CN114244728A - 基于多因素层次化的网络安全态势评估与预测方法 - Google Patents

基于多因素层次化的网络安全态势评估与预测方法 Download PDF

Info

Publication number
CN114244728A
CN114244728A CN202111662834.5A CN202111662834A CN114244728A CN 114244728 A CN114244728 A CN 114244728A CN 202111662834 A CN202111662834 A CN 202111662834A CN 114244728 A CN114244728 A CN 114244728A
Authority
CN
China
Prior art keywords
situation
network
value
layer
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111662834.5A
Other languages
English (en)
Other versions
CN114244728B (zh
Inventor
姜楠
雷雪蒙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN202111662834.5A priority Critical patent/CN114244728B/zh
Publication of CN114244728A publication Critical patent/CN114244728A/zh
Application granted granted Critical
Publication of CN114244728B publication Critical patent/CN114244728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance

Abstract

本发明公开了基于多因素层次化的网络安全态势评估与预测方法,首先,针对态势评估数据来源单一且融合较少问题并基于当前的网络规模庞大的情况下,提出将网络划分为总网络级、子网级、主机级和服务级,并依据层次价值、威胁、脆弱性三个指标由下至上依次对各层进行态势评估方法的设计。态势评估结果表明该评估方法在较低的评估时间细粒度的情况下具有较高的准确性,为后续预测奠定了基础。其次,通过堆叠长短期记忆网络(Stacking LSTM)对网络节点的态势值进行预测及态势曲线的可视化。态势预测结果表明该预测模型具有预测误差小和预测效率高的优势,给网络安全工作人员提供及时的安全状态信息。未来的工作集中在降低态势评估过程的人为因素上,使各指标进一步细化。

