基于知识发现的网络安全态势感知框架
基于机器学习的网络安全态势感知系统设计
基于机器学习的网络安全态势感知系统设计网络安全是当今世界中备受关注的话题之一。
随着互联网的普及和技术的不断进步,网络安全面临的威胁不断增多,并且变得越来越复杂。
网络安全态势感知系统的出现,成为了保障网络安全的必要手段。
本文将围绕着基于机器学习的网络安全态势感知系统的设计展开论述。
一、网络安全态势感知系统的概述网络安全态势感知系统,是指能够对网络进行实时监控、攻击检测、漏洞预测和恶意行为分析的系统。
简单来说,就是通过对网络流量的监控和数据分析,对网络中发生的安全事件及时做出响应和处理,以保障网络的安全。
网络安全态势感知系统主要包括三个方面的内容:数据采集、数据分析和决策支持。
数据采集是指系统通过对网络流量的监控和数据的抓取,了解网络中的各类信息;数据分析则是指通过对采集到的数据的处理和分析,进行攻击检测、漏洞预测和恶意行为分析;决策支持则是指根据对数据分析的结果,进行相应的防御措施和安全策略的制订。
二、基于机器学习的网络安全态势感知系统的设计原理基于机器学习的网络安全态势感知系统,利用机器学习技术对采集到的数据进行处理和分析,从而提高对网络安全攻击等事件的识别和准确率。
具体来说,基于机器学习的网络安全态势感知系统的设计原理,主要包括以下几个方面:1、数据预处理在进行数据处理之前,需要对采集到的原始数据进行预处理,包括数据去重、数据清洗、数据过滤等。
这样可以消除数据中的噪声和冗余信息,提高数据的质量,并为后续的机器学习算法提供更加准确和有效的数据输入。
2、特征提取特征提取是机器学习中非常重要的一步,它决定了模型的抽象能力和表现力。
在网络安全态势感知系统中,特征提取的主要任务是将原始数据转换为具有可解释性的特征,用以表示数据的本质和价值。
根据具体的应用场景和目标,可以通过特征提取方法来减小特征空间、增强类别区分和降低计算复杂度等。
3、算法选择机器学习中常见的算法包括:支持向量机(SVM)、决策树(DT)、朴素贝叶斯(NB)和神经网络(NN)等。
基于大数据的网络安全态势感知平台架构研究
基于大数据的网络安全态势感知平台架构研究摘要:随着我国近年来的快速发展,网络已渗透到各行各业当中,因此在对基于大数据的网络安全的保护是刻不容缓的。
网络安全态势感知平台架构对网络安全有至关重要的意义,因此本文主要针对网络安全态势感知平台架构进行研讨。
关键词:大数据;网络安全;态势感知;架构研究随着网络技术不断提升,日常生活越来越离不开互联网,尤其是近年我国实现了互联网交易、互联网赚钱、互联网办公等等。
互联网的安全也逐渐影响到个人、家庭、社会乃至国家的安全,为不影响到国家社会安全为此从以下几点进行探讨。
1 大数据时代面临的网络安全问题随着新兴的数据技术不断涌现,大数据时代面临的网络安全问题主要包括了以下几个方面:1.1 互联网问题随着科技的发展,我国逐渐开启网上支付、交易时代,虽然纸币依然存在,但是不久的将来,钱在人的观念里可能只是支付宝、微信或是其他格式各样的APP里的数字。
但这样交易风险和数据安全无法保证,有些犯罪分子的网络技术手段越来越成熟,这些有文化的犯罪分子破坏网络的信息安全对未来亦有一定危害。
1.2 云中的数据云中作为手机必不可少的功能,存在着大量自身数据。
一旦被犯罪人员获得,不仅是自身隐私被盗更有可能犯罪分子拿着你的信息危害社会,扰乱社会秩序。
因此云服务中的数据是不可忽视的安全隐患问题。
1.3 关于个人设备的管理收集数据、存储数据、访问数据、传输数据等等大概就是个人设备管理的应用,个人设备使用连着工作的企业数据,工作过多的依赖网络,一旦个人设备的管理不恰当泄露了公司机密,可能整个公司将受到连累损害企业数据安全。
1.4 保密数据方面我国数据技术应用范围越来越广,而数据从出现到被分析这段过程都可能泄露,所以保密数据方面的问题经常一个不注意就会产生,所以个人和此方面企业应尽量做好防护。
有句话说的好得罪谁千万别得罪玩电脑的,当然世界没有犯罪和买卖才是最好的保密。
2 态势感知建设的目的以及平台架构和设计科技的进步是不会停歇的,面对一次次的挑战,创新网络技术刻不容缓,但在创新网络技术的同时也不应该放弃网络安全。
网络安全态势感知架构
网络安全态势感知架构网络安全态势感知是指通过对网络环境中的各种信息进行采集、分析和处理,实时感知网络安全威胁和风险,从而快速响应和应对网络安全事件的架构。
一个高效可靠的网络安全态势感知架构对于保障网络的安全和稳定具有重要意义。
网络安全态势感知架构主要包括采集、分析和应对三部分。
采集环节主要负责从网络环境中收集各种关键信息,包括网络流量数据、系统日志、入侵检测系统(IDS)和入侵防御系统(IPS)等数据。
在采集环节中,需要保证数据的完整性、准确性和实时性,可以采用实时流媒体技术或者将数据进行存储和索引,便于后续的分析和应对。
