基于知识发现的网络安全态势感知系统资料下载.pdf
《基于知识发现的网络安全态势感知系统资料下载.pdf》由会员分享,可在线阅读,更多相关《基于知识发现的网络安全态势感知系统资料下载.pdf(8页珍藏版)》请在冰豆网上搜索。
安全态势建模就是基于证据理论构建适应于度量网络安全态势的形式模型,用于支持态势传感器的安全事件融合和关联分析。
安全态势生成就是通过知识发现方法,挖掘网络安全态势数据集中的频繁模式和序列模式,并且将其转化成安全态势的关联规则,从而支持网络安全态势图的自动生成。
通过相应的实验过程和结果分析,表明该系统能够支持网络安全态势的准确建模和高效生成。
关键词网络安全,安全态势建模,安全态势生成,数据挖掘,知识发现中图法分类号文献标识码,(,)(,),(),引言网络系统面临不断变化的蠕虫病毒、大规模网络攻击等安全威胁。
传统的网络安全设备,如入侵检测系统()、防火墙和网络扫描器等,通常以独立方式工作,在解释告警事件并决定做出适当的响应时,不能准确、有效地发现和利用事件之间存在的关联关系,从而导致众多的不确定性,并且设备具有较高的误报率和漏报率。
网络安全态势感知是解决这些问题的有效途径,即通过在一定时间及空间范围内感知所发生的网络安全事件,针对安全数据进行综合处理,分析系统受到的攻击行为,提供网络安全的“全局视图”,评估网络系统的整体安全状态和推测未来的安全趋势。
网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施。
实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。
通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应。
由此可见,网络安全态势感知的关键在于采集和分析大量分散的异构传感器提供的安全事件,并将这些信息以恰当的方式呈现出来,从而使管理者能够迅速把握复杂、动态的安全态势。
但是,真正实现网络安全态势感知还存在很多困难,主要体现在以下几个方面:
()目前各种安全传感器产生的告警量过大,误报率过高,需要分析的数据量太大。
如连续运行的告警量常常达到数量级,据统计,最多的时候,有以上的告警可能是误报或者无关告警。
因此,如何从海量数据中提取出真正有用的信息,是网络安全态势建模必须解决的关键问题。
()大规模网络中的分布式攻击活动(如)可能会带来大量琐碎的告警信息,这些信息类型复杂多样,相互之间的关联关系难以确定。
如何通过有效的方法识别出这些攻击行为是安全态势感知的难点问题。
()安全传感器产生的告警数据类型非常丰富,但处理告警所需要的知识比较匮乏,而且难以有效地通过自动化方式获取。
而单纯依赖于手工分析或者专家经验来获取知识,通常无法满足要求。
研究者们提出了各种方法来试图解决上述问题。
其中,网络安全态势融合生成方法的研究是目前最有希望解决这些问题的研究方向,也是网络安全态势感知领域的最新研究动态。
目前,这方面的研究正处于刚刚起步阶段,尚未取得突破性进展。
本文在总结最新研究进展的基础上,提出了一个基于知识发现的网络安全态势建模与生成框架,并将之应用于网络安全态势感知系统之中。
本文第节详细介绍了网络安全态势感知系统的概念和功能,并系统地总结了该领域的相关工作;
第节给出了基于知识发现的网络安全态势建模与生成框架并给出系统实现详解;
第节描述了安全态势生成实验和结果分析;
最后是对本文的总结和展望。
基本概念与相关工作基本概念为了避免混淆和方便叙述,下面给出本文有关的概念定义。
()安全态势。
亦即被监察网络的全局安全状态、在一定时间窗口内遭受安全攻击的情况,及其对安全目标产生的影响。
通常,安全态势信息包括时间维度和空间分布维度两个方面。
对于单个节点主要表现为攻击指数和资源影响度随时间变化的情况,而对于整个网络范围还表现为攻击焦点的分布变化、安全风险变化情况等。
安全态势可以用一个具有多种类型的节点和边组成的图表示,其形式化定义见节。
()安全事件。
亦即各种网络安全态势传感器产生的、由入侵行为引发的告警事件或监控信息超过阈值门限而产生的告警事件。
用一个多元组表示:
,。
其中,表示告警发生的时间,表示告警事件的类别,和分别表示告警的源地址和目的地址,和分别表示告警的源端口和目的端口,表示协议类型,表示检测事件的传感器,表示事件的置信度,表示事件的严重等级,表示告警中的其他信息。
()安全态势建模。
对各种安全传感器产生的告警事件进行分析处理,最终形成网络安全态势的过程。
该过程的输入是各类安全传感器产生的大量原始安全事件,通过一系列的事件融合和关联分析,识别其中的各种类型的网络攻击行为,再依据其时间、空间分布情况和对网络系统的危害程度最终形成整体安全态势。
其功能包括:
事件精简。
,将具有重复关系或并发关系的冗余告警事件进行合并,以降低事件数量。
对于任意两个告警事件和,如果、等属性值均相同,且(为设定的阈值),则和满足重复关系。
例如,一次长时间的攻击会引发传感器发送多个告警事件,这些告警事件之间满足重复关系,可以进行合并。
对于任意两个报警事件和,如果、等属性相同,且(为设定的阈值),而不同,则和满足并发关系。
不同的传感器对同一攻击产生的不同的并发报警也可以进行合并。
事件过滤。
,(),将某个属性()不属于合法集合的告警剔除或标记为无关事件。
对于一些关键属性空缺或不属于预先定义范围的告警,也可将其删除。
另外,通过对比攻击成功所需的条件和攻击对象的配置属性,将不可能成功的攻击标记为无关事件。
事件融合。
信度分配,根据量化的权重评估及置信度等信息,通过统计理论、证据理论等信息融合技术解决告警冲突解析、告警归并等问题,从而提高告警的可信度,降低系统的误报率。
