基于安全信息的态势挖掘分析

【摘 要】本文提出了需要采集的多维、深层次网络安全数据集，并给出了从原子态势到主机态势以及到网络态势的层次化分析流程；采用了自信息熵理论来计算原子态势发生的概率，并利用加权求和的方法对各层次态势进行分析和研究；最后，使用真实的网络环境数据对提出的分析流程和模型进行了验证。

【关键词】安全信息 原子态势 安全态势 数据分析；

一、引言

随着互联网的飞速发展，网络攻击事件多发，攻击黑客不断增加以及攻击手段愈加复杂，使来自网络的威胁猛烈地增长，网络安全遭受重大挑战。为了进一步加强网络安全，保护人们的日常工作、学习和生活，快速掌握当前安全形势，于是人们试图寻求一种评估当前环境“安全态势”的方法，以判断网络的安全性和可靠性。

网络安全专家Bass[1]提出了网络安全态势感知（Network Security Situation Awareness， NSSA）的概念，这种理论借鉴了空中交通监管（Air Traffic Control，ATC）态势感知的成熟理论和技术。网络态势是指由各种网络软硬件运行状况、网络事件或行为以及网络用户行为等因素所构成的整个网络某一时刻的状态和变化趋势[2]。网络安全态势感知是在复杂的大规模网络环境中，对影响网络安全的诸多要素进行提取、阐述、评估以及对其未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是以采集到的安全数据和信息进行数据挖掘，分析其相关性并从网络威胁中获得安全态势图从而产生整个网络的安全状态[4]。本文基于网络的安全信息，建立网络安全态势感知评估模型，然后通过数据挖掘，分析出当前的网络安全态势。

二、需要采集的安全信息

为了分析当前网络的安全态势，需要针对要评估的内容进行相关安全数据的采集，之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势，本课题以原子态势为基础，构建需要采集的影响原子态势的多维、深层次安全数据集，具体如图1所示。

图1主机安全态势需要采集的安全数据集

（一）原子态势

主机安全态势包含多个原子态势，是整个网络安全态势评估分析的基础和核心，由此可以推出所在主机的安全状态。

（二）需要采集的安全数据

分析各个原子态势，其中包含信息泄露类原子态势、数据篡改类原子态势、拒绝服务类原子态势、入侵控制类原子态势、安全规避类及网络欺骗类原子态势，由此可以分析出需要在主机采集的安全信息数据。因为网络安全态势是动态的，所以它随着当前的网络运行状况的变化而变化，这些变化包括网络的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素。原子态势是影响网络安全状况的基础态势，故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。图1中的原子态势一般只用于分析一个主机的安全性，如果要分析一个网络的安全性，需要对网络中各主机的安全信息进行挖掘分析，进而得出整个网络的安全态势。

三、基于安全信息的态势挖掘模型

本文中使用全信息熵理论协助网络安全态势感知评估，全信息的三要素分别代表的含义如下：语法信息是指从网络安全设备中得到某一类威胁事件，并转换为概率信息；语义信息是指该类威胁事件具体属于什么类型；语用信息是某一类威胁事件对网络造成的威胁程度。

（一）网络安全态势分析过程

根据采集操的安全数据集，进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势的一系列的过程，具体如图2所示。

详细的网络安全态势分析评估流程如下：

1.从网络安全部件中提取各种原子态势，对原子态势进行预处理后提取两个量化指标：原子态势频率和原子态势威胁程度。然后根据不同类型的原子态势，计算分析相应的原子态势情况。

图2 基于安全信息的 图3 实验网络环境

安全态势评估流程

2.将原子态势利用加权信息熵的相关理论计算原子态势值；

3.依据原子态势和原子态势值，分析计算主机安全态势和主机安全态势值；

4.根据网络中主机的安全态势状态，利用安全数据挖掘模型计算网络安全态势。

（二）原子态势分析量化

为了全面科学评价原子态势给网络带来的威胁和损失，将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。这里常采取的方法是根据指标的实际数据将指标归一化到[0，1] 之间。

原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合，用原子态势发生概率表示，设第i 个原子态势发生概率为Pi，且（m为网络系统中原子态势的总数）；语义信息决定了原子态势包含的态势内涵；语用信息是某个原子态势的威胁程度，记为 w。当w =1 时，威胁程度最大；w =0 时，威胁程度最小。在描述威胁程度时，因为威胁程度表示单一态势对网络造成的危害，故类型的威胁程度之和可不为 1。

