陳立軍，張 屹，蔣慧勇

(廣州大學(xué)華軟軟件學(xué)院 軟件工程系，廣東 廣州 510990)

0 引言

由于防火墻日志、事件日志、應(yīng)用程序日志、Web日志和許多其他安全日志等形式的不同安全工具生成了大量數(shù)據(jù)，安全性分析對(duì)于桌面用戶來(lái)說(shuō)正變得越來(lái)越復(fù)雜，有效處理這些收集的數(shù)據(jù)需要大量的系統(tǒng)資源和功能強(qiáng)大的分析工具。但是，傳統(tǒng)的系統(tǒng)和工具無(wú)法處理和分析這些大型非結(jié)構(gòu)化的數(shù)據(jù)。在沒(méi)有適合這些大型數(shù)據(jù)集的處理機(jī)制的情況下，有價(jià)值的數(shù)據(jù)集可能變得無(wú)用，并且構(gòu)成其他重要應(yīng)用程序的資源開(kāi)銷(xiāo)。因此，桌面用戶需要易于實(shí)施且價(jià)格低廉的大數(shù)據(jù)安全分析方法，以滿足其數(shù)據(jù)處理要求。然而，由于其成本和對(duì)系統(tǒng)的要求，大多數(shù)安全分析解決方案對(duì)普通桌面用戶來(lái)說(shuō)是不可承受的；加之使用復(fù)雜，許多普通用戶都是未經(jīng)培訓(xùn)的IT用戶，或者不愿接受長(zhǎng)期復(fù)雜的IT應(yīng)用培訓(xùn)，因此，桌面用戶需要相對(duì)簡(jiǎn)單、經(jīng)濟(jì)且資源有效的數(shù)據(jù)分析方法。R是一個(gè)開(kāi)源數(shù)據(jù)分析工具，由各種CI包組成，用于高級(jí)數(shù)據(jù)分析，但是，它需要對(duì)任何數(shù)據(jù)分析所需的統(tǒng)計(jì)數(shù)據(jù)有基本的了解，R可能不適用于數(shù)據(jù)收集或清潔功能，但可以通過(guò)一些其他支持工具用于各種分析。

本文介紹了一種直觀且廉價(jià)的安全分析方法，該方法在R for Windows桌面用戶中使用CI技術(shù)。Windows桌面的選擇是其受歡迎的結(jié)果，其中安裝的Microsoft Windows操作系統(tǒng)占據(jù)了大約70%的計(jì)算機(jī)操作系統(tǒng)市場(chǎng)[1]。因此，Windows桌面用戶數(shù)量很多，如果Windows桌面用戶可以找到或設(shè)計(jì)一個(gè)易于實(shí)施且價(jià)格低廉的大數(shù)據(jù)安全分析解決方案，那么他們就可以分析非常大的安全日志來(lái)提取有意義的安全信息，從而提高系統(tǒng)安全性，使其更加強(qiáng)大[2-3]。在這種提議的安全分析方法中，Windows批處理編程EmEditor(可以用任何強(qiáng)大的編輯器替換)和R的組合用于桌面用戶分析的目的。R主持了幾個(gè)與人工神經(jīng)網(wǎng)絡(luò)、進(jìn)化算法、模糊系統(tǒng)和混合智能系統(tǒng)相關(guān)的CI軟件包，用于設(shè)計(jì)智能系統(tǒng)。此安全性分析方法涉及多個(gè)階段，其中使用Windows批處理腳本執(zhí)行數(shù)據(jù)收集和合并，使用EmEditor進(jìn)行數(shù)據(jù)清理和編輯，最后，R用于構(gòu)造數(shù)據(jù)，使用CI技術(shù)執(zhí)行分析、可視化和解釋結(jié)果。實(shí)驗(yàn)?zāi)M基于1 006 889 160 B(1.01 GB)的實(shí)際數(shù)據(jù)集，具有超過(guò)1 000萬(wàn)個(gè)觀測(cè)值(從Windows防火墻日志中收集30天)。隨后，對(duì)收集的Windows防火墻日志執(zhí)行安全性分析，以演示桌面用戶如何深入了解其豐富且未觸及的數(shù)據(jù)并提取有用信息，以防止其系統(tǒng)受到當(dāng)前和未來(lái)的安全威脅[2]。這種基于CI的大數(shù)據(jù)安全分析方法還可以擴(kuò)展到其他類(lèi)型的安全日志，例如事件日志、應(yīng)用程序日志和Web日志。

