CN105357063B - 一种网络空间安全态势实时检测方法 - Google Patents

Abstract

本发明公开了一种网络空间安全态势实时检测方法，包括以下步骤：原始特征提取，从网络中获取原始网络数据包特征；多尺度熵计算，在不同的时间尺度下计算原始数据包特征序列的样本熵；检测器训练，在不同的时间尺度下，利用样本熵特征向量和否定选择算法训练产生成熟的免疫检测器；网络威胁安全检测，在不同的时间尺度下，利用训练成熟的免疫检测器对网络样本进行检测；网络安全态势计算，计算不同时间尺度和网络层次下的网络安全态势；态势可视化，在不同的时间和网络层次下，用不同颜色的曲线图表示网络安全态势。本发明考虑的时间尺度更全面，融合层次更高，态势评估结果更精确，能够描述网络行为的复杂特征，能够细粒度的刻画网络威胁行为的全过程。

Description

一种网络空间安全态势实时检测方法

技术领域

本发明涉及信息安全技术领域，特别是涉及一种网络空间安全态势实时检测方法。

背景技术

随着互联网规模和应用领域的不断发展，其基础性、全局性的地位逐渐增强。同时，网络攻击和破坏行为日益增多，且逐渐呈现出组织严密化、行为趋利化和目标直接化的特点。而现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备，由于它们彼此间缺乏有效协作，使得各类安全设备的效能无法得到充分发挥，网络安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Cyberspace SecuritySituation Awareness，CSSA)在此背景下产生，目的是从总体上把握网络运行的安全状况及未来的发展趋势，实时感知当前网络所面临的各种威胁，为及时、准确地采取应对措施提供决策依据，从而将网络威胁带来的风险和损失降至最低。

国外众多研究机构已开始着手研制网络安全态势感知应用系统。美国国家能源研究科学计算中心(NERSC)领导的劳伦斯伯克利国家实验室(Lawrence Berkeley NationalLabs)开发了“Spinning Cube of Potential Doom”系统，该系统为了能尽可能多的显示网络中实时存在的信息，通过在三维空间中用点来表示网络流量信息实现了态势可视化并有效地提高了态势感知能力。卡耐基.梅隆大学软件工程部(CMU/SEI)领导CERT/NetSA(CERTNetworkSituational Awareness Group)开发了SILK(the System for Internet-LevelKnowledge)，该系统采用集成化思想，通过多种策略把现有的Netflow工具集成在一起，对大规模网络安全态势状况进行实时监控和安全分析。美国国家高级安全系统研究中心(NationalCenter for Advanced Secure Systems Research,NCASSR)开发安全事件融合工具的集成框架SIFT(Security Incident Fusion Tool)为互联网提供安全态势感知，目前SIFT包含的态势感知软件包括：VISionIP，VisFlowConnect-IP，UCLog+等。VISionIP和VisFlowConnect-IP分别通过系统状态和网络连接分析可视化来获取Internet的安全态势感知，UCLog+是一个安全事件存储数据库系统,用于对告警日志和其它安全数据进行关联分析和安全趋势预测。

目前，对网络安全态势感知的研究主要集中于对单机日志、NetFlow、SNMP和服务等数据的简单关联分析基础之上，存在着感知范围片面、精度低等不足，因此无法从本质上把握网络运行的内在规律，更难以全面准确地对整个网络的安全态势进行动态评估和趋势预测。

为了对网络面临的安全风险和安全态势进行实时、定量的评估，专利《网络安全风险检测系统及方法》(公开号CN1567853A)公开了一种基于人工免疫的网络安全风检测方法，该方法模拟了生物免疫原理对大规模网络活动中的异常网络行为进行监控和风险检测，并通过人工抗体的浓度指标定量展示网络安全风险。专利《基于信息关联的网络安全态势感知系统及其方法》(公开号CN102340485A)提出综合利用主动扫描和被动嗅探相结合的方式获取网络脆弱性信息、通过对各种安全日志的采集和分析来获取威胁信息、以及网络流量等基本信息生成网络安全态势。上述方法通过各类检测引擎的检测结果或记录对网络安全态势进行评估，只考虑单一时空尺度上的网络行为，存在分析方法简单，融合层次较低的问题，导致态势评估结果粗糙、难以描述网络行为的复杂特征，更不能细粒度的刻画网络威胁行为发生、发展和演化的全过程。

