基于知识发现的网络安全态势感知系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第3 9卷 第7期 2 0 1 2年7月
计 算 机 科 学 C o m u t e r c i e n c e S p
V o l . 3 9N o . 7 J u l 2 0 1 2 y
基于知识发现的网络安全态势感知系统
2 2 2 1 王春雷1, 方 兰 王东霞 戴一奇 1 ( ) 清华大学计算机科学与技术系 北京 1 0 0 0 8 4 2 ( ) 北京系统工程研究所信息系统安全技术重点实验室 北京 1 0 0 1 0 1
, A b s t r a c t e t w o r k s e c u r i t a d m i n i s t r a t o r s n e e d t o o b t a i n a n d a n a l z e n e t w o r k s e c u r i t s i t u a t i o n f o r m a n a e m e n t m a i n N - y y y g , , , l a n n i n u r o s e s . T h e t e n a n c e a n d c o m l e x i t i e s a n d d i v e r s i t i e s o f s e c u r i t a l e r t d a t a o n m o d e r n n e t w o r k s h o w e v e r p g p p p y m a k e t h e r e c i s e a n a l s i s a n d e v a l u a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n e x t r e m e l d i f f i c u l t . W e s u mm a r i z e d t h e r e s e a r c h p y y y , r o r e s s a n d e x i s t i n o f n e t w o r k s e c u r i t s i t u a t i o n a w a r e n e s s a n d a n e t w o r k s e c u r i t s i t u a t i o n m o r o b l e m s r o o s e d - p g g y y p p p , d e l i n a n d f r a m e w o r k b a s e d o n k n o w l e d e d i s c o v e r . T h e nw e d e s i n e d a n d i m l e m e n t e d t h e n e t w o r k s e c u r e n e r a t i o n - g g y g p g i t s i t u a t i o n a w a r e n e s s s s t e m( N e t S S A) b a s e d o n t h i s f r a m e w o r k. N e t S S A c o n s i s t s o f t h e m o d e l i n o f n e t w o r k s e c u r - - - y y g i t s i t u a t i o n a n d t h e e n e r a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n . T h e u r o s e o f m o d e l i n i s t o c o n s t r u c t t h e f o r m a l m o d e l y g y p p g , o f n e t w o r k s e c u r i t s i t u a t i o n m e a s u r e m e n t b a s e d u o n t h e D S e v i d e n c e t h e o r a n d s u o r t t h e e n e r a l r o c e s s o f f u - - y p y p p g p s i n a n d a n a l z i n s e c u r i t a l e r t e v e n t s c o l l e c t e d f r o m s e c u r i t s i t u a t i o n s e n s o r s . T h e n e t w o r k s e c u r i t s i t u a t i o n i s e n - g y g y y y g e r a t e d b e x t r a c t i n t h e f r e u e n t a t t e r n s a n d s e u e n t i a l a t t e r n s f r o m t h e d a t a s e t o f n e t w o r k s e c u r i t s i t u a t i o n b a s e d y g q p q p y k n o w l e d e d i s c o v e r m e t h o d s a n d t r a n s f o r m i n t h e s e a t t e r n s t o t h e c