本文首先解釋了數(shù)據(jù)分析工具R、Windows防火墻和模糊推理的理論背景；然后說(shuō)明了所提出的安全分析方法的設(shè)計(jì)和實(shí)施過(guò)程，包括其各個(gè)階段：收集和合并日志、清理和編輯日志、將文本日志轉(zhuǎn)換為R表結(jié)構(gòu)、使用CI技術(shù)分析R數(shù)據(jù)集以及可視化和解釋結(jié)果；接著解釋了這種方法對(duì)桌面用戶的大數(shù)據(jù)可擴(kuò)展性；最后提出了未來(lái)的延伸領(lǐng)域。

1 理論背景

1.1 R

R是一種開(kāi)源統(tǒng)計(jì)計(jì)算和數(shù)據(jù)可視化軟件工具，適用于所有主要操作系統(tǒng)，如UNIX、Windows和MacOS平臺(tái)。R包括數(shù)據(jù)處理設(shè)施，用于矩陣計(jì)算的優(yōu)越機(jī)制、過(guò)多的數(shù)據(jù)分析和圖形包以及簡(jiǎn)單的編程語(yǔ)言[4]。R最強(qiáng)大的特征是對(duì)外部包的支持。目前，R已經(jīng)通過(guò)CRAN系列的互聯(lián)網(wǎng)網(wǎng)站整合了大約5 000個(gè)包[5]。R還擁有多個(gè)與人工神經(jīng)網(wǎng)絡(luò)、演化算法、模糊系統(tǒng)和混合智能系統(tǒng)相關(guān)的CI軟件包，用于設(shè)計(jì)智能系統(tǒng)。因此，將R與一些數(shù)據(jù)收集和清理工具相結(jié)合可以為桌面用戶提供潛在的數(shù)據(jù)分析解決方案。R被許多官方統(tǒng)計(jì)機(jī)構(gòu)用作常規(guī)統(tǒng)計(jì)生產(chǎn)的計(jì)算工具。除官方統(tǒng)計(jì)外，它還被用于金融、零售、制造、科學(xué)和學(xué)術(shù)研究等許多領(lǐng)域，這使其成為統(tǒng)計(jì)學(xué)家和研究人員的熱門(mén)工具[4]。

1.2 Windows防火墻

自Windows XP SP2發(fā)布以來(lái)，Microsoft在Windows操作系統(tǒng)中嵌入了防火墻實(shí)用程序，現(xiàn)在可用于所有版本的Windows，具有“高級(jí)安全性”功能的Windows防火墻是一種狀態(tài)防火墻，可檢查和過(guò)濾IPv4和IPv6流量的所有數(shù)據(jù)包，數(shù)據(jù)包過(guò)濾過(guò)程基于用戶或管理員定義的規(guī)則，并在此基礎(chǔ)上允許或阻止網(wǎng)絡(luò)流量。防火墻會(huì)自動(dòng)阻止所有傳入流量，除非它是對(duì)主機(jī)請(qǐng)求的響應(yīng)，或者通過(guò)編寫(xiě)防火墻規(guī)則特別允許。Windows防火墻還可以為特定端口號(hào)、應(yīng)用程序名稱、服務(wù)名稱或其他基于標(biāo)準(zhǔn)的流量配置“高級(jí)安全性”，然后可以明確允許這種流量[6]。這些功能專(zhuān)為需要在企業(yè)環(huán)境中管理網(wǎng)絡(luò)安全性的高級(jí)用戶而設(shè)計(jì)，它通常不適用于家庭網(wǎng)絡(luò)。

