資源描述:
《外文文獻(xiàn)--中文翻譯》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架摘要:由于以往的安全警戒事件,網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供了獨(dú)特的高級(jí)別安全觀。但基于網(wǎng)絡(luò)的安全警報(bào)數(shù)據(jù)的復(fù)雜性和多樣性使得對(duì)其作分析極為困難。在本文中,我們分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中存在的問題,并提出了基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架。該框架包括網(wǎng)絡(luò)安全態(tài)勢(shì)模型生成、網(wǎng)絡(luò)安全態(tài)勢(shì)產(chǎn)生。建模的目的,是構(gòu)建基于d-s理論的網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)的形式化模型,并支持融合和分析來(lái)自于傳感器安全態(tài)勢(shì)的安全警報(bào)事件的一般化過程。新一代網(wǎng)絡(luò)安全態(tài)勢(shì)就是從基于知識(shí)發(fā)現(xiàn)方法的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)集中提
2、取出頻繁模式和序列模式,并把這些模式轉(zhuǎn)換為網(wǎng)絡(luò)安全態(tài)勢(shì)的相關(guān)規(guī)則,最后自動(dòng)生成網(wǎng)絡(luò)安全態(tài)勢(shì)圖。集成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)(Net-SSA)的應(yīng)用表明,這種框架支持網(wǎng)絡(luò)安全態(tài)勢(shì)模型的精確生成和有效發(fā)展。關(guān)鍵詞:網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;數(shù)據(jù)挖掘;知識(shí)發(fā)現(xiàn)一、引言傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,如入侵檢測(cè)系統(tǒng)(IDS),防火墻,安全掃描器彼此獨(dú)立運(yùn)作,它們幾乎沒有自己所要保護(hù)的網(wǎng)絡(luò)資源的信息。由于缺乏信息,在對(duì)安全警告作解釋和對(duì)相應(yīng)的態(tài)勢(shì)作出決策時(shí),它往往給出很多模棱兩可的答案。網(wǎng)絡(luò)系統(tǒng)遭受各種安全威脅,包括網(wǎng)絡(luò)蠕蟲、大規(guī)模的網(wǎng)
3、絡(luò)攻擊等,網(wǎng)絡(luò)安全態(tài)勢(shì)感知是解決這些問題的有效途徑。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一般過程就是,感知發(fā)生在一定時(shí)間段和網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全事件,綜合處理安全數(shù)據(jù),分析系統(tǒng)所受到攻擊行為,提供全局的網(wǎng)絡(luò)安全觀,評(píng)估整體的安全態(tài)勢(shì)并預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)安全趨勢(shì)。在實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知時(shí)存在著一些困難,如下:(1)從各種安全傳感器生成的警報(bào)事件數(shù)量是巨大的,假陽(yáng)性率太高。(2)由于大規(guī)模網(wǎng)絡(luò)攻擊(例如:DDos)所產(chǎn)生的瑣碎的安全警報(bào)非常復(fù)雜,并且它們之間的關(guān)系難以確定。(3)安全傳感器產(chǎn)生的警報(bào)事件數(shù)據(jù)類型數(shù)量巨大,然而對(duì)警報(bào)事
