【摘 要】本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，并給出了從原子態(tài)勢(shì)到主機(jī)態(tài)勢(shì)以及到網(wǎng)絡(luò)態(tài)勢(shì)的層次化分析流程；采用了自信息熵理論來(lái)計(jì)算原子態(tài)勢(shì)發(fā)生的概率，并利用加權(quán)求和的方法對(duì)各層次態(tài)勢(shì)進(jìn)行分析和研究；最后，使用真實(shí)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對(duì)提出的分析流程和模型進(jìn)行了驗(yàn)證。

【關(guān)鍵詞】安全信息 原子態(tài)勢(shì) 安全態(tài)勢(shì) 數(shù)據(jù)分析；

一、引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊事件多發(fā)，攻擊黑客不斷增加以及攻擊手段愈加復(fù)雜，使來(lái)自網(wǎng)絡(luò)的威脅猛烈地增長(zhǎng)，網(wǎng)絡(luò)安全遭受重大挑戰(zhàn)。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，保護(hù)人們的日常工作、學(xué)習(xí)和生活，快速掌握當(dāng)前安全形勢(shì)，于是人們?cè)噲D尋求一種評(píng)估當(dāng)前環(huán)境“安全態(tài)勢(shì)”的方法，以判斷網(wǎng)絡(luò)的安全性和可靠性。

網(wǎng)絡(luò)安全專(zhuān)家Bass[1]提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Network Security Situation Awareness， NSSA）的概念，這種理論借鑒了空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢(shì)感知的成熟理論和技術(shù)。網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)軟硬件運(yùn)行狀況、網(wǎng)絡(luò)事件或行為以及網(wǎng)絡(luò)用戶(hù)行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)某一時(shí)刻的狀態(tài)和變化趨勢(shì)[2]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在復(fù)雜的大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行提取、闡述、評(píng)估以及對(duì)其未來(lái)發(fā)展趨勢(shì)的預(yù)測(cè)[3]。數(shù)據(jù)挖掘是從大量分散在各個(gè)空間的數(shù)據(jù)中自動(dòng)發(fā)現(xiàn)和整合隱藏于其中的有著特殊關(guān)系性的信息的過(guò)程。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是以采集到的安全數(shù)據(jù)和信息進(jìn)行數(shù)據(jù)挖掘，分析其相關(guān)性并從網(wǎng)絡(luò)威脅中獲得安全態(tài)勢(shì)圖從而產(chǎn)生整個(gè)網(wǎng)絡(luò)的安全狀態(tài)[4]。本文基于網(wǎng)絡(luò)的安全信息，建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估模型，然后通過(guò)數(shù)據(jù)挖掘，分析出當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)。

二、需要采集的安全信息

為了分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)，需要針對(duì)要評(píng)估的內(nèi)容進(jìn)行相關(guān)安全數(shù)據(jù)的采集，之后可根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)分析安全態(tài)勢(shì)。網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全事件中最小單位的威脅事件定義為原子態(tài)勢(shì)，本課題以原子態(tài)勢(shì)為基礎(chǔ)，構(gòu)建需要采集的影響原子態(tài)勢(shì)的多維、深層次安全數(shù)據(jù)集，具體如圖1所示。

圖1主機(jī)安全態(tài)勢(shì)需要采集的安全數(shù)據(jù)集

（一）原子態(tài)勢(shì)

主機(jī)安全態(tài)勢(shì)包含多個(gè)原子態(tài)勢(shì)，是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析的基礎(chǔ)和核心，由此可以推出所在主機(jī)的安全狀態(tài)。

（二）需要采集的安全數(shù)據(jù)