Description

基于多因素层次化的网络安全态势评估与预测方法
技术领域
本发明涉及一种基于多因素层次化的网络安全态势评估与预测方法,属于网络安全技术领域。
背景技术
近年来,随着云计算、工业互联网、移动互联等新网络形态的出现,网络环境愈发复杂,网络攻击手段不断更新。捕获计算机恶意程序样本数量同比增长27.1%,我国境内感染计算机恶意程序的主机数量同比增长46.8%,国家信息安全漏洞共享平台(ChinaNational Vulnerability Database,CNVD)收录通用型安全漏洞同比增长18.2%。
现阶段,我们依靠防火墙、VPN网关等设备通过设置安全配置实现内外网的隔离,借助入侵检测、入侵防御、WAF、流量监测等设备实现网络攻击行为的检测、告警和过滤。然而,在网络攻击行为愈发复杂的情况之下,当前的防护手段已不能满足网络安全保护等级更高的信息系统防护要求,被动防御往往错失最佳的安全事件处置时间。只有主动对网络流量中蕴含的安全数据进行融合分析,感知当前网络状态和趋势,才能更及时的采取措施应对安全事件的发生。在当前的研究中,学者们还未对网络安全态势有一致的理解,已提出的态势评估方法在探讨和不断完善当中,同时存在网络态势感知预测时间过长的缺点。
为进一步对网络态势的理解提供新的思路,本文提出一种基于多因素层次化分析的态势感知评估方法。通过对CICIDS2017入侵检测数据集的统计分析,量化网络各层面的态势评估指标。同时,引入模糊隶属度函数,实现安全态势程度标准的统一。最后,通过长短期记忆网络(LSTM)对网络节点的态势值进行预测及态势曲线的可视化。实验表明,该评估与预测方法能够及时响应网络系统各层面的攻击事件,反应当前的网络安全状态,降低了预测时间,给网络安全工作人员提供更及时的安全状态信息,对网络攻击进行主动防御提供有效帮助。
1988年,Endsley教授提出了态势感知(SA)的定义:“在一定时间和空间范围内对周围环境因素的提取、理解,并对未来的发展趋势进行预测”。同时,他给出的态势感知3层模型是被学者们广泛接受的通用模型,该模型包括态势要素提取、态势理解(评估)和态势预测三个部分。直到2000年,TimBass等人[3]首先将态势感知引入到网络安全领域,为网络安全态势感知的研究奠定基础。
在当前的研究中,学者们对网络安全态势有着不同的理解,评估方法也在不断探讨中。Wu等人提出了从攻击严重程度、攻击成功概率、攻击后果方面评估网络态势的方法。Li等人结合网络攻击数据、主机漏洞和主机状态提出基于条件随机场的态势评估方法。R.S.Gutzwiller提出了多来源数据融合方法对态势要素进行评估。Qu、Zhang将D-S证据理论应用于态势评估中,对不确定信息进行推理、融合。这些模型虽然能够及时察觉网络安全状态,但未考虑到大规模网络的区域划分以及各区域资产配置的复杂性,可能导致依据其态势评估结果溯源至发生关键高危漏洞的主机效率低的问题。陈秀真提出的层次化网络安全态势评估方法以宏观的角度考虑实际网络系统规模问题,有不少学者在此基础上进行进一步探索,或在具体层面进行研究,但仍存在影响网络安全相关数据的量化和融合较少的缺点。
Ma、Peng等人使用4层深度神经网络和改进的径向基函数(Radial basisfunction,RBF)神经网络的网络安全态势感知模型进行态势评估。Shang等人提出了XGBoost算法进行态势评估。文志诚等人通过聚类分析高效聚类融合主机安全态势。这些评估方法虽然有强大的学习能力,但往往仅通过遭受网络攻击威胁这一个维度去衡量整体态势,不能有效反应整体态势情况。
近年已有很多学者将人工智能应用于态势预测,但当前的预测算法在保证预测准确性的同时,未保证算法的预测效率,可能导致预测不及时,而失去了预测的意义。
发明内容
针对现有的问题,本发明提出一种基于多因素层次化分析的态势感知评估方法。通过对CICIDS2017入侵检测数据集的统计分析,结合资产价值、威胁、脆弱性指标,对传统的依据攻击事件的层次化态势感知评估方法进行改进,全面量化各层面的态势评估指标。同时,借助模糊隶属度函数,实现安全态势程度标准的统一。最后,通过长短期记忆网络(LSTM)对网络节点的态势值进行预测及态势曲线的可视化。
本发明采用的技术方案为基于多因素层次化的网络安全态势评估与预测方法,具体实现步骤如下:
步骤1:将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层,如图1所示。
步骤2:提出网络态势基本信息的定义,其反应当前网络安全状态的基本信息,包括网络流量信息和报警信息。
表示为:Situation_info={ID,Timestamp,DIP,DP,Attack,Δt}。
