網(wǎng)絡安全態(tài)勢感知研究.pdf

1、隨著網(wǎng)絡規(guī)模的不斷壯大,網(wǎng)絡結(jié)構的日益復雜,網(wǎng)絡病毒、分布式拒絕服務攻擊(Dos/DDos)等構成的威脅和損失越來越大,傳統(tǒng)的網(wǎng)絡安全管理模式僅僅依靠防火墻、防病毒、網(wǎng)絡入侵檢測(IDS)等單一的網(wǎng)絡安全防護技術來實現(xiàn)被動的網(wǎng)絡安全管理,已滿足不了目前網(wǎng)絡安全的要求,因此迫切需要新的技術來對網(wǎng)絡安全狀況進行實時監(jiān)控和預警。網(wǎng)絡安全態(tài)勢感知技術就是對當前和未來一段時間內(nèi)的網(wǎng)絡安全狀態(tài)實時監(jiān)測和預警的一種新的安全技術。 本文用于態(tài)勢

2、感知的數(shù)據(jù)來自netflow的流量信息,采集了包括源/目的IP、源/目的端口、數(shù)據(jù)包數(shù)量等的信息,基于netflow流量信息來進行網(wǎng)絡安全態(tài)勢感知。本文的工作主要包括以下幾點： 第一,由于每個netflow數(shù)據(jù)包中含有幾萬行甚至幾十萬行的流量信息,直接對這種流量信息進行處理很困難。把netflow數(shù)據(jù)中的各個地址看作是一組隨機事件,就可以對它的信息熵進行分析,信息熵能夠更有效地表現(xiàn)出各個地址對應數(shù)據(jù)的集中和分散情況。 第

3、二,針對未來網(wǎng)絡安全態(tài)勢的模糊性、隨機性、不確定性等特點,提出采用灰色模型建立未來態(tài)勢感知模型。利用灰模型需要樣本少,計算簡單的優(yōu)勢,對信息熵序列進行中短期預測。該方法通過GM(1,1)灰色模型得到信息熵的預測值序列,并算出網(wǎng)絡風險指數(shù),利用本文提出的風險指數(shù)計算達到網(wǎng)絡安全態(tài)勢感知的目的。通過仿真證明這種方法能感知未來的網(wǎng)絡安全態(tài)勢,對未來一段時間內(nèi)的網(wǎng)絡安全態(tài)勢實時預警。 第三,對于現(xiàn)在的大規(guī)模網(wǎng)絡,利用數(shù)據(jù)挖掘Aprior

4、i算法從多個信息熵序列中發(fā)現(xiàn)潛在的關聯(lián)規(guī)則,并通過已知的網(wǎng)絡攻擊對熵值序列的影響。把產(chǎn)生的關聯(lián)規(guī)則分成異?？臻g和正?？臻g,并可以對網(wǎng)絡安全態(tài)勢劃分安全、中等、危險等級。 第四,由于Apriori算法需要多次掃描時間序列數(shù)據(jù)庫,使得算法在實際應用中效率不高,很難滿足網(wǎng)絡安全態(tài)勢感知的實時性要求,所以提出基于矩陣的快速挖掘算法,并且通過排序矩陣和樹來減少候選集,提高了多時間序列數(shù)據(jù)挖掘的時間上的效率,在大型網(wǎng)絡和海量數(shù)據(jù)的情況下仍然