網絡安全事件定義
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全事件定義范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全事件定義范文第1篇
針對當前網絡安全態勢信息的共享、復用問題,建立一種基于本體的網絡安全態勢要素知識庫模型,來解決無法統一的難題。利用網絡安全態勢要素知識的多源異構性,從分類和提取中建立由領域本體、應用本體和原子本體為組成的網絡安全態勢要素知識庫模型,并通過具體態勢場景來驗證其有效性。
【關鍵詞】
網絡安全態勢感知;本體;知識庫;態勢場景
現代網絡環境的復雜化、多樣化、異構化趨勢,對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題,如何從網絡入侵檢測、網絡威脅感知中來提升安全目標,防范病毒入侵,自有從網絡威脅信息中進行協同操作,借助于網絡安全態勢感知領域的先進技術,實現對多源安全設備的信息融合。然而,面對網絡安全態勢問題,由于涉及到異構格式處理問題,而要建立這些要素信息的統一描述,迫切需要從網絡安全態勢要素知識庫模型構建上,解決多源異構數據間的差異性,提升網絡安全管理人員的防范有效性。
1網絡安全態勢要素知識庫模型研究概述
對于知識庫模型的研究,如基于XML的知識庫模型,能夠從語法規則上進行跨平臺操作,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能,對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現,但因針對IDS系統,無法實現多源異構系統的兼容性要求;對于基于一階邏輯的知識庫模型,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統資源占用較大;基于本體的多源信息知識庫模型,不僅能夠實現對領域知識的一致性表達,還能夠滿足多源異構網絡環境,實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面,對安全細心及事件管理系統進行安全評估,并制定相應的安全策略;王前等人利用多維分類攻擊模型,從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用;吳林錦等人借助于入侵知識庫分類,從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體,能夠實現對入侵知識的復用和共享。總的來看,對于基于本體的網絡安全態勢要素知識庫模型的構建,主要是針對IDS警報,從反應網絡安全狀態上來進行感知,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性。
2網絡安全態勢要素的分類與提取
針對多源異構網絡環境下的網絡安全狀態信息,在對各要素進行分類上,依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則,主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境,主要是構建網絡安全態勢的基礎環境,如各類網絡設備、網絡主機、安全設備,以及構建網絡安全的拓撲結構、進程和應用配置等內容;對于網絡漏洞,是構成網絡安全態勢要素的核心,也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容;這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊,主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象,如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中,并非是直接獲取,而是基于相關的網絡安全事件,從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件,往往被記錄到網絡系統的運行日志中,如原始事件、日志事件。
3構建基于本體的網絡安全態勢要素知識庫模型
在構建網絡安全態勢要素知識庫模型中,首先要明確本體概念。對于本體,主要是基于邏輯、語義豐富的形式化模型,用于描述某一領域的知識。其次,在構建方法選擇上,利用本體的特異性,從本體的領域范圍、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系;將網絡安全態勢要素知識進行分類,形成知識領域本體、應用本體和原子本體三個類別。
