網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究.pdf

1、隨著網(wǎng)絡(luò)規(guī)模的不斷壯大,網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜,網(wǎng)絡(luò)病毒、分布式拒絕服務(wù)攻擊(Dos/DDos)等構(gòu)成的威脅和損失越來越大,傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、網(wǎng)絡(luò)入侵檢測(cè)(IDS)等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來實(shí)現(xiàn)被動(dòng)的網(wǎng)絡(luò)安全管理,已滿足不了目前網(wǎng)絡(luò)安全的要求,因此迫切需要新的技術(shù)來對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)就是對(duì)當(dāng)前和未來一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)實(shí)時(shí)監(jiān)測(cè)和預(yù)警的一種新的安全技術(shù)。 本文用于態(tài)勢(shì)

2、感知的數(shù)據(jù)來自netflow的流量信息,采集了包括源/目的IP、源/目的端口、數(shù)據(jù)包數(shù)量等的信息,基于netflow流量信息來進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知。本文的工作主要包括以下幾點(diǎn)： 第一,由于每個(gè)netflow數(shù)據(jù)包中含有幾萬行甚至幾十萬行的流量信息,直接對(duì)這種流量信息進(jìn)行處理很困難。把netflow數(shù)據(jù)中的各個(gè)地址看作是一組隨機(jī)事件,就可以對(duì)它的信息熵進(jìn)行分析,信息熵能夠更有效地表現(xiàn)出各個(gè)地址對(duì)應(yīng)數(shù)據(jù)的集中和分散情況。 第

3、二,針對(duì)未來網(wǎng)絡(luò)安全態(tài)勢(shì)的模糊性、隨機(jī)性、不確定性等特點(diǎn),提出采用灰色模型建立未來態(tài)勢(shì)感知模型。利用灰模型需要樣本少,計(jì)算簡(jiǎn)單的優(yōu)勢(shì),對(duì)信息熵序列進(jìn)行中短期預(yù)測(cè)。該方法通過GM(1,1)灰色模型得到信息熵的預(yù)測(cè)值序列,并算出網(wǎng)絡(luò)風(fēng)險(xiǎn)指數(shù),利用本文提出的風(fēng)險(xiǎn)指數(shù)計(jì)算達(dá)到網(wǎng)絡(luò)安全態(tài)勢(shì)感知的目的。通過仿真證明這種方法能感知未來的網(wǎng)絡(luò)安全態(tài)勢(shì),對(duì)未來一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)時(shí)預(yù)警。 第三,對(duì)于現(xiàn)在的大規(guī)模網(wǎng)絡(luò),利用數(shù)據(jù)挖掘Aprior

4、i算法從多個(gè)信息熵序列中發(fā)現(xiàn)潛在的關(guān)聯(lián)規(guī)則,并通過已知的網(wǎng)絡(luò)攻擊對(duì)熵值序列的影響。把產(chǎn)生的關(guān)聯(lián)規(guī)則分成異常空間和正?？臻g,并可以對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)劃分安全、中等、危險(xiǎn)等級(jí)。 第四,由于Apriori算法需要多次掃描時(shí)間序列數(shù)據(jù)庫,使得算法在實(shí)際應(yīng)用中效率不高,很難滿足網(wǎng)絡(luò)安全態(tài)勢(shì)感知的實(shí)時(shí)性要求,所以提出基于矩陣的快速挖掘算法,并且通過排序矩陣和樹來減少候選集,提高了多時(shí)間序列數(shù)據(jù)挖掘的時(shí)間上的效率,在大型網(wǎng)絡(luò)和海量數(shù)據(jù)的情況下仍然