網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)淺議論文
0引言
網(wǎng)絡(luò)安全態(tài)勢(shì)分析是一個(gè)綜合的研究課題,包括對(duì)原始事件的收集、事件的關(guān)聯(lián)、安全態(tài)勢(shì)的評(píng)估方法、態(tài)勢(shì)結(jié)果的存放和展示、態(tài)勢(shì)預(yù)測(cè)等。它為網(wǎng)絡(luò)管理人員的決策提供技術(shù)支持,在復(fù)雜的網(wǎng)絡(luò)環(huán)境下幫助網(wǎng)絡(luò)管理人員迅速準(zhǔn)確的得到網(wǎng)絡(luò)的整體信息。由于本文需要在特定的網(wǎng)絡(luò)環(huán)境下設(shè)計(jì)態(tài)勢(shì)預(yù)測(cè)模型,因此也要對(duì)數(shù)據(jù)的收集處理、態(tài)勢(shì)的評(píng)估等進(jìn)行研究。本文從數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)、態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)等四方面介紹了態(tài)勢(shì)分析領(lǐng)域的相關(guān)技術(shù)和研究成果。
1數(shù)據(jù)預(yù)處理
網(wǎng)絡(luò)安全事件來(lái)自于部署在網(wǎng)絡(luò)中的各種安全設(shè)備,它們的工作原理不同,關(guān)注的側(cè)重點(diǎn)也不盡相同,因此從這些設(shè)備中獲取的數(shù)據(jù)可能存在不完整和不一致,給數(shù)據(jù)處理工作帶來(lái)很大的困難。數(shù)據(jù)預(yù)處理能夠?qū)Σ煌暾臄?shù)據(jù)進(jìn)行補(bǔ)充,糾正錯(cuò)誤數(shù)據(jù)并去除冗余數(shù)據(jù),將數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的格式進(jìn)行下一步處理。數(shù)據(jù)預(yù)處理包括三部分內(nèi)容,數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)歸并。數(shù)據(jù)清理的工作包括補(bǔ)充數(shù)據(jù)中缺失但需要的內(nèi)容,去除冗余數(shù)據(jù)。數(shù)據(jù)清理分為有監(jiān)督和無(wú)監(jiān)督兩種方式,有監(jiān)督的方式是在相關(guān)專家指導(dǎo)下進(jìn)行的,無(wú)監(jiān)督的方式是通過(guò)建立規(guī)則庫(kù),根據(jù)設(shè)定好的規(guī)則進(jìn)行的。數(shù)據(jù)轉(zhuǎn)換是通過(guò)一足方法將雜亂無(wú)章的數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的格式,有以下幾種處理方式:數(shù)據(jù)縮放,同一屬性的數(shù)據(jù)最大值和最小值差距可能很大,這樣會(huì)對(duì)一些算法的性能造成影響,可以將數(shù)據(jù)按比例縮放從而映射到一個(gè)范圍較小的區(qū)間;數(shù)據(jù)泛化,采用概念分層的方法將低層的原始數(shù)據(jù)抽象成高層次的概念,屬性構(gòu)造:根據(jù)數(shù)據(jù)源中己有的一個(gè)或者幾個(gè)屬性生成新的屬性,有助于理解高維的數(shù)據(jù)結(jié)構(gòu)的;數(shù)據(jù)平滑,去除數(shù)據(jù)中的噪聲。數(shù)據(jù)歸并對(duì)數(shù)據(jù)進(jìn)行整理,去掉與系統(tǒng)關(guān)鍵特征無(wú)關(guān)的屬性,合并同類型的關(guān)鍵數(shù)據(jù),在保持?jǐn)?shù)據(jù)完整性的基礎(chǔ)上使得數(shù)據(jù)盡可能精煉,方便以后的操作。
2事件關(guān)聯(lián)
事件關(guān)聯(lián)就是對(duì)采集到的大量數(shù)據(jù)進(jìn)行分析,從各種不同類型的數(shù)據(jù)中找出他們的聯(lián)系,從而還原一個(gè)攻擊行為。事件關(guān)聯(lián)技術(shù)通過(guò)對(duì)收集到的大量的安全事件進(jìn)行處理,減少了事件的數(shù)量,并提高了事件的準(zhǔn)確性。事件關(guān)聯(lián)技術(shù):①基于規(guī)則的推理(RBR)是最早出現(xiàn)的一種技術(shù)。②基于事例的推理(CBR)。③基于模型的推理(MBR)。④代碼書(shū)關(guān)聯(lián)模型(CCM)。⑤通信有限狀態(tài)機(jī)(CFSM)。
3態(tài)勢(shì)評(píng)估
網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是將采集到的大量的網(wǎng)絡(luò)安全事件進(jìn)行分析處理,通過(guò)相應(yīng)的模型和算法計(jì)算出一組或幾組有意義的數(shù)值,并據(jù)此研究網(wǎng)絡(luò)的安全態(tài)勢(shì)。
3.1網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估標(biāo)準(zhǔn)