3.1態勢要素知識領域本體
領域本體是構建網絡安全態勢要素知識庫的最高本體,也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類,即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件發生在網絡環境中;cause表示攻擊引發的事件;is-a表示為子類關系。
3.2態勢要素知識應用本體
對于領域本體內的應用本體,主要是表現為網絡安全態勢要素的構成及方式,在描述上分為四類:一是用于描述網絡拓撲結構和網絡配置狀況;二是對網絡漏洞、漏洞屬性和利用方法進行描述;三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述;四是對原始事件或日志事件的描述。
3.3態勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明,也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯,以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關,以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點,可以擁有一個地址,屬于某一網絡。對于網絡漏洞領域內的原子本體,主要有漏洞嚴重程度、結果類型、訪問需求、情況;漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞;對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例,可以設置為高、中、低三層次;對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問;對于結果類型有破壞機密性、完整性、可用性和權限提升等。
3.4網絡安全態勢知識庫模型的特點
網絡安全事件定義范文第2篇
目前隨著互聯網的發展普及,網絡安全的重要性及企業以及其對社會的影響越來越大,網絡安全問題也越來越突出,并逐漸成為互聯網及各項網絡信息化服務和應用進一步發展所亟需解決的關鍵問題。網絡安全態勢感知技術的研究是近幾年發展起來的一個熱門研究領域。它不僅契合所有可獲取的信息實時評估網絡的安全態勢,還包括對威脅事件的預判,為網絡安全管理員的決策分析和溯源提供有力的依據,將不安全因素帶來的風險和對企業帶來的經濟利益降到最低。網絡安全態勢感知系統在提高應急響應能力、網絡的監控能力、預測網絡安全的發展趨勢和應對互聯網安全事件等方面都具有重要的意義。
那么全面準確地攝取網絡中的安全態勢要素是網絡安全態勢感知技術研究的基礎方向。然而由于網絡已經發展成一個龐大的非線性復雜系統,具有很強的靈活性,使得網絡安全態勢要素的攝取存在很大難度。目前網絡的安全態勢技術要點主要包括靜態的配置信息、動態的運行信息以及網絡的流量甄別信息等。其中,靜態的配置信息包括網絡的拓撲信息、事件信息、脆弱性信息和狀態信息等基本的環境配置信息;動態的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]。
電力企業作為承擔公共網絡安全艱巨任務的職能部門,通過有效的技術手段和嚴格的規范制度,對本地互聯網安全進行持續,有效的監測分析,掌握網絡安全形勢,感知網絡攻擊趨勢,追溯惡意活動實施主體,為重要信息系統防護和打擊網絡違法活動提供支撐,保衛本地網絡空間安全。
態勢感知的定義:一定時間和空間內環境因素的獲取,理解和對未來短期的預測[1]網絡安全態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行甄別、獲取、理解、顯示以及預測未來的事件發展趨勢。所謂網絡態勢是指由各種網元設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。
國外在網絡安全態勢感知方面很早就已經做著積極的研究,比較有代表性的,如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架,通過推理識別入侵者身份、速度、威脅性和入侵目標,進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究,并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]。
1安全態勢感知系統架構
網絡安全態勢感知系統的體系架構(如圖一),由威脅事件數據采集層、安全事件基礎數據平臺、平臺業務應用層構成。
