网络安全态势范文1
关键词: 网络安全态势; 层次分析法; 预测研究; BP神经网络
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2017)01?0074?03
Abstract: Proceeding from the safe operation of the network system, the data which can reflect the network safe operation is extracted in the intrusion detection system, antivirus software and other security methods. A set network security situation eva?luation system was established in the aspects of threat, vulnerability, risk and basic running of the network safe operation. The analytic hierarchy process is used to calculate the evaluation system to obtain the comprehensive safety indicator used to character the network security running state. The BP neural network is used to forecast the network security status on the basis of the system. The experimental results show that the BP neural network can predict the network security situation accurately, and has a certain reference value in the related research fields.
Keywords: network security situation; analytic hierarchy process; prediction research; BP neural network
0 引 言
S着互联网的高速发展,各种网络应用越来越多地影响着人们的工作、学习和生活方式。为了及时掌握网络的安全态势,以便网络的管理者采取及时的防范措施,对网络安全状态的预测技术正在成为当下网络安全研究中的一个重要课题[1?2]。
本文受相关文献研究的启发,构建了由威胁指数、脆弱指数、风险指数和基础运行指数四个指数为一级评价指标的评估模型,利用防火墙和杀毒软件等安全手段提取数据,采用层次分析法计算网络安全综述指数,基于该指数采用BP神经网络对未来时刻的网络安全态势进行预测[3]。
1 网络态势安全指标体系的构建
1.1 评价体系的构建
为了全面反映网络的安全态势,本文采用定量描述的方法对威胁指数、脆弱指数、风险指数和基础运行指数进行计算,这四个指数代表网络安全运行所需要的几个必要条件,而综合安全指数则是指在一定时间段内反映当下网络整体安全态势的数值,它由威胁指数、脆弱指数、风险指数和基础运行指数通过加权法获得。
为了进一步丰富评估模型,将这四个指数作为一级评价指标,对其进行分解细化,提炼出这四个指标的下一级具体影响因素,如表1所示。
1.2 实例计算
本文采用层次分析法对构建的评价指标体系进行分析。本文构建的安全状态评价指标体系共分为一级指标4个和二级指标17个,通过对这些指标的分析求出网络的综合安全指数。网络安全状态评价采用李克特量的评分分级标准,分五个等级进行评判,分别为优秀、良好、中等、差和危险,为了方便计算,对其进行量化处理,为其赋值为5,4,3,2,1,具体评价等级对应的数字标准,如表2所示。
为了进一步说明层次分析法在网络安全态势评估中的具体应用,本文以威胁指数的计算为例,计算某日中某单位内网在该指标体系下的威胁指数。
首先根据在该网络中各个监视节点采集到的信息,经过统计计算后,对各个二级指标进行初步赋值,如表3所示。
2 基于BP神经网络的网络安全态势评价
实验选择某单位内网30天内的网络状态数据,利用BP神经网络对该网络安全态势进行预测。采用本文第1节的方法对这30天的网络综合安全指数进行计算,一共获得了如表4所示的30个状态值。
为了使BP神经网络的预测取得较好的效果,同时为了避免局部数值偏移造成的误差,本文采用编组的方式提高模型预测精度,对于序号为1~30的综合安全指数值,选择前三日的状态作为网络的输入样本,下一日的数据作为网络的预测输出样本,选择第28,29,30日的状态值作为网络的检测样本,如表5所示。
考虑到模型的输入输出均为简单的数值,本文的预测检测模型用三层BP神经网络实现,神经网络的输入层包含3个神经元(即前3日的网络综合安全指数),输出层用1个神经元(后一日的网络安全指数),隐层神经元个数通过经验公式选择为12。
将训练样本1~24的数值输入到Matlab 7.0软件中,对网络进行训练,定义期望误差为10-6,训练过程中,BP神经网络误差的变化情形如图1所示。
由图1可知,该BP神经网络通过26步运算后收敛到预定精度要求。
BP网络训练完毕后,首先将所有样本输入到网络,然后定义检验向量,并将检验向量输入网络,检查输入值和输出误差,如图2所示。
其中加“+”的曲线对应为实际数据,“”曲线对应为预测数据,可以看到全局的误差大小保持在0.1以内,说明该BP神经网络具有较低的误差,因此采用该BP神经网络对网络安全态势进行预测有较高的精度。
3 结 论
本文构建了以网络的威胁性、脆弱性、风险性和基础运行性为基础的评价指标体系,采用层次分析法计算网络的综合安全指数,并以此为基础,利用BP神经网络对某单位内网的网络安全状态进行预测,获得了较高精度的预测结果,表明本文构建的评价体系和网络安全态势的预测方式有一定的实用价值。
参考文献
[1] 张淑英.网络安全事件关联分析与态势评测技术研究[D].长春:吉林大学,2012.
[2] 王志平.基于指标体系的网络安全态势评估研究[D].长沙:国防科学技术大学,2010.
[3] 苗科.基于指标提取的网络安全态势感知技术研究[D].北京:北京邮电大学,2015.
