该方法存在以下局限性:1)统计模型的建立需要依赖一个较大的数据源,在实际工作中会占有很大的工作量,且模型需要的存储量和匹配计算的运算量相对较大,容易造成维数爆炸的问题,影响态势评估的实时性;2)特征提取、模型构建和先验知识的获取都存在一定的困难。
3.4 基于规则推理的融合方法
基于规则推理的融合方法,首先模糊量化多源多属性信息的不确定性;然后利用规则进行逻辑推理,实现网络安全态势的评估。目前DS证据组合方法和模糊逻辑是研究热点。
DS证据组合方法对单源数据每一种可能决策的支持程度给出度量,即数据信息作为证据对决策的支持程度。然后寻找一种证据合成规则,通过合成能得出两种证据的联合对决策的支持程度,通过反复运用合成规则,最终得到全体数据信息的联合体对某种决策总的支持程度,完成证据融合的过程。其核心是证据合成规则。Sabata等[16] 提出了一个多源证据融合的方法,完成对分布式实时攻击事件的融合,实现对网络态势的感知。徐晓辉等[22]将DS理论引入网络态势评估,对其过程进行了详细描述。
在网络态势评估中,首先建立证据和命题之间的逻辑关系,即态势因素到态势状态的汇聚方式,确定基本概率分配;然后根据到来的证据,即每一则事件发生的上报信息,使用证据合成规则进行证据合成,得到新的基本概率分配,并把合成后的结果送到决策逻辑进行判断,将具有最大置信度的命题作为备选命题。当不断有事件发生时,这个过程便得以继续,直到备选命题的置信度超过一定的阈值,证据达到要求,即认为该命题成立,态势呈现某种状态。
模糊逻辑提供了一种处理人类认知不确定性的数学方法,对于模型未知或不能确定的描述系统,应用模糊集合和模糊规则进行推理,实行模糊综合判断。
在网络态势评估中,首先对单源数据进行局部评估,然后选取相应的模型参数,对局部评估结果建立隶属度函数,将其划分到相应的模糊集合,实现具体值的模糊化,将结果进行量化。量化后,如果某个状态属性值超过了预先设定的阈值,则将局部评估结果作为因果推理的输入,通过模糊规则推理对态势进行分类识别,从而完成对当前态势的评估。Rao等[23]利用模糊逻辑与贝叶斯网络相结合的方法,对多源数据信息进行处理,生成宏观态势图。李伟生等[24]使用模糊逻辑的方法处理事件发生的不确定性,基于一定的知识产生对当前态势的假设,并使用DS方法对获得的信息进行合成,从而构造一个对战场态势进行分析、推理和预测的求解模型。
基于规则推理的融合方法,不需要精确了解概率分布,当先验概率很难获得时,该方法更为有效。但是缺点是计算复杂度高,而且当证据出现冲突时,方法的准确性会受到严重的影响。
4 网络安全态势的预测
网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。
由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程,限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。
神经网络是目前最常用的网络态势预测方法,该算法首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等[25]和Lai等[26]分别利用神经网络方法对态势进行了预测,并取得了一定的成果。
神经网络具有自学习、自适应性和非线性处理的优点。另外神经网络内部神经元之间复杂的连接和可变的连接权值矩阵,使得模型运算中存在高度的冗余,因此网络具有良好的容错性和稳健性。但是神经网络存在以下问题,如难以提供可信的解释,训练时间长,过度拟合或者训练不足等。
时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律,将这种规律延伸到未来,从而对态势的未来做出预测。在网络安全态势预测中,将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数,即:x=f(t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,…,L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。
时间序列预测法实际应用比较方便,可操作性较好。但是,要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂的。
支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等[27]根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。
综上所述,神经网络算法主要依靠经验风险最小化原则,容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时,学习过程误差易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,又陷入维数灾难,泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是不理想。支持向量机有效避免了上述算法所面临的问题,预测绝对误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。
5 结语
本文基于网络安全态势感知的概念模型,详细阐述了态势感知中三个主要的研究内容:安全态势要素提取、态势理解和态势预测,重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段,许多问题有待进一步解决,本文认为未来的研究方向有以下几个方面。
1)网络安全态势的形式化描述。
网络安全态势的描述是态势感知的基础。网络是个庞大的非线性的复杂系统,复杂系统描述本身就是难点。在未来的研究中,需要具体分析安全态势要素及其关联性,借鉴已有的成熟的系统表示方法,对网络安全态势建立形式化的描述。其中源于哲学概念的本体论方法是重要的研究方向。本体论强调领域中的本质概念,同时强调这些本质概念之间的关联,能够将领域中的各种概念及概念之间的关系显式化,形式化地表达出来,从而表达出概念中包含的语义,增强对复杂系统的表示能力。但其理论体系庞大,使用复杂,将其应用于网络安全态势的形式化描述需要进一步深入的研究。
2)准确而高效的融合算法研究。
基于网络攻击行为分布性的特点,而且不同的网络节点采用不同的安全设备,使得采用单一的数据融合方法监控整个网络的安全态势存在很大的难度。应该结合网络态势感知多源数据融合的特点,对具体问题具体分析,有针对性地对目前已经存在的各种数据融合方法进行改进和优化。在保证准确性的前提下,提高算法的性能,尽量降低额外的网络负载,提高系统的容错能力。另一方面可以结合各种算法的利弊综合利用,提高态势评估的准确率。
3)预测算法的研究。
网络攻击的随机性和不确定性决定了安全态势的变化是一个复杂的非线性过程。利用简单的统计数据预测非线性过程随时间变化的趋势存在很大的误差。如时间序列分析法,根据系统对象随时间变化的历史信息对网络的发展趋势进行定量预测已不能满足网络安全态势预测的需求。未来的研究应建立在基于因果关系的分析之上。通过分析网络系统中各因素之间存在的某种前因后果关系,找出影响某种结果的几个因素,然后利用个因素的变化预测整个网络安全态势的变化。基于因果关系的数学模型的建立存在很大的难度,需要进一步深入的研究。另外,模式识别的研究已经比较广泛,它为态势预测算法奠定了理论基础,可以结合模式识别的理论,将其很好地应用于态势预测中。
