基于知识发现的网络安全态势感知系统
郑毅平
(西安电子科技大学 陕西 710071)
【摘要】网络安全态势感知主要是站在整体大局的立场上去动态反映信息网络的安全环境,并从根本上对信息网络安全的发展趋势做出了评估和分析。作为网络安全领域的新热点,网络安全态势感知在学术的研究中取得了广泛的进展,但在系统构建和应用方面发展还不够迅速。在此背景下,提出了一种基于知识发现的网络安全态势建模和生成框架,通过一系列的实验过程以及结果分析,表明了该系统能够支持网络安全态势感知的不断发展。
【关键词】知识发现;网络安全;安全态势感知
中图分类号:TP393.08 文献标识码:A 文章编号:1009-6833(2014)09-051-02 Network security situational awareness based on knowledge discovery system
Zheng Yiping
Abstract:network security situational awareness is standing on the ground of the overall situation to go up and dynamically reflect the security of the information network environment,and fundamentally to the trend of the development of information network security has made the evaluation and analysis.As a new hotspot in the field of network security,network security situational awareness in academic research in a wide range of progress has been made,but in the aspect of system construction and application development is not fast enough.In this background,this paper proposes a network security situation based on knowledge discovery model and generating framework,through a series of experimental process and results analysis,shows that the system can support the continuous development of network security situational awareness.
Keywords:knowledge discovery;Network security;Security situational awareness
0 引言
随着网络的规模不断扩大,网络的结构也日趋复杂,这在无形当中给了网络病毒等安全隐患以可乘之机,其对网络系统构成的威胁和造成的损失越来越大。传统模式下的网络安全管理仅仅依靠防火墙、防毒软件等单一的安全防护技术来实现被动的网络安全管理,这种模式已经无法满足现代社会的发展需求。新形势下的网络安全态势感知应采集和分析网络安全事件,并将这些信息以恰当的方式呈现,实现动态的安全管理方式。
1 网络安全态势感知概述
目前,网络信息已经渗透到社会中的各行各业当中,并显示出强大的影响力。随着信息网络朝着多元化、复杂化和智能化的方向不断发展,网络运行的情况也随之瞬息万变,这给网络管理带来了很大的困难[1]。如何针对这种现象,对当前的信息网络整体态势做出准确、高效的判断,并以此提供相应的管理和控制措施,是现如今网络信息管理中面临的全新挑战。
网络态势感知这一概念早在1999年就被提出,是指由各种网络设备的运行状况、网络行为以及用户行为等多种因素所构成的整个信息的当前状态和变化趋势。网络安全态势的感知是要对信息网络环境中的安全要素进行获取、理解和显示。
2 基于知识发现的网络安全态势感知系统
2.1 网络安全态势建模
网络安全态势的建模主要是要构建一个适应于度量的网络安全态势的数据模型,以此来支持安全传感器的告警时间精简、过滤和融合的通用处理过程。安全态势建模中的数据来源主要是分布式异构传感器所采集的各种安全警告事件,一切准备就绪,就进入到正式建模的阶段[2]。
首先是初始的预处理阶段,根据告警事件的规格化,要将所收到的所以安全事件都转化为能够被数据处理模块所理解的标准格式。工作人员要根据不同传感器所提供的预处理组件,将特定传感器的信息转换为预定义的态势信息模型的属性值。根据这个模型,针对每一个原始告警事件来进行预处理,每个属性领域也被赋予了适当的值。