[4] 毛志勇.BP 神经网络在计算机网络安全评价中的应用[J].信息技术,2008(6):45?47.
网络安全态势范文2
关键词:网络安全态势感知技术;关键技术结构;安全
现阶段,各类信息传播速度逐渐提高,网络入侵、安全威胁等状况频发,为了提高对网络安全的有效处理,相关管理人员需要及时进行监控管理,运用入侵检测、防火墙、网络防病毒软件等进行安全监管,提高应用程序、系统运行的安全性。对可能发生的各类时间进行全面分析,并建立应急预案、响应措施等,以期提高网络安全等级。
1网络安全态势感知系统的结构、组成
网络安全态势感知系统属于新型技术,主要目的在于网络安全监测、网络预警,一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业,充分提高了网络安全稳定性,便于对当前网络环境进行全面评估,可提高对未来变化预测的精确性,保证网络长期合理运行。一般网络安全态势感知系统包括:数据信息搜集、特征提取、态势评估、安全预警几大部分。其中,数据信息搜集结构部分是整个安全态势感知系统的的关键部分,一般需要机遇当前网络状况进行分析,并及时获取相关信息,属于系统结构的核心部分。数据信息搜集方法较多,基于Netow技术的方法便属于常见方法。其次,网络安全感知系统中,特征提取结构,系统数据搜集后,一般需要针对大量冗余信息进行管理,并进行全面合理的安全评估、安全监测,一般大量冗余信息不能直接投入安全评估,为此需要加强特征技术、预处理技术的应用,特征提取是针对系统中有用信息进行提取,用以提高网络安全评估态势,保证监测预警等功能的顺利实现。最终是态势评估、网络安全状态预警结构,常用评估方法包括:定量风险评估法、定性评估法、定性定量相结合的风险评估方法等,一般可基于上述方法进行网络安全态势的科学评估,根据当前状况进行评估结果、未来状态的预知,并考虑评估中可能存在问题,及时进行行之有效的监测、预警作业。
2网络安全态势感知系统的关键技术
2.1网络安全态势数据融合技术
互联网中不同安全系统的设备、功能存在一定差异,对应网络安全事件的数据格式也存在一定差异。各个安全系统、设备之间一般会建立一个多传感环境,需要考虑该环境条件下,系统、设备之间互联性的要求,保证借助多传感器数据融合技术作为主要支撑,为监控网络安全态势提供更加有效的资料。现阶段,数据融合技术的应用日益广泛,如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合,可提高数据精度、数据细节的合理性,但是缺点是处理数据量巨大,一般需要考虑计算机内存、计算机处理频率等硬件参数条件,受限性明显,需要融合层次较高。决策性融合中,处理数据量较少,但是具有模糊、抽象的特点,整体准确度大幅下降。功能级融合一般是处于上述两种方法之间。网络安全态势数据的融合分为以下几部分:数据采集、数据预处理、态势评估、态势预测等。(1)数据采集网络安全数据采集的主要来源分为三类:一是来自安全设备和业务系统产生的数据,如4A系统、堡垒机、防火墙、入侵检测、安全审计、上网行为管理、漏洞扫描器、流量采集设备、Web访问日志等。(2)数据预处理数据采集器得到的数据是异构的,需要对数据进行预处理,数据内容的识别和补全,再剔除重复、误报的事件条目,才能存储和运算。(3)态势感知指标体系的建立为保证态势感知结果能指导管理实践,态势感知指标体系的建立是从上层网络安全管理的需求出发层层分解而得的,而最下层的指标还需要和能采集到的数据相关联以保证指标数值的真实性和准确性。(4)指标提取建立了指标体系后,需要对基层指标进行赋值,一般的取值都需要经过转化。第五、数据融合。当前研究人员正在研究的数据融合技术有如下几类:贝叶斯网络、D-S证据理论等。
2.2计算技术
该技术一般需要建立在数学方法之上,将大量网络安全态势信息进行综合处理,最终形成某范围内要求的数值。该数值一般与网络资产价值、网络安全时间频率、网络性能等息息相关,需要随时做出调整。借助网络安全态势技术可得到该数值,对网络安全评估具有一定积极影响,一般若数据在允许范围之内表明安全态势是安全的,反之不安全。该数值大小具有一定科学性、客观性,可直观反映出网络损毁、网络威胁程度,并可及时提供网络安装状态数据。
2.3网络安全态势预测技术
网络安全态势预测技术是针对以往历史资料进行分析,借助实践经验、理论知识等进行整理,分析归纳后对未来安全形势进行评估。网络安全态势发展具有一定未知性,如果预测范围、性质、时间和对象等不同,预测方法会存在明显差异。根据属性可将网络安全态势预测方法分为定性、时间序列、因果分析等方法。其中定性预测方法是结合网络系统、现阶段态势数据进行分析,以逻辑基础为依据进行网络安全态势的预测。时间序列分析方法是根据历史数据、时间关系等进行系统变量的预测,该方法更注重时间变化带来的影响,属于定量分析,一般在简单数理统计应用上较为适用。因果预测方法是结合系统各个变量之间的因果关系进行分析,根据影响因素、数学模型等进行分析,对变量的变化趋势、变化方向等进行全面预测。
3结语
网络安全事件发生频率高且危害大,会给相关工作人员带来巨大损失,为此,需要加强网络安全态势的评估、感知分析。需要网络安全相关部门进行安全态势感知系统的全面了解,加强先进技术的落实,提高优化合理性。同时加强网络安全态势感知系统关键技术的研发,根据网络运行状况进行检测设备、防火墙、杀毒软件的设置,一旦发现威胁网络安全的行为,需要及时采取有效措施进行处理,避免攻击行为的发展,提高网络安全的全面合理性。