分析环节是整个网络安全态势感知架构的核心部分,通过对采集的数据进行挖掘、分析和建模,快速发现网络中的异常行为和潜在的威胁。
在分析环节中,可以借助机器学习、数据挖掘和统计分析等技术进行数据处理和模式识别,从而提取出网络中的正常行为和异常行为。
同时还可以使用关联分析和频繁模式挖掘等方法,发现网络安全事件之间的关联性和规律性,提前预警和响应可能的安全威胁。
应对环节是在发现网络安全威胁后,采取相应的措施进行处置和应对。
应对环节包括警报、响应和修复三个步骤。
当网络安全威胁被检测到后,系统会发出警报,将警报信息及时通知给相关管理人员,并根据威胁的严重程度和紧急性采取相应的响应措施,可能包括隔离网络、断开异常访问、关闭漏洞等。
同时,要跟踪监控威胁的发展和传播,及时修复漏洞和强化防护措施,防止威胁再次发生。
网络安全态势感知架构的实现需要依赖于多个技术和工具。
首先,需要建立一个强大的数据采集系统,能够对网络环境中的各种数据源进行实时采集和存储。
其次,需要使用先进的数据分析和挖掘技术,对采集的数据进行处理和建模分析。
同时,还需要结合专家知识和经验,进行异常行为的判别和威胁评估。
最后,还需要建立一个快速响应和应对的系统,能够及时发出警报和采取相应的措施响应网络安全威胁。
总之,一个高效可靠的网络安全态势感知架构是保障网络安全的关键。
网络安全态势感知架构
网络安全态势感知架构
网络安全态势感知架构是指利用网络安全监测、分析和响应技术,对网络安全事件进行实时监控和分析,以及对网络威胁进行快速响应的一种架构模式。
它通过收集、处理和分析大量的网络安全数据,提供全面的网络安全态势感知,并根据感知结果进行安全策略调整和威胁应对等措施。
网络安全态势感知架构包括以下几个关键组成部分:
1. 数据采集与存储:通过部署网络安全设备和传感器,获取网络流量、日志、事件等数据,并将其存储在安全数据中心或云平台中,方便后续的数据分析和挖掘。
2. 数据分析与挖掘:采用大数据分析、机器学习等技术,对采集到的数据进行处理、特征提取和威胁情报分析,识别出网络安全事件和潜在威胁,并生成相关的安全事件报告和警示信息。
3. 状态监测与评估:监控各类网络设备、应用系统和终端设备的安全状态,收集网络资产信息,及时发现网络安全漏洞和异常行为,对网络安全风险进行评估和预测。
4. 威胁情报共享与协同:通过与安全厂商、安全组织和其他安全团体建立合作机制,共享安全威胁情报,提高安全感知的准确性和时效性,进行安全态势协同分析和响应。
5. 安全响应与应对:基于网络安全事件的实时监测和分析结果,快速采取相应的安全响应措施,包括阻断攻击、修复漏洞、加
强访问控制等,以减轻网络威胁的影响。
通过建立和完善网络安全态势感知架构,组织能够更好地了解当前的网络威胁和安全风险,及时进行预警和响应,提高网络安全的防护能力和应对能力,从而保障网络的稳定和安全运行。
网络安全态势感知与风险评估框架设计
网络安全态势感知与风险评估框架设计在当今数字化高速发展的时代,网络已经成为了社会运行的重要基础设施。
然而,伴随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击手段不断翻新,安全威胁日益复杂多样,给个人、企业乃至国家的信息安全带来了严峻挑战。
为了有效应对这些挑战,保障网络空间的安全,网络安全态势感知与风险评估框架的设计显得至关重要。
网络安全态势感知是对网络安全状态的实时监测、分析和理解,旨在全面掌握网络的安全状况,及时发现潜在的安全威胁。
而风险评估则是对网络系统中可能存在的风险进行识别、分析和评估,为制定相应的安全策略提供依据。
一、网络安全态势感知框架的设计1、数据采集层这是网络安全态势感知的基础,需要从各种网络设备、安全设备、服务器、应用系统等收集大量的安全相关数据,包括流量数据、日志数据、配置信息、漏洞信息等。
数据的来源应尽可能广泛,以确保获取全面的网络安全态势信息。
2、数据预处理层采集到的原始数据往往存在格式不一致、噪声、缺失值等问题,需要进行数据清洗、转换、归一化等预处理操作,将其转化为可分析的格式。
同时,还需要对数据进行关联和融合,以便从不同数据源中提取有价值的信息。
3、数据分析层运用多种分析技术和算法,对预处理后的数据进行深入分析。
这包括基于规则的分析、统计分析、机器学习算法(如聚类分析、分类算法等)、关联分析等,以发现潜在的安全威胁和异常行为。
4、态势呈现层将分析结果以直观、易懂的方式呈现给用户,如通过可视化图表、报告等形式,帮助用户快速了解网络的安全态势。
态势呈现应具备实时性和交互性,以便用户能够及时做出决策。
二、网络安全风险评估框架的设计1、资产识别首先需要对网络系统中的资产进行全面识别,包括硬件、软件、数据、人员等。
明确资产的价值、重要性和敏感性,为后续的风险评估提供基础。