1.3 模糊推理

模糊推理是從現(xiàn)有模糊規(guī)則庫(kù)中導(dǎo)出邏輯結(jié)論的過(guò)程[7]，它模仿人類(lèi)思維總結(jié)數(shù)據(jù)的能力，并專(zhuān)注于決策相關(guān)信息[8]。模糊推理對(duì)于那些由于不確定性、不可預(yù)測(cè)的動(dòng)力學(xué)和其他未知現(xiàn)象，無(wú)法用精確的數(shù)學(xué)術(shù)語(yǔ)或模型來(lái)定義系統(tǒng)的有效和有用[9]。在網(wǎng)絡(luò)安全中，大部分信息和流量數(shù)據(jù)本質(zhì)上是不完整和不精確的，因此，模糊推理比其他類(lèi)型的推理方法更為合適[10-13]。模糊推理基于模糊規(guī)則庫(kù)，可以由主題專(zhuān)家推導(dǎo)出來(lái)，也可以通過(guò)規(guī)則歸納過(guò)程從數(shù)據(jù)中提取出來(lái)。如果模糊規(guī)則庫(kù)是一個(gè)密集的規(guī)則庫(kù)，則可以使用任何規(guī)則推斷方法，如Mamdani推理[14]或Takagi-Sugeno推理[15]。

2 利用R中的計(jì)算智能技術(shù)對(duì)WINDOWS防火墻進(jìn)行安全性分析

由于系統(tǒng)資源和IT技能的限制，桌面用戶的安全性分析是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。因此，本節(jié)介紹了為桌面用戶提供的基于CI的大數(shù)據(jù)安全分析方法的設(shè)計(jì)和實(shí)現(xiàn)，以便在其限制內(nèi)執(zhí)行安全性分析。此安全性分析僅關(guān)注Windows桌面用戶，該實(shí)驗(yàn)在Windows 7操作系統(tǒng)和桌面上進(jìn)行配置(處理器為Intel Core i7 3.0 GHz(4核)，RAM為16 GB，L2 Cache為8 MB，以太網(wǎng)為100 Mb/s)，此安全性分析需要兩個(gè)軟件工具：EmEditor和R(使用RStudio IDE)。與其他安全分析不同，任何具有統(tǒng)計(jì)學(xué)基礎(chǔ)知識(shí)和基本IT技能的用戶都可以在沒(méi)有任何技術(shù)培訓(xùn)的情況下進(jìn)行安全分析，這種面向桌面的安全分析方法有幾個(gè)階段，如圖1所示。各個(gè)階段的描述如下。

2.1 使用Windows批處理腳本收集和合并Windows防火墻日志

默認(rèn)情況下，Windows防火墻日志記錄在“pfire-wall.log”中，“pfirewall.log”文件的最大大小為4 096 KB，超過(guò)此限制后，會(huì)將日志保存在名為“pfirewall.log.old”的備份文件中，該文件為4 096 KB。兩個(gè)日志文件都不會(huì)超出此大小，并且當(dāng)“pfirewall.log”文件再次超過(guò)最大限制時(shí)，將刪除舊的日志條目，以便為新創(chuàng)建的日志條目騰出空間。在Windows防火墻日志的安全性分析中，需要一個(gè)合理的日志文件來(lái)執(zhí)行大量分析，并且通過(guò)編寫(xiě)Windows批處理腳本以最簡(jiǎn)單的方式創(chuàng)建，如圖2所示，此批處理腳本在后臺(tái)工作完成實(shí)驗(yàn)的一段時(shí)間，最初，“mergedLog”文件是使用包含“pfirewall.log”文件的所有17個(gè)默認(rèn)變量的標(biāo)題。最后，在逐漸日志記錄過(guò)程中獲得了具有超過(guò)1 000萬(wàn)個(gè)觀測(cè)值的1 006 889 160 B(1.01GB)的“mergedLog”文件。

圖1 用于分析Windows防火墻日志的

圖2 用于創(chuàng)建Windows防火墻日志的mergedLog文件的Windows批處理腳本

把“mergedLog”文件內(nèi)容復(fù)制到EmEditor(有些用戶關(guān)閉了防火墻的功能，導(dǎo)致找不到mergedLog文件)，但是，仍需要手動(dòng)檢查“mergedLog”文件以用于各種目的，并根據(jù)R的要求進(jìn)行對(duì)齊，如果“mergedLog”文件不適合R格式，則R可能會(huì)生成錯(cuò)誤消息，并且無(wú)法導(dǎo)入數(shù)據(jù)，因此，“mergedLog”文件中的主要清理和編輯任務(wù)是檢查兩個(gè)字段之間的空格，并根據(jù)需要對(duì)齊。