網絡安全態勢感知系統在對網絡安全事件的監測和網絡安全數據收集的基礎上,進行通報處置、威脅線索分析、態勢分析完成對網絡安全威脅與事件數據的分析、通報與處置,態勢展示則結合上述三個模塊的數據進行綜合的展示,身份認證子模塊為各子平臺或系統的使用提供安全運行保障。威脅線索分析模塊在威脅數據處理和數據關聯分析引擎的支持下,進行網絡安全事件關聯分析和威脅情報的深度挖掘,形成通報預警所需的數據集合以及為打擊預防網絡違法犯罪提供支持的威脅線索。通報處置模塊實現數據上報、數據整理,通報下發,調查處置與反饋等通報工作。態勢分析基于態勢分析體系調用態勢分析引擎完成對網絡安全態勢的分析與預測及態勢展示。
1.1數據采集層
數據采集系統組成圖(如圖二),由采集集群與數據源組成,采集集群由管理節點,工作節點組成;數據源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成。
1.2基礎數據管理
基礎數據平臺由數據存儲數據存儲訪問組件、通報預警數據資源和基礎數據管理應用組成(如圖三),數據存儲訪問組件式基礎數據平臺的多源數據整合組件,整合流量安全事件、非流量平臺接入數據、互聯網威脅數據等,網絡安全態勢感知,分析與預警涉及的數據較廣,有效地態勢分析與預測所需資源庫需要大量有效數據的支撐,因此通報預警數據資源須根據態勢分析與預警需要不斷進行建設。基礎數據平臺負責安全態勢感知與通報預警數據的采集、管理、預處理以及分類工作,并在數據收集管理基礎上面向通報預警應用系統提供數據支撐服務。
1.3威脅線索分析
網絡安全態勢感知基于對網絡安全威脅監測和網安業務數據關聯分析實現入侵攻擊事件分析引擎、惡意域名網站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業務層面通過威脅分析任務的形式調度各分析引擎作業,包括日常威脅分析任務、專項威脅分析任務、重要信息系統威脅分析任務、突發事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網絡安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關的網絡攻擊或惡意活動線索信息;分析得到重點單位、重要系統/網站、重要網絡部位相關的網絡安全線索數據(如圖四)。
1.4網絡安全態勢分析
態勢分析功能(如圖五)應從宏觀方面,分析整個互聯網總體安全狀況,包括給累網絡安全威脅態勢分析和展示;微觀方面,提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示,包括網站態勢、重點單位態勢、專項威脅態勢和總體態勢。其中網站態勢應對所監測網站的網絡安全威脅和網絡安全事件進行態勢分析和展示;重點單位態勢應支持對重點單位的網絡安全威脅事件態勢分析和展示;專項威脅態勢應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件、木馬、僵尸網絡等有害程序事件,網頁篡改、信息竊取等信息破壞事件進行專項態勢分析和展示。此外,態勢分析應提供網絡安全總體態勢的展示和呈現。
1.5攻擊反制
通過分析發現的安全事件,根據目標的IP地址進行攻擊反制,利用指紋工具獲得危險源的指紋信息(如圖六),如操作系統信息、開放的端口以及端口的服務類別。漏洞掃描根據指紋識別的信息,進行有針對性的漏洞掃描[4],發現危險源可被利用的漏洞。根據可被利用的漏洞進行滲透測試,如果自動滲透測試成功,進一步獲得危險源的內部信息,如主機名稱、運行的進程等信息;如果自動滲透測試失敗,需要人工干預手動進行滲透測試。
通過攻擊反制,可以進一步掌握攻擊組織/攻擊個人的犯罪證據,為打擊網絡犯罪提供證據支撐。
1.6態勢展示
圖七:態勢展示圖
態勢展示依賴一個或多個并行工作的態勢分析引擎(如圖七),基于基礎的態勢分析插件如時序分析插件、統計分析插件、地域分布分析插件進行基礎態勢數據分析,借助基線指標態勢分析、態勢修正分析和態勢預測分析完成態勢數據的輸出,數據分析結果通過大數據可視化技術進行展示[5]。
2安全態勢感知系統發展
網絡安全態勢預測技術指通過對歷史資料以及網絡安全態勢數據的分析,憑借固有的實踐經驗以及理論內容整理、歸納和判斷網絡安全未來的態勢。眾所周知,網絡安全態勢感知的發展具有較大不確定性,而且預測性質、范圍、時間以及對象不同應用范圍內的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為判定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢感知判定性預測方法指結合網絡系統之前與當前安全態勢數據情況,以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系,對下一次的系統變量進行預測[6]。由于該方法僅考慮時間變化的系統性能定量,因此,比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系,確定某些因素影響造成的結果,建立其與數學模型間的關系,根據可變因素的變化情況,對結果變量的趨勢和方向進行預測。
