資源描述:
《基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知框架》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1���、基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知框架摘要:由于以往的安全警戒事件����,網(wǎng)絡(luò)安全態(tài)勢感知提供了獨特的高級別安全觀�����。但基于網(wǎng)絡(luò)的安全警報數(shù)據(jù)的復(fù)雜性和多樣性使得對其作分析極為困難��。在本文中,我們分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中存在的問題��,并提出了基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知框架���。該框架包括網(wǎng)絡(luò)安全態(tài)勢模型生成、網(wǎng)絡(luò)安全態(tài)勢產(chǎn)生�。建模的目的,是構(gòu)建基于d-s理論的網(wǎng)絡(luò)安全態(tài)勢檢測的形式化模型��,并支持融合和分析來自于傳感器安全態(tài)勢的安全警報事件的一般化過程��。新一代網(wǎng)絡(luò)安全態(tài)勢就是從基于知識發(fā)現(xiàn)方法的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)集中提取出頻繁模式和序列模式���,并把這些模式轉(zhuǎn)換為網(wǎng)絡(luò)安全態(tài)勢的相關(guān)規(guī)則���,最
2、后自動生成網(wǎng)絡(luò)安全態(tài)勢圖���。集成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)(Net-SSA)的應(yīng)用表明��,這種框架支持網(wǎng)絡(luò)安全態(tài)勢模型的精確生成和有效發(fā)展�����。關(guān)鍵詞:網(wǎng)絡(luò)安全��;態(tài)勢感知���;數(shù)據(jù)挖掘;知識發(fā)現(xiàn)一��、引言傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備�����,如入侵檢測系統(tǒng)(IDS)���,防火墻,安全掃描器彼此獨立運作���,它們幾乎沒有自己所要保護的網(wǎng)絡(luò)資源的信息����。由于缺乏信息�,在對安全警告作解釋和對相應(yīng)的態(tài)勢作出決策時,它往往給出很多模棱兩可的答案���。網(wǎng)絡(luò)系統(tǒng)遭受各種安全威脅�,包括網(wǎng)絡(luò)蠕蟲、大規(guī)模的網(wǎng)絡(luò)攻擊等���,網(wǎng)絡(luò)安全態(tài)勢感知是解決這些問題的有效途徑�。網(wǎng)絡(luò)安全態(tài)勢感知的一般過程就是����,感知發(fā)生在一定時間段和網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全事件,綜合處
3���、理安全數(shù)據(jù),分析系統(tǒng)所受到攻擊行為�,提供全局的網(wǎng)絡(luò)安全觀,評估整體的安全態(tài)勢并預(yù)測未來的網(wǎng)絡(luò)安全趨勢��。在實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知時存在著一些困難����,如下:(1)從各種安全傳感器生成的警報事件數(shù)量是巨大的,假陽性率太高���。(2)由于大規(guī)模網(wǎng)絡(luò)攻擊(例如:DDos)所產(chǎn)生的瑣碎的安全警報非常復(fù)雜�,并且它們之間的關(guān)系難以確定�����。(1)安全傳感器產(chǎn)生的警報事件數(shù)據(jù)類型數(shù)量巨大,然而對警報事件進(jìn)行處理時警報處理程序得不到足夠的信息�����,而且自動獲取這些信息是相當(dāng)困難的���。在本文中���,我們總結(jié)的網(wǎng)絡(luò)安全態(tài)勢感知的研究過程,提出了一個基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知的框架�����,并應(yīng)用到我們的網(wǎng)絡(luò)安全態(tài)勢感知系
4���、統(tǒng)(NET-SSA)���。本文其余部分組織如下:第2節(jié)介紹了網(wǎng)絡(luò)安全態(tài)勢感知的概念和功能,并總結(jié)了該領(lǐng)域的相關(guān)研究;第3節(jié)提出我們的“基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知框架”;第4節(jié)演示實驗結(jié)果���,第5節(jié)總結(jié)今后的工作方向���。一���、基本概念和相關(guān)工作A.基本概念為方便描述和避免混淆,相關(guān)的名詞定義如下:安全態(tài)勢:它指的是處于監(jiān)督狀態(tài)的網(wǎng)絡(luò)的整體安全狀況����,在一定的時間窗口遭受的網(wǎng)絡(luò)攻擊,對整個網(wǎng)絡(luò)安全的影響����。一般來說,安全態(tài)勢的信息����,包括兩個方面��,時間維度和空間分布維度�。安全事件:它是指由各種網(wǎng)絡(luò)安全態(tài)勢傳感器產(chǎn)生和由網(wǎng)絡(luò)入侵或檢測參數(shù)超出閾值產(chǎn)生的警報事件。它可以表示成一個多元組={d
5���、etectTim,eventTyp'attac,srcI,desI,srcPor,desPor,protoco,sensorI,confidenc,severit,othe}����。其中,detectTimei指警報事件發(fā)生的時間;eventTypei是指警報事件的類型����,attacki是指攻擊檢測警報所屬的類;srcI和Desi指警報事件的源和目的地址;srcPorti和desPorti指警報事件的源和目的端口;protocol指協(xié)議類型;sensorID是指傳感器檢測到的事件;confidencei是指警報的事件的可信率;severit是指警報事件的嚴(yán)重級別;otheri是指
6、警報事件的其他信息����。安全態(tài)勢建模:它指的是分析各種安全傳感器所產(chǎn)生的警報事件,并最終產(chǎn)生全局網(wǎng)絡(luò)安全態(tài)勢的過程��。它包括以下功能:事件簡化:[,,,…,],簡化其中有重復(fù)定義或并發(fā)性關(guān)系的冗余警報事件�,以減少有效警報的數(shù)量。事件過濾:[,P()H],警報事件已被刪除或標(biāo)記為無關(guān)的事件�����,如果屬性P()不屬于H的某個合法集�。如果一些鍵的屬性丟失或者超出預(yù)定義范圍,警報事件就會被刪除����。事件融合:,利用信息融合技術(shù)(如D-S證據(jù)理論的)�,它主要解決了碰撞警報和警報合并使用的問題,從而提高警報事件的可信率,降低假陽性率����。事件關(guān)聯(lián):[,,,…,],當(dāng)前的網(wǎng)絡(luò)安全事件��,活動和情況����,可以從
7、不同類型的警報事件源所使用的數(shù)學(xué)或啟發(fā)式方法推斷出來�����,從而提高檢出率���,降低假陰性率���。狀態(tài)評估:它指的是對來自于多層次的基于空間和時間維度中的分布式攻擊行為和網(wǎng)絡(luò)資源的作用的安全狀態(tài)評估��。知識發(fā)現(xiàn)(KD):它是指確定來自于從傳感器收集到的安全事件集的新模式的非平凡過程�,這些傳感器易于理解,而且對于獲知安全狀況很有用�����。知識發(fā)現(xiàn)的目的是提取安全事件的融合和關(guān)聯(lián)所需要的規(guī)則。安全狀態(tài)產(chǎn)生:在網(wǎng)絡(luò)安全狀態(tài)感知的過程中����,安全局勢的模型是標(biāo)準(zhǔn)化的,受限制的�����,可推斷的����,正確的,通過從知識發(fā)現(xiàn)中獲取的模式信息進(jìn)行補充�,最后生成的全局網(wǎng)絡(luò)的安全狀
