基于安全信息态势挖掘研究.docVIP

基于安全信息态势挖掘研究 　　【摘 要】本文提出了需要采集的多维、深层次网络安全数据集，并给出了从原子态势到主机态势以及到网络态势的层次化分析流程；采用了自信息熵理论来计算原子态势发生的概率，并利用加权求和的方法对各层次态势进行分析和研究；最后，使用真实的网络环境数据对提出的分析流程和模型进行了验证。 【关键词】安全信息 原子态势 安全态势 数据分析； 一、引言 随着互联网的飞速发展，网络攻击事件多发，攻击黑客不断增加以及攻击手段愈加复杂，使来自网络的威胁猛烈地增长，网络安全遭受重大挑战。为了进一步加强网络安全，保护人们的日常工作、学习和生活，快速掌握当前安全形势，于是人们试图寻求一种评估当前环境“安全态势”的方法，以判断网络的安全性和可靠性。 网络安全专家Bass[1]提出了网络安全态势感知（Network Security Situation Awareness， NSSA）的概念，这种理论借鉴了空中交通监管（Air Traffic Control，ATC）态势感知的成熟理论和技术。网络态势是指由各种网络软硬件运行状况、网络事件或行为以及网络用户行为等因素所构成的整个网络某一时刻的状态和变化趋势[2]。网络安全态势感知是在复杂的大规模网络环境中，对影响网络安全的诸多要素进行提取、阐述、评估以及对其未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是以采集到的安全数据和信息进行数据挖掘，分析其相关性并从网络威胁中获得安全态势图从而产生整个网络的安全状态[4]。本文基于网络的安全信息，建立网络安全态势感知评估模型，然后通过数据挖掘，分析出当前的网络安全态势。 二、需要采集的安全信息 为了分析当前网络的安全态势，需要针对要评估的内容进行相关安全数据的采集，之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势，本课题以原子态势为基础，构建需要采集的影响原子态势的多维、深层次安全数据集，具体如图1所示。 图1主机安全态势需要采集的安全数据集 （一）原子态势 主机安全态势包含多个原子态势，是整个网络安全态势评估分析的基础和核心，由此可以推出所在主机的安全状态。 （二）需要采集的安全数据 分析各个原子态势，其中包含信息泄露类原子态势、数据篡改类原子态势、拒绝服务类原子态势、入侵控制类原子态势、安全规避类及网络欺骗类原子态势，由此可以分析出需要在主机采集的安全信息数据。因为网络安全态势是动态的，所以它随着当前的网络运行状况的变化而变化，这些变化包括网络的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素。原子态势是影响网络安全状况的基础态势，故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。图1中的原子态势一般只用于分析一个主机的安全性，如果要分析一个网络的安全性，需要对网络中各主机的安全信息进行挖掘分析，进而得出整个网络的安全态势。 三、基于安全信息的态势挖掘模型 本文中使用全信息熵理论协助网络安全态势感知评估，全信息的三要素分别代表的含义如下：语法信息是指从网络安全设备中得到某一类威胁事件，并转换为概率信息；语义信息是指该类威胁事件具体属于什么类型；语用信息是某一类威胁事件对网络造成的威胁程度。 （一）网络安全态势分析过程 根据采集操的安全数据集，进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势的一系列的过程，具体如图2所示。 详细的网络安全态势分析评估流程如下： 1.从网络安全部件中提取各种原子态势，对原子态势进行预处理后提取两个量化指标：原子态势频率和原子态势威胁程度。然后根据不同类型的原子态势，计算分析相应的原子态势情况。 图2 基于安全信息的 图3 实验网络环境 安全态势评估流程 2.将原子态势利用加权信息熵的相关理论计算原子态势值； 3.依据原子态势和原子态势值，分析计算主机安全态势和主机安全态势值； 4.根据网络中主机的安全态势状态，利用安全数据挖掘模型计算网络安全态势。 （二）原子态势分析量化 为了全面科学评价原子态势给网络带来的威胁和损失，将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。这里常采取的方法是根据指标的实际数据将指标归一化到[0，1] 之间。 原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合，用原子态势发生概率表示，设第i 个原子态势发生概率为Pi，且（m为网络系