宏观网络安全预警与应急响应系统
数据驱动的网络安全自动化应急响应技术体系
信息安全• Information Security200 •电子技术与软件工程 Electronic Technology & Software Engineering【关键词】网络安全 信息安全事件 应急响应自动化 数据分析网络安全应急响应就是在对网络安全态势、组织的网络系统运行情况和面临的威胁有清楚的认识的情况下,在管理、技术和人员方面进行计划和准备,从而一旦发生突发的网络安全事件时,能够做到有序应对和妥善处理,降低组织的损失,并能够根据这些经验改进组织而对网络安全突发事件的对策和计划。
网络安全具有整体性、动态性、开放性、相对性的特点。
对于组织来讲,整体性是指网络安全保障与组织的业务形态、其它合作利益相关方的联接、组织的整体安全均有密切关系;动态性是指组织采用的信息技术和组织的业务系统本身均处在不断发展之中,网络安全的威胁来源和攻击手段不断变化;开放性是指互联网本身就是没有物理边界的,而且随着信息化的推进,以往隔离的网络也逐步在物理上或逻辑上与互联网连接;相对性是指由于计算机和信息系统本身的基因决定了没有绝对的安全,威胁源所能调动的资源和开展攻击的动机,组织能够接受的安全成本决定了安全的上限。
网络安全应急响应工作正是在组织树立了这些正确的网络安全观后,采取合适的应对策略和措施,保障自身业务信息系统连续性的重要支撑。
整体上看,网络安全应急响应是一个技术与管理结合的系统性工作,宏观的网络安全应急响应包含了网络安全保障体系的构建、安全事件处置、安全体系优化乃至重构三个部分,最终形成网络安全保障工作的闭环。
微观上来看,网络安全应急响应是针对具体的信息安全事件所做的准备和事件发生时的处置,以及事件发生后的总结。
无论是宏观层面还是微观层面,应急响应工作均包含事前、事中和事后三数据驱动的网络安全自动化应急响应技术体系文/尤其1 苗春雨2 贾梦妮1 郭婷婷2个时间维度,而自动化应急响应重点关注事前的自动化应急体系构建以及事中的安全设备联动和处置自动化。
网络安全应急预案相关文件
一、编制目的为确保我单位网络安全稳定运行,预防和减少网络安全事件带来的损失,提高网络安全应急响应能力,依据《中华人民共和国网络安全法》等相关法律法规,特制定本应急预案。
二、编制依据1. 《中华人民共和国网络安全法》2. 《中华人民共和国计算机信息网络国际联网安全保护管理办法》3. 《信息安全技术信息系统安全等级保护基本要求》4. 国家及地方相关网络安全政策法规三、适用范围本预案适用于我单位所有网络安全事件,包括但不限于网络攻击、恶意软件感染、信息泄露、系统故障等。
四、工作原则1. 预防为主,防治结合:加强网络安全防护,提高网络安全意识,防止网络安全事件的发生。
2. 快速响应,及时处置:发现网络安全事件后,立即启动应急预案,采取有效措施控制和消除事件影响。
3. 依法依规,科学决策:依据法律法规和实际情况,科学制定应急预案,确保应急处置工作有序进行。
4. 责任明确,协同配合:明确各部门职责,加强部门间协作,形成应急处置合力。
五、组织体系1. 应急指挥部:负责网络安全事件应急处置工作的统一领导和指挥。
组长:单位主要负责人副组长:分管网络安全工作的领导成员:各部门负责人2. 应急小组:负责网络安全事件的具体应急处置工作。
成员:网络管理部门、技术支持部门、安全保卫部门、人事部门等相关人员。
六、监测与预警1. 建立网络安全监测系统,实时监控网络安全状况,及时发现潜在威胁。
2. 制定网络安全预警机制,对网络安全事件进行预警和发布。
3. 加强网络安全培训,提高全体员工网络安全意识。
七、事件分级根据网络安全事件的严重程度,分为以下四个等级:1. 一般事件:对单位网络安全造成一定影响,但不影响正常工作。