其中,ID为流量唯一标识;Timestamp为流量产生的时间戳信息;DIP为接收流量的目的主机IP地址;DP为接收流量的目的端口;Attack为受攻击类型;Δt为计算当前时刻网络安全态势利用的历史时间窗口大小。
步骤3:计算服务层态势:服务层态势的评估以端口作为单位,端口对应相应服务。首先考虑威胁因素,威胁因素与该端口发生的攻击数量和攻击影响力相关,而攻击影响力体现了攻击发生后对网络信息系统所带来的影响,关系到安全管理员的直接决策,因此攻击影响力采用指数级进行计算。考虑到大部分端口无攻击事件发生,为确保其他因素在态势值中的表达,在计算威胁值时,1代表无威胁情况,可以保证服务层态势不为0。在脆弱性方面,端口脆弱性即端口可被利用程度,通过该端口发生攻击事件的频率体现。端口被利用即发生攻击事件,直接影响信息系统安全状态,因此以指数级表达。在层次要素价值方面,本文认为端口被访问数量决定了端口的价值。综上所述,t时刻服务层态势值S0(t)计算方法如下:
Figure BDA0003450139640000031
其中,N(Δt)为Δt时间内该端口被访问数量,f为该端口发生攻击事件的频率,a(Δt)为Δt时间内该端口发生的攻击数量,ni(Δt)为Δt时间内攻击i发生次数,xi为攻击i的影响力(规定范围[0,1])。
步骤4:计算主机层态势:在主机威胁方面,主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和,因此以该主机全部开放端口的态势总和作为该主机的威胁值。在脆弱性方面,主机脆弱性体现在该主机受到攻击的可能性上,通过统计该主机遭受到攻击的频率而得出。当主机更容易被攻击时,应更加被重视,因此该指标采用指数级进行计算。同时,脆弱性也体现在操作系统的脆弱性上,当前主流的操作系统包括Linux、Windows等,Windows操作系统比Linux的安全性较低,因此其脆弱性较高。在层次要素价值方面,主机的价值体现在其所承担的信息系统服务价值上,例如在服务器区域内,提供主要业务数据交互的服务器较其他服务器更为重要,因此该主机价值更高。综上所述,t时刻主机层态势值S1(t)计算方法如下:
Figure BDA0003450139640000041
其中,A为操作系统脆弱性,B为该主机重要性,u(Δt)为Δt时间内该主机开放的端口数量,yj为端口j发生攻击的频率。
步骤5:计算子网层态势:在子网威胁方面,以该子网全部主机的态势总和作为该子网的威胁值。在脆弱性方面,通过评估该区域边界防护措施有效性进行确定,考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断,进而进行整体评估。在层次属性价值方面,与主机层评估相似,体现在其承担的服务价值上,例如服务器区承担着系统运行的最主要任务,在业务连续性要求较高的信息系统中其重要程度应为最高,而安全管理区多为PC机,承担着日常维护管理的工作,一般不涉及重要的信息,因此可赋予其较低的重要性。综上所述,t时刻子网层态势值S2(t)如下:
Figure BDA0003450139640000042
其中,C为区域边界防护措施有效性(规定范围[0,1]),D为子网区域资产重要程度(规定范围[0,1]),v为该子网存在的主机数量。
步骤6:计算总网络层态势:累积以上层次的态势值,t时刻总网络的态势值S(t)计算方法如下:
Figure BDA0003450139640000043
其中,w为子网区域数量。
步骤7:将态势值映射至态势隶属度函数
Figure BDA0003450139640000044
上,函数图像如图2所示。态势值的波动幅度反应态势的高低。g设置为态势评估结果分布的较小四分位数,当态势评估结果处于该值以下时,不会产生任何报警。h设置为态势评估结果分布的较大四分位数,当态势评估结果处于该值以上时,产生报警。由于在态势评估的过程中已考虑到各因素指标相对于安全状态的影响程度,因此在映射部分仅进行态势值的线性缩放,将处于[g,h]的态势评估结果缩放至[0,1],网络安全管理员可直观的观察到此区间内网络状态的趋势变化。
步骤8:划分数据集,制作态势样本集X和态势标签集X':态势值集合(AssessmentResult)为n个具有时间序列的态势值构成的向量,记作x=[x1,x2,x3,...,xn]。假设时间步长(timestep)设置为k,则取长度为k的向量作为样本,所得态势样本集为X=[Xk,Xk+1,...,Xn-1],每个样本包含了当前k时刻和历史k-1个时刻的态势值。每个样本经过预测模型预测下一时刻k+1的态势值,设置X'=[xk+1,xk+2,...,xn]为态势标签集。预测模型输入输出数据信息如表1所示。
表1预测模型输入输出数据信息
Figure BDA0003450139640000051