2、威胁识别分析可能对网络资产造成损害的各种威胁,如网络攻击、恶意软件、自然灾害、人为失误等。
同时,评估威胁发生的可能性和频率。
网络安全态势感知的内容与方法
网络安全态势感知的内容与方法网络安全态势感知是当前网络安全领域的热门话题,已经成为政府和企业宣传网络安全的高频词汇。
然而,对于网络安全态势感知的具体内容和针对不同用户需求的感知方法,人们仍然缺乏清晰的认识。
为此,我们需要详细分析网络安全态势感知的内容和针对不同用户需求的感知方法。
一、网络安全态势感知的内容1、感知网络资产随着IT系统的不断发展,网络资产变得越来越复杂,其中包括大量的无主资产和僵尸资产。
这些资产长时间无人维护,存在大量的漏洞和配置违规,给网络安全带来了极大的隐患。
因此,我们需要首先摸清资产家底。
任何网络入侵和攻击都是以资产为载体或目标,如果网络资产是一笔糊涂账,那么网络安全状况将无法得到保障。
感知资产的方法主要有主动探测和被动分析。
主动探测主要用于对未知网络下的资产发现探测,被动分析主要用于7×24小时持续性的监听已知网络下的未发现资产。
通过建立强大的资产指纹库,识别各类资产并完成资产属性的补全,最终实现未知资产的发现、识别与管理。
同时,需要通过监控资产的运行状态,包括主机CPU、内存、磁盘占用率变化情况、网络带宽的占用变化情况和交换机每个端口的流量情况,为安全检测分析提供数据支撑。
2、感知资产脆弱性网络安全脆弱性主要包括资产漏洞和弱密码等配置不当。
脆弱性已经成为网络攻击者入侵网络窃取信息或者破坏系统的重要入口。
因此,“摸清家底”的一个重点就是要摸清资产的脆弱性。
如果资产漏洞和不合理配置不明确,将无法进行资产安全加固并采取防护措施。
资产漏洞的感知方法是通过端口探测等手段,对网络中指定的主机、网络设备等资产进行漏洞检测,发现网络资产存在的漏洞。
而资产配置脆弱性的感知方法则是采用基线安全配置检测工具,深度获取主机、服务器和网络设备等资产的配置信息,并与配置基线进行比较,发现资产配置的脆弱性。
最终,通过发现脆弱性并维护所有资产脆弱性的生命周期信息,分析可能的攻击面和攻击路径。
随着网络技术的发展,网络安全威胁的方式层出不穷。
基于知识发现的网络安全态势感知系统
N e t w o r k S e c u r i t S i t u a t i o n A w a r e n e s s S s t e m B a s e d o n K n o w l e d e D i s c o v e r y y g y
12 2 2 1 WANG C h u n l e i ANG L a n D o n x i a A I Y i i - F WANG - D - g q 1 ( , , ) D e a r t m e n t o f C o m u t e r S c i e n c e a n d T e c h n o l o T s i n h u a U n i v e r s i t B e i i n 1 0 0 0 8 4, C h i n a p p g y g y j g 2 ( , , ) S c i e n c e a n d T e c h n o l o o n I n f o r m a t i o n S s t e m S e c u r i t L a b o r a t o r B e i i n I n s t i t u t e o f S s t e m a n d E n i n e e r i n B e i i n 1 0 0 1 0 1, C h i n a g y y y y j g y g g j g ,
, A b s t r a c t e t w o r k s e c u r i t a d m i n i s t r a t o r s n e e d t o o b t a i n a n d a n a l z e n e t w o r k s e c u r i t s i t u a t i o n f o r m a n a e m e n t m a i n N - y y y g , , , l a n n i n u r o s e s . T h e t e n a n c e a n d c o m l e x i t i e s a n d d i v e r s i t i e s o f s e c u r i t a l e r t d a t a o n m o d e r n n e t w o r k s h o w e v e r p g p p p y m a k e t h e r e c i s e a n a l s i s a n d e v a l u a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n