参考文献
网络安全态势范文3
文章提出了一种网络安全态势感知系统的设计方案,该方案构建的一个统一的网络安全数据采集、存储和分析平台,为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
关键词:
网络安全;态势感知;漏洞;事件
0引言
随着企业信息化进程的快速发展,企业网络系统与生产业务、日常管理工作紧密结合,同时还承载着企业内部大量敏感信息。为保障企业正常运行,应做好网络安全管理工作。随着企业网络规模的逐步扩大,信息化设备数量日益庞大,网络安全管理工作难度越来越大。传统的入侵监测、防火墙、访问控制等网络安全设备等只能识别网络攻击行为,并不能有效识别网络攻击事件,会产生海量攻击日志,导致网络管理人员无法有效处理网络安全日志;各个网络安全设备之间相互独立,不能有效利用多种数据源加强网络安全管理;缺乏安全漏洞、安全事件联动处置机制。为了适应当前网络安全管理的新形势,企业应加强网络安全监测手段建设,降低网络安全管理工作的复杂度和难度,提高网络安全相关工作的效率,维护企业网络系统的稳定运行。
1网络安全态势感知系统
态势感知概念起源于20世纪80年代的美国空军,是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示并预测未来的发展趋势。根据现有的网络安全管理工作需要,网络安全态势感知系统应具备网络安全态势要素采集、网络攻击行为分析、网络安全事件溯源、安全漏洞预警等基本功能,进一步可以实现网络安全攻击行为自动阻断、网络安全漏洞防护措施自动下发等功能。网络安全态势感知系统可以整合现有IDS、WAF等网络安全设备的能力,建立统一的网络安全态势数据采集、分析以及预警平台。
2网络安全态势要素
网络安全态势要素应能满足网络安全系统的功能需求,能反映网络系统运行的基本情况,应至少包括网络资产信息、网络安全日志以及网络安全漏洞库等信息。网络资产信息库应至少包含服务器、网络设备、安全设备以及WEB应用;网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志等;网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞等。
3网络安全态势系统设计
网络安全态势系统应定义标准化数据格式,建立统一数据管理平台。该平台可充分利用多源海量数据,建立网络安全事件监测分析机制;通过大数据关联分析攻击行为日志,精确高校识别高风险入侵行为;实时收集网络安全漏洞库,快速定位网络资产信息库中存在漏洞的设备或应用。
3.1标准化数据格式
网络资产信息库包括服务器、网络设备、安全设备以及WEB应用等。其中设备信息应包括设备类型、设备型号、设备硬件配置、设备IP、开放端口、运行服务、服务版本等信息,WEB应用应包含应用名称、服务器IP、运行端口、WEB页面、使用的插件、插件版本等信息。网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志,其中系统日志应包括设备IP、时间、日志内容,安全日志应该包括时间、攻击源、攻击目标、攻击动作以及攻击内容,网络流量日志应该包括时间、源IP、目标IP、源端口、目的端口。网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞,所有漏洞应包含漏洞类型、漏洞危害、漏洞检测方法等。
3.2攻击行为分析
传统的IDS、WAF等设备每天产生海量攻击日志,比如一次SQL注入可能产生1万余条攻击告警,一天产生10万余条攻击告警,产生的告警信息对网络管理员来说是一种误报,不能将攻击日志用于网络安全管理。本文设计将持续性攻击日志合并后,结合系统日志进行关联分析识别于攻击行为,结合资产信息库对新型高危漏洞攻击进行安全预警,详情流程如图2。
3.3安全漏洞预警
当互联网上新公布网络安全漏洞时,传统的网络安全设备和管理手段不能快速定位哪些设备、服务或应用存在网络安全漏洞。本文设计,首先通过扫描普查所有信息资产,建立统一的网络资产信息库,并采取定期扫描进行数据更新;其次将已公布的网络安全漏洞标准化后建立统一的漏洞信息库,同时通过爬虫实时获取互联网上新出现的网络安全漏洞;然后通过提取最新漏洞受影响的系统、服务或插件与网络资产信息库进行关联分析快速定位存在网络安全漏洞的设备或应用;最后可以通过自动推送服务将信息发送给该设备或应用的责任人,也可以制定阻断策略进行自动化下发至防火墙。
3.4安全事件溯源
本文提出一种攻击链分析模型,通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件,进行反向推理还原攻击情景。首先通过异常流量、攻击行为日志建立恶意IP画像库,通过系统日志、WAF日志建立源IP危险动作库,通过僵木蠕、网页后门等监测系统建立网络安全事件库,然后通过时间序列分析方法还原网络安全事件攻击路径追溯网络攻击源。
4结语
本文研究了当前网络安全管理工作中的难点和不足,提出了一种的网络安全态势感测系统,建立了统一的数据采集、存储、分析平台,可以实现网络攻击行为的自动化精准分析,实现网络安全漏洞精准预警,实现网络安全事件自动化溯源分析。本文为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
参考文献:
[1]姚书科.网络安全态势要素指标体系研究[J].电子设计工程(专业版),2012(7).
