当前位置:文档之家 › 一种基于粗糙集理论的网络安全态势感知方法

一种基于粗糙集理论的网络安全态势感知方法

  • 格式:pdf
  • 大小:317.03 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

一种网络安全态势感知方法及系统[发明专利]

一种网络安全态势感知方法及系统[发明专利]

(10)申请公布号 (43)申请公布日 2014.02.12C N 103581186A (21)申请号 201310541306.3(22)申请日 2013.11.05H04L 29/06(2006.01)H04L 12/24(2006.01)(71)申请人中国科学院计算技术研究所地址100190 北京市海淀区中关村科学院南路6号(72)发明人金舒原 张亚星 庞依(74)专利代理机构北京律诚同业知识产权代理有限公司 11006代理人祁建国 梁挥(54)发明名称一种网络安全态势感知方法及系统(57)摘要本发明涉及一种网络安全态势感知方法及系统,方法包括:提取可用于描述网络安全态势的关键要素,包括网络流量稳定性、威胁性、脆弱性、用户行为;对提取的该关键要素,进行二级指标分值和一级指标分值计算,该一级指标分值包括网络流量稳定性指标分值SS 、威胁性指标分值TS 、脆弱性指标分值VS 、用户行为指标分值US ;最后,利用加权求和计算整个网络安全态势值。

本发明的目的在于,力求建立全面的网络安全态势感知指标,提高网络安全态势感知的有效性和实时性。

(51)Int.Cl.权利要求书5页 说明书16页 附图4页(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书5页 说明书16页 附图4页(10)申请公布号CN 103581186 A1.一种网络安全态势感知方法,其特征在于,包括如下步骤:步骤1,提取可用于描述网络安全态势的关键要素,包括网络流量稳定性、威胁性、脆弱性、用户行为;步骤2,对提取的该关键要素,进行二级指标分值和一级指标分值计算,该一级指标分值的计算包括,步骤21,计算网络流量稳定性指标分值SS,该二级指标包括网络流量的变化率和分布,步骤22,计算威胁性指标分值TS,该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目,步骤23,计算脆弱性指标分值VS,该二级指标包括漏洞的数目和等级,服务种类,步骤24,计算用户行为指标分值US,该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数;。

基于粗糙集的实时网络安全态势评估的研究

基于粗糙集的实时网络安全态势评估的研究

基于粗糙集的实时网络安全态势评估的研究
吴朝雄;王晓程;王红艳;石波
【期刊名称】《计算机科学》
【年(卷),期】2015(042)0z1
【摘要】针对网络安全态势评估中评估精度以及实时性不足的问题,提出了基于粗糙集的实时网络安全态势评估方法.通过粗糙集理论从多样本数据中发现高质量的攻击规则集,生成多级规则树,将规则与实时攻击感知引擎结合,实现对动态数据流的在线分析检测,最后将实时检测的结果作为态势评估的依据,并根据层次化态势评估模型实时计算整体网络的安全态势值.经测试证明该方法有效地提高了态势评估的客观性、实时性、准确性.
【总页数】4页(P435-437,458)
【作者】吴朝雄;王晓程;王红艳;石波
【作者单位】中国航天科工集团二院706所北京100854;中国航天科工集团二院706所北京100854;中国航天科工集团二院706所北京100854;中国航天科工集团二院706所北京100854
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于粗糙集神经网络的网络安全态势评估方法 [J], 姜旭炜;文志诚;邓勇杰
2.基于变精度粗糙集理论的UCAV态势评估方法研究 [J], 胡杰;黄长强;赵辉;臧旭
3.一种基于模糊粗糙集的网络态势评估方法研究 [J], 范渊;刘志乐;王吉文
4.基于BP神经网络的网络安全态势评估研究 [J], 黄焱
5.基于DBN的网络安全态势评估和态势预测建模研究 [J], 熊中浩;张伟;杨国玉因版权原因,仅展示原文概要,查看原文内容请购买。

