基于數據挖掘的網絡安全態勢感知技術研究

邵伯樂

(亳州職業技術學院 實驗實訓中心，安徽 亳州 236800)

態勢感知(Situational Awareness)的概念是通過研究太空飛行中的人為因素而產生的，在空中交通管制，核反應控制和軍事戰場領域進行了深入研究.鑒于網絡安全狀況已成為網絡安全領域中的關鍵問題，了解網絡安全狀況已成為確保網絡環境安全和抑制通訊中隱藏的網絡安全威脅的重要手段.

網絡態勢感知是一種對于外界環境動態進行綜合分析，從而感知存在安全風險的能力[1].網絡態勢感知以大數據為核心技術，在整體視角下，對網絡安全潛在的威脅進行識別、分析以及處理的一種有效途徑.而數據挖掘指的則是從大量的網絡數據中，自動挖掘出隱藏于其中的網絡潛在危險數據的過程.通過挖掘網絡潛在危險數據，具體分析網絡潛在危險數據之間的共同性以及差異性，并在此基礎上尋找其之間潛在的規律[2].通過網絡數據準備、網絡異常數據尋找以及總結網絡異常數據規律，判斷是否屬于網絡潛在危險數據.基于數據挖掘的網絡安全態勢感知，可以通過對網絡潛在危險數據的迭代，感知網絡安全態勢的具體變化，從而提高網絡安全態勢感知的精度.為此，本文進行基于數據挖掘的網絡安全態勢感知技術研究.致力于通過決策與行動，確保網絡安全態勢感知安全能力的落地[3].

1 基于數據挖掘的網絡安全態勢感知技術

獲取有關網絡安全領域情況的信息是指從大規模數據源中獲取有關網絡安全狀態的有價值的重要信息的過程，并且是對情況進行定量感知和預測的基礎.獲得的對象和結果直接影響定量感知的形式和準確性，目前該技術領域的研究仍處于起步階段，相應的研究文獻較少，但在早期階段進行了特征識別、分類分析和聚類的工作，為該領域的研究奠定了基礎.

本文設計的基于數據挖掘的網絡安全態勢感知技術具體流程共分為三個步驟，如圖1所示.

圖1 基于數據挖掘的網絡安全態勢感知技術流程圖

1.1 提取網絡安全態勢感知特征

首先要明確在所有的網絡安全態勢感知過程中，每一個獨立的網絡安全數據都能夠進行存儲[4].考慮到提取網絡安全態勢感知特征是感知網絡安全態勢最直觀的手段，因此本文通過對網絡安全系數中的網絡安全態勢感知進行分解，在相同網絡節點中提取多個網絡安全態勢感知特征[5].通過數據挖掘對于子信道及信道的穩定程度進行計算，得出網絡安全態勢感知特征具體情況，如表1所示.

表1 基于數據挖掘的網絡安全態勢感知特征

通過表1可知，網絡安全態勢感知特征與信道感知穩定程度直接相關，與子信道數據挖掘穩定程度間接相關[6].

1.2 計算機網絡安全運行維態勢指數

在提取網絡安全態勢感知特征后，計算網絡安全運行維態勢指數[7].設網絡安全運行維態勢指數為z，則z的計算公式，如公式(1)所示.

(1)

在公式(1)中，n指的是數據挖掘邏輯分析特征；i指的是網絡安全態勢中網絡攻擊事件，為實數；zi指的是網絡安全運行維態勢感知的精確概率值.網絡安全運行維態勢矩陣由網絡安全運行維態勢指數組成，網絡安全運行維態勢矩陣建立方法簡單.設網絡安全運行維態勢矩陣為W，在表1中選取i1、i2、i3和i4四個網絡安全節點.可得網絡安全運行維態勢矩陣W，其計算公式，如公式(2)所示.

(2)

通過公式(2)可知，網絡安全運行維態勢指數計算的精準程度直接影響網絡安全運行維態勢矩陣.在網絡安全運行維態勢矩陣中，利用數據挖掘自動挖掘出隱藏于其中的網絡潛在危險數據.分析網絡潛在危險數據之間的共同性以及差異性，并在此基礎上挖掘出數據之間潛在的規律[8].

網絡安全擾動分布為

(3)

Θ=[α,u,∑].