[2]胡华平,张怡,陈海涛,宣蕾,孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2003(1).
网络安全态势范文4
【关键词】 安全态势感知 数据融合 态势可视化
引言
随着信息和网络技术的快速发展,计算机网络的重要性及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为Internet及各项网络服务和应用进一步发展所亟需解决的关键问题。此外,随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展,对安全产品技术提出了更高的要求。网络安全态势感知的研究就是在这种背景下产生的,旨在对网络态势状况进行实时监控,并对潜在的、恶意的网络行为变得无法控制之前进行识别,给出相应的应对策略。
一、网络安全态势感知概述
网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和化趋势。态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。
网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
基于网络安全态势感知的功能,将其研究内容归结为3个方面:网络态势感知、网络威胁评估和网络态势评估。
态势评估和威胁评估分别是态势感知过程的一个环节,威胁评估是建立在态势评估的基础之上的。态势评估包括态势元素提取、当前态势分析和态势预测。威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计,是建立在态势评估的基础之上的。威胁评估的任务是评估攻击事件出现的频度和对网络威胁程度。态势评估着重事件的出现,威胁评估则更着重事件和态势的效果。
2 网络安全态势感知关键技术
网络安全态势感知作为未来保证信息优势的两大关键技术之一,众多学者、研究机构纷纷在此领域展开了广泛的研究,提出了各种各样的分析模型,其中影响最大,也最被普遍接受的是基于数据融合理念的JDL模型。该模型通用框架主要包括多源异构数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等7个部分。
大规模网络节点众多,分支复杂,数据流量大,并且包含多个网段,存在多种异构网络环境和应用平台。随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展,为了实时、准确地显示整个网络态势状况,检测出潜在、恶意的攻击行为,网络安全态势感知系统必须解决相应的技术问题。
2.1 数据挖掘
数据挖掘是指从大量的数据中挖掘出有用的信息,即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在用处的并且最终可理解的信息和知识的非平凡过程。所提取的知识可表示为概念、规则规律、模式等形式。数据挖掘是知识发现的核心环节。
从数据挖掘应用到入侵检测领域的角度来讲,目前主要有4种分析方法:关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系,即在给定的数据集中,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则,常用算法有Apriori算法、AprioriTid算法等。序列模式分析和关联分析相似,但侧重于分析数据间的前后(因果) 关系,即在给定的数据集中,从用户指定最小支持度的序列中找出最大序列,常用算法有DynamicSome算法、AprioriSome算法等。分类分析就是通过分析训练集中的数据为每个类别建立分析模型,然后对其它数据库中的记录进行分类,常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。与分类分析不同,聚类分析不依赖预先定义好的类,它的划分是未知的,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式分析主要用于模式发现和特征构造,而分类分析和聚类分析主要用于最后的检测模型。
2.2 数据融合
通过数据融合方法的引入,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现对网络整体安全状况的掌握。而网络安全态势感知系统中的数据融合正是通过如下几项关键技术得以体现的。
(1)特征提取。特征提取是在尽量不降低分类精度同时又减小特征空间维数的前提下,为了避免融合大量数据可能造成系统检测率不能满足高速网络实时检测需求而提出的。目前有许多特征提取算法,如基于主成分分析的方法,基于信息增益的决策树学习方法和流形学习方法。主成分分析基于方差最大、偏差最小的思想来发现数据集的主要方向,从而实现约简。基于信息增益的决策树学习方法,则引入熵和信息增益的概念,分别作为衡量训练样例集合纯度的标准和用来定义属性分类训练数据的能力。典型的决策树学习算法,如ID3算法就是根据信息增益标准从候选的属性中选择能更好区分训练样例的属性。流形学习是一种新的降维方法,可以有效地发现高维非线性数据集的内在维数。