一种基于粗糙集理论的网络安全态势感知方法_梁颖

一种基于粗糙集理论的网络安全态势感知方法_梁颖

# 95 #
要由网络安全状态数据 源集成平 台、 逻辑推 理、 异 常发现、 态 势分析和安全态势可视 化等模 块组成 , 如图 1 所示。网 络安 全状态数据源集成平台实现多源异构网络安全状态数据的集 成处理 , 为上层模块提 供数据 支持。逻辑 推理模 块利用 异常 行为库中的异常 行为 模式 对当 前网 络安 全事 件进 行在 线推 理 , 得到网络安全态势 感知结 果。异常发 现模块 采用匹 配技 术 , 根据异常行为库来检测网络中可能存在的各类攻击 行为 , 并对异常行为库进行实时更新。态势分析模块将攻击行为作 为安全要素 , 采用粗糙集理论分析各安全要素重要性 , 并对照 态势知识库中的态势信息 , 最终生成网络整体态势 , 同时负责 态势知识库的实时更新。保 证准确 实现网 络安全 态势感 知。 安全态势可视化模块负责 根据下层 模块生 成的态 势信息 , 生 成直观的网络安全态势图 , 并将其呈现给网络管理员 , 为做出 合理准确的决策提供依据。
[ 1]
2 模块化系统体系结构模型
粗糙集理论是由波兰 数学家 Z. Paw lak [ 7, 8] 于 1982 年提 出的。该理论建立在分 类机制 的基础 上 , 将 分类理 解为在 特 定空间上的等价关 系 , 这 也就构 成了对 该空间 的划分。笔 者 根据网络 数 据 的 特 点 , 引 入 了 粗 糙 集 理 论 的 思 想 , 将 基 于 RST 的网络安全态势感知分为在线 感知和 离线感知 两部分 , 分别实现网络安全态势的实时感 知和非实时感知。该系统主
1 引言
随着网络的普及 , 其面 临的 威胁 也越 来 越大 , 计 算 机病 毒、 木马程序、 Do S/ DDoS 攻击日益猖獗。为保 证网络安全运 行 , 人们采用了入侵 检测、 防火墙、 病毒 检测等 技术。然 而这 些技术属于被动防御手段 , 只能 对攻击 行为的 某一局 部进行 检测 , 对一些分布式、 规模化、 复杂化的攻击则束手无策 , 更无 法反映某些攻击行为的 组合对 网络安 全的危害。 因此 , 网络 安全专家 Bass [ 1] 提出了网络安全态势感知 ( Netw or k Security Situation A war eness, N SSA) 研究 , 旨 在解 决上 述种 种问 题。 然而 , 目前该领域研究尚处于起步阶段 , 网络安全态势感知还 没有形成一个明确的定义 , 也未 能提出 一个一 致认可 的解决 方法。 Bass 只提出并建立 了网 络空间 态势 感知框 架 , 并没 有实现具体的原型系 统 ; Stephen G. Batsell [ 2] 等 开发了 一个 集成现有网络安全系统的 安全框架 , 以 提供对 大规模 网络的 实时态势感知 , 该方 法对 网络 结构 部署 要求 有 一定 的局 限 ; Jason Shifflet [ 3] 采用! 纵深 防御∀ 的思 想 , 集成 当前 网络 攻击 检测技术 , 搭建了一个模块化技术无关框架结构 , 然而该方法 只能对有限攻击进行检测 , 无法 实现真 正的网 络安全 态势感 知。此处网 络安全态势 [ 3] 是指某时刻由各种网络设备运行情 况、 网络服务状况及用户 行为等 因素构 成的整 个网络 所处的

一种基于RF_SVM网络安全态势感知算法的应用研究_余文芳

一种基于RF_SVM网络安全态势感知算法的应用研究_余文芳

sgn(¦ ai* yi xi* x b* )
i 1
n
(8)
2.2 算法设计及参数设置
RF-SVM设计过程中, 关键问题包括两个, 首选需要选择一 个合适的核函数和参数, 其次是训练得到算法的模型。 (1) RF-SVM回归模型的控制方法包括三种, 分别是容量控制 因子C、 损失函数和核函数, 这些方法均可以实现RF-SVM回归 模型得到有效的控制和实现回归。 为了能够更加有效的验证本 (2) 文算法的有效性, RF-SVM算法采用Vapnik的ε不敏感损失函
n
w*
¦a y x
i 1
* i i i
(7)
因此, 最优分类面的权系 D i* 不为零的样本即为支持向量, 数向量是支持向量的线性组合。 b可由约束条件D [ y (w
i i T
xi b) 1]
0
求解, 由此求得的最优分类函数是:
f x sgn(( w* )T x b * )
其中sgn()为符号函数。
[参考文献]
[1]龚正虎,卓莹.网络态势感知研究[J].软件学报.2010,21(07):16051619. [2]韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型 [J].计算机学报.2009,32(4):763-772. [3]石波,谢小权.基于DS证据理论的网络安全态势预测方法研究[J].计算 机工程与设计.2013,34(3):821-825. [4]李闻,戴英侠,连一峰,冯萍慧.基于混杂模型的上下文相关主机入侵检 测系统[J].软件学报.2009(01). [5]仲兆满,李存华,管燕.基于神经网络的实时入侵检测系统的研究和实 现[J].计算机工程与应用.2007(30). [6]毛国君,宗东军.基于多维数据流挖掘技术的入侵检测模型与算法[J]. 计算机研究与发展.2009(04).