3結語
本文主要的信息安全建設中的安全態勢感知系統進行了具體設計,詳細定義了系統的基本功能,對系統各個模塊的實現方式進行了詳細設計。系統通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協議流量模型和異常流量監測模型各種模型的研究來實現平臺對安全態勢與趨勢分析、安全防護預警與決策[7]。
網絡安全事件定義范文第3篇
[關鍵詞]網絡;安全;信息
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0111-01
隨著信息化建設的加快,計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,網絡安全問題越來越突出,需要良好的技術來保障網絡安全,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求,也需要新的方法和設備來進行更新。
建立信息安全體系統來進行網絡安全的管理是應對這些困難的重中之重。應該考慮網絡安全帳號口令管理安全系統建設,實現終端安全管理系統的擴容,同時完善網絡設備、安全管理系統、網絡審計系統、安全設備、主機和應用系統的部署。此階段需要部署一套合理化、職能化、科學化的帳號口令統一管理系統,有效實現一人一帳號。這個過程完成以后基本上能夠保證全網安全基本達到規定的標準,接下來就需要進行系統體系架構圖編輯等工作以實現安全管理建設,主要內容包括專業安全服務、審計管理、授權管理、認證管理、賬號管理、平臺管理等基本內容,各種相應的配套設施如安全服務顧問、管理部門等也要跟上。
目前的網絡病毒攻擊越來越朝著混合性的方向發展,網絡安全建設管理系統需要在各分支節點交換進行邊界防護,部署入侵檢測系統,主要的應用技術是網絡邊界防病毒、網絡邊界入侵防護、網絡邊界隔離、內容安全管理等。加強對內部流量的檢測,對訪問業務系統的流量進行集中的管控。但是因為深度檢測和防御的采用還并不能保證最大化的效果,可以實現靜態的深度過濾和防護,目前很多的病毒和安全威脅是動態變化的,入侵檢測系統要對流量進行動態的檢測,將入侵檢測系統產生的事件進行有效的呈現。此外還可以考慮將新增的服務器放置到服務器區域防護,防護IPS入侵進行intemet出口位置的整合。
任何的網絡安全事件都不確定的,但是在異常和正常之間平滑的過渡,我們能夠發現某些蛛絲馬跡。在現代的網絡安全事件中都會使用模糊集理論,并尋找關聯算法來挖掘網絡行為的特征,異常檢測會盡可能多對網絡行為進行全面的描述。
首先,無折疊出現的頻繁度研究中,網絡安全異常事件模式被定義為頻繁情節,并針對這種情節指出了一定的方法,提出了頻繁度密度概念,其設計算法主要利用事件流中滑動窗口,這改變了將網絡屬性劃分不同的區間轉化為“布爾型”關聯規則算法以及其存在的明顯的邊界問題,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。這種算法利用網絡安全防火墻建保護內外網的屏障,采用復合攻擊模式方法,利用事件流中滑動窗口設計算法,對算法進行科學化的測試。
其次,在入侵檢測系統中,有時候使用網絡連接記錄中的基本屬性效果并不明顯,必要時采用系統連接方式檢測網絡安全基本屬性,這可以提高系統的靈活性和檢測精度,這種方式是數據化理論與關聯規則算法結合起來的方法,能夠挖掘網絡行為的特征,既包含低頻率的模式同時也包含著頻率高的模式。
不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊只產生一些孤立的比例很小記錄,某些攻擊會產生占總記錄數的比例很大的大量的連續記錄。針對網絡數據流中屬性值分布,采用關聯算法將其與數據邏輯結合起來用于檢測系統能夠更精確的去應對不均勻性和網絡事件發生的概率不同的情況。實驗結果證明,設計算法的引入顯著提高了網絡安全事件異常檢測效率,減少了規則庫中規則的數量,不僅可以提高異常檢測的能力。
