基于數據挖掘的信息管理風險預警系統研究

李穎

(海軍青島特勤療養中心 經濟管理科,山東 青島 266071)

0 引言

最初人們使用防火墻、信息審計等保證信息管理系統的安全，但是它們存在許多不足，如只能被動對一些非法入侵，攻擊行為進行防范，而信息管理風險預警技術是一種主動的防范方式，可以對信息管理系統將來的風險進行評估，根據評估結果對信息管理風險進行預警，成為信息管理系統安全的主要保障措施[1]。在實際應用中，存在許多類型的信息管理風險預警系統，它們均存在一些不足，如難以對風險進行準確評估，信息管理風險預警的錯誤率高等，無法保證信息的安全。

為了提高信息管理風險預警效果，設計了一個基于數據挖掘的信息管理風險預警系統，并通過仿真實驗對信息管理風險預警系統的有效性和可行性進行了具體測試。

1 數據挖掘的信息管理風險預警系統

1.1 信息管理風險預警系統總體結構

信息管理風險預警系統采用分布式結構[2-3]，主要包括檢測域、預警代理、區域預警中心，區域預警中心能夠對報警信息進行融合，預警代理包含在檢測域中，同一個檢測域中可以包含多個預警代理，以此來實現數據包獲取以及預處理等檢測分析。信息管理風險預警系統的總體結構如圖1所示。

從圖1可以看出，每個檢測域中都包含了蜜罐宿主機、蜜罐網關、日志服務器等多個網段，其外觀均為2U標準尺寸，當檢測域確定之后，其中的主機IP地址也會隨之確定，實現檢測域與IP地址的綁定[4-5]。檢測域中的蜜罐宿主機能夠虛擬安裝業務系統，通過安裝主機行為監控模塊，實現威脅入侵行為的監控。蜜罐網關能夠隔離主動防御系統與實際信息網絡系統，將進入蜜罐宿主機的威脅入侵行為控制在蜜罐宿主機中。日志服務器的主要功能是收集各類原始流量數據包和網絡、主機日志，將得到的樣本文件進行關聯分析，結合離線分析技術實現系統的數據分析需求。

圖1 信息管理風險預警系統總體結構

1.2 設計信息管理風險預警系統

1.2.1 數據采集

在預警代理模塊中，需要對數據進行處理和分析，其中能夠判斷風險類型的叫做預警規則庫。規則庫主要包括入侵特征庫和正常模式庫，入侵特征庫是根據經過研究的攻擊類型的特點，利用模式匹配來分辨攻擊類型。這兩種規則庫都需要通過獲取網絡數據包不斷地更新[6-8]。為了獲取到網絡數據包，在Windows平臺下選擇WinPcap庫完成數據采集，WinPcap的結構如圖2所示。

圖2 WinPcap結構圖

正常模式庫中包括正常行為特征，主要用來進行異常檢測。特征規則的結構主要包括兩部分，一部分包括規則操作、協議、IP地址等，這一部分被稱作規則頭部；另一部分主要包括預警信息的需要監測模式的信息，被稱為規則選項[9-10]。建立的規則庫內容與結構如圖3所示。

圖3 規則庫結構

上述過程中，出現了屏蔽弧和屏蔽孤點的操作，需要統一對屏蔽行為的流程進行規范。在屏蔽過程中，確定發生了某個攻擊行為，如果該行為所對應的頂點被屏蔽，那么需要取消該頂點、該行為指向其所有后繼行為所對應的弧與對應頂點的屏蔽，求解出新的攻擊支撐樹。使用支撐樹對使用行為進行預測，相關流程如圖4所示。

圖4 行為預測流程圖

圖4的流程圖GP集合為：在進行行為預測時，某一行為的后續行為并不唯一時，將后續可能的行為劃分成的集合稱為GP集合。在網絡使用行為預測過程中，在進行攻擊行為權值自適應的同時，也進行了非攻擊行為的權值自適應操作，并利用自適應模塊進行維護和更新。

對于已知的攻擊進行檢測，根據上圖對于誤用檢測的效果比較好，但是對于未知、規則庫中不存在的新型攻擊來說，需要先誤用檢測后再進行異常監測，這樣的效果比較好。

1.2.2 攻擊行為預測

為實現風險程度的有效辨識，采用誤用檢測與異常檢測共同作業的方法，誤用檢測通過入侵規則庫，將其中的特征數據與用戶行為數據進行對比匹配，當匹配成功后做出相應的指示。在得到目前的使用行為后，需要對下一步的行為進行預測，對于完整網絡來說，查詢和預測耗時較多，為降低預測難度，引入支撐樹的概念。為創造支撐樹，需要結合實際情況和需求，設置權重閾值，訪問后繼行為表并判斷是否所有后繼行為表遍歷完畢，如果遍歷完畢那么直接去判斷行為帶權有向圖中的孤點情況[11-12]；如果沒有遍歷完畢，需要辨別后繼行為表中的權重是否低于閾值，如果低于閾值需要屏蔽該弧，如果在閾值內，返回到訪問后繼行為表重新判斷遍歷情況，再繼續判斷是否存在孤點，如果有直接屏蔽后能夠求出攻擊支撐樹。

1.2.3 信息管理風險評估

(1)