2. 较大事件:对单位网络安全造成较大影响,可能影响部分业务系统正常运行。
3. 重大事件:对单位网络安全造成严重影响,可能导致业务系统长时间中断。
4. 特大事件:对单位网络安全造成极大影响,可能导致业务系统瘫痪。
八、应急响应1. 启动应急响应:发现网络安全事件后,立即启动应急预案,启动应急指挥部和应急小组。
网络与信息系统安全应急预案
网络与信息系统安全应急预案一、总则1、目的为了有效预防、及时控制和最大限度地消除网络与信息系统安全突发事件的危害和影响,保障网络与信息系统的安全稳定运行,特制定本应急预案。
2、适用范围本预案适用于本单位网络与信息系统发生的安全突发事件的应急处置。
3、应急处置原则(1)预防为主,常备不懈。
加强网络与信息系统安全管理,建立健全安全管理制度和预防机制,提高安全防范意识。
(2)快速反应,协同应对。
建立健全应急响应机制,确保在突发事件发生时能够迅速响应,协同各方力量共同处置。
(3)以人为本,保障安全。
在应急处置过程中,以保障人员生命安全和重要数据安全为首要任务。
(4)分级负责,责任到人。
按照“谁主管谁负责、谁运行谁负责”的原则,明确责任,落实到人。
二、应急组织机构及职责1、应急组织机构成立网络与信息系统安全应急领导小组(以下简称“领导小组”),组长由单位负责人担任,副组长由分管领导担任,成员包括各部门负责人和技术骨干。
领导小组下设应急办公室,设在信息化部门,负责日常工作。
2、职责分工(1)领导小组职责负责制定和修订网络与信息系统安全应急预案;统一指挥和协调网络与信息系统安全突发事件的应急处置工作;研究决定应急处置工作中的重大事项。
(2)应急办公室职责负责收集、分析和报告网络与信息系统安全突发事件的相关信息;组织制定应急处置方案,并协调相关部门和人员实施;负责应急处置工作的日常管理和协调。
(3)各部门职责负责本部门网络与信息系统的安全管理工作,落实各项安全措施;在突发事件发生时,按照应急预案的要求,配合应急办公室进行应急处置。
三、预防预警1、预防措施(1)建立健全网络与信息系统安全管理制度,加强安全管理和监督。
(2)定期对网络与信息系统进行安全评估和检测,及时发现和消除安全隐患。
(3)加强网络与信息系统的安全防护,采取防火墙、入侵检测、加密等安全技术措施。
(4)定期组织员工进行网络与信息系统安全培训,提高员工的安全意识和防范能力。
网络安全应急预案总结报告
一、引言随着信息技术的飞速发展,网络安全问题日益凸显,已成为影响社会稳定和经济发展的重要因素。
为了提高我国网络安全防护能力,保障人民群众的合法权益,我国政府高度重视网络安全工作,并制定了一系列网络安全应急预案。
本报告对某单位网络安全应急预案的编制、实施和总结进行梳理,以期为其他单位提供参考。
二、编制背景近年来,我国网络安全形势严峻,各类网络攻击事件频发,给国家和人民群众的利益造成了严重损失。
为应对网络安全风险,某单位在充分调研国内外网络安全应急预案的基础上,结合本单位实际情况,编制了网络安全应急预案。
三、应急预案的主要内容1. 组织架构应急预案明确了应急组织架构,包括应急指挥部、应急工作小组和应急专家团队。
应急指挥部负责统筹协调应急工作,应急工作小组负责具体实施应急措施,应急专家团队负责提供技术支持和咨询服务。
2. 预警与监测应急预案建立了网络安全预警与监测机制,对网络攻击、数据泄露等安全事件进行实时监测,确保及时发现并处理安全隐患。
3. 应急响应应急预案明确了应急响应流程,包括事件报告、应急响应、事件处理和恢复重建等环节。
针对不同级别的网络安全事件,应急预案制定了相应的应急响应措施。
4. 应急物资与装备应急预案明确了应急物资与装备的储备、维护和管理,确保在应急情况下能够迅速调拨和使用。
