張吉生　+張波　沈青

摘 要： 針對當(dāng)前信息系統(tǒng)安全態(tài)勢估計存在實時性差、誤差高等問題，提出數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢估計方法。將數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理輸出的資產(chǎn)列表以及威脅列表反饋到安全態(tài)勢分析評估階段，在對安全態(tài)勢進行分析評價時，先采集引發(fā)風(fēng)險的各類威脅因子，采用泊松分布方法運算威脅產(chǎn)生的頻率，對系統(tǒng)資產(chǎn)的脆弱性進行賦值，最后獲取威脅頻率，采用模糊數(shù)學(xué)方法得到信息系統(tǒng)安全態(tài)勢估計的多因素以及單因素風(fēng)險決策，分析風(fēng)險的損耗程度，獲取綜合安全態(tài)勢評估值。實驗結(jié)果表明所提方法可對信息系統(tǒng)安全態(tài)勢進行精準(zhǔn)評估。

關(guān)鍵詞： 數(shù)據(jù)挖掘； 信息系統(tǒng)； 安全態(tài)勢； 威脅估計

中圖分類號： TN915.08?34； TP309 文獻標(biāo)識碼： A 文章編號： 1004?373X（2017）21?0077?03

Information system security situation assessment based on data mining

ZHANG Jisheng， ZHANG Bo， SHEN Qing

（Information and Communication Company， State Grid Ningxia Electric Power Company， Yinchuan 750001， China）

Abstract： Since the current security situation assessment of information system has the problems of poor real?time performance and big error， an information system security situation estimation method based on data mining is proposed. The assert list and threat list after data discovery and preprocessing output are fed back to the security situation analysis and evaluation stage. For the analysis and evaluation of the security situation， all kinds of the threat factors triggering the risk are collected， and the Poisson distribution method is used to operate the frequency generated by the threat to assign the vulnerability of the system assets， and get the threat frequency. The fuzzy mathematics method is adopted to obtain the multi?factor and single?factor risk decision of information system security situation estimation， analyze the risk loss degree， and acquire the comprehensive security evaluation value. The experimental results show that the method can evaluate the security situation of information system accurately.

Keywords： data mining； information system； security situation； threat estimation

隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在不同領(lǐng)域中的應(yīng)用價值也逐漸提升，并且信息系統(tǒng)面臨的風(fēng)險也日益增加。安全態(tài)勢評估成為檢測信息系統(tǒng)安全的重要措施，能夠為管理人員提供系統(tǒng)安全狀態(tài)信息，確保管理人員實時獲取系統(tǒng)中的異常事件，增強系統(tǒng)安全防護性能。而傳統(tǒng)采用廣義神經(jīng)網(wǎng)絡(luò)方法預(yù)測信息系統(tǒng)安全態(tài)勢存在實時性差以及誤差高的問題，因此提出基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢估計方法，具有重要應(yīng)用價值。

1 基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢估計

1.1 信息系統(tǒng)安全態(tài)勢估計框架

基于數(shù)據(jù)挖掘的信息系統(tǒng)風(fēng)險評估理論框架是信息系統(tǒng)安全態(tài)勢估計對隨機事件的評估和分析的過程[1]， 如圖1所示。

（1） 數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理。該部分對信息系統(tǒng)內(nèi)外部環(huán)境中的信息實時處理，采集同信息系統(tǒng)資產(chǎn)安全態(tài)勢估計相關(guān)的數(shù)據(jù)以及威脅數(shù)據(jù)，對數(shù)據(jù)實施采集、劃分以及融合等操作[2]，將數(shù)據(jù)變換成可實施數(shù)據(jù)挖掘的數(shù)據(jù)格式，獲取同信息系統(tǒng)安全態(tài)勢估計相關(guān)的資產(chǎn)列表以及威脅列表。

（2） 安全態(tài)勢分析和評估。該部分需要獲取信息系統(tǒng)的資產(chǎn)脆弱性和漏洞，明確威脅的類型以及威脅產(chǎn)生的概率，研究總體信息系統(tǒng)的風(fēng)險防范性能，獲取系統(tǒng)安全態(tài)勢的綜合評估結(jié)果。

（3） 風(fēng)險決策。該過程按照信息系統(tǒng)面臨的威脅大小排序表以及風(fēng)險防范性能[3]，明確信息系統(tǒng)可使用的風(fēng)險防范手段。