圖3 在EmEditor中清理和編輯mergedLog文本文件

2.2 使用EmEditor清理和編輯“mergedLog”文本文件

通常，收集的數(shù)據(jù)可能不正確、不完整、格式不正確或重復(fù)，需要清理和編輯才能去除這些雜質(zhì)[16-17]。雖然日志文件是一個(gè)簡(jiǎn)單文本文件，但Notepad ++和其他桌面編輯器無(wú)法處理樣品非常大的文本文件，而EmEditor可以輕松處理高達(dá)248 GB的文件大小[18]。對(duì)于此分析，使用EmEditor清理和編輯“mergedLog”文件(大于1 GB)，如圖3所示，“mergedLog”文件的創(chuàng)建方式與“pfirewall.log.old”的前五行相同。

2.3 將“mergedLog”文本文件轉(zhuǎn)換為R表結(jié)構(gòu)

R支持基于R數(shù)據(jù)幀的表格式數(shù)據(jù)結(jié)構(gòu)，因此，數(shù)據(jù)幀是R中的基本數(shù)據(jù)結(jié)構(gòu)，read.table()以表格格式讀取文件并從中創(chuàng)建數(shù)據(jù)幀，該函數(shù)的語(yǔ)法如公式1所示：

數(shù)據(jù)框名稱=read.table(文件名，標(biāo)題= F / T，sep =“”)

(1)

其中“標(biāo)題”是一個(gè)邏輯值，表示文件是否包含變量名并作為第一行，“sep”是字段分隔符，在該實(shí)現(xiàn)中，使用read.table()函數(shù)將合并的日志文件“mergedLog”轉(zhuǎn)換為表格類(lèi)型的數(shù)據(jù)結(jié)構(gòu)，如圖4所示。

圖4 在R中創(chuàng)建“mergedLogDataSet”

如果合并日志文件的結(jié)構(gòu)，標(biāo)題和內(nèi)容準(zhǔn)確，則在R中創(chuàng)建一個(gè)名為“mergedLogDataSet”的數(shù)據(jù)集，如圖5所示。該數(shù)據(jù)集顯示在RStudio IDE的“環(huán)境和歷史窗格”中，并包含10 866 240個(gè)觀測(cè)值和17個(gè)類(lèi)似于防火墻標(biāo)題變量的變量，“mergedLogDataSet”(參見(jiàn)圖6)的實(shí)際表結(jié)構(gòu)可以在“腳本編輯器菜單”中看到。

通過(guò)“str”命令可以看到該“mergedLogDataSet”的結(jié)構(gòu)相關(guān)信息，如圖7所示。

這個(gè)“mergedLogDataSet”是直接從Windows防火墻合并日志文本文件創(chuàng)建的，因此，所有17個(gè)變量的數(shù)據(jù)類(lèi)型都是“因子”，這種數(shù)據(jù)類(lèi)型信息對(duì)于大多數(shù)統(tǒng)計(jì)分析來(lái)說(shuō)非常重要，因?yàn)椤耙蜃印笔荝中的分類(lèi)數(shù)據(jù)，對(duì)于許多計(jì)算模型，它需要轉(zhuǎn)換為數(shù)值數(shù)據(jù)。

2.4 使用CI技術(shù)對(duì)mergedLogDataSet進(jìn)行安全性分析

根據(jù)需求，不同用戶的安全性分析的主要目的可能不同，此特定分析側(cè)重于總結(jié)“mergedLogDataSet”以提取重要信息，使用零假設(shè)和二項(xiàng)分析確定桌面的安全狀態(tài)，根據(jù)目標(biāo)協(xié)議和IP地址調(diào)查細(xì)節(jié)異常，設(shè)計(jì)智能系統(tǒng)來(lái)預(yù)測(cè)攻擊風(fēng)險(xiǎn)。

(1)用于安全性分析的Windows防火墻規(guī)則：基于規(guī)則的流量數(shù)據(jù)被收集在“pfirewall.log”文件中，創(chuàng)建了兩個(gè)入站規(guī)則來(lái)阻止特定流量的兩臺(tái)特定計(jì)算機(jī)，如圖8所示。創(chuàng)建第一條規(guī)則是為了阻止計(jì)算機(jī)，IP地址為192.168.0.50，僅用于ICMP數(shù)

圖5 使用觀察數(shù)和變量數(shù)創(chuàng)建“mergedLogDataSet”