其次是态势数据的处理阶段,在这个阶段中,工作人员要将规格化传感器告警事件进行输入,并进行告警事件的精简、过滤以及融合处理。这其中,事件精简的目标是要合并传感器检测到的相同攻击的一系列冗余事件[3]。时间过滤的目的是要删除不满足约束要求的事件,这些约束要求是要根据安全态势感知的需要,以属性或者是规则的形式存储在知识库当中。而事件的融合是指通过将来源于不同传感器,并经过了预处理、精简和过滤的事件引入到不同等级的置信度当中,融合了多重属性对网络告警事件进行量化的评判,有效降低安全告警事件当中的误报率和漏报率,从而为网络安全态势的生成提供有力保障。
在网络态势建模阶段中,要注意到根据系统设置或规则参数来计算出该事件的置信度,从原始事件的角度上量化告警事件当中的信任程度,以此有效降低虚警率[4]。而在数据的处理阶段中,由于从传感器采集的事件具有量化的置信度,因此对告警事件进行融合,能够大幅度减少冗余的告警事件,提高识别攻击行为的能力。
2.2 网络安全态势的生成
基于知识发现的数据来源主要包含了模拟攻击产生的安全告警事件集和历史安全告警事件集两方面内容。知识发现是要在这些告警事件当中发现和抽取态势关联所需要的知识。由于安全告警事件具有复杂性,因此这个过程需要基于知识发现的方式,对安全告警事件集进行模式上的挖掘和分析。
在进行网络安全态势生成这个步骤时,首先要完成基于知识发现的关联规则提取。提取过程中要始终遵循安全告警事件的精简和过滤、安全告警事件集中的知识发现、安全模式的分析和学习以及安全态势关联规则的提取这四点原则。
网络安全态势是指被监察的网络区域在一定的时间窗口内,所遭受的攻击的分布情况和其对安全目标的影响程度。网络安全态势当中的信息与时间的变化和空间的分布紧密相关,对于单个节点主要表现为攻击指数和资源影响度随时间的变化。而对整个网络区域来说,还表现为攻击焦点的分布变化。
针对某个时刻中网络安全态势的计算,必须要考虑一个特定的评估时间窗口,针对落在时间窗口内的所有事件来进行风险值的计算和累积[5]。告警事件的发生频度准确反映了安全威胁的程度,如果告警事件频频发生,网络系统的风险值就会迅速升高;而当告警事件不再频发时,风险值也会随之降低。
网络安全态势的生成阶段中,需要充分考虑告警的置信度、告警严重等级以及资源的影响度等指标。其中,告警置信度可以通过初始定义和融合计算后产生;告警严重等级是被预先设置好的;资源影响度是指攻击事件对其目标的具体影响程度,不同的攻击类型其影响程度也不尽相同,和具体的配置以及所
(下转第53页)
用户需要输入自动续借的具体时间。在到达该续借时间时,系统自动为用户办理续借手续。 2.4 功能定制服务
该功能为用户提供了系统扩展功能。用户根据自身的需要,认为系统应当具有另外一些功能,此时用户可以通过文本信息的方式,将自己的需求发送给系统平台。系统管理员将会根据用户的需求,为用户量身提供该功能,从而实现用户需求服务功能的定制服务。 2.5 图书预约服务
图书预约服务指的是用户在系统中未查询到某图书时,可以将自己的需求信息发送给系统,系统根据用户的需求信息及时增加平台中图书的内容,以方便用户的借阅。
3 基于微信平台开展图书个性化借阅服务应注意的事项
基于微信平台开展图书个性化借阅服务在实现服务创新发展的同时,还应该考虑用户各方面的接受情况。因此,为了使更多的用户能够主动的利用微信平台实现图书借阅,在开展服务的过程中还应注意以下事项:
第一,图书内容应以文本为主。手机上网的速度与宽带相比较慢,如果图书内容较多,并且采用多种形式,如视频、音频等格式,会耽误用户的时间。同时,如采用视频或者是音频,会占有较多的手机流量,这样就不会得到用户的喜欢。
第二,屏幕中功能按钮数量不能太多,最多占到整个屏幕的20%。用户在服务平台的使用过程中,如果功能按钮数量较多,会使用户视觉产生疲劳,从而引起用户的反感。针对这一问题,在屏幕设计中应考虑多采用超链接形式,减少屏幕上的功能按键,以方便用户的使用。
第三,应当采用先进的数据接口技术。先进的数据接口使得数据之间的交换效率得到极大的提高,数据交换效率提高了,会从根本上减少用户请求的响应时间,使得整个服务平台操作起来更为流畅,便捷。
4 结语
随着互联网在图书馆行业应用的不断深入,图书馆的服务水平得到了极大的提高,服务层面得到不断深化,如何满足用户个性化需求成为图书馆管理的核心任务之一。本文尝试利用目前流行的通讯软件——微信,来对图书个性化借阅服务进行研究,以期能够进一步深化和拓展微信平台在图书馆各项服务中的应用。 参考文献:
[1]刘红丽.国内移动图书馆研究现状与趋势[J].国家图书馆学刊,2012,21(2):72-74.
[2]覃凤兰.基于知识管理的高校图书馆个性化服务研究[J].图书馆,2007(6):46-49.
[3]黄浩波.微信及其在图书馆信息服务中的应用[J].图书馆学刊,2013(1):13-16.
[4]杨春华.基于核心竞争力的图书馆发展策略探讨[J].图书馆,2009(6):53-5 5.