e x t r e m e l d i f f i c u l t . W e s u mm a r i z e d t h e r e s e a r c h p y y y , r o r e s s a n d e x i s t i n o f n e t w o r k s e c u r i t s i t u a t i o n a w a r e n e s s a n d a n e t w o r k s e c u r i t s i t u a t i o n m o r o b l e m s r o o s e d - p g g y y p p p , d e l i n a n d f r a m e w o r k b a s e d o n k n o w l e d e d i s c o v e r . T h e nw e d e s i n e d a n d i m l e m e n t e d t h e n e t w o r k s e c u r e n e r a t i o n - g g y g p g i t s i t u a t i o n a w a r e n e s s s s t e m( N e t S S A) b a s e d o n t h i s f r a m e w o r k. N e t S S A c o n s i s t s o f t h e m o d e l i n o f n e t w o r k s e c u r - - - y y g i t s i t u a t i o n a n d t h e e n e r a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n . T h e u r o s e o f m o d e l i n i s t o c o n s t r u c t t h e f o r m a l m o d e l y g y p p g , o f n e t w o r k s e c u r i t s i t u a t i o n m e a s u r e m e n t b a s e d u o n t h e D S e v i d e n c e t h e o r a n d s u o r t t h e e n e r a l r o c e s s o f f u - - y p y p p g p s i n a n d a n a l z i n s e c u r i t a l e r t e v e n t s c o l l e c t e d f r o m s e c u r i t s i t u a t i o n s e n s o r s . T h e n e t w o r k s e c u r i t s i t u a t i o n i s e n - g y g y y y g e r a t e d b e x t r a c t i n t h e f r e u e n t a t t e r n s a n d s e u e n t i a l a t t e r n s f r o m t h e d a t a s e t o f n e t w o r k s e c u r i t s i t u a t i o n b a s e d y g q p q p y k n o w l e d e d i s c o v e r m e t h o d s a n d t r a n s f o r m i n t h e s e a t t e r n s t o t h e c o r r e l a t i o n r u l e s o f n e t w o r k s e c u r i t s i t u a u o n - g y g p y p t i o n, a n d f i n a l l a u t o m a t i c a l l c o n s t r u c t i n t h e n e t w o r k s e c u r i t s i t u a t i o n r a h. T h e e x e r i m e n t a l r e s u l t s s h o w t h a t t h e y y g y g p p s s t e m s u o r t s t h e a c c u r a t e m o d e l i n a n d e f f e c t i v e o f n e t w o r k s e c u r i t s i t u a t i o n . e n e r a t i o n y p p g y g , , , , K e w o r d s e t w o r k s e c u r i t S e c u r i t s i t u a t i o n m o d e l i n S e c u r i t s i t u a t i o n e n e r a t i o n D a t a m i n i n K n o w l e d e d i s N - y y g y g g g y c o v e r y 有较高的误报率和漏报率 。 