據(jù)包；第二條規(guī)則用于計(jì)算機(jī)的IP地址 192.168.0.51，僅用于TCP數(shù)據(jù)包。因此，在日志生成期間可以記錄足夠的丟棄活動(dòng)。同樣，為了停止主機(jī)端的某些活動(dòng)(192.168.0.154)，還創(chuàng)建了一個(gè)出站規(guī)則來(lái)阻止傳出的ICMP數(shù)據(jù)包到其他計(jì)算機(jī)，如圖9所示。這些阻塞規(guī)則在防火墻中產(chǎn)生了足夠的“丟棄”流量。

(2)Windows防火墻日志的初步統(tǒng)計(jì)分析：R中最簡(jiǎn)單的數(shù)據(jù)分析命令是“摘要”命令，它提供有關(guān)給定數(shù)據(jù)集的合理統(tǒng)計(jì)信息，但是，它可能不足以進(jìn)行詳細(xì)調(diào)查或預(yù)測(cè)未來(lái)趨勢(shì)。因此，根據(jù)研究的性質(zhì)，可能需要一些高級(jí)分析包，如圖10所示，summary命令顯示了很少有關(guān)“mergedLog”文件的統(tǒng)計(jì)信息，這對(duì)于進(jìn)一步調(diào)查非常有用，此摘要包括與日期、時(shí)間、操作、協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口相關(guān)的信息，這些信息非常清晰且易于理解。

圖6 R中“mergedLogDataSet”的表結(jié)構(gòu)

圖7 創(chuàng)建了包含觀察和變量數(shù)量的“mergedLogDataSet”

圖8 IP地址分別為192.168.0.50和192.168.0.51的傳入ICMP和TCP丟棄規(guī)則

圖9 主機(jī)IP地址192.168.0.154的傳出ICMP丟棄規(guī)則

圖10 “mergedLogDataSet”的摘要分析

(3)零假設(shè)和二項(xiàng)精確分析：所提出的摘要分析只是表面數(shù)據(jù)，防火墻日志變得非常巨大，普通用戶很難從該防火墻日志中提取有意義的安全信息。用戶的第一步是確定收集的流量數(shù)據(jù)是否接近正常/理想流量水平，因此，需要不同的統(tǒng)計(jì)分析來(lái)評(píng)估桌面的當(dāng)前安全狀態(tài)，R中的零假設(shè)是最簡(jiǎn)單的分析，用于比較數(shù)據(jù)的統(tǒng)計(jì)顯著性，而不會(huì)使分析與進(jìn)一步的細(xì)節(jié)復(fù)雜化，任何防火墻的核心操作都是根據(jù)規(guī)則允許或丟棄數(shù)據(jù)包，為此，“table()”函數(shù)顯示每個(gè)因子級(jí)別組合的計(jì)數(shù)表，在圖11中，table()函數(shù)顯示并簡(jiǎn)化了針對(duì)所有10 866 240數(shù)據(jù)包的防火墻操作，其中7 952 160數(shù)據(jù)包是“允許的”，2 913 840數(shù)據(jù)包是“丟棄”的。因此，基于允許的分組數(shù)(成功)，構(gòu)造零假設(shè)以確定收集的業(yè)務(wù)狀態(tài)/級(jí)別。

圖11 允許、丟棄和丟失數(shù)據(jù)包的摘要

在零假設(shè)中，當(dāng)所有數(shù)據(jù)包(10 866 240)可以允許檢查兩個(gè)樣本之間的統(tǒng)計(jì)相似性時(shí)，將允許數(shù)據(jù)包的數(shù)量(7 952 160)與理想流量狀況進(jìn)行比較，以便可以使用其理想評(píng)估桌面安全級(jí)別交通狀況，當(dāng)顯著性水平= 0.05且置信水平= 95%時(shí)，prop.test()函數(shù)給出的p值為2.2×10-16(即，R中的p值<.Machine MYM double.eps)，如圖12中所示，該值實(shí)際上接近于零并且遠(yuǎn)小于顯著性水平的值(0.05)，另外，值0不在置信區(qū)間(0.2 684 409和0.2 679 139)內(nèi)，因此，相關(guān)性具有統(tǒng)計(jì)學(xué)意義，并且零假設(shè)被高度拒絕。該結(jié)果表明桌面當(dāng)前的流量狀況不正常，因此需要對(duì)攻擊/威脅的類(lèi)型進(jìn)行進(jìn)一步的詳細(xì)調(diào)查。