网络安全态势感知技术研究现状

网络安全态势感知技术研究现状

网络安全态势感知技术研究现状摘要:随着科技的发展,各领域的技术水平逐渐提高,信息技术的应用更加广泛。

各种网络威胁也变得更加复杂多样化,其技术水平也随之提高,传统的计算模式已经不能满足抵御网络威胁的要求,这就需要基于大数据的应用对多种领域的计算模式进行创新,尤其是对数据信息应用以及协同计算方面的提升有着非常重要的推动作用。

关键词:网络安全态势;感知技术;研究现状引言在信息化技术和计算机网络技术的飞速发展下,也促进了城市信息化建设的步伐,面临愈加频繁的网络攻击,将人工智能应用至信息网络安全体系中势在必行,利用人工智能高效的信息收集与处理能力以及高精度的判断能力,能够实现将网络攻击成功阻截的目的,因此应当梳理并明晰其中所蕴含的态势感知技术,进一步增强信息网络的安全性。

1态势感知技术态势感知源于航天的“人因工程”研究,之后在交通、军事、医疗等领域都有广泛的应用。

态势既可以是对目前情况的一种定性定量描述,也可以是对未来发展趋势的一种预测,它是对整个网络运行状态的全局描述,从宏观的角度来进行理解和分析,所以说任何单一状态或者单一事件都不能称为态势,而近年来态势感知也慢慢被应用到了网络安全领域。

2网络安全态势感知技术研究现状2.1关联分析关联分析又称关联挖掘,是一种用于发现存在于海量数据集的关联性或相关性的分析技术。

通过关联分析,查找存在于项目集合或对象集合之间的频繁模式、关联规则、相关性或者因果结构。

例如网络中的防火墙、WAF、入侵检测行为审计等安全设备(探针)都会对进入网络的安全事件进行日志记录,当出现某一特定的安全事件,各安全探针均会产生大量的告警日志,而这些日志之间存在着很多的冗余和关联。

因此关联分析的任务就是将这些分散的原始日志转换为直观的、易于理解的事件。

对提取的事件基于规则、统计、资产等属性进行分析,通过逻辑符号and、and、not来表示属性的逻辑关系。

当符合相应的限制条件时,则激活相应的规则进行误报排除、事件源推论、安全事件级别重新定义、阈值关联、黑名单等动作。

基于粗糙集定权的网络安全态势要素提取方法

基于粗糙集定权的网络安全态势要素提取方法

基于粗糙集定权的网络安全态势要素提取方法
李洪成;付钰;叶清;吴晓平
【期刊名称】《计算机与数字工程》
【年(卷),期】2014(042)003
【摘要】针对当前网络安全机制存在的重复报警过多的问题,提出了一种基于属性相似度和粗糙集定权的网络安全态势要素提取方法.通过定义报警各属性相似度计算函数,得出各属性相似度;属性权重的确定采用粗糙集定权方法,通过对历史恶意行为数据进行学习得到,不依赖经验知识,提高了权重确定的客观性;对各属性相似度进行加权平均得到报警整体相似度,通过判断整体相似度是否超过预设阈值来实现报警聚合.最后,算例分析验证了该方法能有效减少重复报警.
【总页数】4页(P436-439)
【作者】李洪成;付钰;叶清;吴晓平
【作者单位】海军工程大学信息安全系武汉430033;海军工程大学信息安全系武汉430033;海军工程大学信息安全系武汉430033;海军工程大学信息安全系武汉430033
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于粗糙集定权的学生评教有效性影响因素分析 [J], 罗士美;谢玲英
2.基于进化神经网络模型的网络安全态势要素提取方法研究 [J], 易飞
3.基于DSimC和EWDS的网络安全态势要素提取方法 [J], 赖积保;王慧强;郑逢斌;冯光升
4.基于并行约简的网络安全态势要素提取方法 [J], 赵冬梅;李红
5.基于拓扑漏洞分析的网络安全态势要素提取方法 [J], 王丽媛; 陈巧云
因版权原因,仅展示原文概要,查看原文内容请购买。