最后,建立整體的網絡安全感知系統,提高異常檢測的效率。作為網絡安全態勢感知系統的一部分,為了提高異常檢測的效率,建立整體的網絡安全感知系統能夠解決傳統單點的問題、流量分析方法效率低下以及檢測對分布式異常檢測能力弱的問題。主要的方式是基于netflow的異常檢測,過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是速度快、數據持續到達、規模宏大。因此,目前需要解決的重要問題是如何在大規模網絡環境下提供預警信息,進行檢測網絡異常。可以結合數據流挖掘技術和入侵檢測技術,設計大規模網絡數據流頻繁模式挖掘和檢測算法,可以有效的應對網絡流量異常的行為。
還有的研究者提出一種可控可管的網絡智能體模型來增強網絡抵御智能攻擊的能力,能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。這種方法綜合了網絡危險理論和選擇原理,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據,而目前針對網絡的安全態勢感知研究也已經成為網絡安全領域的熱點。
網絡安全事件定義范文第4篇
【關鍵詞】安全信息 原子態勢 安全態勢 數據分析;
一、引言
隨著互聯網的飛速發展,網絡攻擊事件多發,攻擊黑客不斷增加以及攻擊手段愈加復雜,使來自網絡的威脅猛烈地增長,網絡安全遭受重大挑戰。為了進一步加強網絡安全,保護人們的日常工作、學習和生活,快速掌握當前安全形勢,于是人們試圖尋求一種評估當前環境“安全態勢”的方法,以判斷網絡的安全性和可靠性。
網絡安全專家Bass[1]提出了網絡安全態勢感知(Network Security Situation Awareness, NSSA)的概念,這種理論借鑒了空中交通監管(Air Traffic Control,ATC)態勢感知的成熟理論和技術。網絡態勢是指由各種網絡軟硬件運行狀況、網絡事件或行為以及網絡用戶行為等因素所構成的整個網絡某一時刻的狀態和變化趨勢[2]。網絡安全態勢感知是在復雜的大規模網絡環境中,對影響網絡安全的諸多要素進行提取、闡述、評估以及對其未來發展趨勢的預測[3]。數據挖掘是從大量分散在各個空間的數據中自動發現和整合隱藏于其中的有著特殊關系性的信息的過程。網絡安全態勢評估是以采集到的安全數據和信息進行數據挖掘,分析其相關性并從網絡威脅中獲得安全態勢圖從而產生整個網絡的安全狀態[4]。本文基于網絡的安全信息,建立網絡安全態勢感知評估模型,然后通過數據挖掘,分析出當前的網絡安全態勢。
二、需要采集的安全信息
為了分析當前網絡的安全態勢,需要針對要評估的內容進行相關安全數據的采集,之后可根據網絡安全數據分析安全態勢。網絡中各種網絡安全事件中最小單位的威脅事件定義為原子態勢,本課題以原子態勢為基礎,構建需要采集的影響原子態勢的多維、深層次安全數據集,具體如圖1所示。
圖1主機安全態勢需要采集的安全數據集
(一)原子態勢
主機安全態勢包含多個原子態勢,是整個網絡安全態勢評估分析的基礎和核心,由此可以推出所在主機的安全狀態。
(二)需要采集的安全數據
分析各個原子態勢,其中包含信息泄露類原子態勢、數據篡改類原子態勢、拒絕服務類原子態勢、入侵控制類原子態勢、安全規避類及網絡欺騙類原子態勢,由此可以分析出需要在主機采集的安全信息數據。因為網絡安全態勢是動態的,所以它隨著當前的網絡運行狀況的變化而變化,這些變化包括網絡的特性及網絡安全事件發生的頻率、數量和網絡所受的威脅程度等因素。原子態勢是影響網絡安全狀況的基礎態勢,故提出原子態勢發生的頻率和原子態勢的威脅程度兩個指標去對原子態勢進行評估。圖1中的原子態勢一般只用于分析一個主機的安全性,如果要分析一個網絡的安全性,需要對網絡中各主機的安全信息進行挖掘分析,進而得出整個網絡的安全態勢。
三、基于安全信息的態勢挖掘模型
本文中使用全信息熵理論協助網絡安全態勢感知評估,全信息的三要素分別代表的含義如下:語法信息是指從網絡安全設備中得到某一類威脅事件,并轉換為概率信息;語義信息是指該類威脅事件具體屬于什么類型;語用信息是某一類威脅事件對網絡造成的威脅程度。
(一)網絡安全態勢分析過程
根據采集操的安全數據集,進行網絡安全態勢分析時會涉及到安全數據指標量化、評估原子態勢、通過原子態勢分析主機安全態勢、通過主機安全態勢分析網絡安全態勢的一系列的過程,具體如圖2所示。
詳細的網絡安全態勢分析評估流程如下:
1.從網絡安全部件中提取各種原子態勢,對原子態勢進行預處理后提取兩個量化指標:原子態勢頻率和原子態勢威脅程度。然后根據不同類型的原子態勢,計算分析相應的原子態勢情況。
圖2 基于安全信息的 圖3 實驗網絡環境
安全態勢評估流程
2.將原子態勢利用加權信息熵的相關理論計算原子態勢值;
3.依據原子態勢和原子態勢值,分析計算主機安全態勢和主機安全態勢值;
4.根據網絡中主機的安全態勢狀態,利用安全數據挖掘模型計算網絡安全態勢。
(二)原子態勢分析量化