圖12 基于允許的流量確定桌面安全狀態(tài)的空假設(shè)分析

零假設(shè)檢驗(yàn)的結(jié)果也通過(guò)R中的二項(xiàng)精確檢驗(yàn)精確地驗(yàn)證，在圖12中，成功的概率是0.7 318 226，因此，使用binom.test()函數(shù)計(jì)算二項(xiàng)精確值，如圖13所示，但是，p值與prop.test()函數(shù)計(jì)算的先前p值相同，兩個(gè)測(cè)試均拒絕零假設(shè)，顯著性水平= 0.05，置信水平= 95%，因此，需要進(jìn)行進(jìn)一步的詳細(xì)分析，以獲得對(duì)桌面的風(fēng)險(xiǎn)和攻擊的性質(zhì)。

(4)ICMP / TCP / UDP數(shù)據(jù)包和IP地址分析：零假設(shè)和二項(xiàng)分析導(dǎo)致進(jìn)一步調(diào)查防火墻日志以確定安全漏洞的原因，在圖10所示的摘要分析結(jié)果中，可以容易地觀察到協(xié)議和IP地址相關(guān)信息，并且可以用于分析原因，圖14顯示了總ICMP、TCP和UDP的匯總表。

圖13 二項(xiàng)精確分析，根據(jù)允許的流量確定桌面安全狀態(tài)

圖14 總ICMP，TCP和UDP數(shù)據(jù)包的摘要

在Windows防火墻中，可用的協(xié)議選項(xiàng)是TCP、UDP和平CMP，因此，“2”是協(xié)議號(hào)，“ - ”用于丟失的分組(參見(jiàn)圖11中的信息-事件-丟失)。

圖15和16顯示了兩個(gè)協(xié)議ICMP和TCP以及兩個(gè)IP地址為192.168.0.50和192.168.0.51的計(jì)算機(jī)系統(tǒng)的詳細(xì)分析，IP地址為192.168.0.50的系統(tǒng)在實(shí)驗(yàn)期間僅在最長(zhǎng)時(shí)間內(nèi)阻止ICMP數(shù)據(jù)包，但在整個(gè)持續(xù)時(shí)間內(nèi)均未阻止，因此，圖15指出了幾乎所有ICMP分組(350 640)作為丟棄的分組，其中源IP地址是192.168.0.50，為主機(jī)(192.168.0.154)編寫(xiě)了另一條規(guī)則來(lái)停止任何傳出的ICMP數(shù)據(jù)包，因此，所有532 800數(shù)據(jù)包都被丟棄，試圖發(fā)送到目標(biāo)IP地址192.168.0.50，但是，允許其他TCP和UDP數(shù)據(jù)包通過(guò)防火墻，IP地址為192.168.0.51的系統(tǒng)被阻止。

圖15 IP地址192.168.0.50的協(xié)議摘要

圖16 IP地址192.168.0.51的協(xié)議摘要

圖16示出幾乎所有TCP分組(1 507 680)作為丟棄分組，其中源IP地址是192.168.0.51，先前為主機(jī)(192.168.0.154)編寫(xiě)的規(guī)則，以阻止任何傳出的ICMP數(shù)據(jù)包在此處強(qiáng)制執(zhí)行，因此，所有522 720數(shù)據(jù)包都被丟棄，試圖發(fā)送到目標(biāo)IP地址192.168.0.51，但是，允許其他TCP和UDP數(shù)據(jù)包通過(guò)防火墻。

(5)設(shè)計(jì)用于預(yù)測(cè)攻擊風(fēng)險(xiǎn)的模糊推理系統(tǒng)：分析通常需要建模和開(kāi)發(fā)智能系統(tǒng)以用于未來(lái)的事件響應(yīng)和預(yù)防目的[19]。R包含幾個(gè)與人工神經(jīng)網(wǎng)絡(luò)、進(jìn)化算法、模糊系統(tǒng)和混合智能系統(tǒng)相關(guān)的CI軟件包，用于設(shè)計(jì)智能系統(tǒng)。在R中使用這些CI技術(shù)相對(duì)容易，使用集合包(參見(jiàn)圖17)設(shè)計(jì)模糊推理系統(tǒng)，以基于先前的分析來(lái)預(yù)測(cè)攻擊的風(fēng)險(xiǎn)，如圖18、圖19、圖20所示。