o r r e l a t i o n r u l e s o f n e t w o r k s e c u r i t s i t u a u o n - g y g p y p t i o n, a n d f i n a l l a u t o m a t i c a l l c o n s t r u c t i n t h e n e t w o r k s e c u r i t s i t u a t i o n r a h. T h e e x e r i m e n t a l r e s u l t s s h o w t h a t t h e y y g y g p p s s t e m s u o r t s t h e a c c u r a t e m o d e l i n a n d e f f e c t i v e o f n e t w o r k s e c u r i t s i t u a t i o n . e n e r a t i o n y p p g y g , , , , K e w o r d s e t w o r k s e c u r i t S e c u r i t s i t u a t i o n m o d e l i n S e c u r i t s i t u a t i o n e n e r a t i o n D a t a m i n i n K n o w l e d e d i s N - y y g y g g g y c o v e r y 有较高的误报率和漏报率 。 网络安全态势感知是解决这些 问 题的有效途径, 即通过在一定时间及空间范围内感知所发生 的网络安全事件 , 针对安全数据进行综合处理 , 分析系统受 到 , 的攻击行为 , 提供网络安全的 “ 全局视图 ” 评估网络系统 的 整 体安全状态和推测未来的安全趋势 。 网络安全态势感知在安全告警事件的基础上提供统一 的 网络安全高层视图, 使安全管理员能够快速准确地把握网络
摘 要 由于网络安全告警数据的复杂性和多样性 , 使得 难 以 精 确 地 分 析 和 评 估 网 络 安 全 态 势 。 通 过 总 结 网 络 安 全 态势感知的最新研究进展和现存问题 , 提出了一种基于知识发现的网络安全态势建模与生成框架 , 在该框架的基 础 上 设计并实现了网络安全态势感知系统 N e t S S A。 该系统主要由安全态势建模和安全态势生成两部分组 成 。 安 全 态 势 - 建模就是基于 D 用于支持态势传感器的安全事件融合和关联 S 证据理论构建适应于度量网络安全态势的形 式 模 型 , - 分析 。 安全态势生成就是通过知识发现方法 , 挖掘网络安全态势数据集中的频繁模式和序列模式 , 并且将其转化 成 安 全态势的关联规则 , 从而支持网络安全态势图的自动生成 。 通过相应的实验过程和结果分析 , 表明该系统能够支 持 网 络安全态势的准确建模和高效生成 。 关键词 网络安全 , 安全态势建模 , 安全态势生成 , 数据挖掘 , 知识发现 中图法分类号 T P 3 9 3 文献标识码 A
到稿日期 : 2 0 1 1 0 7 2 7 2 0 1 1 1 0 2 3 - - 返修日期 : - - , : ; , 王春雷 ( 男, 博士生 , 主要研究方向为软件安 全 等 , 方 兰( 女, 硕 士, 主要研究方向为 1 9 7 7- ) E-m a i l w c l 0 8@ m a i l s . t s i n h u a . e d u. c n 1 9 7 6- ) g , , 网络安全 、 网络管理等 ; 王东霞 ( 女, 研究员 , 主要研究方向为网络安全 ; 戴一奇 ( 男, 教授 , 博士生导师 , 主要研究方向为密码学 1 9 7 4- ) 1 9 4 6- ) 和网络信息安全 。
1 引言
网络系统面临不断 变 化 的 蠕ቤተ መጻሕፍቲ ባይዱ虫 病 毒 、 大规模网络攻击等 、 安全威胁 。 传统的网络安全设 备 , 如入侵检测系统( 防 I D S) 火墙和网络扫描器等 , 通常以独立方式工作 , 在解释告警事 件 并决定做出适当的响应时 , 不能准确 、 有效地发现和利用事 件 之间存在的关联关系 , 从而导致众多的不确定性 , 并且设备 具
N e t w o r k S e c u r i t S i t u a t i o n A w a r e n e s s S s t e m B a s e d o n K n o w l e d e D i s c o v e r y y g y
12 2 2 1 WANG C h u n l e i ANG L a n D o n x i a A I Y i i - F WANG - D - g q 1 ( , , ) D e a r t m e n t o f C o m u t e r S c i e n c e a n d T e c h n o l o T s i n h u a U n i v e r s i t B e i i n 1 0 0 0 8 4, C h i n a p p g y g y j g 2 ( , , ) S c i e n c e a n d T e c h n o l o o n I n f o r m a t i o n S s t e m S e c u r i t L a b o r a t o r B e i i n I n s t i t u t e o f S s t e m a n d E n i n e e r i n B e i i n 1 0 0 1 0 1, C h i n a g y y y y j g y g g j g ,