為了全面科學評價原子態勢給網絡帶來的威脅和損失,將原子態勢評估指標按照某種效用函數歸一化到一個特定的無量綱區間。這里常采取的方法是根據指標的實際數據將指標歸一化到[0,1] 之間。
原子態勢的網絡安全態勢評估指標為原子態勢發生概率和原子態勢威脅程度。語法信息指某一個原子態勢的集合,用原子態勢發生概率表示,設第i 個原子態勢發生概率為Pi,且(m為網絡系統中原子態勢的總數);語義信息決定了原子態勢包含的態勢內涵;語用信息是某個原子態勢的威脅程度,記為 w。當w =1 時,威脅程度最大;w =0 時,威脅程度最小。在描述威脅程度時,因為威脅程度表示單一態勢對網絡造成的危害,故類型的威脅程度之和可不為 1。
本文將原子態勢威脅分為很高、高、中等、低、極低五個等級,并轉換為[0,1] 區間的量化值。以最大威脅賦值 1 為標準,得五個威脅等級 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。
原子態勢的態勢值由原子態勢發生的個數(歸一化后表示為概率)及威脅程度權重共同決定。若信息發生ai的概率為p,按照信息熵的定義,ai的自信息可通過來表示。從網絡安全態勢評估的角度來看,網絡安全事件發生的概率越大時,對應的信息熵值應該也越大,可以用香農信息論中的自信息的倒數來表示。
故在基于原子態勢的網絡安全態勢評估系統中,如原子態勢i發生頻率為pi,則對應的自信息熵值為,則原子態勢i的態勢值Ei可表示為
其中Wi是原子態勢i所對應的威脅程度值。
(三)網絡態勢數據挖掘模型
網絡態勢的分析和計算需要原子態勢數據的支持,然后在機密性、可用性、完整性、權限、不可否認性及可控性幾個方面進行歸納聚類,最后進行網絡態勢的分析。
用表示第j個屬性態勢值,則,a 為屬于某一屬性的原子態勢個數。每個屬性對應不同的權值,設第j個屬性的權重定義為Sj,可通過將各個屬性的安全態勢值加權求和,計算單位時間內主機的安全態勢值。網絡安全態勢值是網絡系統中主機態勢值和主機權重的函數,即
其中,k為主機在網絡中的編號(1≤k≤g),g為整個網絡中主機的數目,Zk為對應主機在網絡中所占的重要性歸一化權重。
四、實驗分析
實驗進行的網絡環境如圖3所示。
圖3中,數據庫服務器不存在異常,Web服務器的Apache日志是本次事件分析的主要數據源。安全日志分析得到Web服務器在2012年1月至2012年3月之間,主要遭受6種Web 安全威脅,統計結果如表1所示。
按照屬性的不同,分別計算各個屬性的態勢值,根據公式,對表2的數據進行統計可得:機密性態勢值為1.18686;權限態勢值為0.88;完整性態勢值為0.21;可用性態勢值0.23926;不可否認性態勢值0;可控性態勢值0。主機受到其各個屬性的影響,包括機密性、完整性、可用性、權限、不可否認性及可控性。利用層次分析法計算屬性權重,以主機機密性為參照標準:機密性對比完整性比較重要,機密性對比可用性稍微重要,機密性對比權限比較重要,機密性對比不可否認性十分重要,機密性對比可控性比較重要。故經matlab計算可得機密性權重為0.4491,可用性權重為0.2309,完整性權重為0.0930,權限權重為0.0930,不可否認性權重為0.0390,可控性權重為0.0930。主機的態勢值是將各個屬性的態勢值進行加權求和得到,故主機態勢值為0.70118。
網絡內主機主要分服務器和客戶端兩種,服務器一般保存有重要的數據資源,這里定義服務器重要性權重為3,客戶端重要性權重為1,權重進行歸一化后得服務器和客戶端的權重分別為0.75和0.25。本次實驗對數據庫服務器及Web服務器的日志進行了分析,數據庫服務器的日志不存在異常現象,可以認為數據庫服務器的網絡態勢值為0,則根據格式計算可得網絡安全態勢值為0.51968。
若安全信息量繼續增大,可按照本節的計算方法對其他時間點及其他主機態勢值進行計算。網絡安全態勢評估方法就是對不同時間點不同主機的網絡安全態勢情況進行計算,故在計算的時間點較多的時候,可構建時間點與網絡安全態勢值形成的網絡安全態勢曲線,由此可以推測未來網絡的安全趨勢和受到的攻擊類型。
五、結束語
本文提出了需要采集的多維、深層次網絡安全數據集,建立了基于原子態勢的安全態勢分析流程和模型,并搭建了局域網的實驗環境,利用網絡環境中兩臺服務器日志數據分析了Web服務器的主機態勢以及該局域網的網絡安全態勢,并提出了一種網絡安全態勢趨勢預測的方法。
參考文獻:
[1]傅祖蕓.信息論基礎理論與應用[M] .北京:電子工業出版社,2011.
[2]胡明明,等.網絡安全態勢感知關鍵技術研究[D] .哈爾濱:哈爾濱工程大學,2008.
[3]胡影,等.網絡攻擊效果提取和分類[J].計算機應用研究,2009(3),26(3): 1119-1122.
[4]鄭善奇,李大興.網絡安全評價模型的研究[D] .濟南:山東大學,2008 .