发明内容

本发明的目的在于为了解决上述问题而提供一种基于多尺度熵理论和人工免疫的网络空间安全态势实时检测方法。多尺度熵理论适于在多时空序列内对多数据源结构进行检查和复杂网络行为的分析与建模。根据信息熵理论，若样本序列中存在着异常行为，则序列的随机性降低，导致衡量结构复杂度的样本熵也将减小，因此可以利用多尺度熵理论全面分析多时空尺度上网络行为的复杂度特性，克服单一时空尺度下的网络行为分析不准确问题。

针对传统的网络安全态势感知模型直接以原始的网络信号作为检测对象，导致模型缺少时间分辨率，在单一时间尺度下的网络行为分析不准确这一问题，本发明采用多尺度熵理论，在不同的网络层次下计算原始网络数据特征的多尺度熵，生成样本特征的熵值向量以刻画多时间尺度上的网络行为特征；此外，本发明采用人工免疫检测器作为网络异常检测引擎，利用人工免疫模型的自适应，自学习能力，以发现各类已知和潜在的网络安全威胁，为态势计算提供数据支撑。

为了达到上述目的，本发明采用了以下技术方案：

本发明包括以下步骤：

1)原始特征提取，通过数据收集模块从网络中获取原始的网络数据包特征；

2)多尺度熵计算，在不同的时间尺度下计算原始数据包特征序列的样本熵；

3)检测器训练，在不同的时间尺度下，利用样本熵特征向量和否定选择算法训练产生成熟免疫检测器，具体步骤如下：

a1、设尺度因子序列为τ＝{τ₁,...τ_t},选择不同的时间尺度因子τ_i下的正常样本熵向量作为自体训练集，依次执行以下步骤a2-a7产生成熟免疫检测器；

a2、随机生成检测器中心向量V；

a3、计算V与自体训练集中的自体样本间的最邻近距离dism；

a4、若dism小于自体半径r_s，则放弃V，转步骤a1，否则继续执行步骤a5；

a5、计算V与检测器集合D中的检测器间的距离，若V与检测器集合D间的距离小于检测半径，则增加覆盖计数n；

a6、生成新的检测器d(V,dism-r_s)，dism-r_s为检测器半径，将d加入D；

a7、当采样数量达到N时，估算检测器的非自体空间覆盖率P_cov＝n/N，若P_cov小于期望覆盖率，重置n＝0，转步骤a2，否则输出尺度因子τ_i对应的成熟免疫检测器D_τ_i＝D；

4)网络威胁安全检测，利用步骤3)中所训练的成熟免疫检测器对网络样本进行免疫检测，具体步骤如下：

b1、设尺度因子序列为τ＝{τ₁,...τ_t},对于每一个尺度因子τ_i,执行b2-b5步；

b2、对于每个待检测的样本序列{x_i}，计算{x_i}在尺度因子τ_i下的样本熵向量集合{y_i}，利用成熟免疫检测器D_τ_i对{y_i}进行检测，若任意免疫检测器覆盖熵向量，则发出警报R_j，否则将熵向量加入自体训练集；