5. 应急演练应急预案规定了应急演练的频率、内容和方法,以提高应急队伍的实战能力。
6. 后期处置应急预案明确了事件处置完毕后的调查、评估、总结和改进措施,以确保网络安全事件得到有效应对。
四、应急预案的实施1. 宣传培训单位通过举办网络安全培训、发放宣传资料等形式,提高全体员工的网络安全意识和应急响应能力。
2. 预警与监测应急工作小组对网络安全进行全天候监测,及时发现并处理安全隐患。
3. 应急响应在发生网络安全事件时,应急指挥部立即启动应急预案,组织应急工作小组和应急专家团队进行应急处置。
4. 应急演练单位定期开展网络安全应急演练,检验应急预案的有效性和应急队伍的实战能力。
网络安全预警机制实施方案
网络安全预警机制实施方案1. 背景随着互联网的快速发展,网络安全问题日益突出。
为了及时应对各类网络安全威胁,建立和实施网络安全预警机制变得至关重要。
2. 目标本实施方案的主要目标是确保网络安全预警机制的有效运行,以最大程度地降低网络安全风险和损失。
3. 实施步骤步骤一:确定预警指标首先,我们需要确定一系列网络安全威胁的预警指标,以便及时发现和预警可能的安全风险。
这些指标可以包括但不限于异常流量、网络入侵事件、恶意软件活动等。
步骤二:搭建监测系统在此步骤中,我们将搭建一套强大的网络安全监测系统,用于收集和分析与预警指标相关的数据。
该系统应能实时监测网络流量、入侵事件、日志记录等,并能自动发出预警通知。
步骤三:建立预警流程在本步骤中,我们将建立一套完善的网络安全预警流程,以确保所有预警事件能够及时有效地被处理。
该流程应包括事件的接收、分析、确认、处理和报告等环节,并涵盖与预警相关的人员、职责和工作流程等。
步骤四:制定应急响应计划为了应对网络安全事件的发生,我们将制定一份详细的应急响应计划。
该计划将包括预警事件的分级、应急响应团队的组织和职责、应急响应流程和措施等内容,以确保在紧急情况下的高效应对和处置。
步骤五:持续改进和培训网络安全预警机制是一个动态的系统,需要不断地改进和完善。
我们将定期评估和审查预警机制的性能,并根据评估结果进行相应的改进。
此外,我们还将进行定期的网络安全培训,提高员工对网络安全威胁的识别和防范能力。
4. 风险与挑战实施网络安全预警机制可能会面临一些风险与挑战,包括系统不稳定、误报率高、响应不及时等。
我们将采取有效措施来应对这些风险,并不断提升预警机制的可靠性和准确性。
5. 结论通过本实施方案的执行,我们将能够建立一套高效的网络安全预警机制,以确保及时发现和应对潜在的网络安全威胁。
这将为我们的网络环境提供更好的保护,降低因网络安全问题而带来的风险和损失。
安全工程师安全生产法:负有安全生产监督管理职责的部门考试试题.doc
安全工程师安全生产法:负有安全生产监督管理职责的部门考试试题一、单项选择题(共25题,每题2分,每题的备选项中,只有1个事最符合题意)1、根据《生产安全事故报告和调查处理条例》(国务院令第493号),重大事故应当逐级上报至__安全生产监督管理部门和负有安全生产监督管理职责的有关部门。
A.国务院B.省、自治区、直辖市人民政府C.设区的市级人民政府D.县级人民政府2、__是指能对人造成伤亡或对物造成突发性损害的伤害。
A.有害因素B.事故隐患C.危险因素D.危险3、卫星导航系统是以人造地球卫星为参照目标的位置测定系统。
目前使用最广泛的是美国从1973年开始研制,__年投入使用的全球定位系统(Global Positioning System,GPS)。
它包括24颗卫星,分布在6个轨道平面,卫星高度为20200km。
A.1990B.1993C.1995D.19984、重大事故由__会同有关部门组织事故调查组进行调查。