参考文献:
[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.
[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems [C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: [s.n.], 1999: 24-27.
[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability [M]// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.
[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs [C]// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.
[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs [C]// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.
[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts [J]. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.
[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.
[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness [C]// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.
[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data [C]// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: [s.n.], 2008: S128-S139.
[10] 王娟,张凤荔,傅,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909.
[11] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.
[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model [EB/OL]. [20110425].省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.
[13] GAL A. Managing uncertainty in schema matching with topk schema mappings [J]. Journal on Data Semantics VI, 2006, 4090: 90-114.
[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.
[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information [EB/OL]. [20110420]. ritdml.rit.edu/handle/1850/10737.
[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment [C]// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.
[17] 李伟生,王宝树.基于贝叶斯网络的态势评估[J].系统工程与电子技术,2003,25(4):480-483.
[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions [C]// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.
[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems [C]// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.
[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks [C]// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.
[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.
[22] 徐晓辉,刘作良.基于DS证据理论的态势评估方法[J].电光与控制,2005,12(5):36-37.
[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach [C]// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: [s.n.], 2008: 26-28.
[24] 李伟生,王宝树.基于模糊逻辑和DS证据理论的一种态势估计方法[J].系统工程与电子技术,2003,25(10):1278-1280.
[25] 任伟,蒋兴浩,孙锬锋.基于RBF神经网络的网络安全态势预测方法[J].计算机工程与应用,2006,42(31):136-138.
[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network [C]// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.
[27] 张翔,胡昌振,刘胜航,等.基于支持向量机的网络攻击态势预测技术研究[J].计算机工程,2007,33(11):10-12.
[28]王娟.大规模网络安全态势感知关键技术研究[D].成都:电子科技大学,2010.
[29] 龚正虎,卓莹.网络态势感知研究[J].软件学报,2010,21(7):1605-1619.
[30]王慧强.网络安全态势感知研究新进展[J].大庆师范学院学报,2010,30(3):1-8.
[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition [J]. Proceedings of the IEEE, 1989, 77(2): 257-286.
[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology [C]// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.