粗糙集理论对于网络安全威胁识别与防御的实际应用效果评估

粗糙集理论对于网络安全威胁识别与防御的实际应用效果评估随着互联网的迅猛发展,网络安全问题日益严峻。

恶意软件、网络攻击、数据泄露等威胁不断涌现,给个人和组织的信息安全带来了巨大的挑战。

为了有效识别和防御这些威胁,粗糙集理论被引入网络安全领域,其实际应用效果备受关注。

粗糙集理论是一种基于模糊集的数据分析方法,其核心思想是通过不完全信息的分类和决策,进行模式识别和数据挖掘。

在网络安全中,粗糙集理论可以用来对网络流量数据进行分析,识别潜在的威胁行为,并采取相应的防御措施。

首先,粗糙集理论可以帮助识别异常流量。

网络中的异常流量往往是网络攻击的重要特征之一。

通过分析网络流量数据,粗糙集理论可以识别出与正常流量不符的异常行为,如大量的数据包传输、频繁的连接请求等。

这些异常行为可能是恶意软件感染、网络入侵等威胁的表现,及时发现并采取相应的防御措施,可以有效遏制潜在的网络攻击。

其次,粗糙集理论还可以进行威胁情报分析。

网络威胁情报是指关于网络威胁的信息和数据,包括攻击者的行为特征、攻击方式、攻击目标等。

通过采集和分析威胁情报,可以更好地了解当前的网络威胁态势,并预测未来可能出现的威胁。

粗糙集理论可以对威胁情报进行分类和关联分析,发现不同威胁之间的共同特征和关联规律。

这有助于建立威胁情报库,提供实时的威胁情报支持,为网络安全防御提供有力的决策依据。

此外,粗糙集理论还可以进行威胁行为预测。

通过对历史网络流量数据的分析,粗糙集理论可以发现不同威胁行为之间的模式和规律。

基于这些模式和规律,可以预测未来可能出现的威胁行为,并采取相应的防御措施。

例如,通过分析大规模数据包传输的频率和目的地,可以预测是否存在DDoS攻击的风险;通过分析异常的连接请求和数据传输行为,可以预测是否存在僵尸网络的风险。

这种威胁行为的预测,可以提前做好准备,有效防范潜在的网络安全威胁。

然而,粗糙集理论在网络安全威胁识别与防御中也存在一些挑战和限制。

首先,粗糙集理论需要大量的网络流量数据进行分析和建模,而且需要对数据进行预处理和特征提取。

基于贝叶斯网络和粗糙集的电网故障诊断方法

基于贝叶斯网络和粗糙集的电网故障诊断方法作者:凌子俊,胡超,唐军胜来源:《科技视界》 2014年第31期凌子俊胡超唐军胜(安徽理工大学电气与信息工程学院,安徽淮南 232001)【摘要】本文提出一种通过贝叶斯网络和粗糙集对常用的电网故障情况进行诊断的方法。

该方法可以灵活的表示不确定信息,并能进行不确定性推理。

通过研究分析电网在各相短路故障时的电流和阻抗的变化,选用粗糙集理论对故障信息量进行约简,最后通过贝叶斯网络对故障情况进行诊断。

通过仿真实验,验证了该方法的正确性和有效性。

【关键词】电网故障;贝叶斯网络;粗糙集0 引言随着电力系统日趋大型化,电网故障日趋复杂化,所以在电力中故障是系统不可避免的。

一旦发生故障,如何快速诊断故障类型,防止事故扩大非常重要。

如果故障不能及时有效地控制和处理,将可能造成系统稳定破坏、电网瓦解、重大设备损坏和大面积停电,直接影响到用户的切实利益,甚至影响社会大生产的顺利进行。

为了保证电力生产的安全性,保证电能供应的可靠性和连续性,在输配电网发生故障时,需要可靠的电网故障诊断系统为工作人员迅速进行诊断和处理提供决策参考。

目前国内外用于电网故障诊断的技术包括:遗传算法,专家系统,Petri网络等。

遗传算法从优化的角度出发基本上可以解决故障诊断问题,尤其是在复杂故障或存在保护、断路器拒动、误动的情况下,能够给出全局最优或局部最优的多个可能的诊断结果。

但遗传算法存在的主要“瓶颈”是如何建立合理的电网故障诊断数学模型。

专家系统的典型缺点为学习能力差、容错性差及诊断速度偏慢。

Petri网络用于建模的时间较长,随着设备的增加和网络的扩大,存在着较大的问题,同时针对现场普遍存在的保护、断路器误动拒动及由于通信线路故障引起的故障信息畸变,Petri网络需要提高其容错能力和处理电网拓扑的改变。