A.国务院特种设备安全监督管理部门B.国务院或者国务院授权有关部门C.省、自治区、直辖市特种设备安全监督管理部门D.设区的市的特种设备安全监督管理部门5、下列不属于事故应急救援系统的应急响应过程的是__。
A.应急启动B.接警C.安全检查D.救援行动6、__是负刑事责任的依据。
A.具备犯罪构成的要件B.具备犯罪构成的证据C.具备犯罪构成的现场D.具备犯罪构成的条件7、城市重大危险源信息管理系统的目标不包括__。
A.重大危险源信息(包括多媒体及地理信息)的管理B.重大危险源危险程度评估的计算机辅助分析C.重大危险源事故应急救援预案的形象表述D.为企业宏观管理提供准确信息8、根据职业病防治的有关规定,用人单位建立的职业健康监护档案的主要内容包括:从业人员职业史、既往史和职业危害因素接触史、员工健康体检结果及处理情况和__等。
A.作业场所设备设施检测结果B.作业场所危害因素检测结果C.从业人员的工作经历D.从业人员的工作业绩9、铁路行车重大事故由铁路局调查判定,报__审查批复。
网络安全应急流程
网络安全应急流程随着网络的快速发展,网络安全问题也日益突出。
各类网络攻击层出不穷,严重威胁到个人和组织的信息安全。
为了应对这些挑战,建立和完善网络安全应急流程显得尤为重要。
本文将介绍网络安全应急流程的主要内容和步骤,以帮助个人和组织更好地应对网络安全威胁。
一、应急响应准备阶段在网络安全事件发生之前,应急响应准备阶段的工作就显得尤为重要。
在这个阶段,个人和组织需要做好以下几个方面的准备工作:1. 网络安全演练:定期组织网络安全演练,以提高员工的应急反应能力,加强团队之间协作配合能力。
2. 安全策略制定:制定完善的网络安全策略,规范个人和组织的网络行为,减少网络安全事件发生的概率。
3. 预警系统建立:建立强大的网络安全预警系统,及时监测和识别网络攻击行为,为下一步的应急响应提供准确的信息。
二、应急响应流程当网络安全事件发生时,需要立即进行应急响应。
应急响应流程主要包括以下几个步骤:1. 事件鉴定与确认:及时发现和确认网络安全事件,并评估事件的严重程度。
2. 事件调查与分析:对事件进行详细的调查和分析,了解攻击方式、攻击目标等关键信息。
3. 损失评估与管控:评估网络安全事件对个人和组织的损失,并采取相应的措施进行管控。
4. 异常恢复与修复:修复和恢复受影响的系统和数据,确保网络正常运行。
5. 事后总结与防范:对网络安全事件进行全面总结,汲取经验教训,加强防范工作,减少类似事件再次发生的可能性。
三、应急响应团队建设建立一个高效的应急响应团队对于网络安全事件的处理至关重要。
一个优秀的应急响应团队应该具备以下几方面的能力:1. 专业技能:团队成员应具备丰富的网络安全知识和技能,能够熟练运用各种安全工具和技术。
2. 协作能力:团队成员间应具备良好的沟通和协作能力,能够迅速响应并有效解决网络安全事件。
3. 经验积累:团队应不断积累应急响应经验,通过演练和案例分析提高处理能力。
四、网络安全培训与宣传网络安全培训和宣传是加强网络安全意识的重要手段。
《网络安全法教程》 11+第十一章 网络安全监测预警与应急处理制度
第四节 应急处置制度
▪ 一、网络安全事件应急预案
▪ 部门应急预案 ▪ 行业应急预案 ▪ 地方应急预案 ▪ 企事业单位应急预案 ▪ 专项应急预案
▪ 事件信息报送报告的内容包括:事件发生单位概况;事件发生时间;事件简 要经过;初步估计的危害和影响;已采取的措施;其他应当报告的情况。
▪ 预警信息报送的内容包括:信息基本情况描述;可能产生的危害及程度;可 能影响的用户及范围;截至信息报送时,已知晓该信息的单位/人员范围; 建议应采取的应对措施及建议。
▪ 二、网络通信临时管制措施的实施条件
▪ 维护国家安全和社会稳定的需要 ▪ 经国务院决定或批准 ▪ 实施区域特定
