李穎

(海軍青島特勤療養(yǎng)中心 經(jīng)濟(jì)管理科,山東 青島 266071)

0 引言

最初人們使用防火墻、信息審計(jì)等保證信息管理系統(tǒng)的安全，但是它們存在許多不足，如只能被動(dòng)對(duì)一些非法入侵，攻擊行為進(jìn)行防范，而信息管理風(fēng)險(xiǎn)預(yù)警技術(shù)是一種主動(dòng)的防范方式，可以對(duì)信息管理系統(tǒng)將來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果對(duì)信息管理風(fēng)險(xiǎn)進(jìn)行預(yù)警，成為信息管理系統(tǒng)安全的主要保障措施[1]。在實(shí)際應(yīng)用中，存在許多類(lèi)型的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，它們均存在一些不足，如難以對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估，信息管理風(fēng)險(xiǎn)預(yù)警的錯(cuò)誤率高等，無(wú)法保證信息的安全。

為了提高信息管理風(fēng)險(xiǎn)預(yù)警效果，設(shè)計(jì)了一個(gè)基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，并通過(guò)仿真實(shí)驗(yàn)對(duì)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的有效性和可行性進(jìn)行了具體測(cè)試。

1 數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)

1.1 信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)總體結(jié)構(gòu)

信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)采用分布式結(jié)構(gòu)[2-3]，主要包括檢測(cè)域、預(yù)警代理、區(qū)域預(yù)警中心，區(qū)域預(yù)警中心能夠?qū)?bào)警信息進(jìn)行融合，預(yù)警代理包含在檢測(cè)域中，同一個(gè)檢測(cè)域中可以包含多個(gè)預(yù)警代理，以此來(lái)實(shí)現(xiàn)數(shù)據(jù)包獲取以及預(yù)處理等檢測(cè)分析。信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的總體結(jié)構(gòu)如圖1所示。

從圖1可以看出，每個(gè)檢測(cè)域中都包含了蜜罐宿主機(jī)、蜜罐網(wǎng)關(guān)、日志服務(wù)器等多個(gè)網(wǎng)段，其外觀均為2U標(biāo)準(zhǔn)尺寸，當(dāng)檢測(cè)域確定之后，其中的主機(jī)IP地址也會(huì)隨之確定，實(shí)現(xiàn)檢測(cè)域與IP地址的綁定[4-5]。檢測(cè)域中的蜜罐宿主機(jī)能夠虛擬安裝業(yè)務(wù)系統(tǒng)，通過(guò)安裝主機(jī)行為監(jiān)控模塊，實(shí)現(xiàn)威脅入侵行為的監(jiān)控。蜜罐網(wǎng)關(guān)能夠隔離主動(dòng)防御系統(tǒng)與實(shí)際信息網(wǎng)絡(luò)系統(tǒng)，將進(jìn)入蜜罐宿主機(jī)的威脅入侵行為控制在蜜罐宿主機(jī)中。日志服務(wù)器的主要功能是收集各類(lèi)原始流量數(shù)據(jù)包和網(wǎng)絡(luò)、主機(jī)日志，將得到的樣本文件進(jìn)行關(guān)聯(lián)分析，結(jié)合離線分析技術(shù)實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)分析需求。

圖1 信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)總體結(jié)構(gòu)

1.2 設(shè)計(jì)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)

1.2.1 數(shù)據(jù)采集

在預(yù)警代理模塊中，需要對(duì)數(shù)據(jù)進(jìn)行處理和分析，其中能夠判斷風(fēng)險(xiǎn)類(lèi)型的叫做預(yù)警規(guī)則庫(kù)。規(guī)則庫(kù)主要包括入侵特征庫(kù)和正常模式庫(kù)，入侵特征庫(kù)是根據(jù)經(jīng)過(guò)研究的攻擊類(lèi)型的特點(diǎn)，利用模式匹配來(lái)分辨攻擊類(lèi)型。這兩種規(guī)則庫(kù)都需要通過(guò)獲取網(wǎng)絡(luò)數(shù)據(jù)包不斷地更新[6-8]。為了獲取到網(wǎng)絡(luò)數(shù)據(jù)包，在Windows平臺(tái)下選擇WinPcap庫(kù)完成數(shù)據(jù)采集，WinPcap的結(jié)構(gòu)如圖2所示。

圖2 WinPcap結(jié)構(gòu)圖

正常模式庫(kù)中包括正常行為特征，主要用來(lái)進(jìn)行異常檢測(cè)。特征規(guī)則的結(jié)構(gòu)主要包括兩部分，一部分包括規(guī)則操作、協(xié)議、IP地址等，這一部分被稱(chēng)作規(guī)則頭部；另一部分主要包括預(yù)警信息的需要監(jiān)測(cè)模式的信息，被稱(chēng)為規(guī)則選項(xiàng)[9-10]。建立的規(guī)則庫(kù)內(nèi)容與結(jié)構(gòu)如圖3所示。

