鄭士芹
摘 要:隨著云計(jì)算、大數(shù)據(jù)技術(shù)的快速發(fā)展和應(yīng)用,高等院校網(wǎng)絡(luò)運(yùn)行積累了海量的數(shù)據(jù)資源,網(wǎng)絡(luò)安全防御凸顯的更加重要。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估可以采用先進(jìn)的支持向量機(jī)技術(shù)評(píng)估高校信息化管理系統(tǒng)運(yùn)行狀態(tài),發(fā)現(xiàn)高校網(wǎng)絡(luò)中潛在的威脅,進(jìn)一步設(shè)計(jì)與構(gòu)建高可靠性網(wǎng)絡(luò)安全防御系統(tǒng)。
關(guān)鍵詞:網(wǎng)絡(luò)安全;態(tài)勢(shì)評(píng)估;模式識(shí)別;支持向量機(jī)
1 概述
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展,高等院校采用了云計(jì)算、大數(shù)據(jù)分析等設(shè)計(jì)與實(shí)現(xiàn)高校信息化管理系統(tǒng),比如教務(wù)管理系統(tǒng)、學(xué)籍管理系統(tǒng)、科研管理系統(tǒng)等,積累了海量的數(shù)據(jù)資源,其可以通過(guò)移動(dòng)互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)進(jìn)行共享。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)病毒、木馬等安全威脅,為了能夠提高高校網(wǎng)絡(luò)的安全防御能力,高校網(wǎng)絡(luò)已經(jīng)著手開(kāi)始構(gòu)建全方位、縱深層次的安全防御體系,以便能夠多層次、立體化、全方位構(gòu)建網(wǎng)絡(luò)安全屏障[1]。高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是網(wǎng)絡(luò)安全防御的基礎(chǔ),也是構(gòu)建高校網(wǎng)絡(luò)集中安全管理、智能化防御的首要內(nèi)容。
2 高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法分析
目前,高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估經(jīng)過(guò)多年的研究,其采用的算法已經(jīng)誕生了很多,主要包括基于數(shù)學(xué)模型、基于知識(shí)推理、基于模式識(shí)別三個(gè)類(lèi)別。
2.1 基于數(shù)學(xué)模型的評(píng)估算法
目前,基于數(shù)學(xué)模型的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法包括統(tǒng)計(jì)分析評(píng)估算法、模糊數(shù)學(xué)評(píng)估算法?;诮y(tǒng)計(jì)分析的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法通常以入侵行為是異常活動(dòng)的子集為前提,依據(jù)評(píng)估記錄定義網(wǎng)絡(luò)中正常行為特征的活動(dòng)庫(kù),比如網(wǎng)絡(luò)流量的平均值、方差等,若系統(tǒng)將當(dāng)前檢測(cè)到的網(wǎng)絡(luò)事件嚴(yán)重偏離正常行為特征時(shí),則認(rèn)為當(dāng)前網(wǎng)絡(luò)事件是潛在的攻擊行為。統(tǒng)計(jì)分析的特征通常用主體特征變量的參數(shù)及其操作頻率、閾值、方差等統(tǒng)計(jì)量來(lái)描述,實(shí)際高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估過(guò)程中建立正常行為特征,典型的系統(tǒng)主體特征有登錄時(shí)間段、查看某文件的次數(shù)、內(nèi)存和外設(shè)的占用率等[2]。高校網(wǎng)絡(luò)安全態(tài)勢(shì)具有隨機(jī)性和模糊性,隨機(jī)性表現(xiàn)為事件是否發(fā)生,而模糊性則關(guān)注事件的自身狀態(tài),模糊性是高校網(wǎng)絡(luò)安全態(tài)勢(shì)事件在性質(zhì)和類(lèi)屬上具有不分明性,源于事件之間的過(guò)渡狀態(tài),它們互相交叉滲透,模糊了彼此的界限,模糊數(shù)學(xué)理論通常被用于網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估量化分析過(guò)程中,利用模糊數(shù)學(xué)評(píng)估算法評(píng)估高校網(wǎng)絡(luò)安全態(tài)勢(shì)一般具有較大的誤差或者錯(cuò)誤。
2.2 基于知識(shí)推理的評(píng)估算法