國(guó)外有以下幾種有代表性的評(píng)估標(biāo)準(zhǔn):①可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC(TrustedComputerSystemEvaluationCriteria)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn),由美國(guó)國(guó)防部在1985年12月發(fā)布。TCSEC最初是軍用標(biāo)準(zhǔn),后來(lái)使用范圍逐漸推廣。②信息技術(shù)安全評(píng)估準(zhǔn)則ITSEC(InformationTechnologySecurityEvaluationCriteria),是歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn),主要應(yīng)用在軍隊(duì)、政府部門(mén)和商業(yè)領(lǐng)域。③信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則CC標(biāo)準(zhǔn)(TheCommonCriteriaforInformationTechnologysecurityEvaluation)1993年6月由美國(guó)、加拿大及歐洲共同體起草,并將其推廣到國(guó)際。國(guó)內(nèi)的有代表性的安全評(píng)估標(biāo)準(zhǔn):①GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,由國(guó)家質(zhì)量技術(shù)監(jiān)督局于1999年9月發(fā)布。本標(biāo)準(zhǔn)給出了計(jì)算機(jī)信息系統(tǒng)相關(guān)定義,規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí):用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。這五個(gè)等級(jí)對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的要求依次升高。②GBIT18336-2001信息技術(shù)安全評(píng)估準(zhǔn)則,2001年3月發(fā)布,是由國(guó)家信息安全測(cè)評(píng)認(rèn)證中心主持,聯(lián)合其他相關(guān)單位共同起草的國(guó)家標(biāo)準(zhǔn),等同于ISO/IEC15408,并直接應(yīng)用于我國(guó)的信息安全測(cè)評(píng)認(rèn)證工作。該準(zhǔn)則定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則,對(duì)確定安全態(tài)勢(shì)評(píng)估模型以及關(guān)鍵態(tài)勢(shì)因素等具有很強(qiáng)的指導(dǎo)作用。③GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范,2007年發(fā)布,為網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢(shì)評(píng)估工作提供指導(dǎo)和規(guī)范。該標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念,給出了系統(tǒng)各要素之間的關(guān)系,并介紹了風(fēng)險(xiǎn)評(píng)估的分析原理、實(shí)施流程和評(píng)估方法。
3.2網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法
在一定時(shí)間內(nèi)不同的網(wǎng)絡(luò)安全設(shè)備提供的安全事件往往存在著內(nèi)在的聯(lián)系,態(tài)勢(shì)評(píng)估就是要通過(guò)一定的模型和算法分析這些安全事件得出態(tài)勢(shì)值來(lái)衡量網(wǎng)絡(luò)的安全狀況。
3.2.1層次分析法
層次分析法(AnalyticHierarchyProcess,簡(jiǎn)稱AHP)是一種定性與定量相結(jié)合的分析方法,由美國(guó)運(yùn)籌學(xué)家T.L.Satty在上個(gè)世紀(jì)70年代提出。這種方法將與決策有關(guān)的元素分解成目標(biāo)、準(zhǔn)則、方案等層次,使決策的思維過(guò)程模型化,從而為復(fù)雜的決策問(wèn)題提供簡(jiǎn)便決策。
3.2.2數(shù)據(jù)融合
由于數(shù)據(jù)融合技術(shù)的研究?jī)?nèi)容廣泛且復(fù)雜多樣,目前對(duì)數(shù)據(jù)融合還沒(méi)有統(tǒng)一的定義,一般認(rèn)為,數(shù)據(jù)融合技術(shù)是指利用計(jì)算機(jī)將按時(shí)序獲得的若干觀測(cè)是數(shù)據(jù)根據(jù)一定標(biāo)準(zhǔn)自動(dòng)分析、綜合,以完成所需決策和評(píng)估的信息處理技術(shù)。數(shù)據(jù)融合包含如下三個(gè)層次:數(shù)據(jù)層融合,是在原始數(shù)據(jù)層進(jìn)行融合,即對(duì)采集的數(shù)據(jù)直接進(jìn)行融合,這是低層次的融合;特征層融合,先對(duì)采集到的原始數(shù)據(jù)進(jìn)行特征提取,然后對(duì)提取的特征進(jìn)行融合,屬于中間層次的融合。這種融合方式壓縮了數(shù)據(jù)量,有利于對(duì)信息的實(shí)時(shí)處理。特征層融合一般采用分布式或集中式的融合體系,可分為目標(biāo)狀態(tài)融合和目標(biāo)特性融合;決策層融合,先對(duì)采集的數(shù)據(jù)進(jìn)行預(yù)處理、特征提取、識(shí)別或判決等,然后將決策層的判決通過(guò)一定的`關(guān)聯(lián)分析進(jìn)行融合,是最高層次的融合。