網絡安全事件定義范文第5篇
【關鍵詞】 安全態勢感知 數據融合 態勢可視化
引言
隨著信息和網絡技術的快速發展,計算機網絡的重要性及其對社會的影響越來越大,網絡安全問題也越來越突出,并逐漸成為Internet及各項網絡服務和應用進一步發展所亟需解決的關鍵問題。此外,隨著網絡入侵和攻擊行為正向著分布化、規模化、復雜化、間接化等趨勢發展,對安全產品技術提出了更高的要求。網絡安全態勢感知的研究就是在這種背景下產生的,旨在對網絡態勢狀況進行實時監控,并對潛在的、惡意的網絡行為變得無法控制之前進行識別,給出相應的應對策略。
一、網絡安全態勢感知概述
網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和化趨勢。態勢是一種狀態,一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態都不能稱之為態勢。
網絡態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
基于網絡安全態勢感知的功能,將其研究內容歸結為3個方面:網絡態勢感知、網絡威脅評估和網絡態勢評估。
態勢評估和威脅評估分別是態勢感知過程的一個環節,威脅評估是建立在態勢評估的基礎之上的。態勢評估包括態勢元素提取、當前態勢分析和態勢預測。威脅評估是關于惡意攻擊的破壞能力和對整個網絡威脅程度的估計,是建立在態勢評估的基礎之上的。威脅評估的任務是評估攻擊事件出現的頻度和對網絡威脅程度。態勢評估著重事件的出現,威脅評估則更著重事件和態勢的效果。
2 網絡安全態勢感知關鍵技術
網絡安全態勢感知作為未來保證信息優勢的兩大關鍵技術之一,眾多學者、研究機構紛紛在此領域展開了廣泛的研究,提出了各種各樣的分析模型,其中影響最大,也最被普遍接受的是基于數據融合理念的JDL模型。該模型通用框架主要包括多源異構數據采集、數據預處理、事件關聯與目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等7個部分。
大規模網絡節點眾多,分支復雜,數據流量大,并且包含多個網段,存在多種異構網絡環境和應用平臺。隨著網絡入侵和攻擊正在向分布化、規模化、復雜化、間接化的趨勢發展,為了實時、準確地顯示整個網絡態勢狀況,檢測出潛在、惡意的攻擊行為,網絡安全態勢感知系統必須解決相應的技術問題。
2.1 數據挖掘
數據挖掘是指從大量的數據中挖掘出有用的信息,即從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的,但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規則規律、模式等形式。數據挖掘是知識發現的核心環節。
從數據挖掘應用到入侵檢測領域的角度來講,目前主要有4種分析方法:關聯分析、序列模式分析、分類分析和聚類分析。關聯分析用于挖掘數據之間的聯系,即在給定的數據集中,挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關聯規則,常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關聯分析相似,但側重于分析數據間的前后(因果) 關系,即在給定的數據集中,從用戶指定最小支持度的序列中找出最大序列,常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過分析訓練集中的數據為每個類別建立分析模型,然后對其它數據庫中的記錄進行分類,常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等。與分類分析不同,聚類分析不依賴預先定義好的類,它的劃分是未知的,常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。關聯分析和序列模式分析主要用于模式發現和特征構造,而分類分析和聚類分析主要用于最后的檢測模型。
2.2 數據融合
通過數據融合方法的引入,網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測,實現對網絡整體安全狀況的掌握。而網絡安全態勢感知系統中的數據融合正是通過如下幾項關鍵技術得以體現的。