本文将原子态势威胁分为很高、高、中等、低、极低五个等级，并转换为[0，1] 区间的量化值。以最大威胁赋值 1 为标准，得五个威胁等级 0 与1 之间的赋值为 1、0.8、0.6、0.4、0.2。

原子态势的态势值由原子态势发生的个数（归一化后表示为概率）及威胁程度权重共同决定。若信息发生ai的概率为p，按照信息熵的定义，ai的自信息可通过来表示。从网络安全态势评估的角度来看，网络安全事件发生的概率越大时，对应的信息熵值应该也越大，可以用香农信息论中的自信息的倒数来表示。

故在基于原子态势的网络安全态势评估系统中，如原子态势i发生频率为pi，则对应的自信息熵值为，则原子态势i的态势值Ei可表示为

其中Wi是原子态势i所对应的威胁程度值。

（三）网络态势数据挖掘模型

网络态势的分析和计算需要原子态势数据的支持，然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类，最后进行网络态势的分析。

用表示第j个属性态势值，则，a 为属于某一属性的原子态势个数。每个属性对应不同的权值，设第j个属性的权重定义为Sj，可通过将各个属性的安全态势值加权求和，计算单位时间内主机的安全态势值。网络安全态势值是网络系统中主机态势值和主机权重的函数，即

其中，k为主机在网络中的编号（1≤k≤g），g为整个网络中主机的数目，Zk为对应主机在网络中所占的重要性归一化权重。

四、实验分析

实验进行的网络环境如图3所示。

图3中，数据库服务器不存在异常，Web服务器的Apache日志是本次事件分析的主要数据源。安全日志分析得到Web服务器在2012年1月至2012年3月之间，主要遭受6种Web 安全威胁，统计结果如表1所示。

按照属性的不同，分别计算各个属性的态势值，根据公式，对表2的数据进行统计可得：机密性态势值为1.18686；权限态势值为0.88；完整性态势值为0.21；可用性态势值0.23926；不可否认性态势值0；可控性态势值0。主机受到其各个属性的影响，包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重，以主机机密性为参照标准：机密性对比完整性比较重要，机密性对比可用性稍微重要，机密性对比权限比较重要，机密性对比不可否认性十分重要，机密性对比可控性比较重要。故经matlab计算可得机密性权重为0.4491，可用性权重为0.2309，完整性权重为0.0930，权限权重为0.0930，不可否认性权重为0.0390，可控性权重为0.0930。主机的态势值是将各个属性的态势值进行加权求和得到，故主机态势值为0.70118。

网络内主机主要分服务器和客户端两种，服务器一般保存有重要的数据资源，这里定义服务器重要性权重为3，客户端重要性权重为1，权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析，数据库服务器的日志不存在异常现象，可以认为数据库服务器的网络态势值为0，则根据格式计算可得网络安全态势值为0.51968。

若安全信息量继续增大，可按照本节的计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是对不同时间点不同主机的网络安全态势情况进行计算，故在计算的时间点较多的时候，可构建时间点与网络安全态势值形成的网络安全态势曲线，由此可以推测未来网络的安全趋势和受到的攻击类型。

五、结束语

本文提出了需要采集的多维、深层次网络安全数据集，建立了基于原子态势的安全态势分析流程和模型，并搭建了局域网的实验环境，利用网络环境中两台服务器日志数据分析了Web服务器的主机态势以及该局域网的网络安全态势，并提出了一种网络安全态势趋势预测的方法。

参考文献：

[1]傅祖芸.信息论基础理论与应用[M] .北京：电子工业出版社，2011.

[2]胡明明，等.网络安全态势感知关键技术研究[D] .哈尔滨：哈尔滨工程大学，2008.

[3]胡影，等.网络攻击效果提取和分类[J].计算机应用研究，2009（3），26（3）： 1119-1122.

[4]郑善奇，李大兴.网络安全评价模型的研究[D] .济南：山东大学，2008 .

基金项目：

海南工商职业学院青年科研项目（基于物联网的智能数字校园研究与设计），项目编号：B2013-006