(4)

采用信道均衡調節的方法，進行網絡安全態勢的狀態特征空間重構，在重構的向量集合中，構建網絡安全態勢的統計序列模型，結合上述設計，得到分布式無線通信網絡承載的諧波分布為：

(5)

其中，G(U|μk,∑k)為分布式無線通信網絡承載統計特征量；p(U|Θ)為網絡安全態勢數據中概率密度特征，Θ為α，u，∑三個網絡安全態勢特征分布集合，α為模糊承載指標集，u為網絡安全態勢的特征指標限值，∑為協方差矩陣.根據上述分析，構建網絡通信傳輸信道模型，采用自適應擴頻增益控制方法進行分布式無線通信網絡傳輸的信道均衡設計.

1.3 感知網絡安全態勢

采用分數間隔譜特征提取方法進行下網絡安全態勢的特征提取，根對終端用戶的病毒信息進行特征提取，對于給定的單分量網絡安全態勢時間采樣序列xi，其特征點之間的聚類dij≤ε，計算網絡安全態勢的統計值為N(i)，采用定量遞歸分析方法，得到原始網絡安全態勢的定量遞歸熵比值Rm(r,i).

(6)

求得網絡安全態勢序列的矢量空間嵌入維，在特征擾動下，得到波動的情況下，網絡安全態勢的信道均衡模型為

(7)

根據網絡安全態勢的分布初始狀態特征量B0的鄰近點進行信息重構，得到網絡安全態勢的定量遞歸熵平均值

(8)

綜上所述，可以將基于數據挖掘的網絡安全態勢感知過程看作，尋找網絡安全運行維態勢矩陣中網絡潛在危險數據之間規律的過程.根據數據挖掘設定網絡安全態勢感知閾值，只選取網絡安全態勢中具有共同性的數據進行挖掘[9].最大程度上區分網絡潛在危險數據之間的共同性以及差異性，避免由于相似所造成的錯誤感知.至此，完成了基于數據挖掘的網絡安全態勢感知技術設計.

2 實驗

2.1 實驗準備

采用實驗對比本文設計技術與傳統技術網絡安全態勢感知精度之間的差異性.實驗環境配置包括：Pentium(R) Dual-Core、T4300@2.l GHz、計算機、320G硬盤、2.00GB安裝內存、Windows7,VC++6.0以及sgervruly綜合態勢感知軟件運行環境.利用sgervruly綜合態勢感知軟件態勢感知單元，對網絡安全態勢實時狀態進行感知.通過接收模塊，更新網絡安全態勢狀態.sgervruly綜合態勢感知軟件操作具體流程，如圖2所示.

圖2 sgervruly綜合態勢感知軟件操作流程圖

結合圖2信息，采用Isderncl網絡數據集，Isderncl數據集內共包含網絡安全數據總數為3824個.在Isderncl網絡數據集中選取1000個網絡安全數據作為實驗對象，在sgervruly綜合態勢感知軟件中，將Eps設置在18.211；Meaperly=36.78.網絡安全數據對象以100個為節點依次遞增，分別使用兩種技術對網絡安全數據進行網絡安全態勢感知，共采集7組實驗數據.設置傳統感知技術為實驗對照組，根據上述測試環境參數和相關測試參數設定，得出兩種感知技術對網絡安全態勢感知運行維態勢指數的差異結果.

2.2 實驗結果分析與結論

根據上述設計的實驗，采集7組實驗數據，將兩種感知技術下的運行維態勢指數進行對比.為了更加直觀地體現出兩種感知技術的差異性，將實驗結果在sgervruly綜合態勢感知軟件中以曲線圖的形式進行展示，如下圖3所示.

圖3 感知運行維態勢指數對比圖

通過圖3可得出如下的結論：在對相同個數的網絡數據進行挖掘中，本文設計的感知技術感知運行維態勢指數最高可達75.89%，對照組僅為25.41%，設計感知技術可以實現對網絡安全態勢的精準感知.感知運行維態勢指數越高證明該感知技術對于網絡安全態勢感知的精度也就越高，從而說明本文設計的感知技術其各項功能均可以滿足設計總體要求，可以廣泛應用于網絡安全態勢感知方面.

3 結束語

通過基于數據挖掘的網絡安全態勢感知技術的研究，證明設計技術的網絡安全態勢感知精度遠高于傳統技術，設計的感知技術可以實現對網絡安全態勢精準感知.因此，基于數據挖掘的網絡安全態勢感知技術是針對網絡安全態勢進行感知的最有效、最可靠的方法.網絡安全態勢感知精度的高低是保證網絡能夠安全、穩定運行的重要手段，而針對基于數據挖掘的網絡安全態勢感知技術的研究可以在完成傳統感知技術的同時提高網絡安全態勢感知精度.有理由以數據挖掘作為網絡安全態勢感知的核心技術，為網絡安全態勢感知領域的進一步發展提供學術支持.