目前,常用的基于知識(shí)推理的評(píng)估算法包括專(zhuān)家系統(tǒng)、貝葉斯網(wǎng)絡(luò)等。專(zhuān)家系統(tǒng)以高校網(wǎng)絡(luò)安全評(píng)估中產(chǎn)生的專(zhuān)家經(jīng)驗(yàn)知識(shí)為基礎(chǔ),構(gòu)建一個(gè)核心的知識(shí)庫(kù)和推理機(jī),利用知識(shí)規(guī)則分析和評(píng)估的網(wǎng)絡(luò)安全態(tài)勢(shì),可以通過(guò)規(guī)則匹配,評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì),發(fā)現(xiàn)高校網(wǎng)絡(luò)中存在的攻擊行為,高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估設(shè)計(jì)簡(jiǎn)單,對(duì)于特征比較明顯的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估率高。貝葉斯網(wǎng)絡(luò)可以使用圖論評(píng)估高校網(wǎng)絡(luò)安全態(tài)勢(shì),使用概率論進(jìn)行輔助的定量分析,然后根據(jù)系統(tǒng)資源分析高校網(wǎng)絡(luò)中的攻擊行為,預(yù)測(cè)高校網(wǎng)絡(luò)攻擊結(jié)果,由于高校網(wǎng)絡(luò)的設(shè)備是動(dòng)態(tài)變化的,高校網(wǎng)絡(luò)中設(shè)備數(shù)量的每一次變化都需要重新配置通信資源,不利于進(jìn)行高校網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)動(dòng)態(tài)評(píng)估[3]。
2.3 基于模式識(shí)別的評(píng)估算法
模式識(shí)別是數(shù)據(jù)挖掘的一種分析方法,常用于各類(lèi)數(shù)據(jù)分析。高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估使用模式識(shí)別算法,可以很好地識(shí)別相關(guān)的態(tài)勢(shì)值,常用的模式識(shí)別評(píng)估算法包括K均值、SVM和神經(jīng)網(wǎng)絡(luò),最具代表性的是神經(jīng)網(wǎng)絡(luò)算法[4]。神經(jīng)網(wǎng)絡(luò)算法的輸入向量可以描述高校網(wǎng)絡(luò)底層安全態(tài)勢(shì)指標(biāo),比如安全漏洞、網(wǎng)絡(luò)掃描攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、蠕蟲(chóng)病毒攻擊、口令猜測(cè)攻擊、防火墻部署、入侵檢測(cè)部署情況等,輸出向量描述高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的高安全性指標(biāo),比如網(wǎng)絡(luò)的完整性、安全性和機(jī)密性??梢允褂靡呀?jīng)評(píng)判過(guò)的樣本訓(xùn)練神經(jīng)網(wǎng)絡(luò),確定隱含層以及各層之間的鏈接權(quán)值,從而構(gòu)建一個(gè)高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的模型和相關(guān)的參數(shù)。根據(jù)高校網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列要求,利用基于模式識(shí)別的評(píng)估算法,構(gòu)建一個(gè)可以識(shí)別的系統(tǒng)模式。高校網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)設(shè)置的歸納器可以對(duì)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析和歸納,根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)未來(lái)即將發(fā)生的行為,歸納得到一個(gè)事件發(fā)生的基本預(yù)測(cè)結(jié)果。通過(guò)對(duì)預(yù)測(cè)結(jié)果進(jìn)行動(dòng)態(tài)的評(píng)估,可以實(shí)時(shí)地識(shí)別系統(tǒng)中潛在的安全攻擊事件。與傳統(tǒng)單一的統(tǒng)計(jì)分析方法相比,基于模式識(shí)別的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的方式不僅可以對(duì)單一的攻擊事件進(jìn)行預(yù)測(cè)和分析,還可以注重網(wǎng)絡(luò)攻擊事件之間的關(guān)聯(lián)性,增加了對(duì)事件發(fā)生順序的甄別、判斷和分析,是對(duì)統(tǒng)計(jì)分析方法的重要改進(jìn)。基于模式識(shí)別的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析方法可以關(guān)注多個(gè)安全攻擊行為,具有較強(qiáng)的實(shí)時(shí)性,能夠在短時(shí)間內(nèi)檢測(cè)到系統(tǒng)的異常行為。
3 高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型設(shè)計(jì)