分析各個(gè)原子態(tài)勢(shì)，其中包含信息泄露類(lèi)原子態(tài)勢(shì)、數(shù)據(jù)篡改類(lèi)原子態(tài)勢(shì)、拒絕服務(wù)類(lèi)原子態(tài)勢(shì)、入侵控制類(lèi)原子態(tài)勢(shì)、安全規(guī)避類(lèi)及網(wǎng)絡(luò)欺騙類(lèi)原子態(tài)勢(shì)，由此可以分析出需要在主機(jī)采集的安全信息數(shù)據(jù)。因?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)是動(dòng)態(tài)的，所以它隨著當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況的變化而變化，這些變化包括網(wǎng)絡(luò)的特性及網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量和網(wǎng)絡(luò)所受的威脅程度等因素。原子態(tài)勢(shì)是影響網(wǎng)絡(luò)安全狀況的基礎(chǔ)態(tài)勢(shì)，故提出原子態(tài)勢(shì)發(fā)生的頻率和原子態(tài)勢(shì)的威脅程度兩個(gè)指標(biāo)去對(duì)原子態(tài)勢(shì)進(jìn)行評(píng)估。圖1中的原子態(tài)勢(shì)一般只用于分析一個(gè)主機(jī)的安全性，如果要分析一個(gè)網(wǎng)絡(luò)的安全性，需要對(duì)網(wǎng)絡(luò)中各主機(jī)的安全信息進(jìn)行挖掘分析，進(jìn)而得出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。

三、基于安全信息的態(tài)勢(shì)挖掘模型

本文中使用全信息熵理論協(xié)助網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估，全信息的三要素分別代表的含義如下：語(yǔ)法信息是指從網(wǎng)絡(luò)安全設(shè)備中得到某一類(lèi)威脅事件，并轉(zhuǎn)換為概率信息；語(yǔ)義信息是指該類(lèi)威脅事件具體屬于什么類(lèi)型；語(yǔ)用信息是某一類(lèi)威脅事件對(duì)網(wǎng)絡(luò)造成的威脅程度。

（一）網(wǎng)絡(luò)安全態(tài)勢(shì)分析過(guò)程

根據(jù)采集操的安全數(shù)據(jù)集，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析時(shí)會(huì)涉及到安全數(shù)據(jù)指標(biāo)量化、評(píng)估原子態(tài)勢(shì)、通過(guò)原子態(tài)勢(shì)分析主機(jī)安全態(tài)勢(shì)、通過(guò)主機(jī)安全態(tài)勢(shì)分析網(wǎng)絡(luò)安全態(tài)勢(shì)的一系列的過(guò)程，具體如圖2所示。

詳細(xì)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析評(píng)估流程如下：

1.從網(wǎng)絡(luò)安全部件中提取各種原子態(tài)勢(shì)，對(duì)原子態(tài)勢(shì)進(jìn)行預(yù)處理后提取兩個(gè)量化指標(biāo)：原子態(tài)勢(shì)頻率和原子態(tài)勢(shì)威脅程度。然后根據(jù)不同類(lèi)型的原子態(tài)勢(shì)，計(jì)算分析相應(yīng)的原子態(tài)勢(shì)情況。

圖2 基于安全信息的 圖3 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境

安全態(tài)勢(shì)評(píng)估流程

2.將原子態(tài)勢(shì)利用加權(quán)信息熵的相關(guān)理論計(jì)算原子態(tài)勢(shì)值；

3.依據(jù)原子態(tài)勢(shì)和原子態(tài)勢(shì)值，分析計(jì)算主機(jī)安全態(tài)勢(shì)和主機(jī)安全態(tài)勢(shì)值；

4.根據(jù)網(wǎng)絡(luò)中主機(jī)的安全態(tài)勢(shì)狀態(tài)，利用安全數(shù)據(jù)挖掘模型計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。

（二）原子態(tài)勢(shì)分析量化

為了全面科學(xué)評(píng)價(jià)原子態(tài)勢(shì)給網(wǎng)絡(luò)帶來(lái)的威脅和損失，將原子態(tài)勢(shì)評(píng)估指標(biāo)按照某種效用函數(shù)歸一化到一個(gè)特定的無(wú)量綱區(qū)間。這里常采取的方法是根據(jù)指標(biāo)的實(shí)際數(shù)據(jù)將指標(biāo)歸一化到[0，1] 之間。

