有关网络安全的态势感知系统研究摘要：文章通过总结网络安全态势感知的现存问题，提出了一种基于知识发现的网络安全态势建模与生成框架，在该框架的基础上设计并实现了网络安全态势感知系统。该系统主要由安全态势建模和安全态势生成两部分组成。关键词：网络安全安全态势建模安全态势生成知识发现网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图，使安全管理员能够快速准确地把握网络当前的安全状态，并以此为依据采取相应的措施。实现网络安全态势感知，需要在广域网环境中部署大量的、多种类型的安全传感器，来监测目标网络系统的安全状态。通过采集这些传感器提供的信息，并加以分析、处理，明确所受攻击的特征，包括攻击的来源、规模、速度、危害性等，准确地描述网络的安全状态，并通过可视化手段显示给安全管理员，从而支持对安全态势的全局理解和及时做出正确的响应。1.网络安全态势建模安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型，以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段，通过告警事件的规格化，将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器，并且告警事件的格式各异，例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件，将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型，针对每个原始告警事件进行预处理，将其转换为标准的格式，各个属性域被赋予适当的值。在态势数据处理阶段，将规格化的传感器告警事件作为输入，并进行告警事件的精简、过滤和融合处理。其中，事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中，IDS可能对各端口的每个扫描包产生检测事件，通过维护一定时间窗口内的事件流，对同一来源、同一目标主机的同类事件进行合并，以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件，这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如，将关键属性空缺或不满足要求范围的事件除去，因为这些事件不具备态势分析的意义。另外，通过对事件进行简单的确认，可以区分成功攻击和无效攻击企图。在事件的过滤处理时，无效攻击企图并不被简单地丢弃，而是标记为无关事件，因为即使是无效攻击也代表着恶意企图，对最终的全局安全状态会产生某种影响。通过精简和过滤，重复的安全事件被合并，事件数量大大减少而抽象程度增加，同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的，其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度，融合多个属性对网络告警事件进行量化评判，从而有效降低安全告警事件的误报率和漏报率，并且可以为网络安全态势的分析、推理和生成提供支持。2.网络安全态势生成2.1知识发现的关联规则提取用于知识发现的数据来源主要有两个：模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性，这个过程难以完全依赖于人工来完成。可以通过知识发现的方法，针对安全告警事件集进行模式挖掘、模式分析和学习，以实现安全态势关联规则的提取。2.2安全告警事件精简和过滤通过实验观察发现，安全传感器的原始告警事件集中存在大量无意义的频繁模式，而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现，必然产生很多无意义的知识。因此，需要以D-S证据理论为基础建立告警事件筛选机制，根据告警事件的置信度进行程序的统计分析。首先，利用程序自动统计各类安全事件的分布情况。然后，利用D-S证据理论，通过精简和过滤规则评判各类告警事件的重要性，来删除无意义的事件。2.3安全态势关联规则提取在知识发现过程中发现的知识，通过加入关联动作转化为安全态势的关联规则，用于网络安全态势的在线关联分析。首先，分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则，如果该规则所揭示的规律与某种正常访问相关，则将其加入删除动作，并转化成安全告警事件的过滤规则。接着，分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关，形成攻击事件的组合规则，则增加新的安全攻击事件。最后，将形成的关联规则转化成形式化的规则编码，加入在线关联知识库。3.网络安全态势生成算法网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系