(2)事件聚类。聚类是将物理或抽象的数据对象,按照对象间的相似性进行分组或分类的过程。聚类是一种无监督学习的过程。不同的数据类型,相应的聚类处理方法也有所不同。目前聚类方法大体上可以分为基于层次的方法、基于划分的方法、基于密度的方法、基于网格的方法以及其他类型的聚类算法。基于层次的聚类算法主要以样本之间的相似度(或距离)为基础,根据类间相似度的大小对不同类进行合并或分裂,从而逐步完成对数据集的聚类。典型的层次聚类方法分为凝聚的方法和分裂的方法。常见算法有COBWEB,BIRCH,ROCK和Chameleon等。基于划分的聚类算法以样本与类(原型)之间的距离为基础,且通常将聚类结果的评判标准定义为一个目标函数。典型算法有k一均值法,k一中心点法,CLARANS等。除了层次和划分聚类方法外,比较有影响力的算法还有DENCLUE,CLIQUE等基于密度的方法,以及STING,WaveCluster等基于网格的方法。另外还可以借助其他领域的方法,如神经网络方法,SOM,演化计算法,遗传算法,模拟退火法等。
(3)事件关联。事件关联是指将多个安全事件联系在一起进行综合评判,重建攻击过程并实现对整体网络安全状况的判定。对安全事件进行关联处理的方法大致可分为两类:一类是借助于专家知识构建安全事件关联专家系统。典型的如:Valdes等提出的基于概率相似度的入侵告警关联系统,Peng等基于逻辑谓词的方法,将前提和目的吻合的入侵事件关联形成入侵者攻击轨迹等。另一类是借助于自动知识发现或者机器学习的办法来发现事件间的隐含关系并实现入侵事件的关分析。典型例子有:Stefanos将关联技术用于入侵检测报警信息的频繁模式提取,Klaus也将此思想用到了多个异类IDS报警信息的关联中,穆成坡w提出用模糊综合评判的方法进行入侵检测报警信息的关联处理,集成不同的安全产品信息,以发现入侵者的行为序列。前者用专家系统的方式实现事件关联,高效且直观,但是关联需要的知识依赖人工完成,效率低下;后者获取知识比较容易,但没有人工参与的情况下获得的知识质量不高,难以满足要求。
2.3 态势可视化
态势可视化的目的是生成网络安全综合态势图,以多视图、多角度、多尺度的方式与用户进行交互,使网络安全产品分析处理能力在多个指标有较大幅度的提高。
对数据进行可视化是一个层层递进的过程,包括了数据转化、图像映射、视图变换三个部分:数据转化是把原始数据映射为数据表,将数据的相关性描述以关系表的形式存储起来;图像映射是把数据表转换为对应图像的结构,图像由空间基及属性进行标识;视图变换则是通过对坐标位置、缩放比例、图形着色等方面来创建能够可视化的视图。此外,用户与可视化系统的交互也是必不可少的,用户通过调控参数,完成对可视化进程的控制。
态势可视化的方法有很多,根据显示效果,可以分为动态可视化和静态可视化。根据显示数据纬度,可以分为二维、三纬以及多纬可视化。根据现实数据内容,可以分为内容可视化、行为可视化和结构可视化。
三、结束语
为了保障网络信息安全,开展大规模网络态势感知是十分必要的。网络态势感知对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义,对于军事信息战意义更为重大。网络安全态势感知研究刚刚起步,目前大量的研究工作还只处于对网络安全态势的定性分析阶段,缺乏标准的概念描述和具体的定量解决方法,但它已经毫无疑问的成为网络安全领域一个新的研究方向。
参 考 文 献
[1] 陈秀真,郑庆华,管晓宏,林晨光.层次化网络安全威胁态势量化评估方法.软件学报.2006,17(4).
[2] 北京理工大学信息安全与对抗技术研究中心.网络安全态势评估系统技术白皮书.网络安全态势评估系统技术白皮书,2005.
[3] 潘泉,于听,程咏梅,张洪才.信息融合理论的基本方法与进展.自动化・学报.2003,29(4).
[4] 郁文贤,雍少为,郭桂蓉.多传感器信息融合技术评述.国防科技大学学报.1994,16(3).
网络安全态势范文5
关键词:网络安全态势;地理信息系统;MapXtreme;多级地图;Java技术
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)28-6840-03
Multilevel Map of Network Security Situation Based on MapXtreme
GONG Jian-wei1,2, ZHONG Qiu-xi1, XUAN Lei1, ZHANG Qi1
(1.National University of Defense Technology, Changsha 410073, China; 2.Logistics Base of People's Armed Police Force Headquarters, BeiJing 102613, China)
Abstract: Multilevel map of network security situation was proposed aimed at some problems in visualization of network security situation such as messy figure,visual clutter, unpractical information and incapable geolocation. The information display method and views architecture of the map was explored. The generation algorithm of multilevel network map and algorithm for the relative number of security incidents was designed based on MapXtreme. The feasibility of the map was proved through experiments.