网络安全态势感知是解决这些 问 题的有效途径, 即通过在一定时间及空间范围内感知所发生 的网络安全事件 , 针对安全数据进行综合处理 , 分析系统受 到 , 的攻击行为 , 提供网络安全的 “ 全局视图 ” 评估网络系统 的 整 体安全状态和推测未来的安全趋势 。 网络安全态势感知在安全告警事件的基础上提供统一 的 网络安全高层视图, 使安全管理员能够快速准确地把握网络
网络安全态势全方位感知——网络态势大数据可视化
网络安全态势全方位感知——网络态势大数据可视化随着信息技术和网络的快速发展,计算机网络的资源共享愈发开放普及,随之而来的是信息安全问题日益突出。
网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂,因此,如何全方位感知网络安全态势、实时监控网络运行状况、保障信息资产安全,应引起我们足够的重视,引发更多的思考并积极应对。
一个优秀的网络态势大数据可视化系统,能够将抽象的网络和系统数据进行可视化呈现,从而对网络中的主机、安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测,帮助用户快速掌握网络状况,识别网络异常、入侵,把握网络安全事件发展趋势,全方位感知网络安全态势。
因此,网络态势大数据可视化系统应具备以下功能:一、安全态势感知在一个开放的网络环境中,大量信息在网上流动,全球平均每20秒就发生一起Internet计算机侵入事件。
因此就需要系统对网络安全威胁进行可视化呈现,全方位感知网络安全态势。
基于支持二三维地理空间分布,对全网主机及关键节点的综合安全信息进行网络态势监控。
支持逻辑拓扑层级结构,从全网的整体安全态势,到信息资产以及安全数据的监测,进行全方位态势监控。
支持全网各节点的信息查询,实时反映节点信息的状态,对节点信息安全进行全面监测。
与此同时,系统应提供全面的网络威胁入侵检测分析功能,深入分析网络流量信息,对全网各节点进行实时监测,并支持多种图表的威胁告警方式,让威胁一目了然。
还可查看告警威胁事件的详细信息,同时支持自定义告警策略,设置告警范围和阀值等策略。
基于APT攻击检测系统,对攻击来源、攻击目的、攻击路径进行溯源分析,同时根据安全威胁事件的来源信息和目标信息,结合GIS技术将虚拟的网络威胁和现实世界生动的结合起来,实现网络安全态势的可视化。
二、数据中心运维可视化信息技术和网络的快速发展,同时也加速了数据中心建设的发展,规模日益增大、密度不断提升,数据中心的复杂程度越来越高,运维管理的复杂程度急剧攀升,这就需要通过3D虚拟现实技术,提供一个完整的、网络化、可视化的三维虚拟环境,以可交互的界面,清晰完整展现整个数据中心运行状态,包括环境、资产、运行状态、IT架构等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于知识发现的网络安全态势感知框架摘要:由于以往的安全警戒事件,网络安全态势感知提供了独特的高级别安全观。
但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。
在本文中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的网络安全态势感知框架。
该框架包括网络安全态势模型生成、网络安全态势产生。
建模的目的,是构建基于d-s理论的网络安全态势检测的形式化模型,并支持融合和分析来自于传感器安全态势的安全警报事件的一般化过程。
新一代网络安全态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模式,并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势图。
集成网络安全态势感知系统(Net-SSA )的应用表明,这种框架支持网络安全态势模型的精确生成和有效发展。
关键词:网络安全;态势感知;数据挖掘;知识发现一、引言传统的网络安全设备,如入侵检测系统(IDS ),防火墙,安全扫描器彼此独立运作,它们几乎没有自己所要保护的网络资源的信息。