▪ 网络安全监测的分类:信息安全事件监测、运行状态监测、威胁监测、 策略与配置监测
▪ 网络安全监测的责任主体:“谁主管谁负责、谁运行谁负责”
第二节 网络安全监测预警制度
▪ 二、网络安全预警
▪ 预警信息的发布 ▪ 预警响应 ▪ 预警解除
第三节 网络安全信息通报制度
第三节 网络安全信息通报制度
▪ 二、网络安全信息通报的内容
第四节 应急处置制度
▪ 二、网络安全事件应急处置
▪ 处置原则:党的领导原则、分级负责原则、预防为主原则、快速反应原则、 一切为民原则、开放合作原则
▪ 处置组织机构与职责:领导机构与职责、办事机构与职责、各部门职责、各 省(区、市)职责
▪ 处置流程
事件报告
应急响应
应急结束
调查评估
第五节 网络通信临时管制制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第35卷第4期电子科技大学学报V ol.35 No.42006年8月 Journal of University of Electronic Science and Technology of China Aug. 2006宏观网络安全预警与应急响应系统傅翀,王娟,秦志光,钱伟中(电子科技大学计算机科学与工程学院成都 610054)【摘要】随着互联网络的发展,为了提高宏观网络对各种安全事件的及时检测能力、应急反应能力以及总体控制能力,该文提出了一种宏观网络安全预警与应急响应系统,有效地解决了基于局部网络的入侵检测系统已不能适应宏观网络安全需求的问题,为建立宏观网络的信息安全保障体系提供了有力的支撑。
关键词宏观网络; 安全预警; 应急响应; 预警代理; 预警中心中图分类号TP393.08 文献标识码 AMacro Network Security Warning and Emergency Response SystemFU Chong,WANG Juan,QIN Zhi-guang,QIAN Wei-zhong(School of Computer Science and Engineering, Univ. of Electron. Sci. & Tech. of China Chengdu 610054) Abstract With the development of the Internet, traditional intrusion detection systems based on local network can not meet the need of security of macro networks. For improving the ability of instant detection, emergency response, and overall control of abnormal security affairs, a macro network security warning and emergency response system is developed. This system resolves the problems mentioned above effectively and therefore provides a strong support to build the information security safeguard system of the macro network.Key words macro network; security warning; emergency response; warning agent; warning center由于互联网的重要性日渐增加,越来越多的国家开始重视网络安全保障综合能力的建设,宏观网络预警与应急响应平台的研究和开发就是其中的一个重要组成部分。
