摘 要: 針對網絡結構的多樣性和網絡數據的復雜性,提出一種基于多層次數據融合的網絡安全態勢分析方法。該方法將網絡結構抽象成層次化結構,采用專家系統的數據融合方法進行數據融合。配合層次化的網絡結構提出合理的層次化評價體系,并進行量化計算。最后通過實驗數據驗證了該方法的合理性和有效性。
關鍵詞: 數據融合;專家系統;網絡安全態勢感知;層次化結構
0 引言
網絡的快速發展帶來了巨大的經濟效益,隨之而來的網絡安全問題也越發嚴重。傳統的網絡防御以被動式防護為主,只能在安全事故發生后進行防護,阻止再次入侵。為解決日益頻繁的網絡安全事故,以預測和主動防御為主的網絡安全態勢感知技術[1]得到了廣泛的應用。
態勢感知技術主要分為感知、理解、預測三個層次。其作為近幾年網絡安全領域的一個研究熱點,許多學者從不同的角度使用不同方法進行建模,主要包括貝葉斯網絡[2]、模糊推理[3]、博弈論[4]、圖模型[5]、信息融合[6]等方法,旨在解決網絡安全預防的問題。
賴積保等人[7]提出的網絡安全態勢感知系統結構,系統地分析了多源異構傳感器網絡的特點,從信息獲取、要素提取、態勢決策三個層次進行系統的結構模型建立;趙穎等人[8]采用對比堆疊流圖進行網絡態勢的可視化分析,能夠幫助用戶快速發現異常和識別規律;唐成華[9]等人利用DS融合工具進行態勢的融合和推理,建立評估準則并對其方法進行驗證。
本文提出的方法采用層次化結構建模,對各類安全數據源進行分類、選取。采用專家系統方法將各類安全數據進行層次化的數據融合,合理分配各類指標的權值,繪制精確的態勢曲線。最后進行態勢分析,預測態勢變化,從而制定相應的防御措施。
1 數據融合概要
1.1 數據融合基本概念
數據融合技術[10]-MSIF是指:對按照時序獲取的傳感器監測數據,利用計算機技術在相關準則下進行自動分析、綜合以完成用戶所需的數據抽象而進行的數據處理過程。
根據信息抽象層次的不同,數據融合可以分為三級:數據級融合、特征級融合和決策級融合[10]。
常用的算法有貝葉斯理論、專家系統、D-S證據推理、HIS變換及聚類分析方法。
1.2 數據融合在網絡安全方面的應用
數據融合技術的研究起源于軍事指揮控制智能通信系統[10]的建設需求,早先的研究多來自于軍事方面。
由于該技術在信息處理方面的優越性,不僅在軍事和工業控制方面得到應用,近些年在網絡安全方面也得到了廣泛的應用。許多學者[6]提出了各種不同思路的方法進行網絡安全態勢的建模。
2 網絡安全態勢分析建模
2.1 層次化的網絡結構
計算機網絡的結構多種多樣,每種結構都具有其優缺點。為了方便進行態勢評估,本文將網絡結構抽象成為層次化的結構,并進行相應的結構建模。模型層次結構鮮明,容易理解,并且符合實際的網絡結構層次關系。層次化的網絡結構自頂向下包括:Internet網絡、網絡中各主機、主機中運行的各項不同服務,最底層為針對服務進行的網絡攻擊,如圖1所示。
2.2 多源數據的分類和選取
網絡系統越發龐大和復雜,擁有種類繁多的設備,并且標準不統一,運行中往往產生海量的多源異構數據。為提高執行效率,減少數據的冗余,應選取那些具有代表性、信息量豐富、可靠度較高、實時性較強的數據作為態勢分析的數據源[7]。還需考慮數據的交叉性與互補性。依據選取原則進行數據選取,確定了4類數據源,如表1所列。表中給出了每種數據源對應的數據類型、來源設備、具體分類和信息獲取方式。
2.3 利用專家系統方法進行數據轉化
網絡安全評估數據包括定量的數據和定性的數據。為了使評估結果能夠進行定量分析,需要將日志文件的定性數據進行量化。同時,有些數據也需要進行定性的評估。本文將采用基于專家系統的定性數據量化方法進行數據處理。以下是綜合后得到的數據轉換映射關系,其中服務訪問量評估指數的具體數值視具體的服務類型與時間而定。
2.4 評價體系的建立與計算
按照層次化網絡結構模型構建合理的層次化評價體系,自下而上有網絡攻擊層、主機層、網絡整體層三個層次。定義如下:
(1)網絡攻擊A的威脅指數R
威脅指數R與攻擊是否成功和攻擊帶來的后果有直接關系,是對網絡攻擊危害程度的直接描述。其量化計算公式如下:
![_ET1L]~(TC][4CD3~X_7~0O.png](http://files.chinaaet.com/images/2016/01/28/6358960631050800001696070.png "_ET1L]~(TC][4CD3~X_7~0O.png")
其中,θ為訪問量指數,由前面所述的對應關系所得,例如某服務訪問量為每小時50次,對應的指數為2(正常);B(t)為網絡帶寬占有率;D為威脅等級。
(2)主機的安全性H
給予主機中運行的不同服務相應的權值,所有攻擊的總和對主機帶來的危害程度決定主機的安全性。公式如下:![@[]KOV7EEND2WCU14$SV_YG.png](http://files.chinaaet.com/images/2016/01/28/6358960653846300007876813.png "@[]KOV7EEND2WCU14$SV_YG.png")
其中,
為t時刻網絡攻擊Ai的威脅指數,由式(1)計算所得。
為所對應服務的權重向量。
(3)成本函數C
在確定攻擊成功后,所有有效的攻擊給主機造成的總損失定義為成本C。公式如下:
其中,![$Z]O8~K%1901DL%1`M68_RP.jpg](http://files.chinaaet.com/images/2016/01/28/6358960721614400003123064.jpg "$Z]O8~K%1901DL%1`M68_RP.jpg")
其中
為網絡攻擊Ai發生的次數; ![8$`G$B`Y]3QI1XCBQG40$T7.jpg](http://files.chinaaet.com/images/2016/01/28/6358960914294900002008131.jpg "8$`G$B`Y]3QI1XCBQG40$T7.jpg")