圖17 用于在R中設(shè)計(jì)模糊推理系統(tǒng)的集合包的安裝

圖18 在R中定義語(yǔ)言模糊變量

圖19 在R中設(shè)計(jì)模糊規(guī)則庫(kù)

圖20 R中的結(jié)果模糊推理系統(tǒng)

對(duì)“mergedLog”文件及其數(shù)據(jù)集的詳細(xì)分析表明，除了防火墻規(guī)則之外，ICMP和TCP數(shù)據(jù)包的速率可以幫助系統(tǒng)預(yù)測(cè)未來(lái)的攻擊風(fēng)險(xiǎn)，隨后，對(duì)于該主機(jī)的基線，確定ICMP分組的范圍(0～2 000分組/秒)和TCP分組(0～8 000分組/秒)以確定正常和異常的業(yè)務(wù)狀況，基線信息用于設(shè)計(jì)兩個(gè)模糊輸入變量icmprate和tcprate，其進(jìn)一步的細(xì)節(jié)可以在文獻(xiàn)[10-13]中找到，基于這兩個(gè)模糊輸入變量，確定模糊輸出變量攻擊風(fēng)險(xiǎn)，以百分比(0～100%)預(yù)測(cè)攻擊風(fēng)險(xiǎn)。

預(yù)測(cè)攻擊的風(fēng)險(xiǎn)：此系統(tǒng)可與防火墻規(guī)則一起使用，以預(yù)測(cè)Windows防火墻中無(wú)法實(shí)現(xiàn)的攻擊的可能性和級(jí)別，其進(jìn)一步的細(xì)節(jié)可以在文獻(xiàn)[10-13]中找到。

R中模糊智能系統(tǒng)的這種簡(jiǎn)單易行的設(shè)計(jì)可以監(jiān)控和預(yù)測(cè)攻擊風(fēng)險(xiǎn)，這只是R強(qiáng)度及其對(duì)CI技術(shù)支持的一個(gè)例子。

進(jìn)化算法和混合智能系統(tǒng)也可以以相同的方式用于設(shè)計(jì)各種智能系統(tǒng)，另外，可以根據(jù)特定主機(jī)/網(wǎng)絡(luò)的要求來(lái)調(diào)整和操縱基線分析和參數(shù)范圍。

2.5 使用R中的圖表對(duì)安全性分析結(jié)果進(jìn)行可視化解釋

R是一個(gè)強(qiáng)大的數(shù)據(jù)可視化工具，由于許多外部軟件包，如ggplot2、vcd或hexbin，用于增強(qiáng)信息的圖形顯示[20]。使用簡(jiǎn)單的內(nèi)置圖形函數(shù)“plot”呈現(xiàn)了一些主要發(fā)現(xiàn)，然而，高級(jí)包“ggplot2”也可用于更具信息性和吸引力的表示。圖21表示繪圖命令，圖22描述了其關(guān)于所有允許、丟棄和丟失分組的結(jié)果信息，其顯示桌面允許73%的分組與丟棄的27%的分組相比。圖23表示繪制源IP地址及其相應(yīng)動(dòng)作的繪圖命令。圖24顯示了從特定源IP地址允許或丟棄了多少分組的繪圖命令的結(jié)果圖。紅色和綠色分別顯示該源IP地址的允許和丟棄數(shù)據(jù)包。

圖21 繪制允許和丟棄數(shù)據(jù)包的繪圖命令

圖22 允許和丟棄數(shù)據(jù)包的圖示

圖23 用于繪制源IP地址和相應(yīng)操作的繪圖命令

類(lèi)似地，圖25表示繪制目的地IP地址及其相應(yīng)動(dòng)作的繪圖命令，圖26指出了針對(duì)特定目的地IP地址允許或丟棄了多少分組的繪圖命令的結(jié)果圖，紅色顯示允許的數(shù)據(jù)包，青色顯示該目標(biāo)IP地址的丟棄數(shù)據(jù)包，在所有安全性分析中，分析的性質(zhì)及其解釋由用戶/分析師確定。