1 国内外对宏观网络预警与应急响应的研究1.1 宏观网络中入侵检测系统的研究与实现1.1.1 基于协同模型的分布式入侵检测的研究单一的、缺乏协作的入侵检测技术已经不能满足现有的安全需求,各种技术之间需要有充分的协作机制。
所谓协作主要包括事件检测、分析和响应能力的协同,以及安全主体所掌握安全相关信息的共享等方面。
基于协同模型的分布式入侵检测目前主要研究两个问题[1],一是信息表达的格式和信息交换的安全协议;二是协作的模型。
1.1.2 入侵检测中数据挖掘技术的使用传统的模式匹配方法和概率统计方法在选择系统特征时具有一定的局限性,而基于数据挖掘的入侵检测技术对从网络和主机系统中采集到的数据、安全日志和审计信息进行分析和过滤,从“正常”的数据中发现“正常”的用户和程序的使用模式,并利用这些模式检测网络上的入侵行为,从而提高系统对用户异常行为的识别能力和对未知模式攻击的检测能力[2]。
1.1.3 数据融合技术研究研究数据融合模型,对来自多个入侵检测中心的数据进行分析处理与汇总,从不同子网所发生的入侵判断区域网络可能发生的入侵事件。
数据融合系统可以分析多个入侵检测系统采集的数据,从中发现单个入侵检测系统无法确定的攻击,进一步核实入侵检测系统发现的攻击,并为决策支持系统提供入侵报警信收稿日期:2006 − 06 − 10基金项目:国家信息安全242基金资助项目(2005A09)作者简介:傅翀(1976 − ),男,博士生,讲师,主要从事网络信息安全方面的研究.第4期 傅 翀 等: 宏观网络安全预警与应急响应系统 703 息,提高报警的准确性。
目前常使用的技术有协同多因素的群分析技术、可适应性的神经网络技术和基于规则的专家系统的支持技术。
1.1.4 基于入侵检测的宏观网络预警模型研究预警模型评测攻击的威胁程度、类型、范围和起源,同时预测将来的行动。
预警模型的核心是威胁评测系统。
目前的研究包括对入侵威胁的级别给出定量的指示,建立威胁数据库的方法与技术,量化来自不同角色的风险因子等。
1.2 针对宏观网络中特定安全事件的监测和处理研究目前研究最多的是针对蠕虫病毒爆发的监测和控制研究,主要集中于蠕虫的传播模型和检测[3],实现方式有两种,一是通过报文捕获和协议分析进行检测;二是通过对某一个或某几个网络参数的数据统计判断病毒是否在传播或者爆发。
主要的研究包括发现未知蠕虫,对发现的蠕虫代码进行收集、统计,产生事件和报告,并建立防治系统的层次模型,对新出现的蠕虫提取其特征码并更新检测模块等。
近来还有文献提出蠕虫主动防治技术[4]。
另外,DDoS 攻击也成为近年来的重点研究对象,研究主要集中在两个方面[5]:基于受害者主机的检测和基于攻击路径的检测和反制。
1.3 宏观网络预警体系结构的研究目前常见的体系结构有:(1) 集中处理式结构,如早期的DIDS 、ISM 、NADIR 等系统。
(2) 层次式结构,如AAFID 、HIDE 。
(3) 协作式结构,如CARDS 、Indra 。
协作式结构中完全去掉了中心节点,各个协作节点之间相互平等地交换信息,共同工作。
(4) 移动代理(Mobile Agent)结构[6],如MAIDS 。
1.4 针对网络属性/状态的网络安全状态分析此类研究试图从宏观网络的某些属性/状态的变化来判断是否有安全威胁事件发生。
目前研究较多的是针对网络流量判断网络的安全状态[7]。
但是,大规模IP 网络中的流量行为往往复杂多变,因而通过研究网络流量行为理解网络行为相对困难。
目前流量行为分析主要停留在微观时间尺度领域,而基于通过对宏观流量行为的运行规律和本质的研究来检测安全事件则是个新问题。
有学者进行网络流量周期性分析研究,建立常态的流量模型用于异常流量行为的判断。