對判斷矩陣進行調整，直到得到滿足一致性要求的判斷矩陣。模糊綜合評價模型具有3個基本要素：因素集合U={U1,U2,…,Um}、評價集合V={V1,V2,…,Vn}和單因素評價矩陣R，其中影響因素的數量不確定，暫且記作Ui(i=1,2,…,m)，影響因素相對應的權重系數能夠反映出各因素在綜合評價中具有的重要程度，可以表示為ai(i=1,2,…,m)，對所有的影響因素進行分級劃分，構成了綜合模糊評價模型，單因素評價矩陣R和一級模糊綜合評價模型如式(2)、式(3)。

(2)

(3)

(4)

1.2.4 數據挖掘的預警機制

對于已經完成采集的數據，網絡中的數據包會按照時間順序依次排列，為了實現預警系統對于攻擊行為的分析，需要從大量的數據中挖掘出其中的關聯相關關系或因果結構，這種數據挖掘的方法稱為關聯規則。數據挖掘的過程繁瑣，但是具體的步驟比較清晰，主要包括3步：準備數據、挖掘信息、總結測評。在數據的準備階段使用的數據大部分是在數據庫中經過很長時間的存儲，失去了時效性，對于用戶來說意義不大，因此在數據挖掘前要提前準備好需要進行挖掘的數據的大概信息。在挖掘過程中，應用到的數據挖掘技術為關聯性分析。

假設不同項目的集合表示為I={i1,i2,i3,…,im}，那么該集合中共有m個不同項目，在交易數據庫D中的每一個交易或事務都是上式中的一組項目的集合，那么對于I中的項目集也存在于某個交易或事務中，那么說明這個交易或事務支持該項目集，說明在這之間存在關聯規則。將這種數據挖掘方法應用到風險預警機制中，具體如圖5所示。

圖5 基于數據挖掘的風險預警機制

基于關聯規則的預警機制能夠反映預警時間和風險事件之間存在的相關關系，根據預警時間中的項值與關聯項值進行風險預測。其中關聯規則算法使用的是NewApriori算法，從修剪頻繁集和優化連接策略這兩方面進行優化，提高挖掘效率。NewApriori算法的輸入值為交易數據庫D，其中最小支持度表示為min_sup，輸出值為D中頻繁項集M，那么M1=find_frequent_1_itensets(D)，從Mk-1中刪除不可能得到的頻繁項集的集合：Mk=delete(Mk-1)，在得到頻繁項集后，從中生成關聯規則。至此完成基于數據挖掘的信息管理風險預警系統的設計。

2 系統測試

2.1 搭建測試環境

為驗證本文系統的有效性，需要對系統進行測試。根據系統的實際應用情況搭建測試環境，需要的設備主要包括：預警服務器2臺，型號為FXP0和FXP1，FXP1的IP地址為192.168.0.1，網絡主機1臺，配備以太網口，IP地址為192.168.11.10，交換機2臺，型號均為SF1 009，終端主機2臺，配備以太網口，IP地址為192.168.11.36，另外備網線若干，將上述設備搭建起來，使具有配置功能的預警服務器FXP0通過交換機1與網絡主機相連，監聽功能的預警服務器通過交換機2與客戶終端主機相連接，最后將交換機1、2相連，共同組成系統測試環境。將該系統應用在某公司內部網絡中，設置兩個重要的檢測點，在對應工作站中設計相應的檢測中心。

2.2 設計測試過程

在上述的測試環境中，使用終端主機從網絡主機下載文件，登錄網絡攻擊行為預警系統，并利用預警服務器對傳輸的數據進行采集，在測試過程中，人為設計網絡安全攻擊與非攻擊性的通知，并使用行為分析系統，設置抓包時間，并連接系統的監聽端口抓取指定時間段內的數據，分別使用本文設計的系統與傳統的系統進行預警，并將預警結果進行統計分析。

2.3 實驗結果分析

通過上述實驗過程，對監控中心原始數據、區域預警中心報警數據的數量進行統計，結果如表1所示。

表1 報警數量測試結果

從表1的測試結果可以看出，原有系統與本文系統對于信息管理風險都具有優秀的辨識性，但是原有的系統中無法區分出通知、預警和報警情況，僅能將這3種情況全部判定為預警情況，本文的系統經過深度的數據挖掘處理后，能夠劃分出信息管理風險的等級，詳細地辨識出通知、預警和報警情況，說明本文設計的系統具有一定的有效性。

2.4 其它系統的性能對比

為了測試本文的信息管理風險預警系統的優越性，選擇傳統的信息管理風險預警系統進行對比實驗，其進行5次仿真實驗，統計它們的信息管理風險預警系統精度，結果如圖6所示。

從圖6可以看出，相對于傳統信息管理風險預警系統，本文系統的信息管理風險預警精度得到大幅度提升，降低了信息管理風險預警的錯誤率，可以保證信息管理系統中的信息安全。

圖6 與傳統系統的信息管理風險預警精度對比

3 總結

互聯網的普及也使得網絡攻擊手段層出不窮，信息管理安全所面對的風險也越來越大。傳統的信息管理預警系統由于缺少風險評估方面的設計，導致在預警過程中劃分信息管理風險的等級，將一些攻擊性小的通知類信息也識別為預警信息，在給用戶造成困擾的同時，也導致了資源的浪費。因此，設計一種基于數據挖掘的信息管理風險預警系統。在硬件設計中，提出了信息管理風險預警系統的總體體系結構，軟件設計中，著重對風險評估進行了研究。但是本文未研究預警系統中各模塊之間的通信安全，在后續的研究過程中將會在該方面進行深度探析。