隨著高校網(wǎng)絡(luò)接入設(shè)備和軟件系統(tǒng)增多,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變得越來(lái)越復(fù)雜。因此,上述安全態(tài)勢(shì)評(píng)估模型無(wú)法適應(yīng)復(fù)雜網(wǎng)絡(luò)評(píng)估,造成高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估準(zhǔn)確度降低。為了適應(yīng)現(xiàn)代高校網(wǎng)絡(luò)動(dòng)態(tài)變化特征,提高安全態(tài)勢(shì)評(píng)估準(zhǔn)確度,文章提出了一種基于RF-SVM網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型,該模型包含高校網(wǎng)絡(luò)安全態(tài)勢(shì)訓(xùn)練和高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊,這兩個(gè)模塊的功能可以描述如下。
3.1 RF-SVM訓(xùn)練模塊
在RF-SVM模型的訓(xùn)練模塊中,其關(guān)鍵功能模塊包括四個(gè)部分,分別包括控制模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)訓(xùn)練模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)讀取模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊。文章的算法中,將這四個(gè)功能模塊進(jìn)行有效的集成,完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。算法執(zhí)行步驟如下所述:(1)首先根據(jù)需要確定輸入的網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列化條件,確定高校網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間化序列,統(tǒng)計(jì)時(shí)間序列的取值范圍。(2)然后調(diào)用高校網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)庫(kù),讀取本模塊的控制函數(shù)、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估函數(shù),緊接進(jìn)行高校網(wǎng)絡(luò)安全態(tài)勢(shì)值時(shí)間序列的統(tǒng)計(jì)工作,評(píng)估高校網(wǎng)絡(luò)的安全態(tài)勢(shì),根據(jù)時(shí)間序列劃分類(lèi)別,將安全態(tài)勢(shì)評(píng)估值的結(jié)果保存到LIST結(jié)構(gòu)數(shù)據(jù)中。(3)算法取出LIST中保存的數(shù)據(jù),將其傳輸?shù)筋A(yù)測(cè)模型,訓(xùn)練高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能模塊,生成一個(gè)態(tài)勢(shì)預(yù)測(cè)模型。
3.2 RF-SVM評(píng)估模塊
高校網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型訓(xùn)練完畢,采用以下步驟預(yù)測(cè)實(shí)際的高校網(wǎng)絡(luò)安全態(tài)勢(shì)。關(guān)鍵步驟描述如下:(1)獲取高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知實(shí)際數(shù)據(jù),根據(jù)要求設(shè)定時(shí)間序列規(guī)范和高校網(wǎng)絡(luò)安全態(tài)勢(shì)的時(shí)間序列。(2)統(tǒng)計(jì)高校網(wǎng)絡(luò)安全態(tài)勢(shì)的時(shí)間序列。(3)調(diào)用本模塊中的態(tài)勢(shì)預(yù)測(cè)函數(shù),評(píng)估實(shí)際的高校網(wǎng)絡(luò)安全態(tài)勢(shì)。
4 結(jié)束語(yǔ)
高校網(wǎng)絡(luò)安全關(guān)系學(xué)校各類(lèi)信息化系統(tǒng)的正常運(yùn)行。因此,高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估可以及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)安全存在的威脅,提高防御系統(tǒng)的實(shí)時(shí)性處理能力,進(jìn)一步提高高校防御系統(tǒng)的有效性。
參考文獻(xiàn)
[1]何永明.基于KNN-SVM的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用,2013,9:81-84.
[2]郭洪榮.指標(biāo)融合下對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的構(gòu)建研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,1:44-46.
[3]彭鵬.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,5:25-26.
[4]呂剛.應(yīng)用模糊分析法對(duì)評(píng)價(jià)網(wǎng)絡(luò)信息安全的有效研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013,8:118-119.
[5]陳虹,王飛,肖振久,等.一種融合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用,2014,14:47-51.