步骤9:预测模型采用堆叠式长短期记忆网络(Stacking-LSTM),模型结构如图3所示。神经网络由输入层(Input)、隐藏层、全连接层(Dense)、输出层(Output)构成,隐藏层由堆叠的2个LSTM层构成,通过Dense层将信息传递给输出层。将X和X'输入至神经网络,进行迭代训练:前一层LSTM预测的向量结果作为下一层LSTM的输入向量。最后得到态势预测值集合(Prediction Result)。
步骤10:展示Prediction Result和Assessment Result折线图。
与现有技术相比较,本发明采用一种基于多因素层次化的网络安全态势感知的评估与预测方法。首先,针对态势评估数据来源单一且融合较少问题并基于当前的网络规模庞大的情况下,本文提出将网络划分为总网络级、子网级、主机级和服务级,并依据层次价值、威胁、脆弱性三个指标由下至上依次对各层进行态势评估方法的设计。态势评估结果表明该评估方法在较低的评估时间细粒度的情况下具有较高的准确性,为后续预测奠定了基础。其次,通过堆叠长短期记忆网络(Stacking LSTM)对网络节点的态势值进行预测及态势曲线的可视化。态势预测结果表明该预测模型具有预测误差小和预测效率高的优势,给网络安全工作人员提供及时的安全状态信息。未来的工作集中在降低态势评估过程的人为因素上,使各指标进一步细化。
附图说明
图1网络层次关系结构图。
图2 SA(x)函数图像。
图3堆叠式长短期记忆网络。
具体实施方式
如今的大规模网络系统通常根据不同的业务功能划分网络区域,各子区域根据业务需求部署设备终端。由于子网、设备数量,以及主机上服务数量变得庞大,对网络进行一定划分后的评估方法比采用单一方法直接评估总体网络态势显然更加合理。为了有针对性地评估各区域、各主机、各服务的安全态势,将网络由上至下划分为总网络级、子网络级、主机级、服务级四个层次,依次评估各层次态势。
另一方面,对于态势要素的量化值决定了评估效果,评估和预测结果直接影响网络管理员的决策,因此评估的态势数据要素的确定也非常重要。《信息安全技术信息安全风险评估规范》提出信息安全风险评估即评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,资产、威胁和脆弱性为风险分析的三个基本要素。基于这三个基本要素,针对各层次特点将三要素拓展为该层次要素价值、威胁和脆弱性。
威胁来源于网络攻击,其利用网络信息系统存在的安全漏洞,通过产生通信服务而发生,对信息资源进行窃取、破坏等。对于网络攻击的感知是网络安全态势感知最基本的目的,因此本文所提出的网络安全态势评估方法以对威胁的评估作为基础进行设计,每一级的态势均值都用作下一级的威胁值。
具体评估方法如下:
服务级态势的评估以端口作为单位,端口对应相应服务。服务级作为最底层,首先考虑威胁因素,威胁因素与该端口发生的攻击数量和攻击影响力相关,而攻击影响力较攻击数量而言对网络安全状态更为重要,它体现了攻击发生后对网络信息系统所带来的影响,关系到安全管理员的直接决策,因此攻击影响力采用指数级进行计算,威胁值定义为该端口t时间内发生的全部攻击的攻击数量与指数级影响力的乘积之和。考虑到大部分端口无攻击事件发生,即威胁值为0,为确保其他因素在态势值中的表达,在计算威胁值时以1作为基本威胁值可以保证服务级态势不为0,更为合理。在脆弱性方面,端口脆弱性即端口可被利用程度,可以通过该端口发生攻击事件的频率体现。端口被利用即发生攻击事件,同样直接影响信息系统安全状态,因此以指数级表达。在层次要素价值方面,本文认为端口的重要程度决定了端口的价值,端口被访问数量体现了端口的重要程度。综上所述,t时间内服务级态势值S0(t)计算方法如下:
Figure BDA0003450139640000071
其中,N(t)为t时间内该端口被访问数量,f为该端口发生攻击事件的频率,a(t)为t时间内该端口发生的攻击数量,ni(t)为t时间内攻击i发生次数,x为攻击i的影响力(规定范围[0,1])。
主机级态势的评估以主机作为单位。主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和,因此以该主机全部开放端口的态势总和的平均值作为该主机的威胁值。在脆弱性方面,主机脆弱性体现在该主机受到攻击的可能性上,可通过统计该主机遭受到攻击的频率而得出。当主机更容易被攻击时,应更加被重视,因此该指标也采用指数级进行计算。同时,脆弱性也体现在操作系统的脆弱性上,当前主流的操作系统包括Linux、Windows以及Macintosh,Windows操作系统较另两种的安全性较低,因此其脆弱性较高。在层次要素价值方面,主机的价值体现在其所承担的信息系统服务价值上,例如在服务器区域内,提供主要业务数据交互的服务器较非数据交互的服务器更为重要,因此该主机价值更高。综上所述,t时间内主机级态势值S1(t)计算方法如下:
Figure BDA0003450139640000072
其中,A为操作系统脆弱性,B为该主机重要性,ut为t时间内该主机开放的端口数量,yj为端口j发生的频率。
子网级态势的评估以子网作为单位。在威胁方面,以该子网全部主机的态势总和的平均值作为该子网的威胁值。在脆弱性方面,通过评估该区域边界防护措施有效性进行确定,主要包括三方面,考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断,进而进行整体评估。在层次属性价值方面,与主机级评估相似,子网的价值也体现在其承担的服务价值上,例如服务器区和安全管理区两者比较而言,服务器区承担着系统运行的最主要任务,在业务连续性要求较高的信息系统中其重要程度应为最高,而安全管理区多为PC机,承担着日常维护管理的工作,一般不涉及重要的信息,因此可赋予其较低的重要性。综上所述,t时间内子网级态势值S2(t)如下:
Figure BDA0003450139640000081
其中,C为区域边界防护措施有效性(规定范围[0,1]),D为子网区域资产重要程度(规定范围[0,1]),v为该子网存在的主机数量。
累积以上层次的态势值,t时间内总网络的态势值S(t)计算方法如下:
Figure BDA0003450139640000082
其中,w为子网区域数量。
为了通过态势值提供正确的报警信号,以及更加清晰直观的观察网络安全状态趋势,引入模糊隶属度函数,将所计算出的态势值通过模糊隶属度函数进行映射。隶属度函数定义为若对论域(研究的范围)U中的任一元素x,都有一个数A(x)∈[0,1]与之对应,则称A为U上的模糊集,A(x)称为x对A的隶属度。当x在U中变动时,A(x)就是一个函数,称为A的隶属函数。隶属度A(x)越接近于1,表示x属于A的程度越高,A(x)越接近于0表示x属于A的程度越低。由于要找到恰当的态势值进行报警,我们将态势值映射至隶属度函数上,当隶属度越接近1,则安全态势越高,发生安全事件的可能性越高,需要提供报警,当隶属度越接近0,则安全态势越低,说明网络平稳运行。因此,针对态势评估的问题,使用存在两个边界的梯形隶属度函数较为恰当。
a设置为网络信息系统平稳运行时的网络态势值,该值的设置应保证系统的处于安全状态,当态势值小于a时,不会产生任何报警,也不会观察到网络状态趋势。b设置为网络信息系统安全事件发生前的网络态势值,达到提前发出信号的目的,当态势值大于b时,产生报警。由于在态势评估的过程中已考虑到各因素指标相对于安全状态的影响程度,因此在映射部分仅进行态势值的线性缩放,将处于[a,b]的态势值缩放至[0,1],安全管理员可直观的观察到此区间内网络状态的趋势变化。
态势预测是态势感知的目的,预测结果应反应未来网络状态和趋势信息。循环神经网络(Recurrent Neural Network,RNN)是一类以序列数据为输入,在序列的演进方向进行递归且所有节点(循环单元)按链式连接的递归神经网络[21],本文利用其在时间序列学习上的优势构建预测模型。LSTM在RNN的基础上提出了门(gates)的结构,用来控制神经网络层之间的神经元的连接权重,从而解决了经典RNN因权值共享导致的梯度消失或梯度爆炸问题。
态势评估结果为n个具有时间序列的态势值(Situation Value)构成的向量,记作x=[x1,x2,x3,…,xn]T。假设时间步长(timestep)设置为t,则取长度为t的向量作为样本,所得态势样本集为X=[Xt,Xt+1,…,Xn]T,其中Xt=[x1,x2,…,xt]T,Xt+1=[x2,x3,…,xt+1]T,……,Xn=[xn-t+1,xn-t+2,…,xn]T,每个样本包含了当前t时刻和历史t-1个时刻的态势值。经过神经网络的训练,预测下一时刻t+1的态势样本,因此设置Y=[Yt,Yt+1,Yt+2,…,Yn]T为神经网络的训练标签,其中Yt=Xt+1,Yt+1=Xt+2,…,Yn-1=Xn,Yn=[xn-t+2,…,xn,xn+1]。
LSTM的循环结构中,X是输入的态势样本集,h是隐层单元,o为输出的预测态势值。RNN的特点在于隐层单元h在t时刻的值受当前和历史时刻的输入影响,并影响着下一时刻的隐层单元。LSTM用输入门、遗忘门、输出门来控制对当前、历史和未来时刻的学习程度。
以t时刻为例,LSTM的循环训练过程如下:
(1)遗忘门:
ft=sigmoid(Wf·[ht-1,Xt]+bf);
(2)输入门:
it=sigmoid(Wi·[ht-1,Xt]+bi);
Figure BDA0003450139640000101