原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)為原子態(tài)勢(shì)發(fā)生概率和原子態(tài)勢(shì)威脅程度。語(yǔ)法信息指某一個(gè)原子態(tài)勢(shì)的集合，用原子態(tài)勢(shì)發(fā)生概率表示，設(shè)第i 個(gè)原子態(tài)勢(shì)發(fā)生概率為Pi，且（m為網(wǎng)絡(luò)系統(tǒng)中原子態(tài)勢(shì)的總數(shù)）；語(yǔ)義信息決定了原子態(tài)勢(shì)包含的態(tài)勢(shì)內(nèi)涵；語(yǔ)用信息是某個(gè)原子態(tài)勢(shì)的威脅程度，記為 w。當(dāng)w =1 時(shí)，威脅程度最大；w =0 時(shí)，威脅程度最小。在描述威脅程度時(shí)，因?yàn)橥{程度表示單一態(tài)勢(shì)對(duì)網(wǎng)絡(luò)造成的危害，故類(lèi)型的威脅程度之和可不為 1。

本文將原子態(tài)勢(shì)威脅分為很高、高、中等、低、極低五個(gè)等級(jí)，并轉(zhuǎn)換為[0，1] 區(qū)間的量化值。以最大威脅賦值 1 為標(biāo)準(zhǔn)，得五個(gè)威脅等級(jí) 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。

原子態(tài)勢(shì)的態(tài)勢(shì)值由原子態(tài)勢(shì)發(fā)生的個(gè)數(shù)（歸一化后表示為概率）及威脅程度權(quán)重共同決定。若信息發(fā)生ai的概率為p，按照信息熵的定義，ai的自信息可通過(guò)來(lái)表示。從網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的角度來(lái)看，網(wǎng)絡(luò)安全事件發(fā)生的概率越大時(shí)，對(duì)應(yīng)的信息熵值應(yīng)該也越大，可以用香農(nóng)信息論中的自信息的倒數(shù)來(lái)表示。

故在基于原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)中，如原子態(tài)勢(shì)i發(fā)生頻率為pi，則對(duì)應(yīng)的自信息熵值為，則原子態(tài)勢(shì)i的態(tài)勢(shì)值Ei可表示為

其中Wi是原子態(tài)勢(shì)i所對(duì)應(yīng)的威脅程度值。

（三）網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)挖掘模型

網(wǎng)絡(luò)態(tài)勢(shì)的分析和計(jì)算需要原子態(tài)勢(shì)數(shù)據(jù)的支持，然后在機(jī)密性、可用性、完整性、權(quán)限、不可否認(rèn)性及可控性幾個(gè)方面進(jìn)行歸納聚類(lèi)，最后進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的分析。

用表示第j個(gè)屬性態(tài)勢(shì)值，則，a 為屬于某一屬性的原子態(tài)勢(shì)個(gè)數(shù)。每個(gè)屬性對(duì)應(yīng)不同的權(quán)值，設(shè)第j個(gè)屬性的權(quán)重定義為Sj，可通過(guò)將各個(gè)屬性的安全態(tài)勢(shì)值加權(quán)求和，計(jì)算單位時(shí)間內(nèi)主機(jī)的安全態(tài)勢(shì)值。網(wǎng)絡(luò)安全態(tài)勢(shì)值是網(wǎng)絡(luò)系統(tǒng)中主機(jī)態(tài)勢(shì)值和主機(jī)權(quán)重的函數(shù)，即

其中，k為主機(jī)在網(wǎng)絡(luò)中的編號(hào)（1≤k≤g），g為整個(gè)網(wǎng)絡(luò)中主機(jī)的數(shù)目，Zk為對(duì)應(yīng)主機(jī)在網(wǎng)絡(luò)中所占的重要性歸一化權(quán)重。

四、實(shí)驗(yàn)分析

實(shí)驗(yàn)進(jìn)行的網(wǎng)絡(luò)環(huán)境如圖3所示。

圖3中，數(shù)據(jù)庫(kù)服務(wù)器不存在異常，Web服務(wù)器的Apache日志是本次事件分析的主要數(shù)據(jù)源。安全日志分析得到Web服務(wù)器在2012年1月至2012年3月之間，主要遭受6種Web 安全威脅，統(tǒng)計(jì)結(jié)果如表1所示。