本文主要采用贝叶斯网络进行诊断。

贝叶斯网络是一种不确定性的因果关系关联模型、具有强大的不确定性问题处理能力,同时它能有效的进行多源的信息表达与融合,是一种基于网络结构的有向图解描述。

一种基于粗糙集理论的网络安全态势感知方法

i n . Th s fRS ma e h e wo k s c rt i a i n a r n s y t m e a l o d a t a g o u so me t e u e o T k s t e n t r e u i st t wa e e s s se b b e t e l y u o wi lr e v l me f h n t r a a e f c ie y e e a e e p a n b ea t c - e e t n r l s h n t e i f e c fn t r ta k o h o e e wo k d t fe tv l ,g n r t x l i a l ta k d t c i u e ,t e h n l n e o e wo k a t c n t e wh l o u
地反 映 攻 击 行 为对 网络 整 体 安 全 状 况 的 影 响 。
关键词 网络安全 , 态势感知 , 粗糙 集理论 , 网络安 全要 素
A e h d ofNe wo k S c r t t ato M t o t r e u iy Siu i n Awa e e s Ba e n Rou h Se r n s sd o g tThe r oy LI ANG n W ANG i a g IAI iB o Yig Hu— n — a Qi j
感知 , 该方法把 网络攻 击行 为作为 网络安全要素 , 定量分析 了各安全要 素或安 全要 素组 合对 网络 安全 的威胁程 度, 最 终 建立 了具有攻击行为 、 网络服 务和安全 态势 3个层 次的 网络 安全 态势感知模 型 . 并通过仿 真实验 生成 了明确 的网络 安全态势 图。采用粗糙 集理论使得 系统能够 高效处理海量 网络安 全状态数据 , 生成 易理解 的攻 击检测规 则 , 楚直观 清