1.2 數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理

信息系統(tǒng)資產(chǎn)由系統(tǒng)內(nèi)部以及網(wǎng)絡(luò)互聯(lián)外部的信息構(gòu)成，組成大規(guī)模的異構(gòu)數(shù)據(jù)庫。異構(gòu)數(shù)據(jù)庫中的數(shù)據(jù)存在臟數(shù)據(jù)，具有雜亂性、重復(fù)性以及缺陷性問題。需要對臟數(shù)據(jù)實施預(yù)處理，通過統(tǒng)一數(shù)據(jù)格式解決不同數(shù)據(jù)格式間的差異[4]。

圖2描述的數(shù)據(jù)預(yù)處理形式包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)變換以及數(shù)據(jù)歸約四部分?？傮w信息系統(tǒng)的數(shù)據(jù)預(yù)處理由資產(chǎn)數(shù)據(jù)預(yù)處理、威脅數(shù)據(jù)預(yù)處理、Web數(shù)據(jù)預(yù)處理以及Web服務(wù)器子文件預(yù)處理構(gòu)成，數(shù)據(jù)預(yù)處理過程輸出資產(chǎn)列表以及威脅列表。endprint

1.3 安全態(tài)勢分析評估

信息系統(tǒng)安全態(tài)勢分析需要運算系統(tǒng)的風(fēng)險損失、威脅產(chǎn)生的頻率以及可能性。將數(shù)據(jù)預(yù)處理輸出的資產(chǎn)列表以及威脅列表反饋到安全態(tài)勢分析評估階段。該階段應(yīng)對系統(tǒng)威脅形成的可能性以及頻率實施運算，獲取威脅損失指數(shù)，對威脅進行排序，對信息系統(tǒng)抵抗威脅的性能以及脆弱性進行分析。

1.3.1 系統(tǒng)脆弱性及安全態(tài)勢分析

信息系統(tǒng)安全態(tài)勢評估過程中的關(guān)鍵部分是對系統(tǒng)資產(chǎn)脆弱性實施評估。信息系統(tǒng)資產(chǎn)存在弱點，威脅會采用弱點產(chǎn)生資產(chǎn)損失。信息系統(tǒng)脆弱性包括系統(tǒng)內(nèi)外部信息、物理因素、控制因素等不同信息資產(chǎn)的弱點[5]。應(yīng)依據(jù)威脅頻率的大小對資產(chǎn)脆弱性實施賦值。

信息系統(tǒng)安全威脅因素包括系統(tǒng)安全風(fēng)險、數(shù)據(jù)信息風(fēng)險、運行風(fēng)險、鏈接風(fēng)險以及人為原因風(fēng)險。將信息系統(tǒng)中的威脅因子劃分成威脅傳遞路徑、面向威脅的防范手段以及資產(chǎn)損失三部分[6]，設(shè)置威脅因子為[T，]威脅損失因子RE為：

[REi=MPLi×PCFij×EFi] （1）

式中，[REi]是固定時間內(nèi)，由威脅[i]產(chǎn)生的信息系統(tǒng)資產(chǎn)損失；[MPLi]是威脅[i]未被防范時對資產(chǎn)產(chǎn)生的損失；[PCFij]是資產(chǎn)的安全措施[j]對威脅[i]不起作用的概率；[EFi]是威脅[i]形成的概率。

若信息系統(tǒng)資產(chǎn)[v]的價值為[Av，][AAvv=1，2，…，p；][M]為單位威脅指數(shù)損失；[RTIi]是威脅的相對威脅指數(shù)，則存在：

[MPLi=RTIi×v=1pAv×M] （2）

則有：

[REi=RTIi×v=1pAv×M×PCFij×EFi] （3）

基于信息系統(tǒng)面臨的威脅[ti，]分析歷史統(tǒng)計數(shù)據(jù)、相關(guān)報告以及專家經(jīng)驗[7]，可獲取最高潛在損失[MPLi]值以及[PCFij]值。

采用泊松分布方法運算威脅產(chǎn)生的頻率[EFi]。若隨機變量[X]的概率分布為：

[P（X=k）=λkk！e-λ， k=0，1，2，…，λ>0] （4）

在時間段[t]中產(chǎn)生時間數(shù)[Pk（t）]服從泊松過程，則有常數(shù)[λ>0，]使得對全部[t>0]有[8]：

[Pk（t）=（λt）kk！e-λt， k=0，1，2，…] （5）

對于不服從泊松分布的威脅發(fā)生頻率為：

[EFi=ktt] （6）

1.3.2 綜合安全態(tài)勢估計

采用模糊數(shù)學(xué)方法得到信息系統(tǒng)安全態(tài)勢估計的多因素以及單因素風(fēng)險決策，分析風(fēng)險的損耗程度，獲取綜合安全態(tài)勢評估值。