按照屬性的不同，分別計(jì)算各個(gè)屬性的態(tài)勢(shì)值，根據(jù)公式，對(duì)表2的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可得：機(jī)密性態(tài)勢(shì)值為1.18686；權(quán)限態(tài)勢(shì)值為0.88；完整性態(tài)勢(shì)值為0.21；可用性態(tài)勢(shì)值0.23926；不可否認(rèn)性態(tài)勢(shì)值0；可控性態(tài)勢(shì)值0。主機(jī)受到其各個(gè)屬性的影響，包括機(jī)密性、完整性、可用性、權(quán)限、不可否認(rèn)性及可控性。利用層次分析法計(jì)算屬性權(quán)重，以主機(jī)機(jī)密性為參照標(biāo)準(zhǔn)：機(jī)密性對(duì)比完整性比較重要，機(jī)密性對(duì)比可用性稍微重要，機(jī)密性對(duì)比權(quán)限比較重要，機(jī)密性對(duì)比不可否認(rèn)性十分重要，機(jī)密性對(duì)比可控性比較重要。故經(jīng)matlab計(jì)算可得機(jī)密性權(quán)重為0.4491，可用性權(quán)重為0.2309，完整性權(quán)重為0.0930，權(quán)限權(quán)重為0.0930，不可否認(rèn)性權(quán)重為0.0390，可控性權(quán)重為0.0930。主機(jī)的態(tài)勢(shì)值是將各個(gè)屬性的態(tài)勢(shì)值進(jìn)行加權(quán)求和得到，故主機(jī)態(tài)勢(shì)值為0.70118。

網(wǎng)絡(luò)內(nèi)主機(jī)主要分服務(wù)器和客戶(hù)端兩種，服務(wù)器一般保存有重要的數(shù)據(jù)資源，這里定義服務(wù)器重要性權(quán)重為3，客戶(hù)端重要性權(quán)重為1，權(quán)重進(jìn)行歸一化后得服務(wù)器和客戶(hù)端的權(quán)重分別為0.75和0.25。本次實(shí)驗(yàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器及Web服務(wù)器的日志進(jìn)行了分析，數(shù)據(jù)庫(kù)服務(wù)器的日志不存在異?，F(xiàn)象，可以認(rèn)為數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)態(tài)勢(shì)值為0，則根據(jù)格式計(jì)算可得網(wǎng)絡(luò)安全態(tài)勢(shì)值為0.51968。

若安全信息量繼續(xù)增大，可按照本節(jié)的計(jì)算方法對(duì)其他時(shí)間點(diǎn)及其他主機(jī)態(tài)勢(shì)值進(jìn)行計(jì)算。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法就是對(duì)不同時(shí)間點(diǎn)不同主機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)情況進(jìn)行計(jì)算，故在計(jì)算的時(shí)間點(diǎn)較多的時(shí)候，可構(gòu)建時(shí)間點(diǎn)與網(wǎng)絡(luò)安全態(tài)勢(shì)值形成的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線(xiàn)，由此可以推測(cè)未來(lái)網(wǎng)絡(luò)的安全趨勢(shì)和受到的攻擊類(lèi)型。

五、結(jié)束語(yǔ)

本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，建立了基于原子態(tài)勢(shì)的安全態(tài)勢(shì)分析流程和模型，并搭建了局域網(wǎng)的實(shí)驗(yàn)環(huán)境，利用網(wǎng)絡(luò)環(huán)境中兩臺(tái)服務(wù)器日志數(shù)據(jù)分析了Web服務(wù)器的主機(jī)態(tài)勢(shì)以及該局域網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)，并提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)預(yù)測(cè)的方法。

參考文獻(xiàn)：

[1]傅祖蕓.信息論基礎(chǔ)理論與應(yīng)用[M] .北京：電子工業(yè)出版社，2011.

[2]胡明明，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D] .哈爾濱：哈爾濱工程大學(xué)，2008.

[3]胡影，等.網(wǎng)絡(luò)攻擊效果提取和分類(lèi)[J].計(jì)算機(jī)應(yīng)用研究，2009（3），26（3）： 1119-1122.

[4]鄭善奇，李大興.網(wǎng)絡(luò)安全評(píng)價(jià)模型的研究[D] .濟(jì)南：山東大學(xué)，2008 .

基金項(xiàng)目：

海南工商職業(yè)學(xué)院青年科研項(xiàng)目（基于物聯(lián)網(wǎng)的智能數(shù)字校園研究與設(shè)計(jì)），項(xiàng)目編號(hào)：B2013-006