袁泉 孫銀艷

摘要：隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，基于單臺主機(jī)或單個(gè)局域網(wǎng)的態(tài)勢評估方法在運(yùn)行效率和準(zhǔn)確性上已無法滿足要求。針對此問題，本文設(shè)計(jì)了一種基于網(wǎng)絡(luò)流的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法，將網(wǎng)絡(luò)劃分為主機(jī)層、子網(wǎng)層和全網(wǎng)層三個(gè)層次，依次抽取網(wǎng)絡(luò)流特征進(jìn)行建模，并利用其發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為及來源。實(shí)踐證明，該方法具有良好的應(yīng)用前景。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢評估 網(wǎng)絡(luò)流特征 層次化

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）05-0000-00

1引言

網(wǎng)絡(luò)安全態(tài)勢評估是一種新型的網(wǎng)絡(luò)安全技術(shù)，能夠從宏觀上提供清晰的網(wǎng)絡(luò)安全狀態(tài)信息，并對安全狀態(tài)的發(fā)展趨勢進(jìn)行預(yù)測。與傳統(tǒng)的基于告警記錄的態(tài)勢評估相比，基于網(wǎng)絡(luò)流的態(tài)勢評估通過對全網(wǎng)流量信息采取合適特征進(jìn)行描述，分析發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為，能夠更快更準(zhǔn)確地把握當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，具有良好的應(yīng)用價(jià)值。

2層次化網(wǎng)絡(luò)安全態(tài)勢評估方法

現(xiàn)有的基于網(wǎng)絡(luò)流的態(tài)勢評估大都以單臺主機(jī)或單個(gè)局域網(wǎng)為核心實(shí)施對網(wǎng)絡(luò)流的監(jiān)控，通過某個(gè)一維時(shí)間序列的異常變化來檢測異常行為，但某些異常行為（如DDoS）在單個(gè)序列上并不一定具有明顯的表現(xiàn)。如果將多個(gè)序列作為一個(gè)整體進(jìn)行研究時(shí)，異常就有可能顯現(xiàn)出來?；谶@一思想，本文提出了一種層次化的網(wǎng)絡(luò)安全態(tài)勢評估方法，將網(wǎng)絡(luò)劃分為主機(jī)層、子網(wǎng)層和全網(wǎng)層三個(gè)層次，依次評估網(wǎng)絡(luò)安全態(tài)勢。隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大，將各子網(wǎng)安全態(tài)勢分開檢測評估，再綜合得到整體安全態(tài)勢，能夠有效提高安全態(tài)勢評估的精度和效率。

該方法在流程上可分為網(wǎng)絡(luò)流劃分、特征提取、異常檢測和安全態(tài)勢指數(shù)聚合四個(gè)階段。

2.1 網(wǎng)絡(luò)流劃分

基本過程是：

步驟一：利用部署在網(wǎng)絡(luò)中的流量監(jiān)測設(shè)備獲取網(wǎng)絡(luò)流數(shù)據(jù)。這里的網(wǎng)絡(luò)流指的是一組具有相同五元組<源IP、目的IP、源端口、目的端口、協(xié)議類型>取值的分組序列。

步驟二：依據(jù)網(wǎng)絡(luò)流數(shù)據(jù)完成子網(wǎng)劃分。本文采用CPM算法識別網(wǎng)絡(luò)中的子網(wǎng)：將網(wǎng)絡(luò)終端（主機(jī)、服務(wù)器、各種有IP地址的設(shè)備）視為節(jié)點(diǎn)，節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接關(guān)系（設(shè)備間的網(wǎng)絡(luò)流）視為邊，則網(wǎng)絡(luò)可被抽象成一個(gè)由點(diǎn)和邊組成的圖。假設(shè)網(wǎng)絡(luò)簇由多個(gè)相鄰的k-團(tuán)組成，相鄰的兩個(gè)k-團(tuán)至少共享k？1個(gè)節(jié)點(diǎn)，每個(gè)k-團(tuán)唯一地屬于某個(gè)網(wǎng)絡(luò)簇，但屬于不同網(wǎng)絡(luò)簇的k-團(tuán)可能會共享某些節(jié)點(diǎn)。對給定的參數(shù)K，計(jì)算出網(wǎng)絡(luò)中的全部k-團(tuán)（k≤K）以建立團(tuán)-團(tuán)重疊矩陣，并利用該矩陣計(jì)算出重疊網(wǎng)絡(luò)簇，重疊網(wǎng)絡(luò)簇即所劃分的子網(wǎng)。

步驟三：依據(jù)子網(wǎng)結(jié)構(gòu)將網(wǎng)絡(luò)流分為與子網(wǎng)相關(guān)的流。如果流的源和目的地址都在某子網(wǎng)中，則被劃分為該子網(wǎng)內(nèi)部流；若只有源或目的地址在子網(wǎng)中則被劃分為外部流。

2.2 特征提取

基本過程是：從子網(wǎng)內(nèi)部流與外部流中分別提取子網(wǎng)內(nèi)部特征和外部特征，用于檢測子網(wǎng)內(nèi)部和外部之間的異常。

本文主要提取了五類網(wǎng)絡(luò)流特征：

（1）計(jì)數(shù)型特征：某屬性在單位時(shí)間內(nèi)出現(xiàn)的不重復(fù)值的個(gè)數(shù)，如單位時(shí)間內(nèi)出現(xiàn)的不同源地址個(gè)數(shù)。

（2）流量特征：單位時(shí)間各種屬性對應(yīng)的數(shù)據(jù)包數(shù)或字節(jié)數(shù)之和，如單位時(shí)間內(nèi)的總數(shù)據(jù)包數(shù)，某協(xié)議對應(yīng)的總字節(jié)數(shù)等。

（3）度型特征：某屬性的特定值對應(yīng)的另一屬性的特征值個(gè)數(shù)。對子網(wǎng)來說就是子網(wǎng)的出入度，即向子網(wǎng)發(fā)起（或接收子網(wǎng)發(fā)起）鏈接的不同地址（端口）的個(gè)數(shù)，如子網(wǎng)的源地址出度，即是單位時(shí)間內(nèi)以子網(wǎng)內(nèi)部IP為源地址的鏈接的個(gè)數(shù)。

（4）均數(shù)型特征：單位時(shí)間某屬性對應(yīng)的平均數(shù)據(jù)包或字節(jié)數(shù)。

（5）復(fù)合型特征：將前述特征通過簡單統(tǒng)計(jì)得到。如IP地址、端口等信息熵。

2.3 異常檢測

基本過程是：對網(wǎng)絡(luò)流進(jìn)行異常檢測，計(jì)算主機(jī)層及子網(wǎng)層安全態(tài)勢指數(shù)，并分析引起異常的具體時(shí)間和來源。

本文采用基于層次聚類的異常檢測方法。其基本思想是：對于已標(biāo)記過異常流量的網(wǎng)絡(luò)流樣本集，首先計(jì)算每個(gè)特征的特征熵與特征比，把平均流大小、平均分組大小、每個(gè)特征的特征熵和特征比作為特征屬性，用來刻畫異常事件的類型，即每個(gè)樣本由一個(gè)包含m項(xiàng)網(wǎng)絡(luò)流特征的屬性向量來表示。把屬性向量間的相關(guān)系數(shù)作為相似性度量方式，在相似性最大的原則下進(jìn)行類的合并，迭代直到所有對象在一個(gè)類中或滿足某個(gè)終止條件。通過訓(xùn)練已標(biāo)記的異常流量構(gòu)建分類樹，在相似性最大的原則下進(jìn)行類的合并，并利用特征屬性的學(xué)習(xí)建立分類模型。

異常檢測算法利用建立的分類樹把相似的異常嵌入在子樹中，并輸出與子樹中其他葉子節(jié)點(diǎn)相同的標(biāo)記類型，從而完成異常事件的檢測。對單臺主機(jī)或子網(wǎng)流量進(jìn)行流量異常檢測即可以得到其安全態(tài)勢指數(shù)。

2.4 安全態(tài)勢指數(shù)聚合

基本過程是：把各層子網(wǎng)的安全態(tài)勢指數(shù)聚合成為全網(wǎng)的安全態(tài)勢值，再根據(jù)各子網(wǎng)的重要程度對同一層次子網(wǎng)安全態(tài)勢指數(shù)值進(jìn)行加權(quán)得到高一級的安全態(tài)勢值，最終得到全網(wǎng)的安全態(tài)勢指數(shù)。

3結(jié)語

網(wǎng)絡(luò)安全態(tài)勢評估是針對大規(guī)模的多源異構(gòu)網(wǎng)絡(luò)，綜合各方面的安全要素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，把原始“數(shù)據(jù)”轉(zhuǎn)化為人能夠理解的“知識”的過程。本文針對網(wǎng)絡(luò)規(guī)模擴(kuò)大、原始“數(shù)據(jù)”爆炸性增長給態(tài)勢評估帶來困難這一問題，依據(jù)流特征將網(wǎng)絡(luò)劃分為主機(jī)層、子網(wǎng)層、全網(wǎng)層，通過時(shí)間序列分析、節(jié)點(diǎn)態(tài)勢融合和子網(wǎng)態(tài)勢融合依次計(jì)算安全態(tài)勢，從而實(shí)現(xiàn)全網(wǎng)安全態(tài)勢的量化分析，方法具有客觀性、適用性的特點(diǎn)。

參考文獻(xiàn)

[1]錢葉魁，陳鳴 等.ODC在線檢測和分類全網(wǎng)絡(luò)流量異常的方法[J].通信學(xué)報(bào)，2011年6月.

[2]湯永利，李偉杰 等.基于改進(jìn)D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].南京理工大學(xué)學(xué)報(bào)，2015年4月.