(上接第50页)
此方法能够动态实现策略的集合拓展,但是会导致主动框架过于庞大,所以可以考虑采用主框架辅以附框架的结构形式。主动权能采用数字签名的形式来确保它的可靠性,可保留在主动信包区被主动信包代码访问。
2.4 基于角色与基于规则相结合的访问控制
目前,已有模式可实现用户以及访问权限的分离,但不能对上下级的用户关系的操作进行全局的描写。而基于角色与基于规则相结合的访问控制模型(RRBAC )可由用户组织结构来定义角色属性和继承关系,实现了分级的管理体系。
3 安全模型分析
通过对主动节点和执行环境的特点进行分析,本文对主动节点可能受到的安全威胁进行了概括,并设计了一个适用的安全模型。
3.1 信任证书库
可用于安全认证的过程中进行查证,保存了用户的公钥证书和信任证书。 3.2 主动权能库
主动权能库包含的主动权能指的是一段由Java 编的代码,可应用户要求进行修改,能够体现动态的安全策略结构。一个主动权能可为全部策略信息的整合,但更好的方式是把某一个基本策略的框架作为开始,框架中含有最基本的协议、数据、用户认证以及访问控制。运行时,若发现没有所需的策略结构,可动态的下载所需的代码融入到策略框架之中。为了避免主动框架生成很庞大的结构,可采取分层的结构形式,不但可以保留动态扩展的特征,还能够体现出策略框架的观点。 3.3 安全策略库
安全策略库用于存放各种安全策略,可将安全属性以及相应的访问权限进行连接,即当某一主体具有安全属性时,就相应的具有了访问权限,安全属性由授权机构批准,用信任状来表示。因为主动网络中所传输的数据包可能为传统数据包或是主动包,所以要先进行相关的认证,若为传统数据包要加密后传送到下一节点;若为主动包,则要对数字签名进行认证,如果不能保证完整性和安全性,就表明代码被恶意更改了,需丢弃。
4 结语
相比于传统网络,主动网络所具有的灵活性和开放性的特
点,却增加了其受到安全威胁的可能性。其安全问题包括主动信包的安全问题以及主动节点的安全问题,文章对这一现象进行了深刻的分析,结合相关的网络安全方面的知识,设计额了一种比较适用的用于网络节点的安全体系的模型,以期对网络的安全性起到必要的保护作用,防止主动节点资源受到恶意的进攻,进一步完善主动网络的应用。 参考文献:
[1]唐寅.基于授权的主动网络安全防护技术研究[D].电子科技大学,2003.
[2]夏正友.主动网络安全结构模型及其相关技术研究[D].复旦大学,2004.
[3]孙群华.主动网络安全管控系统设计与实现[D].电子科技大学,2012.
(上接第51页) 承担的业务有关[6]。
针对特定范围中的网络,系统可以动态地生成网络安全态势图,并且定量评估整个网络的安全态势。在网络安全态势图的基础上,还可以根据实际需要进行各种类型的网络安全检测和分析。网络态势的生成可以定量计算出该网络的综合安全态势值,并通过在一定时间之内定期生成的网络安全态势图所计
算的态势值,能有效反映出网络安全态势随着时间变化的情况。
3 结语
网络安全态势感知在网络安全管理的领域中作用日益明显,这也是现如今网络安全领域中具有较强活力的一个发展方向。在网络安全态势感知的学术研究已经取得长足进展的同时,对相应的系统构建也应给予同样的重视。本文基于知识发现的角度对网络安全态势感知系统的体系结构做出了分析,以期为
相关的系统建设提供可借鉴的依据和方法。
参考文献:
[1]王春雷,方兰,王东霞.基于知识发现的网络安全态势感知系统[J].计算机科学,2012,07(23):11-17+24.
[2]陈彦德,赵陆文,王琼.网络安全态势感知系统结构研究[J].计算机工程与应用,2012,01(31):100-102.
[3]陈忠菊,郑逢斌,周兵.基于知识发现的网络安全态势感知系统[J].信息通信,2013,12(07):62-63.
[4]赖积保,王颖,王慧强.基于多源异构传感器的网络安全态势感知系统结构研究[J].计算机科学,2011,03(21):144-149. [5]张鹤.网络安全态势感知系统关键技术研究[J].硅谷,2014,05(09):64-65.
[6]苏忠,陈厚金,赖建荣.网络安全态势感知系统的构建与应用[J].信息网络安全,2014,05(29):73-77.