（1） 多個信息系統(tǒng)安全態(tài)勢模糊綜合評估。通過模糊數(shù)學(xué)方法獲取信息系統(tǒng)安全態(tài)勢估計的多因素安全決策?；谛畔⑾到y(tǒng)風(fēng)險評估安全態(tài)勢估計的遞階層次結(jié)構(gòu)，獲取兩個層次的信息系統(tǒng)安全態(tài)勢集以及風(fēng)險賦值評語集。先對全部信息系統(tǒng)安全態(tài)勢進行綜合評估，基于1.3.1節(jié)系統(tǒng)脆弱性及安全態(tài)勢分析獲取的威脅產(chǎn)生的頻率[EFi，]獲取信息系統(tǒng)安全態(tài)勢集[T=EFT1，T2，…，Tx，]對應(yīng)的權(quán)重集為[A=a1，a2，…，ax；]再對單個信息系統(tǒng)安全態(tài)勢進行綜合評估[9]。信息系統(tǒng)安全態(tài)勢集為[Ti=EFiTi1，Ti2，…，Tin]，對應(yīng)的權(quán)重集為[Ai=Ai1，Ai2，…，Ain]，如果模糊集信息系統(tǒng)風(fēng)險賦值評估集是[V=V1，V2，…，Vm]，基于信息風(fēng)險評估安全態(tài)勢估計的特征，設(shè)置[m=5，]用于描述信息系統(tǒng)風(fēng)險水平。

（2） 單個信息系統(tǒng)風(fēng)險模糊綜合評估。要對各信息系統(tǒng)安全態(tài)勢進行單因素評判，明確信息系統(tǒng)各安全態(tài)勢對不同評估信息系統(tǒng)風(fēng)險賦值等級的隸屬度[10]，對于各[Ti，]關(guān)系[Ri]可采用模糊隸屬矩陣描述：

[Ri=（rjk）nim=r11r12…r1mr21r22…r2m????rni1rni2…rnim] （7）

式中：[rjk]用于描述信息系統(tǒng)安全態(tài)勢[Tij]對于第[k]級信息系統(tǒng)風(fēng)險賦值評語的隸屬度，通過專家打分方法獲取[rjk]值。如果信息系統(tǒng)安全態(tài)勢[Tij]中存在[si]個第[vi]級信息系統(tǒng)風(fēng)險賦值，[sn]個第[vn]級信息系統(tǒng)風(fēng)險賦值，則對于[j]存在：

[rjk=skk=1msk] （8）

（3） 所有信息系統(tǒng)安全態(tài)勢的綜合評估。綜合評判信息系統(tǒng)不同的安全態(tài)勢[Ti，]采用單信息系統(tǒng)安全態(tài)勢評判[Bi]構(gòu)成模糊矩陣[R：]

[R=B1?Bm=b11…b1n???bm1…bmn] （9）

對[R]實施模糊矩陣運算，獲取信息系統(tǒng)安全態(tài)勢集[T]對于信息系統(tǒng)風(fēng)險賦值評語集[V]的隸屬向量：

[B=A?R=（b1，b2，…，bm）] （10）

如果[j=1mB=bj≠1，]應(yīng)實施歸一化操作。設(shè)置[bj=bjj=1mbj，]獲取[B=（b1，b2，…，bm）]。

2 實驗分析

2.1 實驗環(huán)境

通過模擬實驗環(huán)境檢測本文方法的性能。模擬環(huán)境中存在7臺服務(wù)器，其中包括1臺郵件服務(wù)器以及1臺網(wǎng)站服務(wù)器，采用Windows Server 2003操作系統(tǒng)，各服務(wù)器中存在Nessus漏洞掃描軟件。模擬實驗將LOIC.exe當(dāng)成攻擊產(chǎn)生的工具。實驗包括6個過程：過程1在不存在攻擊狀態(tài)下采集威脅因子；過程2通過LOIC.exe模擬DDos攻擊，設(shè)置攻擊頻率為25次/s，過程3使攻擊頻率提升到75次/s；過程4在過程2中實施漏洞掃描，并入侵到Web服務(wù)器采集其中的數(shù)據(jù)；過程5在過程2中實施漏洞掃描，并入侵到郵件服務(wù)器采集其中的數(shù)據(jù)；過程6在過程4中中斷DDos攻擊。

