基于安全信息的态势挖掘分析.doc

基于安全信息的态势挖掘分析 摘要：本文提出了需要采集的多维、深层次网络安全数据集，并建立了从原子态势、主机态势及网络态势的层次化分析流程；采用自信息熵的理论去计算原子态势发生的概率，利用加权求和的方法对各层态势进行分析；最后，使用真实的网络环境数据对提出的分析流程和模型进行了验证。 关键词：安全信息；原子态势；安全态势；数据分析； 引言 随着我国互联网的飞速发展，网络环境日益复杂，攻击用户不断增加以及攻击手段愈加复杂，使来自网络的威胁猛烈地增长，网络安全遭受重大挑战。为了进一步加强网络安全，保护人们的日常工作、学习和生活，快速掌握当前安全形势，于是人们试图寻求一种评估当前环境“安全态势”的方法，以判断网络的安全性和可靠性。 网络安全专家Bass[1]提出了网络安全态势感知(Network Security Situation Awareness, NSSA)的概念，借鉴了空中交通监管(Air Traffic Control，ATC)态势感知的成熟技术和理论。网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势[2]。网络安全态势感知是在大规模网络环境中，对影响网络安全的诸多要素进行获取、理解、评估以及未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是通过整合采集到的安全数据和信息，进行数据挖掘，分析其相关性并从威胁中获得安全态势图来得到整个网络的安全状态[4]。本文基于网络的安全信息，建立网络安全态势感知评估模型，通过数据挖掘，分析当前网络的安全态势。 需要采集的安全信息 为了分析当前网络的安全态势，需要针对要评估的内容进行相关安全数据的采集，之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势，本课题以原子态势为基础，构建需要采集的影响原子态势的多维、深层次安全数据集，具体如图1所示。 图1主机安全态势需要采集的安全数据集 (1) 原子态势 主机安全态势包含多个原子态势，是整个网络安全态势评估分析的基础和核心，由此可以推出所在主机的安全状态。 (2) 需要采集的安全数据 分析各个原子态势，其中包含信息泄露类原子态势、拒绝服务类原子态势、数据篡改类原子态势、入侵控制类原子态势、网络欺骗类原子态势及安全规避类原子态势，由此可以分析出需要在主机采集的安全数据。 由于网络安全态势是动态的，它随着当前的网络运行状况的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素发生变化。原子态势是影响网络安全状况的基础态势，故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。 图1的原子态势一般只用于分析一个主机的安全性，如果要分析一个网络的安全性，需要对网络中各主机的安全信息进行挖掘分析，进而得出整个网络的安全态势。 基于安全信息的态势挖掘模型 本文将全信息熵理论引入到网络安全态势感知评估中，全信息的三要素分别代表的含义如下[5]：语法信息是指从网络安全设备中得到某一类威胁事件，并转换为概率信息；语义信息是指该类威胁事件具体属于什么类型；语用信息是某一类威胁事件对网络造成的威胁程度。 网络安全态势分析过程 根据采集操的安全数据集，进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势等一系列的过程，具体如图2所示。 准备 安全数据指标量化 计算威胁发生概率和程度 评估和分析原子态 通过原子态分析主机状态 通过主机的安全态势分析网络安全态势 图2 基于安全信息的安全态势评估流程 具体的网络安全态势分析评估流程如下所示： （1）从网络安全设备中提取各种原子态势，对原子态势进行分类后提取原子态势频率和原子态势威胁程度两个量化指标。针对原子态势类型不同，计算分析相应的原子态势。 （2）将原子态势利用加权信息熵的相关理论计算原子态势值； （3）根据原子态势和原子态势值，分析计算主机安全态势和主机安全态势值； （4）根据网络中主机的安全态势情况，利用安全数据挖掘模型分析网络安全态势。 原子态势分析量化 为了综合评价原子态势给网络带来的损失，将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间[6]。常用的方法是根据指标的实际数据将指标归一化到[0,1] 之间。 原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合，用原子态势发生概率表示，设第i 个原子态势发生概率为Pi，且 (m 为网络系统中原子态势的总数)；语义信息决定原子态势包含的态势内涵；语用信息是某一个原子态势的威胁程度，记为 w，当w 等于1 时，威胁程度最