圖3 規(guī)則庫(kù)結(jié)構(gòu)

上述過(guò)程中，出現(xiàn)了屏蔽弧和屏蔽孤點(diǎn)的操作，需要統(tǒng)一對(duì)屏蔽行為的流程進(jìn)行規(guī)范。在屏蔽過(guò)程中，確定發(fā)生了某個(gè)攻擊行為，如果該行為所對(duì)應(yīng)的頂點(diǎn)被屏蔽，那么需要取消該頂點(diǎn)、該行為指向其所有后繼行為所對(duì)應(yīng)的弧與對(duì)應(yīng)頂點(diǎn)的屏蔽，求解出新的攻擊支撐樹(shù)。使用支撐樹(shù)對(duì)使用行為進(jìn)行預(yù)測(cè)，相關(guān)流程如圖4所示。

圖4 行為預(yù)測(cè)流程圖

圖4的流程圖GP集合為：在進(jìn)行行為預(yù)測(cè)時(shí)，某一行為的后續(xù)行為并不唯一時(shí)，將后續(xù)可能的行為劃分成的集合稱(chēng)為GP集合。在網(wǎng)絡(luò)使用行為預(yù)測(cè)過(guò)程中，在進(jìn)行攻擊行為權(quán)值自適應(yīng)的同時(shí)，也進(jìn)行了非攻擊行為的權(quán)值自適應(yīng)操作，并利用自適應(yīng)模塊進(jìn)行維護(hù)和更新。

對(duì)于已知的攻擊進(jìn)行檢測(cè)，根據(jù)上圖對(duì)于誤用檢測(cè)的效果比較好，但是對(duì)于未知、規(guī)則庫(kù)中不存在的新型攻擊來(lái)說(shuō)，需要先誤用檢測(cè)后再進(jìn)行異常監(jiān)測(cè)，這樣的效果比較好。

1.2.2 攻擊行為預(yù)測(cè)

為實(shí)現(xiàn)風(fēng)險(xiǎn)程度的有效辨識(shí)，采用誤用檢測(cè)與異常檢測(cè)共同作業(yè)的方法，誤用檢測(cè)通過(guò)入侵規(guī)則庫(kù)，將其中的特征數(shù)據(jù)與用戶行為數(shù)據(jù)進(jìn)行對(duì)比匹配，當(dāng)匹配成功后做出相應(yīng)的指示。在得到目前的使用行為后，需要對(duì)下一步的行為進(jìn)行預(yù)測(cè)，對(duì)于完整網(wǎng)絡(luò)來(lái)說(shuō)，查詢和預(yù)測(cè)耗時(shí)較多，為降低預(yù)測(cè)難度，引入支撐樹(shù)的概念。為創(chuàng)造支撐樹(shù)，需要結(jié)合實(shí)際情況和需求，設(shè)置權(quán)重閾值，訪問(wèn)后繼行為表并判斷是否所有后繼行為表遍歷完畢，如果遍歷完畢那么直接去判斷行為帶權(quán)有向圖中的孤點(diǎn)情況[11-12]；如果沒(méi)有遍歷完畢，需要辨別后繼行為表中的權(quán)重是否低于閾值，如果低于閾值需要屏蔽該弧，如果在閾值內(nèi)，返回到訪問(wèn)后繼行為表重新判斷遍歷情況，再繼續(xù)判斷是否存在孤點(diǎn)，如果有直接屏蔽后能夠求出攻擊支撐樹(shù)。

1.2.3 信息管理風(fēng)險(xiǎn)評(píng)估

(1)

對(duì)判斷矩陣進(jìn)行調(diào)整，直到得到滿足一致性要求的判斷矩陣。模糊綜合評(píng)價(jià)模型具有3個(gè)基本要素：因素集合U={U1,U2,…,Um}、評(píng)價(jià)集合V={V1,V2,…,Vn}和單因素評(píng)價(jià)矩陣R，其中影響因素的數(shù)量不確定，暫且記作Ui(i=1,2,…,m)，影響因素相對(duì)應(yīng)的權(quán)重系數(shù)能夠反映出各因素在綜合評(píng)價(jià)中具有的重要程度，可以表示為ai(i=1,2,…,m)，對(duì)所有的影響因素進(jìn)行分級(jí)劃分，構(gòu)成了綜合模糊評(píng)價(jià)模型，單因素評(píng)價(jià)矩陣R和一級(jí)模糊綜合評(píng)價(jià)模型如式(2)、式(3)。