Figure BDA0003450139640000102
(3)输出门:
ot=sigmoid(Wo·[ht-1,xt]+bo);
ht=ot*tanh(Ct)
预测测模型采用堆叠式长短期记忆网络中,神经网络的隐藏层由堆叠的2层LSTM层实现,同时在上下层连接时使用了dropout来控制模型的过拟合,最后通过Dense层将信息传递给输出层。神经网络训练学习过程如下:
(1)构建Stacking-LSTM模型,设置训练次数(epoches)、批数据量(batchsize)、timestep等参数;
(2)将态势样本集X和标签集Y处理为[样本数(samples),timestep,特征数(features)]形式,输入至神经网络;
(3)2层LSTM的迭代训练:第一层LSTM预测态势的向量作为第二层LSTM预测向量的输入。
(4)通过Dense层将预测结果转化为预测结果所需维度传递给输出层;
(5)计算态势预测样本Y'与标签集Y的损失函数,本文均方误差
Figure BDA0003450139640000103
Figure BDA0003450139640000104
作为损失函数评价态势预测值(Predict Value)与Situation Value的误差大小;
(6)以折线图的方式可视化Predict Value和Situation Value。
实施例
使用CIC-IDS2017数据集,该数据集是由研究人员通过采集模拟网络环境的流量形成,使用CICFlowMeter工具提取了78种特征和攻击类型标签,涵盖当下较为流行的15种攻击类型。测试平台的网络架构[22]分为两个完全独立的网络,即Victim-Network和Attack-Network。在Victim-Network中,涵盖了所有常见和必要的设备,包括路由器、防火墙、交换机,以及常见的三种操作系统(Windows、Linux和Macintosh)的不同版本。
由于以网络安全攻击事件的主动防御作为目标,因此选择Victim-Network的流量数据,以被攻击者的角度进行研究。表2描述了Victim-Network服务器、工作站和防火墙的基本信息,包括安装的操作系统和相关的公共和私有IP。受害者网络由三台服务器、一台防火墙、两台交换机和互连的PC组成。此外,Victim-Network主交换机中的一个端口已配置为镜像端口,并完全捕获到网络的所有发送和接收流量。
表2受害者网络操作系统和IP
Figure BDA0003450139640000111
流量数据的捕获期从7月3日星期一的09:00开始,并持续精确地持续5天,在7月7日星期五的17:00结束,数据集按照周一至周五分为5个部分,有攻击的时间段及攻击类型如表3所示:
表3 CIC-IDS2017攻击情况
Figure BDA0003450139640000112
Figure BDA0003450139640000121
实验以10分钟为时间单位的流量数据作为样本,相邻两个样本的时间差为1分钟。网络按照设备类型划分为服务器区和PC区,形成子网层;区域按照IP地址进行主机筛选,形成主机层;主机通过端口号进行筛选,形成服务层。各层次由此获得10分钟的流量数据。
各层次评估过程中参数设置如下:
10分钟内该端口发生的攻击数量、各攻击发生数量和端口被访问数量直接通过统计求得,端口发生攻击事件的频率通过该端口发生攻击事件的总数与该端口被访问数量的商求得,攻击影响力的设置考虑到攻击发生后所带来的影响程度,具体设置如表4所示。
表4攻击影响力
Figure BDA0003450139640000122
Figure BDA0003450139640000131
10分钟内该主机开放的端口数量通过统计求得,攻击发生的频率通过计算该攻击实际发生的数量与该时间段所有尝试进行攻击行为的流量数量(其中包含了未形成攻击事件的流量)的商求得。由于模拟环境未涉及真实信息系统中的数据交互,因此在主机的重要程度上不做区分。操作系统脆弱性如表5所示。
表5操作系统脆弱性
操作系统 脆弱性
1 Linux 0.5
2 Windows 0.8
3 Macintosh 0.3
子网存在的主机数量以及子网个数可由统计求得。类比真实的网络环境,将服务器区域重要程度设置为0.8,PC区重要程度设置为0.6。在周五下午的端口扫描(PortScan)攻击中,存在防火墙关闭状态的情况,将区域边界防护措施有效性设置为0.8,其他情况为1。
根据态势评估结果,当攻击来临时存在极大的态势值,在网络稳定运行时态势值较低且波动较小,根据实际结果将隶属度函数中a的值为10,b的值为50,即当态势值大于50时进行报警,态势值低于10时不呈现网络安全状态,介于两者之间的态势值映射到0至1的范围内,直观展现网络状态的波动情况。