计 算 机 科 学 C o m u t e r c i e n c e S p
V o l . 3 9N o . 7 J u l 2 0 1 2 y
基于知识发现的网络安全态势感知系统
2 2 2 1 王春雷1, 方 兰 王东霞 戴一奇 1 ( ) 清华大学计算机科学与技术系 北京 1 0 0 0 8 4 2 ( ) 北京系统工程研究所信息系统安全技术重点实验室 北京 1 0 0 1 0 1
, A b s t r a c t e t w o r k s e c u r i t a d m i n i s t r a t o r s n e e d t o o b t a i n a n d a n a l z e n e t w o r k s e c u r i t s i t u a t i o n f o r m a n a e m e n t m a i n N - y y y g , , , l a n n i n u r o s e s . T h e t e n a n c e a n d c o m l e x i t i e s a n d d i v e r s i t i e s o f s e c u r i t a l e r t d a t a o n m o d e r n n e t w o r k s h o w e v e r p g p p p y m a k e t h e r e c i s e a n a l s i s a n d e v a l u a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n e x t r e m e l d i f f i c u l t . W e s u mm a r i z e d t h e r e s e a r c h p y y y , r o r e s s a n d e x i s t i n o f n e t w o r k s e c u r i t s i t u a t i o n a w a r e n e s s a n d a n e t w o r k s e c u r i t s i t u a t i o n m o r o b l e m s r o o s e d - p g g y y p p p , d e l i n a n d f r a m e w o r k b a s e d o n k n o w l e d e d i s c o v e r . T h e nw e d e s i n e d a n d i m l e m e n t e d t h e n e t w o r k s e c u r e n e r a t i o n - g g y g p g i t s i t u a t i o n a w a r e n e s s s s t e m( N e t S S A) b a s e d o n t h i s f r a m e w o r k. N e t S S A c o n s i s t s o f t h e m o d e l i n o f n e t w o r k s e c u r - - - y y g i t s i t u a t i o n a n d t h e e n e r a t i o n o f n e t w o r k s e c u r i t s i t u a t i o n . T h e u r o s e o f m o d e l i n i s t o c o n s t r u c t t h e f o r m a l m o d e l y g y p p g , o f n e t w o r k s e c u r i t s i t u a t i o n m e a s u r e m e n t b a s e d u o n t h e D S e v i d e n c e t h e o r a n d s u o r t t h e e n e r a l r o c e s s o f f u - - y p y p p g p s i n a n d a n a l z i n s e c u r i t a l e r t e v e n t s c o l l e c t e d f r o m s e c u r i t s i t u a t i o n s e n s o r s . T h e n e t w o r k s e c u r i t s i t u a t i o n i s e n - g y g y y y g e r a t e d b e x t r a c t i n t h e f r e u e n t a t t e r n s a n d s e u e n t i a l a t t e r n s f r o m t h e d a t a s e t o f n e t w o r k s e c u r i t s i t u a t i o n b a s e d y g q p q p y k n o w l e d e d i s c o v e r m e t h o d s a n d t r a n s f o r m i n t h e s e a t t e r n s t o t h e c o r r e l a t i o n r u l e s o f n e t w