基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型

1、,基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型,韋勇 連一峰,,,提出了一種基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型。首先利用日志審計(jì)評估節(jié)點(diǎn)理論安全威脅,并通過性能修正算法計(jì)算節(jié)點(diǎn)安全態(tài)勢.然后利用節(jié)點(diǎn)服務(wù)信息計(jì)算網(wǎng)絡(luò)安全態(tài)勢,并且采用多種預(yù)測模型對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測,繪制安全態(tài)勢曲線圖.最后構(gòu)建了一個網(wǎng)絡(luò)實(shí)例進(jìn)行實(shí)驗(yàn)。,概要,,,術(shù)語解釋：安全態(tài)勢評估日志審計(jì)理論安全威脅性能修正,網(wǎng)絡(luò)安全態(tài)勢評估模型,,請

2、在此輸入您的標(biāo)題,L日志信息：對于網(wǎng)絡(luò)中任何一條日志l屬于L，都用一個六元組(id,timel,type,content,idc,idh)來表示.P性能信息:對于網(wǎng)絡(luò)節(jié)點(diǎn)的任何一條性能信息p∈ P,都用一個八元組(idp,timep,γ,μ,κ,ρ,δ,idh)來表示.S:服務(wù)信息.對于網(wǎng)絡(luò)節(jié)點(diǎn)的任何一條服務(wù)信息s∈ S,都用一個四元組(ids,name,ws,idh)來表示SA表示網(wǎng)絡(luò)的安全態(tài)勢值,由日志信息L、性能信息P和服務(wù)

3、信息S共同組成,表示為SA=(L,P,S).,網(wǎng)絡(luò)安全態(tài)勢評估量化算法,,,日志審計(jì)通常有基于規(guī)則庫、基于數(shù)理統(tǒng)計(jì)、基于有學(xué)習(xí)能力的數(shù)據(jù)挖掘等方法。本文主要采用基于規(guī)則庫的日志審計(jì)方法,通過對日志信息進(jìn)行規(guī)則庫匹配得到初步的安全事件,然后通過安全事件歸并去掉重復(fù)的安全事件,再通過安全事件關(guān)聯(lián)分析挖掘出安全事件內(nèi)在的聯(lián)系,實(shí)現(xiàn)日志審計(jì)功能,最后量化評估節(jié)點(diǎn)理論安全威脅。,日志審計(jì),日志審計(jì),性能修正,安全態(tài)勢評估模型中的性能信息P 用(

4、idp,timep,y,µ, κ,ρ,δ,idn)表示，在timep時(shí)刻其性能參數(shù)（γ,μ,κ,ρ,δ)的最小值為0，對應(yīng)的最大值為（1,1,κ0,ρ0,1),網(wǎng)絡(luò)節(jié)點(diǎn)性能由當(dāng)前可利用資源來衡量，用如下公示：,性能修正,設(shè)在某時(shí)段開始時(shí)刻某主機(jī)的性能參數(shù)為(γ1,μ1,κ1,ρ1,δ1),該時(shí)段結(jié)束時(shí)刻的性能參數(shù)為(γ2,μ2,κ2,ρ2,δ2),則利用式計(jì)算可得 使用性能變化量ΔP對節(jié)點(diǎn)理論安全威脅VoT進(jìn)行修正

5、,得到各個網(wǎng)絡(luò)節(jié)點(diǎn)的安全態(tài)勢值后,即可利用各節(jié)點(diǎn)權(quán)重信息加權(quán)計(jì)算網(wǎng)絡(luò)安全態(tài)勢，由以下公式計(jì)算節(jié)點(diǎn)權(quán)重wh:由各個節(jié)點(diǎn)的安全態(tài)勢值SAh和節(jié)點(diǎn)權(quán)重wh可以計(jì)算得到網(wǎng)絡(luò)安全態(tài)勢值SA,計(jì)算公式如下:,綜合計(jì)算,網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法,本節(jié)介紹基于時(shí)間序列分析的態(tài)勢預(yù)測算法,對利用量化算法計(jì)算出的多個時(shí)段的網(wǎng)絡(luò)安全態(tài)勢值樣本進(jìn)行時(shí)間序列分析,從而實(shí)現(xiàn)對未來的網(wǎng)絡(luò)安全趨勢進(jìn)行預(yù)測,,,灰色系統(tǒng)理論是鄧聚龍教授在1982年創(chuàng)立的，應(yīng)用廣泛

6、：人口預(yù)測，災(zāi)變預(yù)測，初霜預(yù)測等。灰色系統(tǒng)理論是一種研究一些既含有已知信息又含知或未確知信息的系統(tǒng)理論和方法,它從雜亂無章的、有限的、離散的數(shù)據(jù)中找出數(shù)據(jù)的規(guī)律,然后建立相應(yīng)的灰色模型進(jìn)行預(yù)測。GM(1,1)模型是一種最常用的灰色預(yù)測模型,它是由一個只包含單變量的一階灰微分方程構(gòu)成的模型,在本文中這個單變量即為網(wǎng)絡(luò)安全態(tài)勢值,GM(1,1)模型,GM(1,1)模型,原始數(shù)據(jù)如下：首先對原始數(shù)據(jù)進(jìn)行一次累加處理，獲得新的數(shù)據(jù)。

7、而GM（1，1）模型的單變量一階灰微分方程為,GM(1,1)模型,根據(jù)最小二乘法得到：計(jì)算得到的累加序列值為：還原得預(yù)測值為：,ARMA模型,自回歸移動平均模型它的基本思想是:將預(yù)測對象隨時(shí)間推移而形成的數(shù)據(jù)序列視為一個隨機(jī)序列,即除去個別的因偶然因素引起的觀測值外,時(shí)間序列是一組依賴于時(shí)間的隨機(jī)變量,這組隨機(jī)變量所具有的依存關(guān)系或自相關(guān)性表征了預(yù)測對象發(fā)展的延續(xù)性,而這種自相關(guān)性一旦被相應(yīng)的數(shù)學(xué)模型描述出來,就

8、可以從時(shí)間序列的過去值及現(xiàn)在值預(yù)測其未來的值.由自回歸模型（簡稱AR模型）與滑動平均模型（簡稱MA模型）為基礎(chǔ)“混合”構(gòu)成。,,,請?jiān)诖溯斎肽奈谋尽Ｕ堅(jiān)诖溯斎肽奈谋?。請?jiān)诖溯斎肽奈谋尽Ｕ堅(jiān)诖溯斎肽奈谋?。請?jiān)诖溯斎肽奈谋尽?實(shí)例分析,,,各個網(wǎng)絡(luò)服務(wù)器節(jié)點(diǎn)的服務(wù)信息S按照本文提出的模型表示如下:,實(shí)例模擬,,,0. 正常用戶集合在模擬過程中一直訪問Server 1、Server 2和Server 3;1. Server

9、 3受到SQL注入攻擊;2. Server 4受到通過Server 3進(jìn)行的SQL注入攻擊;3. Server 1受到UDP FLOOD攻擊(DoS攻擊);4. Server 2受到MSBLAST蠕蟲攻擊;5. Server 1、Server 2和Server 3同時(shí)受到以上1、3、4步驟中的攻擊;6. Server 3受到SQL注入攻擊和一種未知攻擊；7. Server 1受到Unicode解碼漏洞攻擊和SYNFLOOD攻