(2)

(3)

(4)

1.2.4 數(shù)據(jù)挖掘的預(yù)警機(jī)制

對(duì)于已經(jīng)完成采集的數(shù)據(jù)，網(wǎng)絡(luò)中的數(shù)據(jù)包會(huì)按照時(shí)間順序依次排列，為了實(shí)現(xiàn)預(yù)警系統(tǒng)對(duì)于攻擊行為的分析，需要從大量的數(shù)據(jù)中挖掘出其中的關(guān)聯(lián)相關(guān)關(guān)系或因果結(jié)構(gòu)，這種數(shù)據(jù)挖掘的方法稱(chēng)為關(guān)聯(lián)規(guī)則。數(shù)據(jù)挖掘的過(guò)程繁瑣，但是具體的步驟比較清晰，主要包括3步：準(zhǔn)備數(shù)據(jù)、挖掘信息、總結(jié)測(cè)評(píng)。在數(shù)據(jù)的準(zhǔn)備階段使用的數(shù)據(jù)大部分是在數(shù)據(jù)庫(kù)中經(jīng)過(guò)很長(zhǎng)時(shí)間的存儲(chǔ)，失去了時(shí)效性，對(duì)于用戶來(lái)說(shuō)意義不大，因此在數(shù)據(jù)挖掘前要提前準(zhǔn)備好需要進(jìn)行挖掘的數(shù)據(jù)的大概信息。在挖掘過(guò)程中，應(yīng)用到的數(shù)據(jù)挖掘技術(shù)為關(guān)聯(lián)性分析。

假設(shè)不同項(xiàng)目的集合表示為I={i1,i2,i3,…,im}，那么該集合中共有m個(gè)不同項(xiàng)目，在交易數(shù)據(jù)庫(kù)D中的每一個(gè)交易或事務(wù)都是上式中的一組項(xiàng)目的集合，那么對(duì)于I中的項(xiàng)目集也存在于某個(gè)交易或事務(wù)中，那么說(shuō)明這個(gè)交易或事務(wù)支持該項(xiàng)目集，說(shuō)明在這之間存在關(guān)聯(lián)規(guī)則。將這種數(shù)據(jù)挖掘方法應(yīng)用到風(fēng)險(xiǎn)預(yù)警機(jī)制中，具體如圖5所示。

圖5 基于數(shù)據(jù)挖掘的風(fēng)險(xiǎn)預(yù)警機(jī)制

基于關(guān)聯(lián)規(guī)則的預(yù)警機(jī)制能夠反映預(yù)警時(shí)間和風(fēng)險(xiǎn)事件之間存在的相關(guān)關(guān)系，根據(jù)預(yù)警時(shí)間中的項(xiàng)值與關(guān)聯(lián)項(xiàng)值進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)。其中關(guān)聯(lián)規(guī)則算法使用的是NewApriori算法，從修剪頻繁集和優(yōu)化連接策略這兩方面進(jìn)行優(yōu)化，提高挖掘效率。NewApriori算法的輸入值為交易數(shù)據(jù)庫(kù)D，其中最小支持度表示為min_sup，輸出值為D中頻繁項(xiàng)集M，那么M1=find_frequent_1_itensets(D)，從Mk-1中刪除不可能得到的頻繁項(xiàng)集的集合：Mk=delete(Mk-1)，在得到頻繁項(xiàng)集后，從中生成關(guān)聯(lián)規(guī)則。至此完成基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的設(shè)計(jì)。

2 系統(tǒng)測(cè)試

2.1 搭建測(cè)試環(huán)境

為驗(yàn)證本文系統(tǒng)的有效性，需要對(duì)系統(tǒng)進(jìn)行測(cè)試。根據(jù)系統(tǒng)的實(shí)際應(yīng)用情況搭建測(cè)試環(huán)境，需要的設(shè)備主要包括：預(yù)警服務(wù)器2臺(tái)，型號(hào)為FXP0和FXP1，F(xiàn)XP1的IP地址為192.168.0.1，網(wǎng)絡(luò)主機(jī)1臺(tái)，配備以太網(wǎng)口，IP地址為192.168.11.10，交換機(jī)2臺(tái)，型號(hào)均為SF1 009，終端主機(jī)2臺(tái)，配備以太網(wǎng)口，IP地址為192.168.11.36，另外備網(wǎng)線若干，將上述設(shè)備搭建起來(lái)，使具有配置功能的預(yù)警服務(wù)器FXP0通過(guò)交換機(jī)1與網(wǎng)絡(luò)主機(jī)相連，監(jiān)聽(tīng)功能的預(yù)警服務(wù)器通過(guò)交換機(jī)2與客戶終端主機(jī)相連接，最后將交換機(jī)1、2相連，共同組成系統(tǒng)測(cè)試環(huán)境。將該系統(tǒng)應(yīng)用在某公司內(nèi)部網(wǎng)絡(luò)中，設(shè)置兩個(gè)重要的檢測(cè)點(diǎn)，在對(duì)應(yīng)工作站中設(shè)計(jì)相應(yīng)的檢測(cè)中心。