[33] VALEUR F. Real time intrusion detection alert correlation [D]. Santa Barbara: University of California, 2006.
[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts [D]. Raleigh: North Carolina State University, 2006.
[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.
[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation [C]// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.
[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey [J]. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.
[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment [C]// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.
[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.
[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks [D]. Linkping: Linkping University, 2002.
[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) [M]. Berlin: SpringerVerlag, 2009.
[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.
[43] RAOL J R. Multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.
收稿日期:20110801;修回日期:20110909。
网络安全态势感知技术范文4
关键词: 卡尔曼算法; 网络安全态势; 预测方法; 网络安全
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2016)03?0084?02
Analysis of network security situation prediction method based on Kalman algorithm
LI Xiaoling, HU Hai
(Gongqing College, Nanchang University, Jiujiang 332020, China)
Abstract: In recent years, the network information technology has rapid development, and is gradually entered into the development of all trades and professions, which changes people′s production mode and life style, and brings great convenience for people′s basic necessities. The network can provide great convenience for people while existing large hidden danger, which threatens people′s privacy and network security. It is necessary to analyze and predict the network security situation, and then find out a reasonable algorithm to analyze the situation. The scientific model of network security situation was established to provide effective information for the network managers to make the security decisions, and improve the network security degree. The Kalman algorithm is used to analyze the prediction method of network security situation. The superiority of the algorithm is analyzed.
Keywords: Kalman algorithm; network security situation; prediction method; network security
0 引 言
在信息技术的推动下,计算机和互联网技术得到迅速发展,其用户需求也在不断扩大,网络规范发展越来越重要,但是最近发生的网络安全事件频频出现,不利于网络多元化的发展趋势,在这种环境下人们更加重视网络安全问题。为了解决网络安全问题,确保网络系统的安全运行,必须对网络运行进行全面的评估和预测[1]。网络安全态势感知是网络安全健康需求而出现的一种新技术。态势预测是态势感知技术的最高级别,能够为网络管理者提供决策依据。传统的预测方法和理论并不能满足现代网络安全预测的需求,近几年人们逐渐开始应用基于卡尔曼算法的网络安全态势预测分析实际生活中遇到的网络安全问题,此预测方法在实际应用中具有较高的预测价值。