由于缺乏信息,在对安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。
网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态势感知是解决这些问题的有效途径。
网络安全态势感知的一般过程就是,感知发生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安全趋势。
在实现网络安全态势感知时存在着一些困难,如下:(1)从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。
(2)由于大规模网络攻击(例如:DDos)所产生的琐碎的安全警报非常复杂,并且它们之间的关系难以确定。
(3)安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处理时警报处理程序得不到足够的信息,而且自动获取这些信息是相当困难的。
在本文中,我们总结的网络安全态势感知的研究过程,提出了一个基于知识发现的网络安全态势感知的框架,并应用到我们的网络安全态势感知系统(NET- SSA )。
本文其余部分组织如下:第2节介绍了网络安全态势感知的概念和功能,并总结了该领域的相关研究;第3节提出我们的“基于知识发现的网络安全态势感知框架”;第4节演示实验结果,第5节总结今后的工作方向。
二、 基本概念和相关工作A. 基本概念为方便描述和避免混淆,相关的名词定义如下:安全态势:它指的是处于监督状态的网络的整体安全状况,在一定的时间窗口遭受的网络攻击,对整个网络安全的影响。
一般来说,安全态势的信息,包括两个方面,时间维度和空间分布维度。
安全事件:它是指由各种网络安全态势传感器产生和由网络入侵或检测参数超出阈值产生的警报事件。
它可以表示成一个多元组i e ={ detectTim i e , eventTyp i e ' attac i k ,srcI i P , desI i P , srcPor i t , desPor i t , protoco i l , sensorI i D , confidenc i e ,severit i y , othe i r }。
其中, detectTimei 指警报事件发生的时间; eventTypei 是指警报事件的类型, attacki 是指攻击检测警报所属的类; srcI 和Desi 指警报事件的源和目的地址; srcPorti 和 desPorti 指警报事件的源和目的端口; protocol 指协议类型 ; sensorID 是指传感器检测到的事件; confidencei 是指警报的事件的可信率; severit i y 是指警报事件的严重级别; otheri 是指警报事件的其他信息。
安全态势建模:它指的是分析各种安全传感器所产生的警报事件,并最终产生全局网络安全态势的过程。
它包括以下功能:事件简化:[1e ,2e ,3e ,…,n e ]→m e ,简化其中有重复定义或并发性关系的冗余警报事件,以减少有效警报的数量。
事件过滤:[i e ,P(i e )∉H]→φ,警报事件已被删除或标记为无关的事件,如果属性P(i e )不属于H 的某个合法集。
如果一些键的属性丢失或者超出预定义范围,警报事件就会被删除。
事件融合:i e confidence −−−−→'i e ,利用信息融合技术(如D-S 证据理论的),它主要解决了碰撞警报和警报合并使用的问题,从而提高警报事件的可信率,降低假阳性率。
事件关联:[1e ,2e ,3e ,…,n e ]confidence −−−−→1n e +,当前的网络安全事件,活动和情况,可以从不同类型的警报事件源所使用的数学或启发式方法推断出来,从而提高检出率,降低假阴性率。
状态评估:它指的是对来自于多层次的基于空间和时间维度中的分布式攻击行为和网络资源的作用的安全状态评估。
知识发现(KD ):它是指确定来自于从传感器收集到的安全事件集的新模式的非平凡过程,这些传感器易于理解,而且对于获知安全状况很有用。
知识发现的目的是提取安全事件的融合和关联所需要的规则。
安全状态产生:在网络安全状态感知的过程中,安全局势的模型是标准化的,受限制的,可推断的,正确的,通过从知识发现中获取的模式信息进行补充,最后生成的全局网络的安全状况。
B.相关工作为了应付陆续增加的信息安全威胁,多种安全设备已被用于大型网络。
这些设备可以产生大量的安全事件预报。
当面临着太多的预警信息,要获得当前整个网络的安全状态是非常困难的。
为了解决这一问题,许多研究已把“状态感知”的概念引入互联网安全系统。
巴斯是第一个引入网络这一概念的人,并且他提出了基于多传感器数据融合的网络安全认知框架[1] [ 2 ] 。
它可以帮助网络管理员识别,跟踪和衡量网络攻击活动。
