广域网络安全态势值统计分析算法

信息安全与通信保密・２００８．７

学术研究

Ａｃａｄｅ6

7

潘兆亮，蒋兴浩，陈秀真

（上海交通大学信息安全工程学院，上海　２００２４０）

【摘 要】论文针对广域网环境下网络安全态势值的计算问题，建立了一个实际可操作的广域网态势值计算模型，并提出了一种统计分析算法，该算法通过计算各种测量值的Ｑ值，分析其历史分布，转换成对应Ｔ２值，来使得态势值具有反映一段时间内安全趋势的特性。【关键词】安全态势；广域模型；统计分析算法

【中图分类号】ＴＰ３９３ 【文献标识码】Ａ 【文章编号】１００９－８０５４（２００８）　０７－００６７－０３

A Statistical Algorithm for WAN Security Situation Value Calculation*

PAN Zhao-liang, JIANG Xing-hao, CHEN Xiu-zhen

(School of Information Security Engineering, Shanghai Jiaotong University, Shanghai 200240, China)

【Abstract 】This paper deals with the problem of generating network security situation value in WAN environment. A practical, operable new model is proposed. This model adopts a statistical analyzing algorithm to calculate Q value of various measured values. In analyzing its historical distribution, Q value can be converted to certain T 2 value, which enable the situation value to reflect the trend of network security situation in recent period.【Keywords 】security situation; WAN environment model; statistical algorithm

广域网络安全态势值统计分析算法＊

０ 引言

“安全态势”一词最早出现在军事上，用于描述复杂战场状况。大型网络同样具有一个较大范围、内部结构较复杂、受多因素影响等特征，因此，网络安全态势是对网络运行状况的宏观描述，通过建立一套可行的网络安全态势体系，可以反映一个网络过去和当前的状况，并预测下一个阶段可能的网络状态。

自Ｔｉｍ　ｂａｓｓ提出网络空间态势意识框架［１］以来，国外已经开展了很多研究，而国内研究才刚起步。西安交通大学实现了基于ＩＤＳ和防火墙的集成网安监控平台，并在文献［２］中

提出了层次化安全态势量化评估模型。北京理工大学研制了

一套基于局域网的网络安全态势评估系统。国防科技大学提出了面向大规模网络入侵检测与预警系统的基本框架。态势预测方面，上海交大和哈尔滨工程大学分别以ＲＢＦ［３］和ＧＡ－ＢＰＮＮ神经网络［４］的方式实现。本课题结合了国家８６３项目《网络安全态势综合处理系统》，对网络安全态势值的计算问题开展进一步研究，试图建立广域网范围下的态势计算模型，并引入统计分析算法，使态势值能充分反映安全变化状况。

１ 具体模型及态势值计算方法

１．１　网络安全态势值

什么是网络安全态势值？它是通过一系列数学方法处理，将海量的网络安全信息归并融合成一组或者几组的有意义的

数值。这些数值具有表现网络运行状况的特性，随着网络安全事件发生的频率、数量等的变化，该值大小也会随之产生变化。管理员通过数值变化可以判断网络是否受到威胁等。

１．２　具体模型分析

网络安全态势处理的原始数据式来源主要为：ＩＤＳ、防火墙、主机监控、反病毒。根据不同数据来源可以得到的安全态势类型也有所不同。文献［５］给出了局域子网下态势模型，

ｅａｒｃｈ

学术研究

ｗｗｗ．ｃｉｓｍａｇ．ｃｏｍ．ｃｎ

68

而当一个网络包括有多个子网的时候，总网络态势数据的产生需要进一步的汇总模型，如图１所示。

１．３　态势值计算过程

上述模型下的态势值计算，主要是先将事件发生的频率进行统计，然后根据不同安全事件类型，赋予不同的权值，最后将频率乘以其权值做加权平均。权值的定义和计算可采用Ｄｅｌｐｈｉ法加模糊层次分析法来确定，限于篇幅本文不详细阐述。文献［２］对单位时间内单个服务、单个主机以及单个子网的安全态势值计算给出了描述。文中为扩大态势的计算范围，引入新的态势计算值及方法如下：