3 桌面用戶的大數(shù)據(jù)可擴(kuò)展性

桌面用戶的任何大數(shù)據(jù)分析方法都應(yīng)該能夠應(yīng)對(duì)不斷增加的數(shù)據(jù)量及其有效處理，今天的臺(tái)式機(jī)包括多核處理器和增加的內(nèi)存，因此，大數(shù)據(jù)分析方法應(yīng)優(yōu)化處理器和內(nèi)存資源的使用。R被用于提出的方法，但需要額外軟件包的支持才能優(yōu)化使用處理器和內(nèi)存[21-22]。

R被設(shè)計(jì)為一次只使用一個(gè)線程(處理器)，除非與多核/多線程庫(kù)相關(guān)聯(lián)，否則R的運(yùn)行方式相同[21]。為了利用多核，R需要支持與高性能和并行計(jì)算(HPPC)相關(guān)的附加軟件包[23]。在R中有幾個(gè)可用于并行處理的包，例如并行、多核、Rmpi、pbdMPI、Rborist、h2o、randomForestSRC、Rdsm和Rhpc。包“并行”基于包“mul- ticore”和“snow”構(gòu)建，并提供了這些包的大部分功能的替代[24]。程序包“并行”處理并行運(yùn)行更大的計(jì)算塊,典型的例子是在許多不同的數(shù)據(jù)集上評(píng)估相同的R函數(shù),對(duì)于Windows桌面用戶，Microsoft R Open包含多線程數(shù)學(xué)庫(kù)以提高R的性能，并且適用于所有操作系統(tǒng)(Windows / UNIX / Mac)[25]。這些庫(kù)使得幾種常見(jiàn)的R操作(例如矩陣乘法/逆矩陣、矩陣分解和一些更高級(jí)別的矩陣操作)可以并行計(jì)算并使用所有可用的處理能力來(lái)減少計(jì)算時(shí)間[26]。

圖24 源IP地址和相應(yīng)操作的圖示

圖25 用于繪制目標(biāo)IP地址和相應(yīng)操作的繪圖命令

圖26 目標(biāo)IP地址和相應(yīng)操作的圖示

大型數(shù)據(jù)集也需要大量?jī)?nèi)存，如果文件大小與系統(tǒng)的現(xiàn)有存儲(chǔ)器相比非常大，則可以使用“ff”包來(lái)執(zhí)行有效和快速的數(shù)據(jù)處理，“ff”包提供了存儲(chǔ)在磁盤(pán)上的數(shù)據(jù)結(jié)構(gòu)，但它們就像在RAM中一樣，只透明地映射主內(nèi)存中的一個(gè)部分(頁(yè)面)[27]。處理不斷增加的數(shù)據(jù)量的另一個(gè)解決方案是“大”軟件包系列，它由幾個(gè)軟件包組成，用于在大型數(shù)據(jù)集上執(zhí)行任務(wù)，如bigmemory[28]、biganalytics、bigtabulate、synchronicity和bigalgebra[22]。

4 結(jié)論

本文介紹了一種直觀且廉價(jià)的大數(shù)據(jù)安全分析方法，該方法使用針對(duì)Windows桌面用戶的計(jì)算智能(CI)技術(shù)，基于Windows批處理腳本EmEditor和R的組合。這種安全分析方法是在1 006 889 160 B(1.01 GB) 的真實(shí)數(shù)據(jù)集上進(jìn)行的，超過(guò)1 000萬(wàn)次觀察，這些觀察在Windows防火墻日志文件“pfirewall.log”中收集并在30天內(nèi)整合到“mergedLog”文件中。這種面向桌面的安全分析可以成功地推斷出桌面的安全狀態(tài)，以及安全漏洞的來(lái)源和原因。在分析結(jié)果的基礎(chǔ)上，設(shè)計(jì)了一個(gè)模糊推理系統(tǒng)來(lái)預(yù)測(cè)攻擊風(fēng)險(xiǎn)并保護(hù)桌面。這種安全分析方法及其在適度桌面配置上的成功實(shí)施，顯示了所提出方法的潛力。但是，這種特殊的實(shí)現(xiàn)僅限于基于某些防火墻規(guī)則、少數(shù)協(xié)議和IP地址的模擬數(shù)據(jù)。擴(kuò)展規(guī)則和領(lǐng)域并收集外部流量以使這種方法成為一種通用的安全分析方法，是今后努力的方向。