b3、根据检测器中心向量的相似性进行聚类，将同一检测器类发出的警报对应的划入同一攻击类别A_i；

b4、分别统计单位时间内，每一类攻击A_i的报警数量F_i；

b5、输出尺度因子为τ_i时，检测到的攻击强度{<A_i,F_i>}，转步骤b1；

5)网络安全态势计算，计算不同时间尺度和网络层次下的网络安全态势，具体步骤如下：

c1、设尺度因子序列为τ＝{τ₁,...τ_t}，对于每一个尺度因子τ_i，执行步骤c2-c7步；

c2、统计网络中各台主机C_i中成熟免疫检测器单位时间内每一类攻击对应的报警强度T_i；

c3、依据通用弱点评价体系和漏洞扫描软件量化评估主机C_i所存在的系统和网络安全漏洞的严重程度，产生C_i脆弱性指数D_i；

c4、根据主机的报警强度T_i，脆弱性指数D_i，资产权重V_i，产生主机的安全态势指标n为攻击类别数量，σ₁、σ₂、σ₃均代表计算权重；

c5、统计子网内主机的安全态势，并求均值m为该子网内的主机台数；

c6、统计区域网络内子网的安全态势，并求均值k为该区域网络内的子网数量；

c7、统计全网络内区域网络的安全态势，并求均值s为全网络内的区域网络数量；

6)态势可视化，在不同的时间和网络层次下，用不同颜色的曲线图表示网络安全态势。

本发明的有益效果在于：

本发明的分析方法相对传统方法考虑的时间尺度更全面，融合层次更高，态势评估结果更精确，能够描述网络行为的复杂特征，能够细粒度的刻画网络威胁行为发生、发展和演化的全过程。

附图说明

图1是本发明所述网络空间安全态势实时检测方法的系统架构图；

图2是本发明所述网络空间安全态势实时检测方法的工作流程图；

图3是本发明所述多尺度熵计算步骤图；

图4是本发明所述检测器的训练步骤图；

图5本发明所述网络威胁安全检测的步骤图；

图6是本发明所述网络安全态势计算的步骤图。

具体实施方式

下面结合附图对本发明作进一步具体描述：

如图1所示，本发明提出了一种基于人工免疫和多尺度熵的网络安全态势评估方法，该方法包含6个部分：原始特征提取、多尺度熵计算、检测器训练、网络威胁安全检测、网络安全态势计算和态势可视化。其中，原始特征提取是通过数据收集模块从网络中获取原始的网络数据包特征，用于后继检多尺度熵计算和网络异常测过程；多尺度熵计算，对提取到的网络特征进行多尺度熵计算，在不同的时间尺度下计算原始数据包特征序列的样本熵，获得不同尺度因子下的熵值特征向量；检测器训练过程采用传统的否定选择算法产生成熟的免疫检测器用于对网络异常进行检测；成熟检测器对在不同的时间尺度下对实时采集的网络样本进行威胁检测；态势计算过程综合免疫检测结果、系统漏洞脆弱性量化评分、以及网络资产权重进行计算；态势可视化过程采用直观的示图对不同网络层次，不同时间尺度下的网络安全态势进行展示。

如图2所示为本发明的工作流程，数据收集模块负责监测流经网络的数据包，从中提取数据包原始特征，常用的网络通信特征包括：数据特征和行为特征两类，其中原始数据特征有：IP、端口号、TTL时长、包类型，以及内容关键字等，Protype网络行为特征有：数据包平均长度、ACK包比例、SYN包比例，ICMP包数量，以及丢包率等；多尺度熵计算模块以不同的时间尺度计算原始样本特征的多尺度样本熵，根据态势监测的实际需要，可选的时间尺度有：毫秒ms，秒s，分钟m，小时h，天d等；免疫检测器训练模块基于多尺度特征向量，在不同的网络层次上利用否定选择算法训练成熟的免疫检测器，常用的网络层次有：单台主机、子网、区域网络、全网；网络威胁检测模块在不同的时间尺度下，利用成熟的免疫检器对实时采集的网络样本进行威胁检测，产生免疫报警；网络安全态势计算模块在不同的时间尺度和网络层次上，根据检测到的网络威胁强度，受攻击的资产权重，资产脆弱性指标计算网络面临的安全威胁；态势可视化模块根据计算得到的态势威值，以可视化示图展示不同的时间尺度和网络层次上的安全态势。

如图3所示，图3给出了样本特征的多尺度熵计算步骤。该步骤旨在多时间尺度下计算网络数据包的样本熵，可选的时间尺度有：毫秒ms，秒s，分钟m，小时h，天d，样本的多尺度熵向量为检测引擎提供了检测输入，具体步骤如下：