2.2 實驗結(jié)果及分析

實驗分別檢測本文方法和傳統(tǒng)廣義神經(jīng)網(wǎng)絡(luò)方法，在不同實驗過程中信息系統(tǒng)總安全態(tài)勢的估計值見表1。endprint

基于表1繪制實驗信息系統(tǒng)安全態(tài)勢曲線圖，如圖3所示。對比分析圖3中的態(tài)勢值波動情況可得，本文方法可有效反映出總體信息系統(tǒng)的安全狀態(tài)，并且同實際曲線基本一致，而且廣義神經(jīng)網(wǎng)絡(luò)方法估計的安全態(tài)勢曲線同實際曲線差異較高。說明本文方法在確定模糊判斷矩陣時能夠充分調(diào)動專家的主動性，確保獲取的安全態(tài)勢估計值更符合實際值，態(tài)勢評估更加精準(zhǔn)。

為了對本文方法和廣義神經(jīng)網(wǎng)絡(luò)方法對信息系統(tǒng)風(fēng)險控制效果進行量化分析，實驗先運算安全態(tài)勢估計后對風(fēng)險造成損失的減少量，再運算損失減少量同控制成本間的比值。實驗設(shè)置RC以及RCO兩種控制效果評估參數(shù)，則有：

[RC=風(fēng)險控制前損失-風(fēng)險控制后損失] （11）

[RCO=RC控制成本] （12）

為了獲取兩種方法的風(fēng)險控制直觀效果，實驗將本文方法所部署的業(yè)務(wù)流程通過模擬攻擊后的RC以及RCO參數(shù)當(dāng)成參照標(biāo)準(zhǔn)，設(shè)置量化數(shù)值是100。DDos模擬攻擊結(jié)束后，兩種方法的RC以及RCO參數(shù)值分別用表2描述。

分析表2中的數(shù)據(jù)可得，本文方法在降低信息系統(tǒng)安全損失以及調(diào)控成本方面的性能優(yōu)于廣義神經(jīng)網(wǎng)絡(luò)方法。

3 結(jié) 語

本文提出基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢估計方法，實驗結(jié)果說明，所提方法可對信息系統(tǒng)安全態(tài)勢進行精準(zhǔn)評估，具有重要應(yīng)用價值。

參考文獻

[1] 徐浩.基于大數(shù)據(jù)分析的電信基礎(chǔ)網(wǎng)安全態(tài)勢研究[J].信息安全研究，2015，1（3）：253?260.

[2] 藍灣灣，薛麗敏，趙秦豫.基于廣義RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].指揮信息系統(tǒng)與技術(shù)，2015，6（1）：6?9.

[3] 陳良維.云計算環(huán)境下的網(wǎng)絡(luò)安全估計模型態(tài)勢仿真[J].現(xiàn)代電子技術(shù)，2015，38（20）：15?19.

[4] 余小游，曹守富，陳鐵軍，等.基于Rough?Vague集與證據(jù)理論的態(tài)勢估計方法[J].計算機工程與應(yīng)用，2016，52（10）：50?54.

[5] 高杰，龍華，邵玉斌，等.基于專利數(shù)據(jù)挖掘的我國煙草產(chǎn)業(yè)發(fā)展態(tài)勢分析[J].安徽農(nóng)業(yè)科學(xué)，2016，44（26）：240?243.

[6] 李明桂，肖毅，陳劍鋒，等.基于大數(shù)據(jù)的安全事件挖掘框架[J].通信技術(shù)，2015，48（3）：346?350.

[7] 朱利鵬，陸超，孫元章，等.基于數(shù)據(jù)挖掘的區(qū)域暫態(tài)電壓穩(wěn)定評估[J].電網(wǎng)技術(shù)，2015，39（4）：1026?1032.

[8] 孫越恒，王文俊，遲曉彤，等.基于多維時間序列模型的社會安全事件關(guān)聯(lián)關(guān)系挖掘與預(yù)測[J].天津大學(xué)學(xué)報（社會科學(xué)版），2016，18（2）：97?102.

[9] 楊浩，謝昕，李卓群，等.多樣性入侵環(huán)境下網(wǎng)絡(luò)安全態(tài)勢估計模型仿真[J].計算機仿真，2016，33（6）：270?273.

[10] 顧兆軍，王蕊莉.基于改進的模糊層次分析法的信息系統(tǒng)安全態(tài)勢評估模型[J].計算機工程與科學(xué)，2016，38（10）：2010?2017.endprint