一种层次化网络安全态势评估方法.docVIP

一种层次化网络安全态势评估方法 　　摘要：随着网络规模不断扩大，基于单台主机或单个局域网的态势评估方法在运行效率和准确性上已无法满足要求。针对此问题，本文设计了一种基于网络流的层次化网络安全态势评估方法，将网络划分为主机层、子网层和全网层三个层次，依次抽取网络流特征进行建模，并利用其发现网络中存在的异常行为及来源。实践证明，该方法具有良好的应用前景。 　　关键词：网络安全态势评估 网络流特征 层次化 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）05-0000-00 　　1引言 　　网络安全态势评估是一种新型的网络安全技术，能够从宏观上提供清晰的网络安全状态信息，并对安全状态的发展趋势进行预测。与传统的基于告警记录的态势评估相比，基于网络流的态势评估通过对全网流量信息采取合适特征进行描述，分析发现网络中存在的异常行为，能够更快更准确地把握当前的网络安全状态，具有良好的应用价值。 　　2层次化网络安全态势评估方法 　　现有的基于网络流的态势评估大都以单台主机或单个局域网为核心实施对网络流的监控，通过某个一维时间序列的异常变化来检测异常行为，但某些异常行为（如DDoS）在单个序列上并不一定具有明显的表现。如果将多个序列作为一个整体进行研究时，异常就有可能显现出来。基于这一思想，本文提出了一种层次化的网络安全态势评估方法，将网络划分为主机层、子网层和全网层三个层次，依次评估网络安全态势。随着网络规模扩大，将各子网安全态势分开检测评估，再综合得到整体安全态势，能够有效提高安全态势评估的精度和效率。 　　该方法在流程上可分为网络流划分、特征提取、异常检测和安全态势指数聚合四个阶段。 　　2.1 网络流划分 　　基本过程是： 　　步骤一：利用部署在网络中的流量监测设备获取网络流数据。这里的网络流指的是一组具有相同五元组取值的分组序列。 　　步骤二：依据网络流数据完成子网划分。本文采用CPM算法识别网络中的子网：将网络终端（主机、服务器、各种有IP地址的设备）视为节点，节点与节点之间的连接关系（设备间的网络流）视为边，则网络可被抽象成一个由点和边组成的图。假设网络簇由多个相邻的k-团组成，相邻的两个k-团至少共享k？1个节点，每个k-团唯一地属于某个网络簇，但属于不同网络簇的k-团可能会共享某些节点。对给定的参数K，计算出网络中的全部k-团（k≤K）以建立团-团重叠矩阵，并利用该矩阵计算出重叠网络簇，重叠网络簇即所划分的子网。 　　步骤三：依据子网结构将网络流分为与子网相关的流。如果流的源和目的地址都在某子网中，则被划分为该子网内部流；若只有源或目的地址在子网中则被划分为外部流。 　　2.2 特征提取 　　基本过程是：从子网内部流与外部流中分别提取子网内部特征和外部特征，用于检测子网内部和外部之间的异常。 　　本文主要提取了五类网络流特征： 　　（1）计数型特征：某属性在单位时间内出现的不重复值的个数，如单位时间内出现的不同源地址个数。 　　（2）流量特征：单位时间各种属性对应的数据包数或字节数之和，如单位时间内的总数据包数，某协议对应的总字节数等。 　　（3）度型特征：某属性的特定值对应的另一属性的特征值个数。对子网来说就是子网的出入度，即向子网发起（或接收子网发起）链接的不同地址（端口）的个数，如子网的源地址出度，即是单位时间内以子网内部IP为源地址的链接的个数。 　　（4）均数型特征：单位时间某属性对应的平均数据包或字节数。 　　（5）复合型特征：将前述特征通过简单统计得到。如IP地址、端口等信息熵。 　　2.3 异常检测 　　基本过程是：对网络流进行异常检测，计算主机层及子网层安全态势指数，并分析引起异常的具体时间和来源。 　　本文采用基于层次聚类的异常检测方法。其基本思想是：对于已标记过异常流量的网络流样本集，首先计算每个特征的特征熵与特征比，把平均流大小、平均分组大小、每个特征的特征熵和特征比作为特征属性，用来刻画异常事件的类型，即每个样本由一个包含m项网络流特征的属性向量来表示。把属性向量间的相关系数作为相似性度量方式，在相似性最大的原则下进行类的合并，迭代直到所有对象在一个类中或满足某个终止条件。通过训练已标记的异常流量构建分类树，在相似性最大的原则下进行类的合并，并利用特征属性的学习建立分类模型。 　　异常检测算法利用建立的分类树把相似的异常嵌入在子树中，并输出与子树中其他叶子节点相同的标记类型，从而完成异常事件的检测。对单台主机或子网流量进行流量异常检测即可以得到其安全态势指数。 　　2.4 安全态势指数聚合 　　基本过程是：把各层子网的安全态势指数聚合成为全网的安全态势值，再根据各子网的重要程度对同一层次子网安全态