(1)设原始网络样本数据为X＝{x₁,x₂,...x_N}，长度为N，定嵌入维数m和相似容限r，尺度因子序列τ＝{τ₁,...τ_t}；

(2)对每一个尺度因子τ_k,(1≤k≤t)，计算新的粗粒序列

(3)计算m维嵌入向量子序列y_j(τ)与y_k(τ)间的距离

(4)统计步骤(3)中计算出的d[y_j(τ),y_k(τ)]小于相似容限r的数目n_j占距离总数N-m-1的比例

(5)计算的平均值

(6)增加m，重复步骤(1)-(5)计算

(7)计算嵌入维度为m，相似容限为r时的样本熵

(8)如果k>t，输出样本熵向量，否则，增加k跳转步骤(2)。

在给定尺度因子τ_i下，各个样本特征的熵值构成样本熵向量。例如，只考虑三种样本特征IP、端口号、TTL时长的情况，分另用A，B，C代表三种特征，设采集的原始样本特征序列为A＝{a1,a2…an}，B＝{b1,b2…an}，C＝{b1,b2…bn}。在定时间尺度τ_i下计算得出A，B，C的样本熵为Sa，Sb，Sc，则输出样本熵向量[Sa，Sb，Sc]。

如图4所示，图4给出了免疫检测器训练步骤，该步骤通过否定选择算法训练免疫检测器，具体步骤如下：

(1)设尺度因子序列为τ＝{τ₁,...τ_t},选择不同的时间尺度τ_i下的正常样本熵向量作为自体训练集，依次执行以下步骤(2)-(7)产生免疫检测器；

(2)随机生成检测器中心向量V；

(3)计算V与自体训练集中的自体样本间的最邻近距离dism；

(4)若dism小于自体半径r_s，则放弃V，转步骤(1)，否则继续执行下一步骤；

(5)计算V与检测器集合D中的检测器间的距离,若V与检测器集合D间的距离小于检测半径，则增加覆盖计数n；

(6)生成新的检测器d(V,dism-r_s)，dism-r_s为检测器半径，将d加入D；

(7)当采样数量达到N时，估算检测器的非自体空间覆盖率P_cov＝n/N，若P_cov小于期望覆盖率，重置n＝0，转步骤(2)，否则输出尺度τ_i对应的检测器集合D_τ_i＝D。

如图5所示，图5给出了网络威胁检测步骤，该步骤利用成熟检测器在不同的时间尺度下对网络样本进行免疫检测，可选的时间尺度有：毫秒ms，秒s，分钟m，小时h，天d，在不同时间尺度下调用免疫检测器进行网络异常检测，具体步骤如下：

(1)设尺度因子序列为τ＝{τ₁,...τ_t},对于每一个尺度因子τ_i,执行(2)-(5)步；

(2)对于每个待检测的样本序列{x_i}，计算{x_i}在尺度τ_i下的样本熵向量集合{y_i}，利用检测器集合D_τ_i对{y_i}进行检测，若任意检测器覆盖熵向量，则发出警报R_j，否则将熵向量加入自体训练集；

(3)根据检测器中心向量的相似性进行取聚类，将同一检测器类发出的对警报对应的划入同一攻击类别A_i；

(4)分别统计单位时间内，每一类攻击A_i的报警数量F_i；

(5)输出尺度因子为τ_i时，检测到的攻击强度{<A_i,F_i>}，转步骤(1)。

如图6所示，图6给出了态势计算步骤。该步骤根据免疫检测报警、资产权重、漏洞脆弱性评分值实时计算主机、子网、区域网络、全网的安全态势。具体步骤如下：

(1)设尺度因子序列为τ＝{τ₁,...τ_t},对于每一个尺度因子τ_i,执行(2)-(7)步；

(2)统计网络中各台主机C_i中免疫检测器单位时间内每一类攻击对应的报警强度(数量)T_i；

(3)依据CVSS(Common Vulnerability Scoring System，通用弱点评价体系)和漏洞扫描软件量化评估主机C_i所存在的系统和网络安全漏洞的严重程度,产生C_i脆弱性指数D_i；