o r k s e c u r i t s i t u a u o n - g y g p y p t i o n, a n d f i n a l l a u t o m a t i c a l l c o n s t r u c t i n t h e n e t w o r k s e c u r i t s i t u a t i o n r a h. T h e e x e r i m e n t a l r e s u l t s s h o w t h a t t h e y y g y g p p s s t e m s u o r t s t h e a c c u r a t e m o d e l i n a n d e f f e c t i v e o f n e t w o r k s e c u r i t s i t u a t i o n . e n e r a t i o n y p p g y g , , , , K e w o r d s e t w o r k s e c u r i t S e c u r i t s i t u a t i o n m o d e l i n S e c u r i t s i t u a t i o n e n e r a t i o n D a t a m i n i n K n o w l e d e d i s N - y y g y g g g y c o v e r y 有较高的误报率和漏报率 。 网络安全态势感知是解决这些 问 题的有效途径, 即通过在一定时间及空间范围内感知所发生 的网络安全事件 , 针对安全数据进行综合处理 , 分析系统受 到 , 的攻击行为 , 提供网络安全的 “ 全局视图 ” 评估网络系统 的 整 体安全状态和推测未来的安全趋势 。 网络安全态势感知在安全告警事件的基础上提供统一 的 网络安全高层视图, 使安全管理员能够快速准确地把握网络
摘 要 由于网络安全告警数据的复杂性和多样性 , 使得 难 以 精 确 地 分 析 和 评 估 网 络 安 全 态 势 。 通 过 总 结 网 络 安 全 态势感知的最新研究进展和现存问题 , 提出了一种基于知识发现的网络安全态势建模与生成框架 , 在该框架的基 础 上 设计并实现了网络安全态势感知系统 N e t S S A。 该系统主要由安全态势建模和安全态势生成两部分组 成 。 安 全 态 势 - 建模就是基于 D 用于支持态势传感器的安全事件融合和关联 S 证据理论构建适应于度量网络安全态势的形 式 模 型 , - 分析 。 安全态势生成就是通过知识发现方法 , 挖掘网络安全态势数据集中的频繁模式和序列模式 , 并且将其转化 成 安 全态势的关联规则 , 从而支持网络安全态势图的自动生成 。 通过相应的实验过程和结果分析 , 表明该系统能够支 持 网 络安全态势的准确建模和高效生成 。 关键词 网络安全 , 安全态势建模 , 安全态势生成 , 数据挖掘 , 知识发现 中图法分类号 T P 3 9 3 文献标识码 A
到稿日期 : 2 0 1 1 0 7 2 7 2 0 1 1 1 0 2 3 - - 返修日期 : - - , : ; , 王春雷 ( 男, 博士生 , 主要研究方向为软件安 全 等 , 方 兰( 女, 硕 士, 主要研究方向为 1 9 7 7- ) E-m a i l w c l 0 8@ m a i l s . t s i n h u a . e d u. c n 1 9 7 6- ) g , , 网络安全 、 网络管理等 ; 王东霞 ( 女, 研究员 , 主要研究方向为网络安全 ; 戴一奇 ( 男, 教授 , 博士生导师 , 主要研究方向为密码学 1 9 7 4- ) 1 9 4 6- ) 和网络信息安全 。
1 引言
网络系统面临不断 变 化 的 蠕ቤተ መጻሕፍቲ ባይዱ虫 病 毒 、 大规模网络攻击等 、 安全威胁 。 传统的网络安全设 备 , 如入侵检测系统( 防 I D S) 火墙和网络扫描器等 , 通常以独立方式工作 , 在解释告警事 件 并决定做出适当的响应时 , 不能准确 、 有效地发现和利用事 件 之间存在的关联关系 , 从而导致众多的不确定性 , 并且设备 具
N e t w o r k S e c u r i t S i t u a t i o n A w a r e n e s s S s t e m B a s e d o n K n o w l e d e D i s c o v e r y y g y
12 2 2 1 WANG C h u n l e i ANG L a n D o n x i a A I Y i i - F WANG - D - g q 1 ( , , ) D e a r t m e n t o f C o m u t e r S c i e n c e a n d T e c h n o l o T s i n h u a U n i v e r s i t B e i i n 1 0 0 0 8 4, C h i n a p p g y g y j g 2 ( , , ) S c i e n c e a n d T e c h n o l o o n I n f o r m a t i o n S s t e m S e c u r i t L a b o r a t o r B e i i n I n s t i t u t e o f S s t e m a n d E n i n e e r i n B e i i n 1 0 0 1 0 1, C h i n a g y y y y j g y g g j g ,