一种基于粗糙集的网络安全评估模型

一种基于粗糙集的网络安全评估模型
陈志杰;王永杰;鲜明
【期刊名称】《计算机科学》
【年(卷),期】2007(034)008
【摘要】准确掌握计算机网络系统的安全水平对于保障网络系统的正常运行具有重要意义.当前大多数网络安全评估系统缺乏对数据的深入分析,难以形成对网络安全状况的整体认识.本文提出了一种利用粗糙集理论挖掘网络安全评估规则,进而利用评估规则构建网络安全评估决策系统的算法模型.研究了网络安全评估问题的粗糙集描述,给出了模糊属性决策表的约简方法.利用一个简化的网络安全评估数据集,验证了本文提出的决策规则提取方法,结果表明该方法可以得到与实际情况相符的决策规则.
【总页数】3页(P98-100)
【作者】陈志杰;王永杰;鲜明
【作者单位】国防科学技术大学电子科学与工程学院,长沙410073;国防科学技术大学电子科学与工程学院,长沙410073;国防科学技术大学电子科学与工程学院,长沙410073
【正文语种】中文
【中图分类】TP3
【相关文献】
1.一种基于粗糙集的网络安全评估模型 [J], 汪贵生
2.基于粗糙集的网络安全评估规则提取 [J], 刘晓玲;谢仙斌;张家录;刘灵丽
3.一种基于CC的网络安全评估模型 [J], 赵庆兰
4.一种基于FSA的网络安全评估模型 [J], 邓磊;高德远;周雯;陈付龙
5.基于粗糙集的网络信息系统安全评估模型研究 [J], 林梦泉;王强民;陈秀真;李建华
因版权原因,仅展示原文概要,查看原文内容请购买。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于此, 本文提出将粗糙集理论用于网络安全态势感知, 把网络攻击行为作为 安全要 素, 并 对其进 行冗余 要素约 简和 要素重要性度量, 量化网络攻击行为对网络安全的影响, 进而 实现网络安全态势感 知, 帮 助网络 管理人 员更好 地了解 网络 运行状况。
2 模块化系统体系结构模型
粗糙集理论是由波兰 数学家 Z. Paw lak[ 7, 8] 于 1982 年提 出的。该理论建立在分 类机制 的基础 上, 将 分类理 解为在 特 定空间上的等价关 系, 这 也就构 成了对 该空间 的划分。笔 者 根据网络 数 据 的 特 点, 引 入 了 粗 糙 集 理 论 的 思 想, 将 基 于 RST 的网络安全态势感知分为在线 感知和 离线感知 两部分, 分别实现网络安全态势的实时感 知和非实时感知。该系统主
图 1 基于 RST 的 N SSA 系 统结构模型
3 基于 RST 的态势感知方法
大规模网络环境下的安 全态势 感知, 其处理 的网络 安全 状态数据是海量的。而 RST [ 9] 借助 于信息系 统 S = 〈U, R= CG D , V , f B U @ R→V〉表达和处 理知识, 是 一种刻画不完 整性和不确定性的数学工具, 能有效分析和处理不精确 、不一 致各种不完备信息, 并能从中发现隐含知识, 揭示潜在规律的 特点。采用 RST 保证了 系统能 从海量 网络 数据 中提取 各种 网络安全要素, 定量分析安全要素在网络安全中的重要 性, 并 能进一步挖掘出安全要素 组合对网 络的威 胁, 最终建 立大规 模网络安全态势感知模型。感知当前网络安全状况并预测网 络安全态势走向。
U | N ( F) = { ( x , y) | ( x , y) I U2 H f I F( f ( x ) = f ( y) ) }
( 1) 定义 2 按威胁程度分类安全要素。设 R 是由威胁 程度
集 t 导出的分类, 则 R 的 F 正域 可表示为 P F (R) :
P F( R)= G E( R)
结合 RST 思想, 根据各安全要素属性的重要性约简 态势
感知信息决策, 删掉对网络安全威胁性为 0 的安全要素, 最终 使得每一个记录代表 一类具 有相同威 胁特性 的样本, 就 得到
了与态势感知规则相 对应的 结果, 也就是 所需的 态势感 知模 型, 其形式为/ A →B0, 表示/ 若 A , 则推出 B0 。
计算机科学 2007V ol1 34 l 1 8
一种基于粗糙集理论的网络安全态势感知方法* )
梁 颖 王慧强 赖积保 ( 哈尔滨工程大学计算机科学与技术学院 哈尔滨 150001)
摘 要 网络安全态势感知是目前网络安全领域研究的一个热点问题。本文提出利用粗糙集理论进行 网络安全态势 感知, 该方法把网络攻击行为作为网络安 全要素, 定量分析了各 安全要素 或安全要素 组合对网 络安全的威 胁程度, 最 终建立了具有攻击行为、网络服务和安全 态势 3 个 层次的网络安全态势感知模型, 并通过仿真实验生成 了明确的网络 安全态势图。采用粗糙集理论使得系统能够高效处理海量网络安全状态数据, 生成易理解的攻击检测规则, 清楚直观 地反映攻击行为对网络整体安全状况的影响。 关键词 网络安全, 态势感知, 粗糙集理论, 网络安 全要素
# 95 #
要由网络安全状态数据 源集成平 台、逻辑推 理、异 常发现、态 势分析和安全态势可视 化等模 块组成, 如图 1 所示。网 络安 全状态数据源集成平台实现多源异构网络安全状态数据的集 成处理, 为上层模块提 供数据 支持。逻辑 推理模 块利用 异常 行为库中的异常 行为 模式 对当 前网 络安 全事 件进 行在 线推 理, 得到网络安全态势 感知结 果。异常发 现模块 采用匹 配技 术, 根据异常行为库来检测网络中可能存在的各类攻击 行为, 并对异常行为库进行实时更新。态势分析模块将攻击行为作 为安全要素, 采用粗糙集理论分析各安全要素重要性, 并对照 态势知识库中的态势信息, 最终生成网络整体态势, 同时负责 态势知识库的实时更新。保 证准确 实现网 络安全 态势感 知。 安全态势可视化模块负责 根据下层 模块生 成的态 势信息, 生 成直观的网络安全态势图, 并将其呈现给网络管理员, 为做出 合理准确的决策提供依据。