2.2 設(shè)計(jì)測(cè)試過(guò)程

在上述的測(cè)試環(huán)境中，使用終端主機(jī)從網(wǎng)絡(luò)主機(jī)下載文件，登錄網(wǎng)絡(luò)攻擊行為預(yù)警系統(tǒng)，并利用預(yù)警服務(wù)器對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行采集，在測(cè)試過(guò)程中，人為設(shè)計(jì)網(wǎng)絡(luò)安全攻擊與非攻擊性的通知，并使用行為分析系統(tǒng)，設(shè)置抓包時(shí)間，并連接系統(tǒng)的監(jiān)聽(tīng)端口抓取指定時(shí)間段內(nèi)的數(shù)據(jù)，分別使用本文設(shè)計(jì)的系統(tǒng)與傳統(tǒng)的系統(tǒng)進(jìn)行預(yù)警，并將預(yù)警結(jié)果進(jìn)行統(tǒng)計(jì)分析。

2.3 實(shí)驗(yàn)結(jié)果分析

通過(guò)上述實(shí)驗(yàn)過(guò)程，對(duì)監(jiān)控中心原始數(shù)據(jù)、區(qū)域預(yù)警中心報(bào)警數(shù)據(jù)的數(shù)量進(jìn)行統(tǒng)計(jì)，結(jié)果如表1所示。

表1 報(bào)警數(shù)量測(cè)試結(jié)果

從表1的測(cè)試結(jié)果可以看出，原有系統(tǒng)與本文系統(tǒng)對(duì)于信息管理風(fēng)險(xiǎn)都具有優(yōu)秀的辨識(shí)性，但是原有的系統(tǒng)中無(wú)法區(qū)分出通知、預(yù)警和報(bào)警情況，僅能將這3種情況全部判定為預(yù)警情況，本文的系統(tǒng)經(jīng)過(guò)深度的數(shù)據(jù)挖掘處理后，能夠劃分出信息管理風(fēng)險(xiǎn)的等級(jí)，詳細(xì)地辨識(shí)出通知、預(yù)警和報(bào)警情況，說(shuō)明本文設(shè)計(jì)的系統(tǒng)具有一定的有效性。

2.4 其它系統(tǒng)的性能對(duì)比

為了測(cè)試本文的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的優(yōu)越性，選擇傳統(tǒng)的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)進(jìn)行對(duì)比實(shí)驗(yàn)，其進(jìn)行5次仿真實(shí)驗(yàn)，統(tǒng)計(jì)它們的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)精度，結(jié)果如圖6所示。

從圖6可以看出，相對(duì)于傳統(tǒng)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，本文系統(tǒng)的信息管理風(fēng)險(xiǎn)預(yù)警精度得到大幅度提升，降低了信息管理風(fēng)險(xiǎn)預(yù)警的錯(cuò)誤率，可以保證信息管理系統(tǒng)中的信息安全。

圖6 與傳統(tǒng)系統(tǒng)的信息管理風(fēng)險(xiǎn)預(yù)警精度對(duì)比

3 總結(jié)

互聯(lián)網(wǎng)的普及也使得網(wǎng)絡(luò)攻擊手段層出不窮，信息管理安全所面對(duì)的風(fēng)險(xiǎn)也越來(lái)越大。傳統(tǒng)的信息管理預(yù)警系統(tǒng)由于缺少風(fēng)險(xiǎn)評(píng)估方面的設(shè)計(jì)，導(dǎo)致在預(yù)警過(guò)程中劃分信息管理風(fēng)險(xiǎn)的等級(jí)，將一些攻擊性小的通知類(lèi)信息也識(shí)別為預(yù)警信息，在給用戶造成困擾的同時(shí)，也導(dǎo)致了資源的浪費(fèi)。因此，設(shè)計(jì)一種基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)。在硬件設(shè)計(jì)中，提出了信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的總體體系結(jié)構(gòu)，軟件設(shè)計(jì)中，著重對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行了研究。但是本文未研究預(yù)警系統(tǒng)中各模塊之間的通信安全，在后續(xù)的研究過(guò)程中將會(huì)在該方面進(jìn)行深度探析。