1 基于卡尔曼算法的网络安全态势预测算法分析
在进行卡尔曼算法网络安全态势分析实施之前,首先利用人工免疫的网络安全态势进行网路环境安全态势分析,以便找到网路安全态势中的预测值,顺利完成网络安全态势预测分析,提高网络安全性。所以本文采用人工免疫网络安全态势对网络安全实施评估,并在此基础上构建模型结构,如图1所示。
1.1 网络安全态势的卡尔曼算法分析
从网络安全方面来看,网络安全态势代表的是一种离散时间动态系统状态,对此系统进行分析的过程中,可以利用系统中描述状态向量的过程方程及其观测方式进行统一表示。从这方面来看其过程方程的表述方式为:
式中:[x(n)]表示的是该系统在离散时刻[n]的状态向量,这个向量是不可观测的,只能根据相关数据计算出来;[F(n+1,n)]表示的是此分析过程中所涉及的状态转移矩阵模式;[v1(n)]代表的向量属于过程噪声向量,它在系统中主要表示的是转移中间的加速性噪声。
式中:[J(n)]代表动态系数时间[n]的观测向量;[C(n)]代表动态系统的观测矩阵;[x(n)]代表经过[C(n)]的描述变成可观测的数量;[v2(n)]代表观测的噪声向量。
通过以上的分析与计算,可以使用卡尔曼滤波算法对网络安全态势进行详细的分析,再依据分析过程中设置的安全态势值[J(1),J(2),…,J(n)]进行相关分析,这时可以知道当[n≥1]时,可以利用方程式求出[x(i)]的各个分量。
1.2 卡尔曼预算算法分析
网络安全态势卡尔曼预测算法的步骤如下:
首先要分析初始条件:
2 仿真实验分析
2.1 实验环境和参数的设定
仿真实验的分析利用am anel+ +中模拟配置相同的20台主机构成服务器,同时选择部分合适的数据作为实验数据进行分析,采用各种攻击计算方式对网络运行过程中所涉及的各种服务器进行相应的分析与观测,以便为后来的计算铺垫基础,在此过程中主要涉及的服务器有3种,分别是:内打印机、虚拟ftp、数据库等服务器模式[2]。然后分别将这些服务器的参数设置为0.5,0.21,0.8。
2.2 计算机网络的安全态势值分析
在详细网络安全系统的分析过程中,在各个数据参数配置完成后进一步分析其安全性能,可以根据以上计算公式进行详细的分析,结合网络安全态势值,并将计算结果与网络攻击强度进行比较[3?4],结果如图2所示。
从图2中可以看出:网络攻击强度越高,相应的其网络安全态势越高;而当网络攻击强度下降,其网络安全态势也随之下降,二者是呈正相关关系。正因如此,在实际网络环境中当某一攻击在短时间内再次出现时,这个网络仍然能够保持警惕性,起到较好的预防攻击作用。
2.3 卡尔曼预测算法的预测结果
卡尔曼预测算法的公式为:
利用式(7)分析整个网络安全态势,并对此网络进行预测值分析,然后将计算结果和网络中的实际值进行分析、比较,如图3所示。
从图3中可以看出,此预测算法的预测结果与真实值的变化趋势有基本的一致性,表明本文的算法是可行的,为了进一步验证算法的有效性,也可以将此预测算法与卡尔曼预测算法进行比较,证实其有效性。
3 结 语
在实际网络环境中由于种种原因导致网络安全态势模型不能对安全态势值进行安全预测,导致网络安全受到较大的威胁,不利于网络信息多样化的发展。利用卡尔曼预测算法提出一种网络安全态势预测方法,能够较大幅度的提高网络安全性。从本文的分析中可以看出,此算法比较准确地预测了网络安全态势值,具有较大的实际预测价值,而且更加适用于实际网络环境中,促进网络环境的安全性。
参考文献
[1] 向西西,黄宏光,李予东,等.基于Kalman算法的网络安全态势预测方法[J].计算机仿真,2010,27(12):113?116.
[2] BASS T. Intrusion detection systems and multi?sensor data fusion: creating cyberspace situational awareness [J]. Communication of the ACM, 1999, 43(4): 99?105.
[3] 刘雷雷,臧洌,邱相存,等.基于Kalman算法的网络安全态势预测[J].计算机与数字工程,2014,42(1):99?102.
[4] 刘蕾蕾,邱向存,臧洌.基于灰关联熵的网络安全态势Kalman预测算法[J].科学技术与工程,2014,14(2):202?204.
网络安全态势感知技术范文5
随着信息技术的发展,网络的应用已经进入各个领域。近年来国内外网络安全领域对网络的安全态势评估十分关注,针对目前网络安全中数据源数量较多的特点,本文通过评价现有的安全态势并结合基于信息融合的网络安全态势评估模型,绘制安全态势图,以时间序列分析态势计算结果,进而实现网络安全趋势的预测,并结合网络数据对该模型和算法进行检验,证明该模型的准确性和有效性。
【关键词】安全态势评估 信息融合 时间序列 网络安全 预测
随着计算机通信技术的飞速发展,计算机网络得到广泛的应用。同时随着使用者的增多,网络规模愈加庞大,计算机网络安全问题也日益严重,传统的网络防御设施已经无法保全用户的网络安全,故需要对网络的安全态势进行评估。通过网络安全态势评估能够有效评价网络的安全状况,并对其发展趋势进行预警。
1 网络安全态势评估模型
计算机网络是由网络组件、计算机节点以及各种检测设备组成,这些设备承担着网络主机的监控任务,由其生成的网络日志与网络警报有着巨大的关联性。传统的网络安全态势评估方法一般通过单一网络检测设备提供的日志信息进行分析,其结果往往由于数据来源的全面性不足而出现较大的失真。故本文提出了基于信息融合的网络安全态势评估模型和算法,通过结合全部相关网络检测设备的日志,并融合其数据信息,另选取主机的漏洞信息和其提供的服务信息,关联外部攻击对网络安全的影响,采用时间序列分析,对未来的安全趋势进行预测,以弥补传统安全评估的不足之处。