Key words: network security situation; geographic information system; MapXtreme; multilevel map; java technology
网络安全态势可视化将大量、抽象的网络安全信息数据用地图、平行坐标、散点图、统计图等图形图像的方式展现出来,便于网络管理人员从网络安全信息图中直观地发现潜在的安全隐患,从而了解网络的总体安全状况。自2004年始,每年都举行专注于研究网络安全可视化技术的网络安全可视化会议(International Symposium on Visualization for Cyber Security ,简称VizSec)。IEEE VAST (The Institute of Electrical and Electronics Engineers on Visual Analytics Science and Technology)和 ACM(Association for Computing Machinery)等会议和杂志也多次刊出相关文献[1-5],可见可视化在网络安全方面应用日益广泛。
目前在网络安全信息可视化的研究领域还没有一种被广泛公认,完善且合理的技术方法。主要表现在一些显示系统视图复杂,信息叠合严重,信息展示不清晰,给用户带来视觉负担;一些结合了地理信息的技术方法仅仅是在相应的地理位置显示了各地区安全事件数量,没有考虑各地区人口、网络发展情况等影响安全事件数量的因素,同时缺乏对安全事件细节的描述[6-7]。 因此,我们在研究过程中需要设计层次明晰的视图结构和布局合理的视图展示算法,进行整体信息和局部细节信息的综合展示。针对这些情况,本文将综合信息与细节信息按级别与详略不同的地理信息地图结合起来显示,解决了综合信息和细节信息不能同时展现的问题;同时考虑了影响安全事件数量的因素并进行了规范化,使数据更为客观地展现了实际情况。
1 网络安全态势多级地图展示系统模块设计
本文设计了系统的各个层次相应的处理模块,具体见图1所示。
以下简要说明各模块功能:
1) 数据处理模块:分三个子模块,处理数据子模块负责对网络安全信息数据进行属性过滤、数据格式归一化处理,保留数据有效信息,并根据时间属性,提取数据以队列的形式进行缓存,等待显示;生成图层子模块负责将空间数据信息生成图层,并将图层按指定顺序叠加为基础地理地图;确定IP地理位置子模块用于对有效数据信息里的每一个IP地理定位。
2) 数据统计规范模块:统计数据子模块将一定时间段内安全信息数据按安全事件类型进行分别统计数量;标准化子模块负责将统计的数量按网络安全事件发生相对数量算法进行规范化处理。
3) 人机交互处理模块:主要是将用户操作的数据传递给数据处理模块和视图处理模块,并对各种视图参数进行设置,以满足用户的选择需求。其中数据选择人机交互处理子模块用于用户根据需求进行数据选取等,地图人机交互处理子模块主要用于选择地图,图层控制,地图的缩放、平移及鹰眼导航等。
4) 视图处理模块:该模块负责指标和细节地图视图间的切换处理,同时根据网络安全事件图元样式确定算法确定各数据的图元显示方式,通过地理信息系统二次开发技术将网络安全态势数据的源/目的IP以及它们之间的关系以地图图元的方式在地图上展示。
5) 视图显示模块:分为二个子模块,细节地图视图子模块负责将安全事件类型、发生时间、发生地以不同图元形式显示在详细地图上供用户分析和查看;指标地图视图子模块将数据统计规范模块处理后的数据按用户要求进行显示。
以上模块相互协同处理,共同完成网络安全信息的可视化。
2 系统算法研究
在细节地图上将一定采样时间段内网络安全事件的源/目的IP以及它们之间的攻击关系、模式在地图上展示。首先要为源/目的IP和它们之间的攻击模式确定图元样式,然后通过IP地理定位编码算法为源/目的IP地理定位,确定对应点图元的经纬度值并依此经纬度值在地图上展示;在省级指标地图上,根据各省计算机人口将该省的某时段安全事件数量规范化处理后进行展示,各省间的网络链路流量用线图元方式进行展示。
系统主要设计了确定攻击事件类型和网络链路流量状态的图元映射算法,IP地理定位映射算法和各省安全事件发生相对数量算法。分别介绍如下。
2.1网络安全事件图元样式确定算法
在细节地图上,首先确定不同IP类型的图元样式:IP类型的图元样式PN (Si, Cj)由图元形状属性Si(Si∈{, , })和颜色属性Cj(Cj∈{Red, Blue, Orange })确定。具体映射关系见表1。
其次,将安全事件类型用IP图元之间的连线样式表示,连线样式LN(Ti, Cj)由线条类型属性Ti(Ti∈{──, ┉ ┉})和颜色属性Cj(Cj∈{ Black, Magenta, Cyan ,Green })组成,线条样式和安全事件类型的对应关系见表2。
在指标地图上,于各省会所在地的地理位置上显示该省一个采样时间段Ti内发生的安全事件数量(该数量已根据计算机人口进行了正则化处理)。各省间链路流量状态用省会之间的直线图元样式表示,该直线图元样式包括了直线颜色和直线宽度。链路流量状态代表了链路的使用率,是当前链路流量和链路带宽的比值。具体见表3。
表3中直线宽度的单位为“点”,即1/10磅。
2.2IP地理定位映射算法
在MapXtreme二次开发中,为IP对应点图元(简称IP图元)在地图上确定经纬度坐标值(X, Y)的过程,就是对IP地址地理定位的过程。
对IP地址地理定位,就要获知IP所在城市信息或者所属机构的地理信息。目前常用的IP地理定位数据库有QQwry、IP2Location、GeoIP City和Geolitecity等数据库,表4是GeoIP City地理定位数据表部分字段内容[8]。