针对IP 源/目的地址、服务端口的检测也是常用的技术。
1.5 基于网络拓扑的网络安全事件宏观预警与响应分析通过对拓扑结构的监测、信息搜集是实现宏观网络预警与应急响应的手段,研究工作主要集中在三个方面:(1) 网络的拓扑发现;(2) 结合其他监测信息的预警分析;(3) 安全事件的可视化。
常用的技术有采用基于密度的聚类算法分析安全事件在网络拓扑上的分布状况,以及采用基于k -中心点方法寻找关键路由器等。
1.6 大规模网络的网络建模、模拟研究PC 子网防火墙预警代理预警中路由器预警代理预警代理PC 子网防火墙PC 子网防火墙目前,利用网络模拟技术建立大规模网络模拟平台是一个重要的研究方向,常用的技术是模拟大规模网络某些方面(而不是全部)的属性,如流量、IP 地址信息、拓扑、吞吐量等,既降低了模拟的复杂性,又满足了模拟平台使用者的需求。
除了上述研究内容以外,大流量网络数据获取与实时处理、专用采集及负载分流、网络态势挖掘与综合分析、僵尸网络等网络攻击的发现与反制和漏洞挖掘技术等,均是目前的热点研究领域。
心图1 宏观网络预警-应急系统网络部署图2 宏观网络异常行为预警与响应系统模型概述本文的研究构建了一个可扩展的分布式系统。
电 子 科 技 大 学 学 报 第35卷704 2.1 模型架构宏观网络异常行为预警与响应系统的模型架构如图1所示。
它负责监控每个子网的预警代理和子网中的防火墙联动,当蠕虫病毒、DDoS 等安全威胁事件出现时,预警代理及时检测,并将信息上报预警中心,预警中心把响应策略发布给预警代理,预警代理将其翻译后发送给防火墙执行指定的操作。
本文针对不同的防火墙产品,为预警代理提供相应的策略翻译接口模块,保证系统的通用性;同时,还开发了网络物理隔离设备,与预警代理部署在一起,由预警代理控制。
2.2 宏观网络异常的监测算法本文设计的宏观网络异常行为预警与响应系统实现了分布式入侵检测功能,从大规模网络或系统的日志文件中提取安全信息作为预警信息的来源;另外,本文还提出了一种大规模网络异常的监测算法,系统首先读取训练数据库,针对不同的模型计算相应的训练参数作为检测标准,由于训练数据是在检测前收集,因此标准参数和训练数据收集同步计算。
系统检测宏观网络实时数据流的异常情况,结合训练数据的标准,确定整个宏观网络是否发生了异常。
由于网络事件复杂多变,对于异常检测,采用相似度的方法进行异常检测。
系统从源地址、目的地址、源端口、目的端口、协议分布、包尺寸分布等方面进行相似度分析[7]。
本文以基于流量的蠕虫检测为例说明可疑点分析和跟踪技术,以相似度P (0<P <1)描述当前统计数据和历史数据的相似性。
一般在攻击的开始时段,统计量(如流量)的上升趋势和平稳趋势表现得并不明显,所以可越过攻击开始的前几个时刻,从某一突变的时刻T i 开始计算相似度。
根据历史数据首先选择一个值N ,若受攻击的某个端口在上次流量统计时不在前N 名中,但由于T i 时刻蠕虫攻击导致该端口的流量激增,致使该端口在本次流量统计时进入前N 名,则两次流量的统计分布差异较大,相似度减小;或者受攻击的某个端口在上次流量统计时已经在前N 名中,但由于攻击使该端口相对于前N 名中的其他端口占有的流量比例显著变化,从而也会导致相似度减小。
由于攻击的持续,在T i +1时刻受攻击端口在前N 名中继续占有较高的比例,导致相似度增大,接着在T i +2时刻相似度趋于稳定,直到T m 时刻攻击结束,受攻击的端口流量骤减,相似度会因为前N 名流量分布的变化而再次降低。
令T i ,T j ,…,T m 个采样点对应的相似度分别为P i ,P j ,…,P m ,定义θ为指定的相似度变化阈值;β为由攻击类型决定的相似度变化参数,且0<β<1;ε是攻击时的稳定阈值。
所有这些值都由训练数据产生。