有关网络安全的态势感知系统研究

有关网络安全的态势感知系统研究　肖澜岚　（辽宁省科学技术情报研究所辽宁　沈阳　１１０８３８）　中图分类号：Ｘ９　文献标识码：Ａ　文章编号：１６７３—５８１１（２０１３）０２—０３４５—０１　摘要：文章通过总结网络安全态势感知的现存问题，提出了一种基于知识发现的网络安全态势建模与生成框架，在该框架的基础　上设计并实现了网络安全态势感知系统　该系统主要由安全态势建模和安全态势生成两部分组成　—　关键词：网络安全安全态势建模安全态势生成知识发现。　－　２．２安全告警事件精简和过滤　通过实验观察发现．安全传感器的原始告警事件集中存在大　网络安全态势感知在安全告警事件的基础上提供统一的网　络安全高层视图．使安全管理员能够快速准确地把握网络当前　的安全状态．并以此为依据采取相应的措施。实现网络安全态势　量无意义的频繁模式．而且这些频繁模式大多是与系统正常访问　感知．需要在广域网环境中部署大量的、多种类型的安全传感　或者配置问题相关的　如果直接在这样的原始入侵事件集上进　器．来监测目标网络系统的安全状态。通过采集这些传感器提供　行知识发现．必然产生很多无意义的知识　因此．需要以Ｄ—Ｓ证　的信息．并加以分析、处理，明确所受攻击的特征，包括攻击的来　据理论为基础建立告警事件筛选机制．根据告警事件的置信度　源、规模、速度、危害性等，准确地描述网络的安全状态，并通过　进行程序的统计分析。首先，利用程序自动统计各类安全事件的　可视化手段显示给安全管理员．从而支持对安全态势的全局理　分布情况。然后，利用Ｄ—Ｓ证据理论．通过精简和过滤规则评判　各类告警事件的重要性．来删除无意义的事件。　解和及时做出正确的响应　１．网络安全态势建模　安全态势建模的主要目的是构建适应于度量网络安全态势　２－３安全态势关联规则提取　在知识发现过程中发现的知识．通过加入关联动作转化为安　的数据模型．以支持安全传感器的告警事件精简、过滤和融合的　全态势的关联规则，用于网络安全态势的在线关联分析。首先．　通用处理过程　用于安全态势建模的数据源主要是分布式异构　分析ＦＰ—Ｔｒｅｅ算法所挖掘的安全告警事件属性间的强关联规则．　传感器采集的各种安全告警事件　网络安全态势建模过程是由　多个阶段组成的　在初始的预处理阶段　通过告警事件的规格　化．将收到的所有安全事件转化为能够被数据处理模块理解的　标准格式　这些告警事件可能来自不同的传感器，并且告警事件　的格式各异，例如ＩＤＳ的事件、防火墙日志、主机系统日志等。规　格化的作用是将传感器事件的相关属性转换为一个统一的格　如果该规则所揭示的规律与某种正常访问相关．则将其加入删　除动作，并转化成安全告警事件的过滤规则。接着．分析Ｗｉｎｅｐｉ　算法所挖掘的安全告警事件间的序列关系　如果这种序列关系　与某种类型的攻击相关．形成攻击事件的组合规则．则增加新的　安全攻击事件　最后．将形成的关联规则转化成形式化的规则编　码．加入在线关联知识库。　３．网络安全态势生成算法　式　我们针对不同的传感器提供不同的预处理组件．将特定传感　器的信息转换为预定义的态势信息模型属性值。根据该模型，针　对每个原始告警事件进行预处理．将其转换为标准的格式，各个　属性域被赋予适当的值　在态势数据处理阶段．将规格化的传感　器告警事件作为输入．并进行告警事件的精简、过滤和融合处　理　其中　．事件精简的目标是合并传感器检测到的相同攻击的一　系列冗余事件　典型的例子就是在端口扫描中．ＩＤＳ可能对各端　网络安全态势就是被监察的网络区域在一定时间窗口内遭　受攻击的分布情况及其对安全目标的影响程度　网络安全态势　信息与时间变化、空间分布均有关系，对于单个节点主要表现为　攻击指数和资源影响度随时间的变化．对于整个网络区域则还　表现为攻击焦点的分布变化　对于某一时刻网络安全态势的计　算．必须考虑一个特定的评估时间窗口Ｔ．针对落在时间窗１：３内　口的每个扫描包产生检测事件．通过维护一定时间窗口内的事　的所有事件进行风险值的计算和累加。随着时间的推移．一些告　件流　对同一来源、同一目标主机的同类事件进行合并，以大大　警事件逐渐移出窗口．而新的告警事件则进入窗口。告警事件发　减少事件数量　事件过滤的目标是删除不满足约束要求的事件．　生的频度反映了安全威胁的程度　告警事件频发时．网络系统的　这些约束要求是根据安全态势感知的需要以属性或者规则的形　风险值迅速地累积增加：而当告警事件不再频发时．风险值则逐　式存储在知识库中　例如．将关键属性空缺或不满足要求范围的　事件除去．因为这些事件不具备态势分析的意义。另外，通过对　事件进行简单的确认．可以区分成功攻击和无效攻击企图。在事　件的过滤处理时．无效攻击企图并不被简单地丢弃．而是标记为　无关事件．因为即使是无效攻击也代表着恶意企图．对最终的全　局安全状态会产生某种影响　通过精简和过滤．重复的安全事件　势信息得到了保留　事件融合功能是基于Ｄ—Ｓ证据理论提供的．　其通过将来自不同传感器的、经过预处理、精简和过滤的事件引　判．从而有效降低安全告警事件的误报率和漏报率，并且可以　为网络安全态势的分析、推理和生成提供支持。　２．网络安全态势生成　渐地降低。首先。需要根据融合后的告警事件计算网络节点的风　险等级。主要考虑以下因素：告警置信度ｃ、告警严重等级ｓ、资源　影响度ｉｎ。其中，告警可信度通过初始定义和融合计算后产生：告　警严重等级被预先指定．包含在告警信息中：资源影响度则是指　攻击事件对其目标的具体影响程度．不同攻击类别对不同资源　造成的影响程度不同，与具体配置、承担的业务等有关。此外，还　４．结束语　被合并．事件数量大大减少而抽象程度增加．同时其中蕴含的态　应考虑节点的安全防护等级Ｐｎ、告警恢复系数Ｒｎ等因素。　本文提出了一个基于知识发现的网络安全态势建模和生成　系统支持网络安全态势的准确建模和高效生成　实验表明本系　统具有统一的网络安全态势建模和生成框架：准确构建网络安　入不同等级的置信度．融合多个属性对网络告警事件进行量化　框架。在该框架的基础上设计并实现了网络安全态势感知系统．　２．１知识发现的关联规则提取　用于知识发现的数据来源主要有两个：模拟攻击产生的安　全态势度量的形式模型：通过知识发现方法，有效简化告警事件　库．挖掘频繁模式和序列模式并转化为态势关联规则。　全告警事件集和历史安全告警事件集。知识发现就是在这样的　参考文献：　告警事件集上发现和抽取出态势关联所需要的知识　由于安全　【１］葛咏．图像线状模式的有限混合模型及其ＥＭ算法［Ｎ】．计算机　报警事件的复杂性，这个过程难以完全依赖于人工来完成。可以　学报．２０１１．　２］１￣１日华．一种基于高斯混合模型的距离图像分割算法［Ｎ】．软件　通过知识发现的方法．针对安全告警事件集进行模式挖掘、模式　【分析和学习．以实现安全态势关联规则的提取。　学报．２０１３．　３４５