从表4可以看到,通过GeoIP City只能查找到IP所在城市名称和城市经纬度。通过细节地图展示网络安全事件,IP点图元在地图上必须分布于IP所在城市区域对象内且不能大量重叠,因此设计了一种IP图元在给定区域内布局算法,用于IP图元在地图上的定位和分布。布局算法如下:
1) 根据城市名称或者城市编号在地图上获取城市区域对象外接最小矩形对角坐标(Xmin, Ymin)、(Xmax, Ymax);
2) 根据算式(X,Y)=((Xmin+(Xmax-Xmin)*Random()),(Ymin+(Ymax-Ymin)*Random())生成点图元坐标,其中随机函数Random()产生[0,1]任意单精度浮点小数,示意图见图2 。
3) 根据PIP(Point in Polygon)算法,判断坐标是否处于给定城市区域对象范围内,是则保留,不是则重复步骤2。
通过上述算法,在具有同一地理坐标的地图上可以为每一个未重复出现的源/目的IP地址赋予一个具体的经纬度值,地理信息系统二次开发技术可根据具体IP图元经纬度值和图元样式将网络安全事件在地图上展示。
2.3 网络安全事件发生相对数量算法
一个地区的网络安全事件发生数量与该省人口数量,计算机网络发展水平等因素息息相关。对单个地区而言,安全事件发生绝对数量不能说明该地区处于危险的网络安全状态。所以单纯用绝对数量比较各地区的网络安全状态是有失偏颇的。这里提出基于地区人口数量和网络发展规模水平的安全事件相对数量的概念。具体算法如下:设某地区人口数量为Npop,该地区的网络发展水平为Ris,人均每个计量时间段内上网时间为Tnet,安全事件发生的绝对数量为Qab,修正系数为常量S(避免安全事件相对数量出现较小的小数),则该地区的安全事件发生的相对数量。
3 系统实现
为了验证网络安全信息多级地图展示系统的可行性,以地图的设计及实现技术为依据,采用MapInfo中间件MapXtreme4.8.2结合java平台开发了网络安全态势多级地图原型系统,实现了网络安全信息的可视化以及验证了此原型系统的可行性。
系统在Windows XP下开发,开发平台为NetBeans6.9.1,开发包为Java2D,地图处理软件为MapInfo Professional v10.0,地图二次开发包为MapXtreme Java4.8.2,数据库为Postgresql9.0,JDBC为postgresql-8.3dev-601.jdbc4。开发平台各软件之间的关系见图3所示。
3.1 分级地图展示效果
网络安全信息详细地图,用4种线图元颜色和两种线型表示了7种安全事件类型,用3种点图元表示该IP在安全事件中的源/目的类型。用户可以对比右边显示的图例明确某一安全事件的类型及发生地理位置,同时可以用鹰眼导航快速定位感兴趣的区域并用鼠标滚轮放大/缩小该区域。
网络安全信息指标地图,将每个省发生的安全事件相对数量显示在该省省会所在的地理位置,并将数量显示出来,用户可以在感兴趣省份的红旗图元上鼠标悬停,系统将显示该省发生各种安全事件的具体次数。同样,指标地图具备放大、缩小、平移、鹰眼导航等基本功能,可以将地图窗口聚焦到感兴趣的区域进行显示。(如图5)。
上述测试结果表明,原型系统各个功能模块工作正常,具备了必要的人机交互功能;多级网络安全信息地图显示效果清晰,层次结构分明,安全信息详略有致,用户对安全事件的地理信息一目了然,方便了用户对网络安全信息从宏观到微观的把握。
4 结束语
本文提出了基于MapXtreme的网络安全信息多级地图展示系统,对地图生成、操作,图元选取、显示进行了详细的设计,并提出了某区域发生安全事件相对数量的算法,最后实验验证了网络安全信息地图的可行性和实用性。多级网络安全信息地图的特点是可以将网络安全信息分为宏观和微观展示,视图结构清晰;相对数量概念的提出,可以很大程度上排除区域人口数量、计算机网络发展水平等因素对安全事件发生绝对次数的影响,从而使用户能把握各区域的实际情况;系统能有效地进行数据的组织,减小显示系统的负担。作为对网络安全信息可视化的尝试,多级网络安全信息地图的提出和实现为网络安全信息可视化领域的相关研究提供了一些可以借鉴的思路。
参考文献:
[1] Conti G.Sven Krasser.Beyond Ethereal: Crafting a Tivo for Security Datastreams[EB/OL].(2011-03-12).cc.gatech.edu/~conti.
[2] Yin X,Yurcik W,Treaster M,et al.Visflowconnect: netflow visualizations of link relationships for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.
[3] Webster S,Lippmann R,Zissman M.Experience Using Active and Passive Mapping for Network Situational Awareness[C].Fifth IEEE International Symposium on Network Computing and Applications,2006.
[4] Montigny-Leboeuf A,Massicotte F.Passive Network Discovery for Real Time Situational Awareness[C].Toulouse, France:RTO IST Symposium on Adaptive Defense in Unclassified Networks,2004.
[5] Lakkaraju K A J L,Yurcik W.Nvisionip: netflow visualizations of system state for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.