為單次網絡攻擊Ai所造成的損失。成本函數C(t)描述的是單個主機在t時刻所造成的損失。
(4)網絡安全系數L
用以描述網絡整體安全態勢的一個指標,在給定主機權重的情況下,反映網絡的安全狀態。公式如下:
其中,ω為主機安全性
與成本函數
之間的權重參數,用于調節兩者之間的重要性權重。
3 實驗分析
3.1 實驗數據選取
本文將采用可視分析挑戰賽VAST Challenge[11]所提供的2012年的比賽數據作為實驗數據。實驗以60 min為一周期,以不同類型的報警次數為分析對象,通過對各類報警信息進行數據融合,繪制網絡安全態勢曲線。
3.2 實驗分析
實驗數據提供了某虛構的銀行公司內部網絡2天約4萬行IDS日志,包含了多達20種不同的報警類型。
圖2所給出的是第一天IDS日志報警類型的分布圖,從圖中可以看出,只有三種報警類型的數量比較多,其余17種都比較少。其中類型a對應的是“IRC authorization message”,r是“IPC Unicode share access”,t是“NTMLSSP Unicode asn1 overflow attempt”。
通過數據分析得知,IP地址為172.23.0.10的主機所產生的報警類型有5種,且數量較多,根據其報警類型可知這臺主機為中心服務器。對該主機的IDS日志警報進行安全分析,給出主機的警報頻度分布曲線圖,如圖3所示。由圖3可知,警報類型“IPC Unicode share access”和“NTMLSSP Unicode asn1 overflow”的頻度較高,可能是規則參數設置不合理,形成了大量誤報。其余警報的次數較少。只有“DNS Update”在18點左右有較大的變化,可能是外網DNS服務器有變動,也可能是被病毒惡意修改。
對該主機的5種警報類型進行數據融合,取
= (0.1,0.3,0.15,0.3,0.15)得到該主機第一天的安全態勢曲線,如圖4所示。
由圖4可知,受上述兩種警報的影響,態勢值保持較高水平。須查看是否是設置問題,并保持高度的警惕。
根據主機172.23.0.1的警報類型可以得知,該主機是銀行系統的數據和郵件服務器。圖5是其安全態勢曲線圖,由于在22點至3點該主機中數據庫服務器和郵件服務器警報量突然增加,導致網絡安全問題嚴重,很可能被黑客攻入,值得高度關注。
其余主機都是普通用戶主機,其IDS日志警報只有一種“IRC authorization”。由于IRC協議容易被僵尸網絡利用,大量的IRC報警以及其他報警的關聯出現,這種現象說明網絡很有可能已經被入侵,僵尸病毒控制了網絡中的一些主機,對服務器進行了惡意攻擊,有可能竊取了敏感數據。取
=(0.4,0.4,0.2),圖6給出了整個銀行系統整天的安全態勢曲線圖。
4 結論
本文提出的方法能夠合理地利用網絡安全日志等原始安全數據進行融合。通過專家系統構建的數據融合方法和層次化的評價體系,能夠較準確地反映網絡安全態勢變化。最后通過實驗分析證明了該方法的合理性。后期的工作主要是把該方法應用在各種不同的網絡結構中。
參考文獻
[1] THEUREAU J. Use of nuclear-reactor control room simulators in research & development[C]. 7th International Federation of Automatic Control Symposium on Analysis, Design and Evaluation of Man-Machine Systems. Kyoto: [s.n.],1998:425-430.
[2] 付鈺,吳曉平,葉清.基于改進FAHP-BN的信息系統安全態勢評估方法[J].通信學報,2009,30(9):135-140.
[3] Zhao Jinhui, Zhou Yu, Shuo Liangxun. A situation awareness model of system survivability based on variable Fuzzy set[J]. Telkomnika Indonesian Journal of Electrical Engineering, 2012, 10(8): 2239-2246.
[4] 張勇,譚小彬,崔孝林,等.基于Markov博弈模型的網絡安全態勢感知方法[J].軟件學報,2011,22(3):495-508.
[5] JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs[C]. 2011 Proceedings of the 14th International Conference on Information Fusion(FUSION), IEEE,2011:1-8.
[6] 韋勇,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.
[7] 賴積保,王穎,王慧強,等.基于多源異構傳感器的網絡安全態勢感知系統結構研究[J].計算機科學,2011,38(3):144-149,158.
[8] 趙穎,樊曉平,周芳芳.多源網絡安全數據時序可視分析方法研究[J].小型微型計算機系統,2014,35(4):906-910.
[9] 唐成華,湯申生,強保華.DS融合知識的網絡安全態勢評估及驗證[J].計算機科學,2014,41(4):107-110,125.
[10] 高翔,王勇.數據融合技術綜述[J].計算機測量與控制,2002,10(11):706-709.
[11] VAST challenge homepage in vacommunity [EB/OL].[2012-07-16](2014-12-30).