（１）　多级网络中的总体安全态势：

＋

y ｀T ｀。T LAN x 表示下级某子网态势值，y x 表示该子网权重，b 表示子网个数，y ｀表示本地网络的权重，且，T ｀为

本地网络的安全态势值。

（２）　一个时间段的某类安全态势值：

。T x 表示单位时间的安全态势值，δx 表示不同单位时间内的权值，d 表示这个时间段由多少单位时间组成。由此可得每小时、每天、每月、每年的态势值，并可形成一个历史值库。同时，还可以根据各时间点、人们关注度的不同调节其权值，比如每天８：００－１８：００为重要安全时段，２３：００－２：００为关注度相对较低时段等。

（３）　综合安全态势计算：

。T m 表示不同

类型的安全态势数据，αm 为权值，k 为类别数目，βm 为调节系数。通过不同方式获得的原始数据，它的数量级可能存在差异，需要进行一定调整。

２ 态势统计分析算法

通过前述计算方法，可得出某特定时间段内态势值，该值具有实时特性，可帮助管理员获悉当前安全状况。但由于网络

状况波动较大，用实时值反映的网络安全数据往往对管理员的判断有所误导，不能反映网络状况一段时间内总体态势走向变化，需要管理员参考之前的数据来进行综合判断。因此，本课题提出一个统计分析的算法，首先引入态势测量值的概念。

２．１　态势测量值

系统使用特定的态势测量值，来决定所观测到的安全事件中体现的安全域当前状态与过去或者可接受状态对比是否异常。一种测量值反映目标安全域上主体行为的一个特定方面。目前所用的测量值为：

（１）　序数测量值，可分为病毒疫情、网络攻击、主机异

常三种情况，指示安全事件之间的时间增量。

（２）　类别测量值，主要分为安全事件物理位置、病毒事件、网络端口异常事件、主机异常事件、以小时计和以天计的安全事件，以其名称代表的含义进行分类。

（３）　安全事件分布测量值，负责计算所有安全事件类型在最近历史时间内的分布情况。

（４）　安全事件强度测量值，代表一定时间内安全域所处理的安全事件数目。

２．２　统计分析算法

每一个安全事件，经计算生成一个单独的测试统计值（总体安全态势指数），用来表明最近安全域的总体态势情况。每一个评测值都是基于近期安全行为，这些评测值不是相互独立的。

T ２是一个对多个测量值异常度的综合评价。假设有n 个

组成测量值，每个测量值为S i ，１≤i ≤n 。S i 与S j 之间的相关性表示为C i ，j ，１≤i ，j ≤n ，T ２定义为：T ２＝（S １，S ２，…，S n ）C －１（S １，S ２，…，S n ）t 。C －１是（S １，S ２，…，S n ）相关矩阵的逆矩阵，（S １，S ２，…，S n ）t 为转置向量，当S i 不相关时，T ２值简化为S １２＋S ２２＋…＋S n ２；当相关性非零时，T ２为一个考虑向量S i 相关性的复杂函数。当前分析方法将统计值T ２的表达式简化为S i 的平方和，即：T ２＝a １　S １２＋S ２２＋…＋a n S n ２，a i （１≤i ≤n ）是由管理员指定的正系数，每一个S 是从一个对应的称为Q 的统计值中变换得到的。从Q 到S 的变换需要关于Q 的历史分布的知识，使得历史上少见的Q 值映射为大的正值，而反之映射为接近于０的值。各种S 值的映射变换

需要根据系统的具体实现而定，可以使用粗糙集或灰度理论来解决，下面讨论Q 值的计算。

２．３　各类测量值Q 值的计算方法

（１）　安全事件强度测量值的Q 值。每一个安全事件强度Q 值在每一个新安全事件生成时进行更新。设Q n 为生成第n 个事件后的Q 值，Q n ＋１为第n ＋１个安全事件后的Q 值：Q n ＋１＝１＋２－rt Q n 。

①　t 表示第n 个和第n ＋１个安全事件之间的时间间隔。

图

１ 多子网网络态势值汇总结构