本文中网络安全态势评估的步骤以四步完成:(1)分析全部相关检测设备的日志文件,融合数据源进行计算,以确定攻击发生率。(2)分析攻击漏洞信息和网络主机漏洞信息计算攻击成功概率,通过已知的攻击信息计算攻击的威胁值,融合推断主机的安全态势。(3)分析服务信息确定各主机权重,融合节点态势以确定网络安全。(4)根据安全态势的评估数据,加入时间序列分析,从而预测网络安全趋势。
2 基于信息融合的算法评估
基于信息融合的算法包括三个部分,节点态势融合、态势要素融合和数据源融合。节点态势融合采用主机是融合节点的安全和权重,从而确定网络安全;态势要素的融合则通过监测设备的结果显示外部攻击的概率,经过融合后计算节点的安全。基于信息融合的算法如下:
BEGlN
IatProbebiIity=0;
for aech assantieI vuInarebiIityavuI0,avuI1,,,avuInof etteck
IatRasuIt=chack_assantieI_vuI(avuIi,VI);
wharaVIis tha vuInarebiIity informetion of host
if (RasuItis TRUa)
continua;
aIsa
raturn 0;
if (thara is no othar vuInarebiIity etteck naads)
raturn 1;
if (RasuItis TRUE)
ProbebiIity+=wj;
wharawjis tha waight ofovuIj
aIsa
continua;
raturnProbebiIity.
END
3 基于时间序列分析的算法
时间序列算法是根据系统检测到的时间序列信息,采用参数建立数学模型,时间序列分析普遍用于气象预报等方面,其算法涵盖平稳性检验、自身系数检验和参数估计等,具体算法如下:
BEGlN
gat tha veIuas of tima sarias:x0,x1,,,xn;
IatRasuIt=chack_stetionery (x0,x1,,,xn);
whiIa(RasuItis FeISa)
Iat(y0,y1,,,yn-1)=diffarancing(x0,x1,,,xn);
IatRasuIt=chack_stetionery(y0,y1,,,yn-1);
continua;
IatQk=eutocorraIetion_coafficiant(x0,x1,,,xn);
Iat
IatModaI=gat_modaI(pk,
IatPerematars=gat_perematars(ModaI,x0,x1,,,xn);
IatRasuIt=chack_whita_noisa(C0,C1,,,Cn);
if(RasuItis TRUE)
raturn(ModaI, Perematars);
aIsa
raturn 0.
END
通过时间序列分析算法能够绘制出安全态势图谱,网络管理员则可通过图谱掌握网络安全的发展趋势,进而采取可靠的防护措施。
4 结语
本文通过分析已有的安全态势评估模型,结合网络中数据源相对较多的特点,提出基于信息融合的网络安全态势评估模型,分析多数据源下的漏洞信息与服务信息的关系,融合态势要素和节点态势分析网络安全态势,最后通过时间序列分析算法实现网络安全态势的预测。网络安全态势评估的方法层出不穷,通过优化现有模型并结合新技术能够创造出更多的网络安全态势评估模型,进而更加准确的预测网络安全的威胁来源以及网络安全态势的发展趋势。
参考文献
[1]王选宏,肖云.基于信息融合的网络安全态势感知模型[J].科学技术与工程,2010,28(02):6899-6902.
[2]张新刚,王保平,程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用,2012,09(04):1072-1074.
网络安全态势感知技术范文6
关键词:军事网络;安全威胁;评估;层次分析;模糊矩阵
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599(2012)02-0000-02
Network Security Threats Situation Assessment and Analysis Technology Study
Wang Qingfeng1,Fan Yanhong2
(Educational Technology Center of Military Transportation University,Tianjin300161,China)
Abstract:In recent years,network security and gradually developed into one of the outstanding problems of the Internet in the field,the global annual military network security breaches and leaks upward trend. How real-time grasp the dynamic changes of network security threats,the threat that might occur to make the early warning and timely response to become one of the urgent problems faced by our military network security field. In this paper,the trend of security threats,assess the introduction of elements,and explore the current path of research and analysis of network security threats.
