广域网络安全态势值统计分析算法
- 格式:pdf
- 大小:559.01 KB
- 文档页数:3
信息安全与通信保密・2008.7学术研究Academic Research
67收稿日期:2007-11-23作者简介:潘兆亮,1982年生,上海交通大学在读硕士研究生,研究方向:网络安全态势;蒋兴浩,1976年生,上海交通大学信息安全学院博士、副教授,研究方向:信息安全、电子政务领域安全应用技术;陈秀真,1977年生,上海交通大学信息安全学院博士,研究方向:计算机网络安全检测与评估。*国家自然科学基金资助(基金编号:60605019)
潘兆亮,蒋兴浩,陈秀真(上海交通大学信息安全工程学院,上海 200240)
【摘 要】论文针对广域网环境下网络安全态势值的计算问题,建立了一个实际可操作的广域网态势值计算模型,并提出了一种统计分析算法,该算法通过计算各种测量值的Q值,分析其历史分布,转换成对应T2值,来使得态势值具有反映一段时间内安全趋势的特性。【关键词】安全态势;广域模型;统计分析算法【中图分类号】TP393 【文献标识码】A 【文章编号】1009-8054(2008) 07-0067-03
A Statistical Algorithm for WAN Security Situation Value Calculation*PAN Zhao-liang, JIANG Xing-hao, CHEN Xiu-zhen(School of Information Security Engineering, Shanghai Jiaotong University, Shanghai 200240, China)【Abstract】This paper deals with the problem of generating network security situation value in WAN environment. Apractical, operable new model is proposed. This model adopts a statistical analyzing algorithm to calculate Q value ofvarious measured values. In analyzing its historical distribution, Q value can be converted to certain T2 value, whichenable the situation value to reflect the trend of network security situation in recent period.【Keywords】security situation; WAN environment model; statistical algorithm
广域网络安全态势值统计分析算法*
0 引言“安全态势”一词最早出现在军事上,用于描述复杂战场状况。大型网络同样具有一个较大范围、内部结构较复杂、受多因素影响等特征,因此,网络安全态势是对网络运行状况的宏观描述,通过建立一套可行的网络安全态势体系,可以反映一个网络过去和当前的状况,并预测下一个阶段可能的网络状态。自Tim bass提出网络空间态势意识框架[1]以来,国外已经开展了很多研究,而国内研究才刚起步。西安交通大学实现了基于IDS和防火墙的集成网安监控平台,并在文献[2]中提出了层次化安全态势量化评估模型。北京理工大学研制了一套基于局域网的网络安全态势评估系统。国防科技大学提出了面向大规模网络入侵检测与预警系统的基本框架。态势预测方面,上海交大和哈尔滨工程大学分别以RBF[3]和GA-BPNN神经网络[4]的方式实现。本课题结合了国家863项目《网络安全态势综合处理系统》,对网络安全态势值的计算问题开展进一步研究,试图建立广域网范围下的态势计算模型,并引入统计分析算法,使态势值能充分反映安全变化状况。
1 具体模型及态势值计算方法1.1 网络安全态势值什么是网络安全态势值?它是通过一系列数学方法处理,将海量的网络安全信息归并融合成一组或者几组的有意义的数值。这些数值具有表现网络运行状况的特性,随着网络安全事件发生的频率、数量等的变化,该值大小也会随之产生变化。管理员通过数值变化可以判断网络是否受到威胁等。1.2 具体模型分析网络安全态势处理的原始数据式来源主要为:IDS、防火墙、主机监控、反病毒。根据不同数据来源可以得到的安全态势类型也有所不同。文献[5]给出了局域子网下态势模型,Academic Research学术研究www.cismag.com.cn68
而当一个网络包括有多个子网的时候,总网络态势数据的产生需要进一步的汇总模型,如图1所示。1.3 态势值计算过程上述模型下的态势值计算,主要是先将事件发生的频率进行统计,然后根据不同安全事件类型,赋予不同的权值,最后将频率乘以其权值做加权平均。权值的定义和计算可采用Delphi法加模糊层次分析法来确定,限于篇幅本文不详细阐述。文献[2]对单位时间内单个服务、单个主机以及单个子网的安全态势值计算给出了描述。文中为扩大态势的计算范围,引入新的态势计算值及方法如下:(1) 多级网络中的总体安全态势:+y`T`。TLANx表示下级某子网态势值,yx表示该子网权重,b表示子网个数,y`表示本地网络的权重,且,T`为本地网络的安全态势值。(2) 一个时间段的某类安全态势值:。Tx表示单位时间的安全态势值,δx表示不同单位时间内的权值,d表示这个时间段由多少单位时间组成。由此可得每小时、每天、每月、每年的态势值,并可形成一个历史值库。同时,还可以根据各时间点、人们关注度的不同调节其权值,比如每天8:00-18:00为重要安全时段,23:00-2:00为关注度相对较低时段等。