[6] Lippmann R,Riordan J,Yu T.A Global Perspective on Extreme Malicious Behavior[R].VizSec' 10,2010.
网络安全态势范文6
随着信息技术的发展,网络的应用已经进入各个领域。近年来国内外网络安全领域对网络的安全态势评估十分关注,针对目前网络安全中数据源数量较多的特点,本文通过评价现有的安全态势并结合基于信息融合的网络安全态势评估模型,绘制安全态势图,以时间序列分析态势计算结果,进而实现网络安全趋势的预测,并结合网络数据对该模型和算法进行检验,证明该模型的准确性和有效性。
【关键词】安全态势评估 信息融合 时间序列 网络安全 预测
随着计算机通信技术的飞速发展,计算机网络得到广泛的应用。同时随着使用者的增多,网络规模愈加庞大,计算机网络安全问题也日益严重,传统的网络防御设施已经无法保全用户的网络安全,故需要对网络的安全态势进行评估。通过网络安全态势评估能够有效评价网络的安全状况,并对其发展趋势进行预警。
1 网络安全态势评估模型
计算机网络是由网络组件、计算机节点以及各种检测设备组成,这些设备承担着网络主机的监控任务,由其生成的网络日志与网络警报有着巨大的关联性。传统的网络安全态势评估方法一般通过单一网络检测设备提供的日志信息进行分析,其结果往往由于数据来源的全面性不足而出现较大的失真。故本文提出了基于信息融合的网络安全态势评估模型和算法,通过结合全部相关网络检测设备的日志,并融合其数据信息,另选取主机的漏洞信息和其提供的服务信息,关联外部攻击对网络安全的影响,采用时间序列分析,对未来的安全趋势进行预测,以弥补传统安全评估的不足之处。
本文中网络安全态势评估的步骤以四步完成:(1)分析全部相关检测设备的日志文件,融合数据源进行计算,以确定攻击发生率。(2)分析攻击漏洞信息和网络主机漏洞信息计算攻击成功概率,通过已知的攻击信息计算攻击的威胁值,融合推断主机的安全态势。(3)分析服务信息确定各主机权重,融合节点态势以确定网络安全。(4)根据安全态势的评估数据,加入时间序列分析,从而预测网络安全趋势。
2 基于信息融合的算法评估
基于信息融合的算法包括三个部分,节点态势融合、态势要素融合和数据源融合。节点态势融合采用主机是融合节点的安全和权重,从而确定网络安全;态势要素的融合则通过监测设备的结果显示外部攻击的概率,经过融合后计算节点的安全。基于信息融合的算法如下:
BEGlN
IatProbebiIity=0;
for aech assantieI vuInarebiIityavuI0,avuI1,,,avuInof etteck
IatRasuIt=chack_assantieI_vuI(avuIi,VI);
wharaVIis tha vuInarebiIity informetion of host
if (RasuItis TRUa)
continua;
aIsa
raturn 0;
if (thara is no othar vuInarebiIity etteck naads)
raturn 1;
if (RasuItis TRUE)
ProbebiIity+=wj;
wharawjis tha waight ofovuIj
aIsa
continua;
raturnProbebiIity.
END
3 基于时间序列分析的算法
时间序列算法是根据系统检测到的时间序列信息,采用参数建立数学模型,时间序列分析普遍用于气象预报等方面,其算法涵盖平稳性检验、自身系数检验和参数估计等,具体算法如下:
BEGlN
gat tha veIuas of tima sarias:x0,x1,,,xn;
IatRasuIt=chack_stetionery (x0,x1,,,xn);
whiIa(RasuItis FeISa)
Iat(y0,y1,,,yn-1)=diffarancing(x0,x1,,,xn);
IatRasuIt=chack_stetionery(y0,y1,,,yn-1);
continua;
IatQk=eutocorraIetion_coafficiant(x0,x1,,,xn);
Iat
IatModaI=gat_modaI(pk,
IatPerematars=gat_perematars(ModaI,x0,x1,,,xn);
IatRasuIt=chack_whita_noisa(C0,C1,,,Cn);
if(RasuItis TRUE)
raturn(ModaI, Perematars);
aIsa
raturn 0.
END
通过时间序列分析算法能够绘制出安全态势图谱,网络管理员则可通过图谱掌握网络安全的发展趋势,进而采取可靠的防护措施。
4 结语
本文通过分析已有的安全态势评估模型,结合网络中数据源相对较多的特点,提出基于信息融合的网络安全态势评估模型,分析多数据源下的漏洞信息与服务信息的关系,融合态势要素和节点态势分析网络安全态势,最后通过时间序列分析算法实现网络安全态势的预测。网络安全态势评估的方法层出不穷,通过优化现有模型并结合新技术能够创造出更多的网络安全态势评估模型,进而更加准确的预测网络安全的威胁来源以及网络安全态势的发展趋势。
参考文献
[1]王选宏,肖云.基于信息融合的网络安全态势感知模型[J].科学技术与工程,2010,28(02):6899-6902.
[2]张新刚,王保平,程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用,2012,09(04):1072-1074.
