一種層次化網絡安全態勢評估方法

袁泉 孫銀艷

摘要：隨著網絡規模不斷擴大，基于單臺主機或單個局域網的態勢評估方法在運行效率和準確性上已無法滿足要求。針對此問題，本文設計了一種基于網絡流的層次化網絡安全態勢評估方法，將網絡劃分為主機層、子網層和全網層三個層次，依次抽取網絡流特征進行建模，并利用其發現網絡中存在的異常行為及來源。實踐證明，該方法具有良好的應用前景。

關鍵詞：網絡安全態勢評估 網絡流特征 層次化

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

1引言

網絡安全態勢評估是一種新型的網絡安全技術，能夠從宏觀上提供清晰的網絡安全狀態信息，并對安全狀態的發展趨勢進行預測。與傳統的基于告警記錄的態勢評估相比，基于網絡流的態勢評估通過對全網流量信息采取合適特征進行描述，分析發現網絡中存在的異常行為，能夠更快更準確地把握當前的網絡安全狀態，具有良好的應用價值。

2層次化網絡安全態勢評估方法

現有的基于網絡流的態勢評估大都以單臺主機或單個局域網為核心實施對網絡流的監控，通過某個一維時間序列的異常變化來檢測異常行為，但某些異常行為（如DDoS）在單個序列上并不一定具有明顯的表現。如果將多個序列作為一個整體進行研究時，異常就有可能顯現出來。基于這一思想，本文提出了一種層次化的網絡安全態勢評估方法，將網絡劃分為主機層、子網層和全網層三個層次，依次評估網絡安全態勢。隨著網絡規模擴大，將各子網安全態勢分開檢測評估，再綜合得到整體安全態勢，能夠有效提高安全態勢評估的精度和效率。

該方法在流程上可分為網絡流劃分、特征提取、異常檢測和安全態勢指數聚合四個階段。

2.1 網絡流劃分

基本過程是：

步驟一：利用部署在網絡中的流量監測設備獲取網絡流數據。這里的網絡流指的是一組具有相同五元組<源IP、目的IP、源端口、目的端口、協議類型>取值的分組序列。

步驟二：依據網絡流數據完成子網劃分。本文采用CPM算法識別網絡中的子網：將網絡終端（主機、服務器、各種有IP地址的設備）視為節點，節點與節點之間的連接關系（設備間的網絡流）視為邊，則網絡可被抽象成一個由點和邊組成的圖。假設網絡簇由多個相鄰的k-團組成，相鄰的兩個k-團至少共享k？1個節點，每個k-團唯一地屬于某個網絡簇，但屬于不同網絡簇的k-團可能會共享某些節點。對給定的參數K，計算出網絡中的全部k-團（k≤K）以建立團-團重疊矩陣，并利用該矩陣計算出重疊網絡簇，重疊網絡簇即所劃分的子網。

步驟三：依據子網結構將網絡流分為與子網相關的流。如果流的源和目的地址都在某子網中，則被劃分為該子網內部流；若只有源或目的地址在子網中則被劃分為外部流。

2.2 特征提取

基本過程是：從子網內部流與外部流中分別提取子網內部特征和外部特征，用于檢測子網內部和外部之間的異常。

本文主要提取了五類網絡流特征：

（1）計數型特征：某屬性在單位時間內出現的不重復值的個數，如單位時間內出現的不同源地址個數。

（2）流量特征：單位時間各種屬性對應的數據包數或字節數之和，如單位時間內的總數據包數，某協議對應的總字節數等。

（3）度型特征：某屬性的特定值對應的另一屬性的特征值個數。對子網來說就是子網的出入度，即向子網發起（或接收子網發起）鏈接的不同地址（端口）的個數，如子網的源地址出度，即是單位時間內以子網內部IP為源地址的鏈接的個數。

（4）均數型特征：單位時間某屬性對應的平均數據包或字節數。

（5）復合型特征：將前述特征通過簡單統計得到。如IP地址、端口等信息熵。

2.3 異常檢測

基本過程是：對網絡流進行異常檢測，計算主機層及子網層安全態勢指數，并分析引起異常的具體時間和來源。

本文采用基于層次聚類的異常檢測方法。其基本思想是：對于已標記過異常流量的網絡流樣本集，首先計算每個特征的特征熵與特征比，把平均流大小、平均分組大小、每個特征的特征熵和特征比作為特征屬性，用來刻畫異常事件的類型，即每個樣本由一個包含m項網絡流特征的屬性向量來表示。把屬性向量間的相關系數作為相似性度量方式，在相似性最大的原則下進行類的合并，迭代直到所有對象在一個類中或滿足某個終止條件。通過訓練已標記的異常流量構建分類樹，在相似性最大的原則下進行類的合并，并利用特征屬性的學習建立分類模型。

異常檢測算法利用建立的分類樹把相似的異常嵌入在子樹中，并輸出與子樹中其他葉子節點相同的標記類型，從而完成異常事件的檢測。對單臺主機或子網流量進行流量異常檢測即可以得到其安全態勢指數。

2.4 安全態勢指數聚合

基本過程是：把各層子網的安全態勢指數聚合成為全網的安全態勢值，再根據各子網的重要程度對同一層次子網安全態勢指數值進行加權得到高一級的安全態勢值，最終得到全網的安全態勢指數。

3結語

網絡安全態勢評估是針對大規模的多源異構網絡，綜合各方面的安全要素，從整體上動態反映網絡安全狀況，把原始“數據”轉化為人能夠理解的“知識”的過程。本文針對網絡規模擴大、原始“數據”爆炸性增長給態勢評估帶來困難這一問題，依據流特征將網絡劃分為主機層、子網層、全網層，通過時間序列分析、節點態勢融合和子網態勢融合依次計算安全態勢，從而實現全網安全態勢的量化分析，方法具有客觀性、適用性的特點。

參考文獻

[1]錢葉魁，陳鳴 等.ODC在線檢測和分類全網絡流量異常的方法[J].通信學報，2011年6月.

[2]湯永利，李偉杰 等.基于改進D-S證據理論的網絡安全態勢評估方法[J].南京理工大學學報，2015年4月.