事件关联。
,关联,针对来自不同类型传感器的告警事件,通过采用数学的或启发式方法来推断目前的网络安全事件、活动及态势,以提高系统的检测率,降低漏报率。
这些新推导出的安全态势包括入侵者发现、入侵者活动、观察到的威胁、攻击速率以及攻击严重程度评估。
状态评估。
根据攻击行为的时间和空间分布,以及对网络资源的影响情况,从多个层次评估网络所处的安全状态。
()知识发现。
从传感器采集的安全事件数据集中识别出新的、对态势获取有效的、潜在可用的以及最终可以理解的模式的非平凡过程。
知识发现的目的就是形成安全事件融合和关联所需要的规则,辅助网络安全态势信息的自动生成。
()安全态势生成。
在网络安全态势感知过程中,利用知识发现所获取的模式信息,规范、约束、推导、修正和补充安全态势模型,最终形成实际有用的全局网络安全态势。
相关工作在大规模网络环境中,为了应对日益严重的安全威胁,部署了很多不同种类的安全设备,但仍产生了大量的安全事件,其中包含很多无关或错误的告警。
面对海量的告警事件信息,安全管理员要准确得知整体的安全状态是非常困难的。
为了解决该问题,首先将态势感知的概念引入到网络安全研究领域,提出了网络态势感知的概念,并在此基础上提出了基于多传感器数据融合的网络态势感知框架,用以帮助管理者识别、追踪并度量网络攻击行为。
等人参考,的态势感知框架提出了网络安全态势感知模型。
等人则根据的概念,提出了基于信息融合的网络安全态势感知模型。
为了生成整体的网络安全态势,必须对大量多源告警事件进行汇聚、融合和关联分析,过滤重复的告警,消除无用的告警,推理和重建网络攻击过程,降低系统的误报率和漏报率。
等人提出了基于权重式证据理论的告警信息融合方法。
根据不同传感器具有的不同置信度及权重对告警信息进行融合,可以有效提高告警信息的可信度,降低误报率。
但是,不同传感器对不同攻击事件检测的可信度以及权重如何准确设定,是需要重点考虑的问题。
等人提出了运用神经网络对多源传感器信息进行融合,并加入了时间和攻击严重程度等因素来分析安全态势。
等人使用基于推理技术的因果关系知识,融合来自不同检测器的信息,对于因果关系知识的获取以及因果关系推理过程,采用了模糊认知图(,)以及模糊规则库()的方法。
等借助于自动知识发现的办法来发现事件间的隐含关系并实现告警事件的关联分析,将关联规则挖掘算法用于入侵检测告警中的频繁模式提取,然后基于频繁模式和关联规则建立各种检测器的正常告警行为模式,将新来的告警与这种正常模式对比,发现告警中的异常模式并将其剔除。
其优点在于自动的知识获取机制,但是由于攻击事件的复杂性,自动知识发现方法通常并不令人十分满意,有时会发现大量无意义的知识和无法利用的知识。
对多源告警事件进行关联融合后,还需要取得量化的安全态势模型。
等人认为安全风险的评估应该考虑系统资产、威胁程度以及攻击严重性等因素。
等人、等人则把网络中的环境因素,如网络包含的重要主机数、主机提供的服务、攻击对服务的影响等,加入到安全态势架构中。
陈秀真等人提出了层次化的风险评估量化方法,即按照服务、主机、网络的层次化结构,事先确定重要性、安全影响程度、存在的脆弱性等信息,然后整体衡量攻击发生时的网络安全状况。
针对网络安全中多数据源的特点,韦勇等人提出了基于信息融合的网络安全态势评估模型,即利用漏洞信息和服务信息,经过态势要素融合和节点态势融合计算网络安全态势,绘制安全态势曲线图。
从网络安全事件的获取到安全态势的建模生成是一个完整的过程,而上述研究大多只侧重于安全事件的融合关联或安全风险的评估计算,缺乏对网络安全态势模型的形式化描述和完整的态势生成框架。
鉴于此,本文提出基于知识发现的网络安全态势建模与生成框架,初步实现了一个完整的安全态势感知系统原型,以支持从安全事件的获取分析到安全态势建模生成的全过程。
网络安全态势建模与生成框架本文提出的基于知识发现的网络安全态势建模与生成框架主要由安全态势建模和安全态势生成两部分组成,如图所示。
其中,安全态势建模基于证据理论()构建适应于度量网络安全态势的形式化模型,并且支持来自安全态势传感器的各种类型安全事件的融合和处理。
安全态势生成通过引入算法和算法进行知识发现,将获得的频繁模式和序列模式转化成安全告警事件关联规则,根据安全态势生成算法实现网络安全态势图的动态生成。
图基于知识发现的网络安全态势建模与生成框架网络安全态势建模安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型,以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。
用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。
网络安全态势建模过程是由多个阶段组成的。
在初始的预处理阶段,通过告警事件的规格化,将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。
这些告警事件可能来自不同的传感器,并且告警事件的格式各异,例如的事件、防火墙日志、主机系统日志、等。
规格化的作用是将传感器事件的相关属性转换为一个统一的格式。
我们针对不同的传感器提供不同的预处理组件,将特定传感器的信息转换为预定义的态势信息模型属性值。
根据该模型,针对每个原始告警事件进行预处理,将其转换为标准的格式,各个属性域被赋予适当的值。
在态势数据处理阶段,将规格化的传感器告警事件作为输入,并进行告警事件的精简、过滤和融合处理。
其中,事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。
典型的例子就是在端口扫描中,可能对各端口的每个扫描包产生检测事件,通过维护一
升级会员 