3.2.3支持向量機(jī)
支持向量機(jī)(SupportVectorMachine,SVM)是一種機(jī)器學(xué)習(xí)方法,參照了統(tǒng)計(jì)學(xué)習(xí)理論中的VC維理論和結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理,更適合小樣本、非線性和高維模式識(shí)別問(wèn)題,并有效克服了機(jī)器學(xué)習(xí)中維數(shù)災(zāi)難和過(guò)學(xué)習(xí)等問(wèn)題。
4態(tài)勢(shì)預(yù)測(cè)
為了能夠準(zhǔn)確預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全狀況及其變化趨勢(shì),研究人員最初從脆弱性、安全威脅等單安全要素的預(yù)測(cè)分析上開(kāi)展研究,該方面的研究比較成熟且有了豐富的研究成果。隨后研究人員意識(shí)到安全管理員的操作和決策更佑賴于網(wǎng)絡(luò)的整體安全狀況,因此目前的研究更側(cè)重于將網(wǎng)絡(luò)中各安全要素的信息融合,得出網(wǎng)絡(luò)整體的安全狀況后進(jìn)行預(yù)測(cè)。
4.1時(shí)間序列分析方法
時(shí)間序列是依據(jù)時(shí)間順序生成的觀察值的集合。按集合的連續(xù)性和離散性,時(shí)間序列可分為連續(xù)時(shí)間序列和離散時(shí)間序列;按是否能用精確的函數(shù)數(shù)學(xué)模型表達(dá),可分為線性時(shí)間序列和非線性時(shí)間序列。
4.2灰色系統(tǒng)理論
灰色系統(tǒng)是一種既含有己知信息又含有未知或未確知信息的系統(tǒng);疑到y(tǒng)理論即是研究對(duì)灰色系統(tǒng)的建模、預(yù)測(cè)和控制等;疑到y(tǒng)包含的信息是有限且離散的,需要從中找出規(guī)律來(lái)進(jìn)行建模。目前最常見(jiàn)的灰色預(yù)測(cè)模型為GM(1,1)模型。它的特點(diǎn)是算法簡(jiǎn)單,易于實(shí)現(xiàn),在運(yùn)行時(shí)不需要進(jìn)行參數(shù)設(shè)定或者其他的人為操作,速度也比較快,能夠體現(xiàn)網(wǎng)絡(luò)安全趨勢(shì),適用于小樣本預(yù)測(cè)。
4.3人工智能方法
人工智能的基本思想是通過(guò)建立機(jī)器的自動(dòng)感知和自學(xué)習(xí)機(jī)制,使其具有思維能力和行為能力。由于人工智能方法對(duì)非線性時(shí)間序列具有很強(qiáng)的逼近和擬合能力,許多研究人員將其應(yīng)用于非線性時(shí)間序列的預(yù)側(cè)中,如遺傳算法、神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)等智能預(yù)測(cè)方法。此類方法的優(yōu)點(diǎn)是具有自學(xué)習(xí)能力,中短期預(yù)測(cè)精度較高,需要較少的人為參與。但是遺傳算法的進(jìn)化學(xué)習(xí)機(jī)制較為簡(jiǎn)單,神經(jīng)網(wǎng)絡(luò)存在泛化能力弱,易陷入局部極小值等問(wèn)題,而支持向量機(jī)的算法性能易受懲罰參數(shù)、不敏感損失參數(shù)等關(guān)鍵參數(shù)的影響。
引用:
[1]彭熙,李艷,肖德寶.網(wǎng)絡(luò)故障管理中幾種事件關(guān)聯(lián)技術(shù)的分析與比較[J].計(jì)算機(jī)應(yīng)用研究,2003.
[2]中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.GB/T18336-2001.信息技術(shù)安全評(píng)估準(zhǔn)則[S].北京:國(guó)家質(zhì)量技術(shù)監(jiān)督局,2001.
[3]中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.GB/T20984-2007.信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].北京:國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2007.
[4]徐俊,劉娜.層次分析法的基本思想與實(shí)際應(yīng)用[[J].情報(bào)探索,2008.
[5]韋勇,連一峰,馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)研究與發(fā)展,2009.
[6]丁世飛,齊丙娟,譚紅艷.支持向量機(jī)理論與算法研究綜述[[J].電子科技大學(xué)學(xué)報(bào),2011.
【網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)淺議論文】相關(guān)文章:
高中語(yǔ)文活動(dòng)寫(xiě)作實(shí)踐分析論文09-15
淺議中國(guó)之慈善 作文900字10-28
對(duì)近年中考英語(yǔ)作文的分析效果統(tǒng)計(jì)論文08-11
【實(shí)用】網(wǎng)絡(luò)安全作文合集3篇02-15