Keywords:Military network;Security threats;Assessment;Analytic hierarchy;Fuzzy matrix
随着互联网技术和通信技术的不断发展,网络攻击技术也不断提升,网络安全事件时有发生,如我们所经历的熊猫烧香、IM通讯病毒、网银钓鱼木马等等。能否妥善应对网络安全威胁不仅关系到军队内网的正常运转及安全可控,而且直接影响到军队网络信息化战略目标的实现和国家利益。
一、网络安全威胁的概念
网络安全威胁主要包括病毒侵袭和黑客入侵两个方面。网络病毒是军事网络建设中最常遇到的网络安全威胁,传播速度快,影响范围广。它一般隐藏在下载文件或隐藏代码中,伺机在军队系统中进行大量复制,并可以通过U盘、网络、光盘等多种途径广泛传播。针对网络病毒,利用常见杀毒软件一般都可以防治,如360、瑞星等,但也不能因此盲目随从杀毒软件,必须对网络病毒的危害引起足够的重视。相对前者,黑客入侵的危害范围则要大许多,严重可导致系统网络瘫痪、增加维护成本甚至因数据丢失而造成不可挽回的损失。黑客入侵根据入侵的形式和特点可以分为非法入侵和拒绝服务(DOS)攻击两种,非法入侵指黑客通过系统网络漏洞潜入军队系统内部网络,对数据资源进行删除、毁坏等一系列攻击行为;拒绝服务目的性非常明显,一旦发生便可导致各兵种单位电脑甚至网络系统瘫痪,主要是阻止军队局域系统使用该服务或影响正常的生产经营活动。除了影响兵种单位和军队网络的正常工作外,从发展角度来说,网络安全威胁对于异构网络空间的信息传递、军队的指挥作战效能及军事情报的信息交流都有潜在的不利影响。
二、网络安全威胁态势评估内容及要素
(一)网络安全威胁态势评估内容
网络安全态势反映了军事网络过去和现在的安全状况,并通过对搜集数据的研究处理来预测下阶段可能受到的威胁攻击,对网络运行状况有一个宏观的把握。网络安全威胁的研究内容主要包括三个方面:一是搜集兵种单位各安全设备中的消息、警告信息等安全资料,将这些复杂的数据进行关联分析并归纳处理成为统一格式的安全信息;二是通过计算准确得出网络安全威胁态势值,将网络实际状况完整地表现出来。当分析的安全信息与系统主体的期望行为出现差异时,即被标注为潜在的威胁态势;三是利用相应的评估方法对态势值进行分析预测,为军事网络管理员了解安全问题、制定解决方案提供参考依据。
(二)网络安全威态势胁评估要素
在进行评估之前,首先要进行的工作是威胁识别。威胁识别分为威胁分类及威胁赋值两个步骤。威胁信息根据形成原因可归类为人为因素和环境因素,经过识别后要开始威胁赋值的工作,即将分散的、抽象的信息转化为可以定量分析的信息,用等级(分为5级)来表示威胁的发生频率。等级越高,表示发生机率越高,威胁越大。
风险=R(A,T,V),R:风险计算函数;A(ASSET):信息成本价值;T(THEAT):威胁评估等级;V(VULNERABILITY):网络脆弱等级。
通过公式,我们可以发现信息成本价值、安全威胁及安全漏洞是安全威胁态势评估的三个要素。安全漏洞的大小在一定程度上反映了成功攻击的概率,信息成本价值即实现成功攻击后对军事网络的整体影响。
信息成本价值体现了安全信息的重要性,漏洞与成本价值紧密相联,安全威胁即有可能造成军队系统、成本和数据损坏等一系列安全泄密事件的环境因素。威胁可利用系统漏洞造成对内网信息的损害,因此我们可以通过弥补安全漏洞来降低系统风险。由以上可知,风险评估就是在信息成本分析、威胁和漏洞识别的基础上,通过科学计算确定风险等级,并提出安全解决方案的过程。
三、威胁评估分析方法
(一)威胁评估指标