Claims (2)

1.基于多因素层次化的网络安全态势评估与预测方法,其特征在于:该方法的具体实现步骤如下:
步骤1:将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层;
步骤2:提出网络态势基本信息的定义,其反应当前网络安全状态的基本信息,包括网络流量信息和报警信息;
表示为:Situation_info={ID,Timestamp,DIP,DP,Attack,Δt};
其中,ID为流量唯一标识;Timestamp为流量产生的时间戳信息;DIP为接收流量的目的主机IP地址;DP为接收流量的目的端口;Attack为受攻击类型;Δt为计算当前时刻网络安全态势利用的历史时间窗口大小;
步骤3:计算服务层态势:服务层态势的评估以端口作为单位,端口对应相应服务,t时刻服务层态势值S0(t)计算方法如下:
Figure FDA0003450139630000011
其中,N(Δt)为Δt时间内该端口被访问数量,f为该端口发生攻击事件的频率,a(Δt)为Δt时间内该端口发生的攻击数量,ni(Δt)为Δt时间内攻击i发生次数,xi为攻击i的影响力;
步骤4:计算主机层态势:在主机威胁方面,主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和,因此以该主机全部开放端口的态势总和作为该主机的威胁值;在脆弱性方面,主机脆弱性体现在该主机受到攻击的可能性上,通过统计该主机遭受到攻击的频率而得出;在层次要素价值方面,主机的价值体现在其所承担的信息系统服务价值上,t时刻主机层态势值S1(t)计算方法如下:
Figure FDA0003450139630000012
其中,A为操作系统脆弱性,B为该主机重要性,u(Δt)为Δt时间内该主机开放的端口数量,yj为端口j发生攻击的频率;
步骤5:计算子网层态势:在子网威胁方面,以该子网全部主机的态势总和作为该子网的威胁值;在脆弱性方面,通过评估该区域边界防护措施有效性进行确定,考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断,进而进行整体评估;在层次属性价值方面,与主机层评估相似,体现在其承担的服务价值上;综上所述,t时刻子网层态势值S2(t)如下:
Figure FDA0003450139630000021
其中,C为区域边界防护措施有效性,D为子网区域资产重要程度,v为该子网存在的主机数量;
步骤6:计算总网络层态势:累积以上层次的态势值,t时刻总网络的态势值S(t)计算方法如下:
Figure FDA0003450139630000022
其中,w为子网区域数量;
步骤7:将态势值映射至态势隶属度函数
Figure FDA0003450139630000023
上,态势值的波动幅度反应态势的高低;g设置为态势评估结果分布的较小四分位数,当态势评估结果处于该值以下时,不会产生任何报警;h设置为态势评估结果分布的较大四分位数,当态势评估结果处于该值以上时,产生报警;由于在态势评估的过程中已考虑到各因素指标相对于安全状态的影响程度,因此在映射部分仅进行态势值的线性缩放,将处于[g,h]的态势评估结果缩放至[0,1],网络安全管理员可直观的观察到此区间内网络状态的趋势变化;
步骤8:划分数据集,制作态势样本集X和态势标签集X':态势值集合AssessmentResult为n个具有时间序列的态势值构成的向量,记作x=[x1,x2,x3,...,xn];假设时间步长设置为k,则取长度为k的向量作为样本,所得态势样本集为X=[Xk,Xk+1,...,Xn-1],每个样本包含了当前k时刻和历史k-1个时刻的态势值;每个样本经过预测模型预测下一时刻k+1的态势值,设置X'=[xk+1,xk+2,...,xn]为态势标签集;
步骤9:预测模型采用堆叠式长短期记忆网络,神经网络由输入层Input、隐藏层、全连接层Dense、输出层Output构成,隐藏层由堆叠的2个LSTM层构成,通过Dense层将信息传递给输出层;将X和X'输入至神经网络,进行迭代训练:前一层LSTM预测的向量结果作为下一层LSTM的输入向量;最后得到态势预测值集合Prediction Result;
步骤10:展示Prediction Result和Assessment Result折线图。
2.根据权利要求1所述的基于多因素层次化的网络安全态势评估与预测方法,其特征在于:首先考虑威胁因素,威胁因素与该端口发生的攻击数量和攻击影响力相关,而攻击影响力体现攻击发生后对网络信息系统所带来的影响,关系到安全管理员的直接决策,攻击影响力采用指数级进行计算;考虑到大部分端口无攻击事件发生,为确保其他因素在态势值中的表达,在计算威胁值时,1代表无威胁情况,保证服务层态势不为0;在脆弱性方面,端口脆弱性即端口被利用程度,通过该端口发生攻击事件的频率体现;端口被利用即发生攻击事件,影响信息系统安全状态,以指数级表达;在层次要素价值方面,端口被访问数量决定端口的价值。
CN202111662834.5A 2021-12-31 2021-12-31 基于多因素层次化的网络安全态势评估与预测方法 Active CN114244728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111662834.5A CN114244728B (zh) 2021-12-31 2021-12-31 基于多因素层次化的网络安全态势评估与预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111662834.5A CN114244728B (zh) 2021-12-31 2021-12-31 基于多因素层次化的网络安全态势评估与预测方法