安全状况。态势是一 种状态, 一个 趋势, 是一个 整体、全局 的 概念。网络安全态势感 知则指 在大规 模网络 环境中, 对能 够 引起网络安全态势发生变化的安 全要素进行提取、理解、显示 并预测未来 发展 趋势。 这就 需要 融合 海量 网络 安全 状态 数 据。而粗糙集理论 ( Rough Set T heor y, RST ) 借助 信息系 统 表达和处理知识, 具有能从海量数据中发现有用规律, 并将其 转化为逻 辑规 则 的 优势, 已经 在 网络 安 全领 域 得 到初 步 应 用[ 4~ 6] , 并显示出了其他方法无法比拟的优势。
1 引言
随着网络的普及, 其面 临的 威胁 也越 来 越大, 计 算 机病 毒、木马程序、Do S/ DDoS 攻击日益猖獗。为保 证网络安全运 行, 人们采用了入侵 检测、防火墙、病毒 检测等 技术。然 而这 些技术属于被动防御手段, 只能 对攻击 行为的 某一局 部进行 检测, 对一些分布式、规模化、复杂化的攻击则束手无策 , 更无 法反映某些攻击行为的 组合对 网络安 全的危害。 因此, 网络 安全专家 Bass[1] 提出了网络安全态势感知( Netw or k Security Situation A war eness, N SSA) 研究, 旨 在解 决上 述种 种问 题。 然而, 目前该领域研究尚处于起步阶段, 网络安全态势感知还 没有形成一个明确的定义, 也未 能提出 一个一 致认可 的解决 方法。Bass[ 1] 只提出并建立 了网 络空间 态势 感知框 架, 并没 有实现具体的原型系 统; Stephen G. Batsell[2] 等 开发了 一个 集成现有网络安全系统的 安全框架 , 以 提供对 大规模 网络的 实时态势感知, 该方 法对 网络 结构 部署 要求 有 一定 的局 限; Jason Shifflet[ 3] 采用/ 纵深 防御0 的思 想, 集成 当前 网络 攻击 检测技术, 搭建了一个模块化技术无关框架结构, 然而该方法 只能对有限攻击进行检测, 无法 实现真 正的网 络安全 态势感 知。此处网 络安全态势[3] 是指某时刻由各种网络设备运行情 况、网络服务状况及用户 行为等 因素构 成的整 个网络 所处的
3. 2 层次化网络安全态势感知模型 网络安全态势感知 的研究 正处于 起步阶 段, 尚 需借鉴 态
势感知 在 其 他 领域 运 用 的 成熟 理 论 和 技术。 Endsley[ 11] 于 1995 年提出了 Endsley 态势感知 模型, 该模型 强调 对与态 势
3. 1 问题描述 结合粗糙集理论 的思 想, 建 立层 次 化 NSSA 模型, 需做 如下说明: 各网络安全事件记录对应对象集 U, 安全要素 集 F 对应条件属性集 C , 各攻 击行为 对网络 的威 胁程 度集作 为决 策属性 r。本文把对网络的各种攻击 行为作为 系统的 安全要 素, 参考 Sno rt 用户手册[10] 给出的攻 击类别及威胁程度, 规定 威胁程度集 t= { 高、中、低} 作为系统 的决策属性, 选定条件属 性集 C= { V 1 , V 2 , ,, V k } 对 网络 安全 态势 进行 感知, 建 立态 势感知信息决策表, 如表 1 所示。
Abstract Netw or k securit y sit uation aw areness is a hot research field in the netw ork secur ity do main. A method o f netw or k security situation aw areness based on r ough set theor y is f irst used, in w hich netwo rk attack is reg arded as the netw or k securit y factor , and the threat deg rees o f each secur ity factor o r co mbination of them on netw or k security are analyzed quantitat ively, finally netwo rk security situation aw areness mo del w ith thr ee lay ers ) attacks, netw ork services and secur ity situation is est ablished and definite netw or k secur ity situatio n gr aph is cr eat ed by the simulatio n experiment. T he use of R ST makes the netw o rk secur ity situatio n awar eness system be able to deal w ith larg e v olumes o f netw or k data effectiv ely, generate expla inable attack- detection r ules, then the influence o f netw or k attack on the who le netw or k securit y can be reflected clear ly and intuitiv ely . Keywords N etwo rk secur ity , Situatio n aw areness, Ro ug h set theor y, N et wo rk secur ity facto r
A Method of Network Security Situation Awareness Based on Rough Set Theory