(1)特征提取。特征提取是在盡量不降低分類精度同時又減小特征空間維數的前提下,為了避免融合大量數據可能造成系統檢測率不能滿足高速網絡實時檢測需求而提出的。目前有許多特征提取算法,如基于主成分分析的方法,基于信息增益的決策樹學習方法和流形學習方法。主成分分析基于方差最大、偏差最小的思想來發現數據集的主要方向,從而實現約簡。基于信息增益的決策樹學習方法,則引入熵和信息增益的概念,分別作為衡量訓練樣例集合純度的標準和用來定義屬性分類訓練數據的能力。典型的決策樹學習算法,如ID3算法就是根據信息增益標準從候選的屬性中選擇能更好區分訓練樣例的屬性。流形學習是一種新的降維方法,可以有效地發現高維非線性數據集的內在維數。
(2)事件聚類。聚類是將物理或抽象的數據對象,按照對象間的相似性進行分組或分類的過程。聚類是一種無監督學習的過程。不同的數據類型,相應的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網格的方法以及其他類型的聚類算法。基于層次的聚類算法主要以樣本之間的相似度(或距離)為基礎,根據類間相似度的大小對不同類進行合并或分裂,從而逐步完成對數據集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見算法有COBWEB,BIRCH,ROCK和Chameleon等。基于劃分的聚類算法以樣本與類(原型)之間的距離為基礎,且通常將聚類結果的評判標準定義為一個目標函數。典型算法有k一均值法,k一中心點法,CLARANS等。除了層次和劃分聚類方法外,比較有影響力的算法還有DENCLUE,CLIQUE等基于密度的方法,以及STING,WaveCluster等基于網格的方法。另外還可以借助其他領域的方法,如神經網絡方法,SOM,演化計算法,遺傳算法,模擬退火法等。
(3)事件關聯。事件關聯是指將多個安全事件聯系在一起進行綜合評判,重建攻擊過程并實現對整體網絡安全狀況的判定。對安全事件進行關聯處理的方法大致可分為兩類:一類是借助于專家知識構建安全事件關聯專家系統。典型的如:Valdes等提出的基于概率相似度的入侵告警關聯系統,Peng等基于邏輯謂詞的方法,將前提和目的吻合的入侵事件關聯形成入侵者攻擊軌跡等。另一類是借助于自動知識發現或者機器學習的辦法來發現事件間的隱含關系并實現入侵事件的關分析。典型例子有:Stefanos將關聯技術用于入侵檢測報警信息的頻繁模式提取,Klaus也將此思想用到了多個異類IDS報警信息的關聯中,穆成坡w提出用模糊綜合評判的方法進行入侵檢測報警信息的關聯處理,集成不同的安全產品信息,以發現入侵者的行為序列。前者用專家系統的方式實現事件關聯,高效且直觀,但是關聯需要的知識依賴人工完成,效率低下;后者獲取知識比較容易,但沒有人工參與的情況下獲得的知識質量不高,難以滿足要求。
2.3 態勢可視化
態勢可視化的目的是生成網絡安全綜合態勢圖,以多視圖、多角度、多尺度的方式與用戶進行交互,使網絡安全產品分析處理能力在多個指標有較大幅度的提高。
對數據進行可視化是一個層層遞進的過程,包括了數據轉化、圖像映射、視圖變換三個部分:數據轉化是把原始數據映射為數據表,將數據的相關性描述以關系表的形式存儲起來;圖像映射是把數據表轉換為對應圖像的結構,圖像由空間基及屬性進行標識;視圖變換則是通過對坐標位置、縮放比例、圖形著色等方面來創建能夠可視化的視圖。此外,用戶與可視化系統的交互也是必不可少的,用戶通過調控參數,完成對可視化進程的控制。
態勢可視化的方法有很多,根據顯示效果,可以分為動態可視化和靜態可視化。根據顯示數據緯度,可以分為二維、三緯以及多緯可視化。根據現實數據內容,可以分為內容可視化、行為可視化和結構可視化。
三、結束語
為了保障網絡信息安全,開展大規模網絡態勢感知是十分必要的。網絡態勢感知對于提高網絡系統的應急響應能力、緩解網絡攻擊所造成的危害、發現潛在惡意的入侵行為、提高系統的反擊能力等具有十分重要的意義,對于軍事信息戰意義更為重大。網絡安全態勢感知研究剛剛起步,目前大量的研究工作還只處于對網絡安全態勢的定性分析階段,缺乏標準的概念描述和具體的定量解決方法,但它已經毫無疑問的成為網絡安全領域一個新的研究方向。
參 考 文 獻
[1] 陳秀真,鄭慶華,管曉宏,林晨光.層次化網絡安全威脅態勢量化評估方法.軟件學報.2006,17(4).
[2] 北京理工大學信息安全與對抗技術研究中心.網絡安全態勢評估系統技術白皮書.網絡安全態勢評估系統技術白皮書,2005.
[3] 潘泉,于聽,程詠梅,張洪才.信息融合理論的基本方法與進展.自動化?學報.2003,29(4).
[4] 郁文賢,雍少為,郭桂蓉.多傳感器信息融合技術評述.國防科技大學學報.1994,16(3).
