返回
一种层次化网络安全态势评估方法

一种层次化网络安全态势评估方法

ID:31363407

大小:104.00 KB

页数:5页

时间:2019-01-09

一种层次化网络安全态势评估方法_第1页
一种层次化网络安全态势评估方法_第2页
一种层次化网络安全态势评估方法_第3页
一种层次化网络安全态势评估方法_第4页
一种层次化网络安全态势评估方法_第5页
资源描述:

《一种层次化网络安全态势评估方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、一种层次化网络安全态势评估方法  摘要:随着网络规模不断扩大,基于单台主机或单个局域网的态势评估方法在运行效率和准确性上已无法满足要求。针对此问题,本文设计了一种基于网络流的层次化网络安全态势评估方法,将网络划分为主机层、子网层和全网层三个层次,依次抽取网络流特征进行建模,并利用其发现网络中存在的异常行为及来源。实践证明,该方法具有良好的应用前景。  关键词:网络安全态势评估网络流特征层次化  中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2016)05-0000-00  1引言 

2、 网络安全态势评估是一种新型的网络安全技术,能够从宏观上提供清晰的网络安全状态信息,并对安全状态的发展趋势进行预测。与传统的基于告警记录的态势评估相比,基于网络流的态势评估通过对全网流量信息采取合适特征进行描述,分析发现网络中存在的异常行为,能够更快更准确地把握当前的网络安全状态,具有良好的应用价值。  2层次化网络安全态势评估方法5  现有的基于网络流的态势评估大都以单台主机或单个局域网为核心实施对网络流的监控,通过某个一维时间序列的异常变化来检测异常行为,但某些异常行为(如DDoS)在单个序列上并不一定

3、具有明显的表现。如果将多个序列作为一个整体进行研究时,异常就有可能显现出来。基于这一思想,本文提出了一种层次化的网络安全态势评估方法,将网络划分为主机层、子网层和全网层三个层次,依次评估网络安全态势。随着网络规模扩大,将各子网安全态势分开检测评估,再综合得到整体安全态势,能够有效提高安全态势评估的精度和效率。  该方法在流程上可分为网络流划分、特征提取、异常检测和安全态势指数聚合四个阶段。  2.1网络流划分  基本过程是:  步骤一:利用部署在网络中的流量监测设备获取网络流数据。这里的网络流指的是一组具有

4、相同五元组取值的分组序列。  步骤二:依据网络流数据完成子网划分。本文采用CPM算法识别网络中的子网:将网络终端(主机、服务器、各种有IP地址的设备)视为节点,节点与节点之间的连接关系(设备间的网络流)视为边,则网络可被抽象成一个由点和边组成的图。假设网络簇由多个相邻的k-团组成,相邻的两个k-团至少共享k?1个节点,每个k-团唯一地属于某个网络簇,但属于不同网络簇的k-团可能会共享某些节点。对给定的参数K,计算出网络中的全部k-团(k≤K)以建立团-团重叠矩阵,并利用该矩阵计算出重叠网络簇,重叠网络簇即所

5、划分的子网。  步骤三:依据子网结构将网络流分为与子网相关的流。如果流的源和目的地址都在某子网中,则被划分为该子网内部流;若只有源或目的地址在子网中则被划分为外部流。  2.2特征提取5  基本过程是:从子网内部流与外部流中分别提取子网内部特征和外部特征,用于检测子网内部和外部之间的异常。  本文主要提取了五类网络流特征:  (1)计数型特征:某属性在单位时间内出现的不重复值的个数,如单位时间内出现的不同源地址个数。  (2)流量特征:单位时间各种属性对应的数据包数或字节数之和,如单位时间内的总数据包数,某

6、协议对应的总字节数等。  (3)度型特征:某属性的特定值对应的另一属性的特征值个数。对子网来说就是子网的出入度,即向子网发起(或接收子网发起)链接的不同地址(端口)的个数,如子网的源地址出度,即是单位时间内以子网内部IP为源地址的链接的个数。  (4)均数型特征:单位时间某属性对应的平均数据包或字节数。  (5)复合型特征:将前述特征通过简单统计得到。如IP地址、端口等信息熵。  2.3异常检测  基本过程是:对网络流进行异常检测,计算主机层及子网层安全态势指数,并分析引起异常的具体时间和来源。5  本文采

7、用基于层次聚类的异常检测方法。其基本思想是:对于已标记过异常流量的网络流样本集,首先计算每个特征的特征熵与特征比,把平均流大小、平均分组大小、每个特征的特征熵和特征比作为特征属性,用来刻画异常事件的类型,即每个样本由一个包含m项网络流特征的属性向量来表示。把属性向量间的相关系数作为相似性度量方式,在相似性最大的原则下进行类的合并,迭代直到所有对象在一个类中或满足某个终止条件。通过训练已标记的异常流量构建分类树,在相似性最大的原则下进行类的合并,并利用特征属性的学习建立分类模型。  异常检测算法利用建立的分类

8、树把相似的异常嵌入在子树中,并输出与子树中其他叶子节点相同的标记类型,从而完成异常事件的检测。对单台主机或子网流量进行流量异常检测即可以得到其安全态势指数。  2.4安全态势指数聚合  基本过程是:把各层子网的安全态势指数聚合成为全网的安全态势值,再根据各子网的重要程度对同一层次子网安全态势指数值进行加权得到高一级的安全态势值,最终得到全网的安全态势指数。  3结语  网络安全态势评估是针对大规模的多源异构网络,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。