网络安全威胁可直接导致军队安全泄密事故,其获取手段主要包括以下六种:1.模拟入侵测试;2.顾问访谈;3.人工评估方式;4.安全信息审计;5.策略及文档分析;6.IDS取样。评估指标包括:1.确定重要的信息价值及安全要求;2.分析军队内网的薄弱部分并确定潜在威胁类型;3.评估威胁可以造成的实际损坏能力;4.分析威胁成功攻击的概率;5.推算遭受攻击所付出的代价;6.根据攻击范围计算安全措施费用。
(二)网络安全威胁态势分析技术
1.数据融合技术
数据融合的主要任务是将来自多个方面的安全数据经过关联分析、估计组合等一系列多层次处理,完成对军队网络当前状态运行状况及威胁重要程度的身份估计和位置确认,得到准确和可靠的结论。系统网络通过多个分布信息点的安全设备搜集不同格式的安全信息,为数据融合提供操作环境。数据融合技术可分为数据级融合、特征级融合和决策级融合三个级别,数据集融合信息处理量大,数据精度高,对系统硬件配置要求较高。而到了决策级融合,信息处理量少了许多,倾向于抽象和模糊层次分析,精度较差一些。目前,在网络安全威胁的跟踪分析过程中,数据融合技术为下一步的高层次态势感知和威胁估计工作做出了突出贡献。比较知名的数据融合技术主要有贝叶斯网络推理和DS证据理论。
2.威胁态势值分析
由之前介绍得知,风险评估的原理即:风险=资产成本*威胁等级*漏洞。为了准确计算威胁态势值,必须将各组成要素进行量化,转换成一定值域范围内的数据来表示网络当前运行状况及安全威胁发生的频率。通过态势值图表可以直观、实时地观察网络系统是否安全,威胁严重程度大小等,使网络管理者对系统安全状况有一个全面的了解和回顾。态势值分析主要有层次分析法、模糊层次分析法。
(1)层次分析法
层次分析法最初由美国运筹学家Santy于20世纪提出,至今为止已经在许多决策领域得广泛运用和发展。这种方法的优点是简化分析和计算过程,通过引入判断矩阵给予决策者精确的比较分析,以保持决策者思维过程的一致性。层次分析法原理清晰、简单,而且结构化、层次化明显,能够将复杂问题转换为具有层次关系的简单问题。但缺点也十分明显:一是当同一层次的数据较多时,通过判断矩阵难以使指标达成一致,容易干扰决策者的判断;二是判断矩阵与决策者的思维存在差异,计算得出的经验数据缺乏有效的科学证明。基于这两个问题,对层次分析法进行改进,从而产生了更加实用的模糊层次分析法。
(2)模糊层次分析法
模糊层次分析法集模糊学、层次分析和权衡理论于一体,相对于层次分析法简化了判断的复杂程度,利用模糊矩阵实现数据的定量转换,使之前的问题得到有效解决。模糊层次分析主要包括四个步骤:
1)确定隶属函数。隶属函数表示隶属度的概念,用来确定军事环境中的模糊界限。在实践过程中需要为每一个评估因子确定隶属函数,威胁信息和漏洞的隶属函数可以根据具体情况进行自定义设定。
2)建立模糊矩阵。R=(资产,漏洞,威胁),通过风险计算函数对各评估因素分别进行评价。R可以看作各单项指标的集合,风险级别由低到高可分为5个等级,对军事评估系统中的各个单项因素进行评价,然后通过相对的隶属函数分别对自身指标的风险级别进行确定。
3)权重模糊矩阵。通常来说,高风险因子造成的综合风险级别较高,因此单项因素中风险级别较高的因子应得到更大的重视,即权重模糊矩阵。
4)模糊综合评价计算方式。进行单项因素评价并确认权重以后,可以得到两个模糊矩阵,通过模糊综合评价模型(Y=B x R)计算得到最后的模糊评价结果,使安全分析实现量化。
参考文献:
[1]萧海东.网络安全态势评估趋与趋势感知的分析研究[D].上海交通大学,2007
[2]刘铎.军队计算机网络信息安全与防范对策[J].计算机技术与应用进展,2008
[3]王桂娟,张汉君.网络安全的风险分析[J].计算机与信息技术,2001
[4]翟志明,徐继骋等.军队网络安全探析[J].尖端科技,2010
[5]韩立岩,汪培庄.应用模糊数学[M].首都经济贸易大学出版社,1998
[作者简介]