4、件進(jìn)行處理時(shí)警報(bào)處理程序得不到足夠的信息,而且自動(dòng)獲取這些信息是相當(dāng)困難的。在本文中,我們總結(jié)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究過程,提出了一個(gè)基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的框架,并應(yīng)用到我們的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)(NET-SSA)。本文其余部分組織如下:第2節(jié)介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念和功能,并總結(jié)了該領(lǐng)域的相關(guān)研究;第3節(jié)提出我們的“基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架”;第4節(jié)演示實(shí)驗(yàn)結(jié)果,第5節(jié)總結(jié)今后的工作方向。一、基本概念和相關(guān)工作A.基本概念為方便描述和避免混淆,相關(guān)的名詞定義如下:安全態(tài)勢(shì):它指的
5、是處于監(jiān)督狀態(tài)的網(wǎng)絡(luò)的整體安全狀況,在一定的時(shí)間窗口遭受的網(wǎng)絡(luò)攻擊,對(duì)整個(gè)網(wǎng)絡(luò)安全的影響。一般來(lái)說(shuō),安全態(tài)勢(shì)的信息,包括兩個(gè)方面,時(shí)間維度和空間分布維度。安全事件:它是指由各種網(wǎng)絡(luò)安全態(tài)勢(shì)傳感器產(chǎn)生和由網(wǎng)絡(luò)入侵或檢測(cè)參數(shù)超出閾值產(chǎn)生的警報(bào)事件。它可以表示成一個(gè)多元組={detectTim,eventTyp'attac,srcI,desI,srcPor,desPor,protoco,sensorI,confidenc,severit,othe}。其中,detectTimei指警報(bào)事件發(fā)生的時(shí)間;eventT
6、ypei是指警報(bào)事件的類型,attacki是指攻擊檢測(cè)警報(bào)所屬的類;srcI和Desi指警報(bào)事件的源和目的地址;srcPorti和desPorti指警報(bào)事件的源和目的端口;protocol指協(xié)議類型;sensorID是指?jìng)鞲衅鳈z測(cè)到的事件;confidencei是指警報(bào)的事件的可信率;severit是指警報(bào)事件的嚴(yán)重級(jí)別;otheri是指警報(bào)事件的其他信息。安全態(tài)勢(shì)建模:它指的是分析各種安全傳感器所產(chǎn)生的警報(bào)事件,并最終產(chǎn)生全局網(wǎng)絡(luò)安全態(tài)勢(shì)的過程。它包括以下功能:事件簡(jiǎn)化:[,,,…,],簡(jiǎn)化其中有重復(fù)定
7、義或并發(fā)性關(guān)系的冗余警報(bào)事件,以減少有效警報(bào)的數(shù)量。事件過濾:[,P()H],警報(bào)事件已被刪除或標(biāo)記為無(wú)關(guān)的事件,如果屬性P()不屬于H的某個(gè)合法集。如果一些鍵的屬性丟失或者超出預(yù)定義范圍,警報(bào)事件就會(huì)被刪除。事件融合:,利用信息融合技術(shù)(如D-S證據(jù)理論的),它主要解決了碰撞警報(bào)和警報(bào)合并使用的問題,從而提高警報(bào)事件的可信率,降低假陽(yáng)性率。事件關(guān)聯(lián):[,,,…,],當(dāng)前的網(wǎng)絡(luò)安全事件,活動(dòng)和情況,可以從不同類型的警報(bào)事件源所使用的數(shù)學(xué)或啟發(fā)式方法推斷出來(lái),從而提高檢出率,降低假陰性率。狀態(tài)評(píng)估:它指的是
8、對(duì)來(lái)自于多層次的基于空間和時(shí)間維度中的分布式攻擊行為和網(wǎng)絡(luò)資源的作用的安全狀態(tài)評(píng)估。知識(shí)發(fā)現(xiàn)(KD):它是指確定來(lái)自于從傳感器收集到的安全事件集的新模式的非平凡過程,這些傳感器易于理解,而且對(duì)于獲知安全狀況很有用。知識(shí)發(fā)現(xiàn)的目的是提取安全事件的融合和關(guān)聯(lián)所需要的規(guī)則。安全狀態(tài)產(chǎn)生:在網(wǎng)絡(luò)安全狀態(tài)感知的過程中,安全局勢(shì)的模型是標(biāo)準(zhǔn)化的,受限制的,可推斷的,正確的,通過從知識(shí)發(fā)現(xiàn)中獲取的模式信息進(jìn)行補(bǔ)充,最后生成的全局網(wǎng)絡(luò)的安全狀