通过参考Endsley 的状态感知框架,Jibao 等人出了“网络安全状态感知模型”。
另一方面,根据巴斯的理论,Liu 等人提出了基于信息融合的网络安全感知模型。
为了了解整个网络安全的趋势,我们必须收集,融合和分析大量的信息,减少假阳性率和假阴性率。
Yu 等人公布了一个基于加权D-S 理论的警告信息融合方法。
这种方法通过融合具有不同可靠性和权值的传感器信息,增加了警报信息的可靠性,并有效降低了误报率。
但是,关键在于如何准确地设置每个传感器的可靠性和权值。
Wang 等人[7]认为,当分析安全状态时,可利用神经网络对异类多传感器数据融合和时间的精确性和攻击的严重性进行分析。
在知识发现自动的帮助下,Stefanos的等人[8] 发现了这些信息潜在的相关性,并实现了预警信息之间的相关性分析。
这种发放的优点是,它是知识自动发现机制;缺点是,没有人的参与,它所产生的结果并不总令人满意。
有时,它可能会发现大量的无用信息。
预警信息多传感器数据融合和相关性分析完成后,我们必须把安全状态模型量化。
Bass[9]认为安全风险评估应包括系统的价值,威胁程度和攻击的严重性。
Zhang等人把所有的网络环境参数引入到安全状态框架中,像网络中关键主机的数目,主机提供的服务,攻击可能造成的危害等。
Chen认为,应该把风险评估方法划分为不同的层次,根据服务、主机、网络的层次结构来定量网络安全态势。
首先确定资产的重要性,攻击的危害,并收集各种漏洞和网络攻击发生时整个网络可以被评估的安全状态。
从网络安全信息获取到形成网络安全状态模型是一个综合的过程,但大多数的研究着重于安全事件或安全风险评估方法的融合。
它们都没有形式化描述网络安全状态,缺乏一个综合的知识感知框架。
本文不仅提出了基于知识发现的一个形式化网络安全状态模型,而且提出了一个支持从安全事件分析到安全事件感知的整个过程的综合的网络状态感知框架。
三、网络安全态势感知框架本文提出的网络状态感知框架是基于知识发现的,并由网络安全状态模型和网络安全状态产生两部分组成,如图1所示。
网络安全状态建模是指构建应用于基于D-S理论的网络安全状态监测的形式化模型,并支持各类安全状态传感器的警报事件的融合和相关分析的一般过程。
网络安全状态的产生,主要包括三个步骤:首先,通过由引进FP -Tree算法[12]和WINEPI的算法[13]生成的交互式知识发现,获得攻击模式;其次,把发现的频繁模式和序列模式转化为警报事件的相关规则;最后,实现基于网路安全状态生成算法的网络安全状态图的动态产生。
网络安全状态模型网络安全状态生成图1网络安全状态感知的框架由两部分组成,一个是处理各种事件和构建网络安全状态的公式化模型,另一种是通过知识发现获得的攻击模式和动态产生的网络安全状态图。
A.网络安全态势建模网络安全态势建模的主要目标是建立适用于网络安全态势检测的标准化的数据模型,并支持安全状态传感器的警报事件的简化、过滤、融合的一般过程。
用于网络安全状态建模的数据来源于监督网络中的异构分布式传感器收集到的各类安全警报。
网络安全状态的建模过程的几个阶段组成。
在预处理的初始阶段,通过规范警报事件,所有接收到的安全事件转化为能够被数据处理模块处理的标准格式。
警报事件可能是来自不同的传感器,并有不同的格式,如IDS的事件记录,防火墙,主机系统的日志文件,从网络流量等。
规范的目的是要将每个传感器的所有事件属性统一。
在我们的框架中,我们不同的传感器提供相应的预处理模块,并把特定的传感器的信息转变为本文中定义的信息模型的属性值。
基于信息模型,对每个原始事件进行预处理,并转化为标准格式,把每个属性字段设置为适当的值。
在安全状态数据处理阶段,标准化的警报事件作为输入数据被接收,并对标准化警报信息进行了简化、过滤和融合。
事件简化的目的,是要合并多个传感器检测到的相同攻击的冗余警报事件。
简化事件的一个典型的例子是,IDS可能会产生许多探测活动,当执行端口扫描攻击时,对每个端口扫描包,并且通过简化在给定时间内的从同一来源,同一目标主机的同类型事件,事件的数量可能会大大减少。
事件过滤的目的是消除那些不满足约束条件的事件,根据网络安全状态感知的要求,这些约束条件在知识库中以属性或规则形式存放。
例如,如果事件的关键属性的值缺少或超界,可以删除这些事件,因为它们对于网络安全状态的分析是毫无意义的。
通过简化和过滤处理,合并重复的安全事件,安全事件的数量将大大减少,抽象程度将提高。
同时,安全情况的信息暗示将被保留。
事件融合功能的基础是登普斯特夏尔(DS)证据理论。
事件融合的目的是对来自不同传感器已预处理过的,简化过滤的安全事件引入不同的置信水平,通过多属性融合定量评估安全事件,从而有效降低假阳性和假阴性警报,为网络安全态势的推理、分析和产生提供支持。
基于事件融合的D-S 证据理论的一般过程是通过系统状态1E ,2E ,…,m E 推出当前系统的安全状态。