(3) 综合安全态势计算:。Tm表示不同类型的安全态势数据,αm为权值,k为类别数目,βm为调节系数。通过不同方式获得的原始数据,它的数量级可能存在差异,需要进行一定调整。2 态势统计分析算法通过前述计算方法,可得出某特定时间段内态势值,该值具有实时特性,可帮助管理员获悉当前安全状况。但由于网络状况波动较大,用实时值反映的网络安全数据往往对管理员的判断有所误导,不能反映网络状况一段时间内总体态势走向变化,需要管理员参考之前的数据来进行综合判断。因此,本课题提出一个统计分析的算法,首先引入态势测量值的概念。2.1 态势测量值系统使用特定的态势测量值,来决定所观测到的安全事件中体现的安全域当前状态与过去或者可接受状态对比是否异常。一种测量值反映目标安全域上主体行为的一个特定方面。目前所用的测量值为:(1) 序数测量值,可分为病毒疫情、网络攻击、主机异常三种情况,指示安全事件之间的时间增量。(2) 类别测量值,主要分为安全事件物理位置、病毒事件、网络端口异常事件、主机异常事件、以小时计和以天计的安全事件,以其名称代表的含义进行分类。(3) 安全事件分布测量值,负责计算所有安全事件类型在最近历史时间内的分布情况。(4) 安全事件强度测量值,代表一定时间内安全域所处理的安全事件数目。2.2 统计分析算法每一个安全事件,经计算生成一个单独的测试统计值(总体安全态势指数),用来表明最近安全域的总体态势情况。每一个评测值都是基于近期安全行为,这些评测值不是相互独立的。T2
是一个对多个测量值异常度的综合评价。假设有n个
组成测量值,每个测量值为Si,1≤i≤n。Si与Sj之间的相关性表示为Ci,j,1≤i,j≤n,T2定义为:T2=(S1,S2,…,Sn)C-1(S1,S2,…,Sn)t。C-1是(S1,S2,…,Sn)相关矩阵的
逆矩阵,(S1,S2,…,Sn)t为转置向量,当Si不相关时,T2值简化为S12+S22+…+Sn2;当相关性非零时,T2为一个考虑向量Si相关性的复杂函数。当前分析方法将统计值T2的表达式简化为Si的平方和,即:T2=a1 S12+S22+…+an Sn2,ai(1≤i≤n)是由管理员指定的正系数,每一个S是从一个对应的称为Q的统计值中变换得到的。从Q到S的变换需要关于Q的历史分布的知识,使得历史上少见的Q值映射为大的正值,而反之映射为接近于0的值。各种S值的映射变换需要根据系统的具体实现而定,可以使用粗糙集或灰度理论来解决,下面讨论Q值的计算。2.3 各类测量值Q值的计算方法(1) 安全事件强度测量值的Q值。每一个安全事件强度Q值在每一个新安全事件生成时进行更新。设Qn为生成第n
个事件后的Q值,Qn+1为第n+1个安全事件后的Q值:Qn+1=1+2-rtQn。
① t表示第n个和第n+1个安全事件之间的时间间隔。
图1 多子网网络态势值汇总结构信息安全与通信保密・2008.7
学术研究Academic Research
69② 衰减速率r决定了测量Q值的半周期。较大的r值意味着Q值主要受到最近生成的安全事件的影响。例如,10min的半周期对应r值为。管理员可以设定半周期为任意合适值。Q值为整个过去时期内安全事件的总和,并加上指数权重,因此越是近期的安全事件情况对该值影响越大。(2) 安全事件分布测量值Q的计算。每一个生成的安全事件都指示一个或多个安全域事件类型的发生。分布测量值被用于评估最近发生的事件类型与一个长期档案中的事件类型分布记录的一致程度。假设系统已经建立了M个安全事件类型,对于每一个安全事件,系统必须计算一个长期的历史出现相对频率,表示为fm,第k天的fm值如下所示:,Nk和b如前定义,Wm,j为第j天的第m种安全事件数目。Q值定义如下:Qn+1=(I(n+1,m)(-log2 fm))+2-rQn+1,M为所定义安全事件类型总数;I(n+1,m)=1.0,如果第n+1个安全事件指示发生了第m种安全事件类型,否则I(n+1,m)=0.0;r和Qn+1同前面定义。(3) 类别测量值的统计值Q。类别测量值包括所使用特定资源的名称,例如所访问网络端口或病毒类型,或者其他类别特征,如事件生成日期和时间。Qn+1=[I(n+1,m)(-log2 fm)]+2-rtn+1Qn,Qn+1,r,M和I(n+1,m)如前定义。tn+1为第n+1个和第n个安全事件记录之间的时间间隔。(4) 序数测量值的Q值。序数测量值包括对所发生特定事件的计数(如以毫秒计算的相邻病毒事件发生时间或者主机异常操作情况),或者其他的计数测量值(如相邻安全事件记录之间的以毫秒计算的间隔抵达时间)。Qn+1=Dn+1+2-rtn+1Qn,Dn+1是第n个和第n+1个安全事件之间的序数计数值的差异。3 分析和评估关键技术对系统性能的影响对于安全域所处理的每一个安全事件,态势算法经计算生成一个单独的测试统计值T2,用来表明最近安全域的总体态势情况,并且T2值的序列相互依赖,因此T2值会缓慢上升或降低。一旦T2值位于危险范围内,必须经过几个安全事件后,才会恢复到正常值区域。为了避免产生连续危险信号,可以仅在进入危险范围内,或者在正常或危险范围内保持一个特定时间后才通知管理员。另外,管理员可以生成一个安全域的T2值时间曲线,从而评价一个安全域的T2统计值是否指示返回到更加正常的行为状态。态势分析的统计分析算法能够比较准确地刻画出安全域内当前安全状态的变化情况,并将其与长期历史时期内的安全状态模块进行统计比较,得出最终的安全态势指标数值。统计分析算法不需要特定的前提假设条件,具备一定的自适应性和智能化分析的特征,适合总体态势分析和评估的应用用途。但是,统计分析算法的一个较为明显的限制是其处理速度较之简单规则分析算法来说较慢,因此需要在实际应用中根据实际情况灵活运用,并且和基于规则分析的方法结合起来。