(4)根据主机的报警强度T_i,脆弱性指数D_i，资产权重V_i，产生主机的安全态势指标n为攻击类别数量，σ₁、σ₂、σ₃均代表计算权重；

(5)统计子网内主机的安全态势，并求均值m为该子网内的主机台数；

(6)统计区域网络内子网的安全态势，并求均值k为该区域网络内的子网数量；

(7)统计全网络内区域网络的安全态势，并求均值s为全网络内的区域网络数量。

本发明所述所述网络空间安全态势实时检测方法的最后一步为态势可视化，在不同的时间和网络层次下，用不同颜色的曲线图表示网络安全态势，以可视化示图、时(毫秒ms，秒s，分钟m，小时h，天d)空(主机、子网、区域网络、全网)层次对网络安全指标进行可视化展现，实时反映被监控网络运行状况的态势系统，让网络管理员能直观，快捷的获得网络运行信息，发现网络恶意行为，便可采取有效措施。

Claims (1)

1.一种网络空间安全态势实时检测方法，其特征在于，包括以下步骤：

1)原始特征提取，通过数据收集模块从网络中获取原始的网络数据包特征；

2)多尺度熵计算，在不同的时间尺度下计算原始数据包特征序列的样本熵；

3)检测器训练，在不同的时间尺度下，利用样本熵特征向量和否定选择算法训练产生成熟免疫检测器，具体步骤如下：

a1、设尺度因子序列为τ＝{τ₁,...τ_t},选择不同的时间尺度因子τ_i下的正常样本熵向量作为自体训练集，依次执行以下步骤a2-a7产生成熟免疫检测器；

a2、随机生成检测器中心向量V；

a3、计算V与自体训练集中的自体样本间的最邻近距离dism；

a4、若dism小于自体半径r_s，则放弃V，转步骤a1，否则继续执行步骤a5；

a5、计算V与检测器集合D中的检测器间的距离，若V与检测器集合D间的距离小于检测半径，则增加覆盖计数n；

a6、生成新的检测器d(V,dism-r_s)，dism-r_s为检测器半径，将d加入D；

a7、当采样数量达到N时，估算检测器的非自体空间覆盖率P_cov＝n/N，若P_cov小于期望覆盖率，重置n＝0，转步骤a2，否则输出尺度因子τ_i对应的成熟免疫检测器D_τ_i＝D；

4)网络威胁安全检测，利用步骤3)中所训练的成熟免疫检测器对网络样本进行免疫检测，具体步骤如下：

b1、设尺度因子序列为τ＝{τ₁,...τ_t},对于每一个尺度因子τ_i,执行b2-b5步；

b2、对于每个待检测的样本序列{x_i}，计算{x_i}在尺度因子τ_i下的样本熵向量集合{y_i}，利用成熟免疫检测器D_τ_i对{y_i}进行检测，若任意免疫检测器覆盖熵向量，则发出警报R_j，否则将熵向量加入自体训练集；

b3、根据检测器中心向量的相似性进行聚类，将同一检测器类发出的警报对应的划入同一攻击类别A_i；

b4、分别统计单位时间内，每一类攻击A_i的报警数量F_i；

b5、输出尺度因子为τ_i时，检测到的攻击强度{<A_i,F_i>}，转步骤b1；

5)网络安全态势计算，计算不同时间尺度和网络层次下的网络安全态势，具体步骤如下：

c1、设尺度因子序列为τ＝{τ₁,...τ_t}，对于每一个尺度因子τ_i，执行步骤c2-c7步；

c2、统计网络中各台主机C_i中成熟免疫检测器单位时间内每一类攻击对应的报警强度T_i；

c3、依据通用弱点评价体系和漏洞扫描软件量化评估主机C_i所存在的系统和网络安全漏洞的严重程度，产生C_i脆弱性指数D_i；

c4、根据主机的报警强度T_i，脆弱性指数D_i，资产权重V_i，产生主机的安全态势指标n为攻击类别数量，σ₁、σ₂、σ₃均代表计算权重；

c5、统计子网内主机的安全态势，并求均值m为该子网内的主机台数；

c6、统计区域网络内子网的安全态势，并求均值k为该区域网络内的子网数量；

c7、统计全网络内区域网络的安全态势，并求均值s为全网络内的区域网络数量；

6)态势可视化，在不同的时间和网络层次下，用不同颜色的曲线图表示网络安全态势。