Publications (2)

Publication Number Publication Date
CN114244728A true CN114244728A (zh) 2022-03-25
CN114244728B CN114244728B (zh) 2024-04-16

Family

ID=80745209

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111662834.5A Active CN114244728B (zh) 2021-12-31 2021-12-31 基于多因素层次化的网络安全态势评估与预测方法

Country Status (1)

Country Link
CN (1) CN114244728B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277132A (zh) * 2022-07-14 2022-11-01 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) 网络安全态势感知方法、装置、计算机设备和存储介质
CN115834412A (zh) * 2022-11-03 2023-03-21 中国联合网络通信集团有限公司 网络安全态势评估方法、装置、电子设备及存储介质
CN117252346A (zh) * 2023-11-15 2023-12-19 江西珉轩智能科技有限公司 一种物料溯源系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
CN107786369A (zh) * 2017-09-26 2018-03-09 广东电网有限责任公司电力调度控制中心 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
CN107786369A (zh) * 2017-09-26 2018-03-09 广东电网有限责任公司电力调度控制中心 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李世暄: ""基于改进LSTM神经网络的网络安全态势感知研究"", 《CNKI》, pages 1 - 63 *
雷雪蒙: ""基于EMD--LSTM的层次化网络安全态势感知方法"", 《万方》, pages 1 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277132A (zh) * 2022-07-14 2022-11-01 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) 网络安全态势感知方法、装置、计算机设备和存储介质
CN115834412A (zh) * 2022-11-03 2023-03-21 中国联合网络通信集团有限公司 网络安全态势评估方法、装置、电子设备及存储介质
CN117252346A (zh) * 2023-11-15 2023-12-19 江西珉轩智能科技有限公司 一种物料溯源系统及方法
CN117252346B (zh) * 2023-11-15 2024-02-13 江西珉轩智能科技有限公司 一种物料溯源系统及方法

Also Published As

Publication number Publication date
CN114244728B (zh) 2024-04-16

Similar Documents

Publication Publication Date Title
US11546359B2 (en) Multidimensional clustering analysis and visualizing that clustered analysis on a user interface
US20230042552A1 (en) Cyber security using one or more models trained on a normal behavior
CN114244728B (zh) 基于多因素层次化的网络安全态势评估与预测方法
Tianfield Cyber security situational awareness
Al-Janabi Pragmatic miner to risk analysis for intrusion detection (PMRA-ID)
CN105681298A (zh) 公共信息平台中的数据安全异常监测方法及系统
Yang et al. Intrusion detection system by fuzzy interpolation
Korshunov et al. Decision support systems for information protection in the management of the information network
US20150358292A1 (en) Network security management
Haslum et al. Fuzzy online risk assessment for distributed intrusion prediction and prevention systems
Kim et al. Cost-effective valuable data detection based on the reliability of artificial intelligence
Mahmod et al. Hybrid intrusion detection system using artificial bee colony algorithm and multi-layer perceptron
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
Sunita et al. A hybrid approach of intrusion detection using ANN and FCM
Vijayakumar et al. Network security using multi-layer neural network
Larriva-Novo et al. Dynamic risk management architecture based on heterogeneous data sources for enhancing the cyber situational awareness in organizations
Samuel Cyber situation awareness perception model for computer network
Gelenbe et al. Associated random neural networks for collective classification of nodes in botnet attacks
Bitter et al. An introduction to the use of neural networks for network intrusion detection
EP4272193A1 (en) Systems and methods for detecting malicious network traffic using multi-domain machine learning
Toliupa et al. Building an Intrusion Detection System in Critically Important Information Networks with Application of Data Mining Methods
Nwanga et al. Computational Robotics: An Alternative Approach for Predicting Terrorist Networks
Neshenko Illuminating Cyber Threats for Smart Cities: A Data-Driven Approach for Cyber Attack Detection with Visual Capabilities
Mebawondu et al. Feature Weighting and Classification Modeling for Network Intrusion Detection Using Machine Learning Algorithms
TWI727891B (zh) 網路安全防護方法及裝置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant