張吉生　+張波　沈青

摘 要： 針對(duì)當(dāng)前信息系統(tǒng)安全態(tài)勢(shì)估計(jì)存在實(shí)時(shí)性差、誤差高等問(wèn)題，提出數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢(shì)估計(jì)方法。將數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理輸出的資產(chǎn)列表以及威脅列表反饋到安全態(tài)勢(shì)分析評(píng)估階段，在對(duì)安全態(tài)勢(shì)進(jìn)行分析評(píng)價(jià)時(shí)，先采集引發(fā)風(fēng)險(xiǎn)的各類威脅因子，采用泊松分布方法運(yùn)算威脅產(chǎn)生的頻率，對(duì)系統(tǒng)資產(chǎn)的脆弱性進(jìn)行賦值，最后獲取威脅頻率，采用模糊數(shù)學(xué)方法得到信息系統(tǒng)安全態(tài)勢(shì)估計(jì)的多因素以及單因素風(fēng)險(xiǎn)決策，分析風(fēng)險(xiǎn)的損耗程度，獲取綜合安全態(tài)勢(shì)評(píng)估值。實(shí)驗(yàn)結(jié)果表明所提方法可對(duì)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行精準(zhǔn)評(píng)估。

關(guān)鍵詞： 數(shù)據(jù)挖掘； 信息系統(tǒng)； 安全態(tài)勢(shì)； 威脅估計(jì)

中圖分類號(hào)： TN915.08?34； TP309 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）21?0077?03

Information system security situation assessment based on data mining

ZHANG Jisheng， ZHANG Bo， SHEN Qing

（Information and Communication Company， State Grid Ningxia Electric Power Company， Yinchuan 750001， China）

Abstract： Since the current security situation assessment of information system has the problems of poor real?time performance and big error， an information system security situation estimation method based on data mining is proposed. The assert list and threat list after data discovery and preprocessing output are fed back to the security situation analysis and evaluation stage. For the analysis and evaluation of the security situation， all kinds of the threat factors triggering the risk are collected， and the Poisson distribution method is used to operate the frequency generated by the threat to assign the vulnerability of the system assets， and get the threat frequency. The fuzzy mathematics method is adopted to obtain the multi?factor and single?factor risk decision of information system security situation estimation， analyze the risk loss degree， and acquire the comprehensive security evaluation value. The experimental results show that the method can evaluate the security situation of information system accurately.

Keywords： data mining； information system； security situation； threat estimation

隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在不同領(lǐng)域中的應(yīng)用價(jià)值也逐漸提升，并且信息系統(tǒng)面臨的風(fēng)險(xiǎn)也日益增加。安全態(tài)勢(shì)評(píng)估成為檢測(cè)信息系統(tǒng)安全的重要措施，能夠?yàn)楣芾砣藛T提供系統(tǒng)安全狀態(tài)信息，確保管理人員實(shí)時(shí)獲取系統(tǒng)中的異常事件，增強(qiáng)系統(tǒng)安全防護(hù)性能。而傳統(tǒng)采用廣義神經(jīng)網(wǎng)絡(luò)方法預(yù)測(cè)信息系統(tǒng)安全態(tài)勢(shì)存在實(shí)時(shí)性差以及誤差高的問(wèn)題，因此提出基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢(shì)估計(jì)方法，具有重要應(yīng)用價(jià)值。

1 基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢(shì)估計(jì)

1.1 信息系統(tǒng)安全態(tài)勢(shì)估計(jì)框架

基于數(shù)據(jù)挖掘的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估理論框架是信息系統(tǒng)安全態(tài)勢(shì)估計(jì)對(duì)隨機(jī)事件的評(píng)估和分析的過(guò)程[1]， 如圖1所示。

（1） 數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理。該部分對(duì)信息系統(tǒng)內(nèi)外部環(huán)境中的信息實(shí)時(shí)處理，采集同信息系統(tǒng)資產(chǎn)安全態(tài)勢(shì)估計(jì)相關(guān)的數(shù)據(jù)以及威脅數(shù)據(jù)，對(duì)數(shù)據(jù)實(shí)施采集、劃分以及融合等操作[2]，將數(shù)據(jù)變換成可實(shí)施數(shù)據(jù)挖掘的數(shù)據(jù)格式，獲取同信息系統(tǒng)安全態(tài)勢(shì)估計(jì)相關(guān)的資產(chǎn)列表以及威脅列表。

（2） 安全態(tài)勢(shì)分析和評(píng)估。該部分需要獲取信息系統(tǒng)的資產(chǎn)脆弱性和漏洞，明確威脅的類型以及威脅產(chǎn)生的概率，研究總體信息系統(tǒng)的風(fēng)險(xiǎn)防范性能，獲取系統(tǒng)安全態(tài)勢(shì)的綜合評(píng)估結(jié)果。

（3） 風(fēng)險(xiǎn)決策。該過(guò)程按照信息系統(tǒng)面臨的威脅大小排序表以及風(fēng)險(xiǎn)防范性能[3]，明確信息系統(tǒng)可使用的風(fēng)險(xiǎn)防范手段。

1.2 數(shù)據(jù)發(fā)現(xiàn)和預(yù)處理

信息系統(tǒng)資產(chǎn)由系統(tǒng)內(nèi)部以及網(wǎng)絡(luò)互聯(lián)外部的信息構(gòu)成，組成大規(guī)模的異構(gòu)數(shù)據(jù)庫(kù)。異構(gòu)數(shù)據(jù)庫(kù)中的數(shù)據(jù)存在臟數(shù)據(jù)，具有雜亂性、重復(fù)性以及缺陷性問(wèn)題。需要對(duì)臟數(shù)據(jù)實(shí)施預(yù)處理，通過(guò)統(tǒng)一數(shù)據(jù)格式解決不同數(shù)據(jù)格式間的差異[4]。

圖2描述的數(shù)據(jù)預(yù)處理形式包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)變換以及數(shù)據(jù)歸約四部分?？傮w信息系統(tǒng)的數(shù)據(jù)預(yù)處理由資產(chǎn)數(shù)據(jù)預(yù)處理、威脅數(shù)據(jù)預(yù)處理、Web數(shù)據(jù)預(yù)處理以及Web服務(wù)器子文件預(yù)處理構(gòu)成，數(shù)據(jù)預(yù)處理過(guò)程輸出資產(chǎn)列表以及威脅列表。endprint

1.3 安全態(tài)勢(shì)分析評(píng)估

信息系統(tǒng)安全態(tài)勢(shì)分析需要運(yùn)算系統(tǒng)的風(fēng)險(xiǎn)損失、威脅產(chǎn)生的頻率以及可能性。將數(shù)據(jù)預(yù)處理輸出的資產(chǎn)列表以及威脅列表反饋到安全態(tài)勢(shì)分析評(píng)估階段。該階段應(yīng)對(duì)系統(tǒng)威脅形成的可能性以及頻率實(shí)施運(yùn)算，獲取威脅損失指數(shù)，對(duì)威脅進(jìn)行排序，對(duì)信息系統(tǒng)抵抗威脅的性能以及脆弱性進(jìn)行分析。

1.3.1 系統(tǒng)脆弱性及安全態(tài)勢(shì)分析

信息系統(tǒng)安全態(tài)勢(shì)評(píng)估過(guò)程中的關(guān)鍵部分是對(duì)系統(tǒng)資產(chǎn)脆弱性實(shí)施評(píng)估。信息系統(tǒng)資產(chǎn)存在弱點(diǎn)，威脅會(huì)采用弱點(diǎn)產(chǎn)生資產(chǎn)損失。信息系統(tǒng)脆弱性包括系統(tǒng)內(nèi)外部信息、物理因素、控制因素等不同信息資產(chǎn)的弱點(diǎn)[5]。應(yīng)依據(jù)威脅頻率的大小對(duì)資產(chǎn)脆弱性實(shí)施賦值。

信息系統(tǒng)安全威脅因素包括系統(tǒng)安全風(fēng)險(xiǎn)、數(shù)據(jù)信息風(fēng)險(xiǎn)、運(yùn)行風(fēng)險(xiǎn)、鏈接風(fēng)險(xiǎn)以及人為原因風(fēng)險(xiǎn)。將信息系統(tǒng)中的威脅因子劃分成威脅傳遞路徑、面向威脅的防范手段以及資產(chǎn)損失三部分[6]，設(shè)置威脅因子為[T，]威脅損失因子RE為：

[REi=MPLi×PCFij×EFi] （1）

式中，[REi]是固定時(shí)間內(nèi)，由威脅[i]產(chǎn)生的信息系統(tǒng)資產(chǎn)損失；[MPLi]是威脅[i]未被防范時(shí)對(duì)資產(chǎn)產(chǎn)生的損失；[PCFij]是資產(chǎn)的安全措施[j]對(duì)威脅[i]不起作用的概率；[EFi]是威脅[i]形成的概率。

若信息系統(tǒng)資產(chǎn)[v]的價(jià)值為[Av，][AAvv=1，2，…，p；][M]為單位威脅指數(shù)損失；[RTIi]是威脅的相對(duì)威脅指數(shù)，則存在：

[MPLi=RTIi×v=1pAv×M] （2）

則有：

[REi=RTIi×v=1pAv×M×PCFij×EFi] （3）

基于信息系統(tǒng)面臨的威脅[ti，]分析歷史統(tǒng)計(jì)數(shù)據(jù)、相關(guān)報(bào)告以及專家經(jīng)驗(yàn)[7]，可獲取最高潛在損失[MPLi]值以及[PCFij]值。

采用泊松分布方法運(yùn)算威脅產(chǎn)生的頻率[EFi]。若隨機(jī)變量[X]的概率分布為：

[P（X=k）=λkk！e-λ， k=0，1，2，…，λ>0] （4）

在時(shí)間段[t]中產(chǎn)生時(shí)間數(shù)[Pk（t）]服從泊松過(guò)程，則有常數(shù)[λ>0，]使得對(duì)全部[t>0]有[8]：

[Pk（t）=（λt）kk！e-λt， k=0，1，2，…] （5）

對(duì)于不服從泊松分布的威脅發(fā)生頻率為：

[EFi=ktt] （6）

1.3.2 綜合安全態(tài)勢(shì)估計(jì)

采用模糊數(shù)學(xué)方法得到信息系統(tǒng)安全態(tài)勢(shì)估計(jì)的多因素以及單因素風(fēng)險(xiǎn)決策，分析風(fēng)險(xiǎn)的損耗程度，獲取綜合安全態(tài)勢(shì)評(píng)估值。

（1） 多個(gè)信息系統(tǒng)安全態(tài)勢(shì)模糊綜合評(píng)估。通過(guò)模糊數(shù)學(xué)方法獲取信息系統(tǒng)安全態(tài)勢(shì)估計(jì)的多因素安全決策?；谛畔⑾到y(tǒng)風(fēng)險(xiǎn)評(píng)估安全態(tài)勢(shì)估計(jì)的遞階層次結(jié)構(gòu)，獲取兩個(gè)層次的信息系統(tǒng)安全態(tài)勢(shì)集以及風(fēng)險(xiǎn)賦值評(píng)語(yǔ)集。先對(duì)全部信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行綜合評(píng)估，基于1.3.1節(jié)系統(tǒng)脆弱性及安全態(tài)勢(shì)分析獲取的威脅產(chǎn)生的頻率[EFi，]獲取信息系統(tǒng)安全態(tài)勢(shì)集[T=EFT1，T2，…，Tx，]對(duì)應(yīng)的權(quán)重集為[A=a1，a2，…，ax；]再對(duì)單個(gè)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行綜合評(píng)估[9]。信息系統(tǒng)安全態(tài)勢(shì)集為[Ti=EFiTi1，Ti2，…，Tin]，對(duì)應(yīng)的權(quán)重集為[Ai=Ai1，Ai2，…，Ain]，如果模糊集信息系統(tǒng)風(fēng)險(xiǎn)賦值評(píng)估集是[V=V1，V2，…，Vm]，基于信息風(fēng)險(xiǎn)評(píng)估安全態(tài)勢(shì)估計(jì)的特征，設(shè)置[m=5，]用于描述信息系統(tǒng)風(fēng)險(xiǎn)水平。

（2） 單個(gè)信息系統(tǒng)風(fēng)險(xiǎn)模糊綜合評(píng)估。要對(duì)各信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行單因素評(píng)判，明確信息系統(tǒng)各安全態(tài)勢(shì)對(duì)不同評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)賦值等級(jí)的隸屬度[10]，對(duì)于各[Ti，]關(guān)系[Ri]可采用模糊隸屬矩陣描述：

[Ri=（rjk）nim=r11r12…r1mr21r22…r2m????rni1rni2…rnim] （7）

式中：[rjk]用于描述信息系統(tǒng)安全態(tài)勢(shì)[Tij]對(duì)于第[k]級(jí)信息系統(tǒng)風(fēng)險(xiǎn)賦值評(píng)語(yǔ)的隸屬度，通過(guò)專家打分方法獲取[rjk]值。如果信息系統(tǒng)安全態(tài)勢(shì)[Tij]中存在[si]個(gè)第[vi]級(jí)信息系統(tǒng)風(fēng)險(xiǎn)賦值，[sn]個(gè)第[vn]級(jí)信息系統(tǒng)風(fēng)險(xiǎn)賦值，則對(duì)于[j]存在：

[rjk=skk=1msk] （8）

（3） 所有信息系統(tǒng)安全態(tài)勢(shì)的綜合評(píng)估。綜合評(píng)判信息系統(tǒng)不同的安全態(tài)勢(shì)[Ti，]采用單信息系統(tǒng)安全態(tài)勢(shì)評(píng)判[Bi]構(gòu)成模糊矩陣[R：]

[R=B1?Bm=b11…b1n???bm1…bmn] （9）

對(duì)[R]實(shí)施模糊矩陣運(yùn)算，獲取信息系統(tǒng)安全態(tài)勢(shì)集[T]對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)賦值評(píng)語(yǔ)集[V]的隸屬向量：

[B=A?R=（b1，b2，…，bm）] （10）

如果[j=1mB=bj≠1，]應(yīng)實(shí)施歸一化操作。設(shè)置[bj=bjj=1mbj，]獲取[B=（b1，b2，…，bm）]。

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)環(huán)境

通過(guò)模擬實(shí)驗(yàn)環(huán)境檢測(cè)本文方法的性能。模擬環(huán)境中存在7臺(tái)服務(wù)器，其中包括1臺(tái)郵件服務(wù)器以及1臺(tái)網(wǎng)站服務(wù)器，采用Windows Server 2003操作系統(tǒng)，各服務(wù)器中存在Nessus漏洞掃描軟件。模擬實(shí)驗(yàn)將LOIC.exe當(dāng)成攻擊產(chǎn)生的工具。實(shí)驗(yàn)包括6個(gè)過(guò)程：過(guò)程1在不存在攻擊狀態(tài)下采集威脅因子；過(guò)程2通過(guò)LOIC.exe模擬DDos攻擊，設(shè)置攻擊頻率為25次/s，過(guò)程3使攻擊頻率提升到75次/s；過(guò)程4在過(guò)程2中實(shí)施漏洞掃描，并入侵到Web服務(wù)器采集其中的數(shù)據(jù)；過(guò)程5在過(guò)程2中實(shí)施漏洞掃描，并入侵到郵件服務(wù)器采集其中的數(shù)據(jù)；過(guò)程6在過(guò)程4中中斷DDos攻擊。

2.2 實(shí)驗(yàn)結(jié)果及分析

實(shí)驗(yàn)分別檢測(cè)本文方法和傳統(tǒng)廣義神經(jīng)網(wǎng)絡(luò)方法，在不同實(shí)驗(yàn)過(guò)程中信息系統(tǒng)總安全態(tài)勢(shì)的估計(jì)值見(jiàn)表1。endprint

基于表1繪制實(shí)驗(yàn)信息系統(tǒng)安全態(tài)勢(shì)曲線圖，如圖3所示。對(duì)比分析圖3中的態(tài)勢(shì)值波動(dòng)情況可得，本文方法可有效反映出總體信息系統(tǒng)的安全狀態(tài)，并且同實(shí)際曲線基本一致，而且廣義神經(jīng)網(wǎng)絡(luò)方法估計(jì)的安全態(tài)勢(shì)曲線同實(shí)際曲線差異較高。說(shuō)明本文方法在確定模糊判斷矩陣時(shí)能夠充分調(diào)動(dòng)專家的主動(dòng)性，確保獲取的安全態(tài)勢(shì)估計(jì)值更符合實(shí)際值，態(tài)勢(shì)評(píng)估更加精準(zhǔn)。

為了對(duì)本文方法和廣義神經(jīng)網(wǎng)絡(luò)方法對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制效果進(jìn)行量化分析，實(shí)驗(yàn)先運(yùn)算安全態(tài)勢(shì)估計(jì)后對(duì)風(fēng)險(xiǎn)造成損失的減少量，再運(yùn)算損失減少量同控制成本間的比值。實(shí)驗(yàn)設(shè)置RC以及RCO兩種控制效果評(píng)估參數(shù)，則有：

[RC=風(fēng)險(xiǎn)控制前損失-風(fēng)險(xiǎn)控制后損失] （11）

[RCO=RC控制成本] （12）

為了獲取兩種方法的風(fēng)險(xiǎn)控制直觀效果，實(shí)驗(yàn)將本文方法所部署的業(yè)務(wù)流程通過(guò)模擬攻擊后的RC以及RCO參數(shù)當(dāng)成參照標(biāo)準(zhǔn)，設(shè)置量化數(shù)值是100。DDos模擬攻擊結(jié)束后，兩種方法的RC以及RCO參數(shù)值分別用表2描述。

分析表2中的數(shù)據(jù)可得，本文方法在降低信息系統(tǒng)安全損失以及調(diào)控成本方面的性能優(yōu)于廣義神經(jīng)網(wǎng)絡(luò)方法。

3 結(jié) 語(yǔ)

本文提出基于數(shù)據(jù)挖掘的信息系統(tǒng)安全態(tài)勢(shì)估計(jì)方法，實(shí)驗(yàn)結(jié)果說(shuō)明，所提方法可對(duì)信息系統(tǒng)安全態(tài)勢(shì)進(jìn)行精準(zhǔn)評(píng)估，具有重要應(yīng)用價(jià)值。

參考文獻(xiàn)

[1] 徐浩.基于大數(shù)據(jù)分析的電信基礎(chǔ)網(wǎng)安全態(tài)勢(shì)研究[J].信息安全研究，2015，1（3）：253?260.

[2] 藍(lán)灣灣，薛麗敏，趙秦豫.基于廣義RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].指揮信息系統(tǒng)與技術(shù)，2015，6（1）：6?9.

[3] 陳良維.云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全估計(jì)模型態(tài)勢(shì)仿真[J].現(xiàn)代電子技術(shù)，2015，38（20）：15?19.

[4] 余小游，曹守富，陳鐵軍，等.基于Rough?Vague集與證據(jù)理論的態(tài)勢(shì)估計(jì)方法[J].計(jì)算機(jī)工程與應(yīng)用，2016，52（10）：50?54.

[5] 高杰，龍華，邵玉斌，等.基于專利數(shù)據(jù)挖掘的我國(guó)煙草產(chǎn)業(yè)發(fā)展態(tài)勢(shì)分析[J].安徽農(nóng)業(yè)科學(xué)，2016，44（26）：240?243.

[6] 李明桂，肖毅，陳劍鋒，等.基于大數(shù)據(jù)的安全事件挖掘框架[J].通信技術(shù)，2015，48（3）：346?350.

[7] 朱利鵬，陸超，孫元章，等.基于數(shù)據(jù)挖掘的區(qū)域暫態(tài)電壓穩(wěn)定評(píng)估[J].電網(wǎng)技術(shù)，2015，39（4）：1026?1032.

[8] 孫越恒，王文俊，遲曉彤，等.基于多維時(shí)間序列模型的社會(huì)安全事件關(guān)聯(lián)關(guān)系挖掘與預(yù)測(cè)[J].天津大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2016，18（2）：97?102.

[9] 楊浩，謝昕，李卓群，等.多樣性入侵環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)模型仿真[J].計(jì)算機(jī)仿真，2016，33（6）：270?273.

[10] 顧兆軍，王蕊莉.基于改進(jìn)的模糊層次分析法的信息系統(tǒng)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與科學(xué)，2016，38（10）：2010?2017.endprint