基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

1、,基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型,韋勇 連一峰,,,提出了一種基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。首先利用日志審計(jì)評(píng)估節(jié)點(diǎn)理論安全威脅,并通過(guò)性能修正算法計(jì)算節(jié)點(diǎn)安全態(tài)勢(shì).然后利用節(jié)點(diǎn)服務(wù)信息計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì),并且采用多種預(yù)測(cè)模型對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),繪制安全態(tài)勢(shì)曲線圖.最后構(gòu)建了一個(gè)網(wǎng)絡(luò)實(shí)例進(jìn)行實(shí)驗(yàn)。,概要,,,術(shù)語(yǔ)解釋?zhuān)喊踩珣B(tài)勢(shì)評(píng)估日志審計(jì)理論安全威脅性能修正,網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型,,請(qǐng)

2、在此輸入您的標(biāo)題,L日志信息：對(duì)于網(wǎng)絡(luò)中任何一條日志l屬于L，都用一個(gè)六元組(id,timel,type,content,idc,idh)來(lái)表示.P性能信息:對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)的任何一條性能信息p∈ P,都用一個(gè)八元組(idp,timep,γ,μ,κ,ρ,δ,idh)來(lái)表示.S:服務(wù)信息.對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)的任何一條服務(wù)信息s∈ S,都用一個(gè)四元組(ids,name,ws,idh)來(lái)表示SA表示網(wǎng)絡(luò)的安全態(tài)勢(shì)值,由日志信息L、性能信息P和服務(wù)

3、信息S共同組成,表示為SA=(L,P,S).,網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估量化算法,,,日志審計(jì)通常有基于規(guī)則庫(kù)、基于數(shù)理統(tǒng)計(jì)、基于有學(xué)習(xí)能力的數(shù)據(jù)挖掘等方法。本文主要采用基于規(guī)則庫(kù)的日志審計(jì)方法,通過(guò)對(duì)日志信息進(jìn)行規(guī)則庫(kù)匹配得到初步的安全事件,然后通過(guò)安全事件歸并去掉重復(fù)的安全事件,再通過(guò)安全事件關(guān)聯(lián)分析挖掘出安全事件內(nèi)在的聯(lián)系,實(shí)現(xiàn)日志審計(jì)功能,最后量化評(píng)估節(jié)點(diǎn)理論安全威脅。,日志審計(jì),日志審計(jì),性能修正,安全態(tài)勢(shì)評(píng)估模型中的性能信息P 用(

4、idp,timep,y,µ, κ,ρ,δ,idn)表示，在timep時(shí)刻其性能參數(shù)（γ,μ,κ,ρ,δ)的最小值為0，對(duì)應(yīng)的最大值為（1,1,κ0,ρ0,1),網(wǎng)絡(luò)節(jié)點(diǎn)性能由當(dāng)前可利用資源來(lái)衡量，用如下公示：,性能修正,設(shè)在某時(shí)段開(kāi)始時(shí)刻某主機(jī)的性能參數(shù)為(γ1,μ1,κ1,ρ1,δ1),該時(shí)段結(jié)束時(shí)刻的性能參數(shù)為(γ2,μ2,κ2,ρ2,δ2),則利用式計(jì)算可得 使用性能變化量ΔP對(duì)節(jié)點(diǎn)理論安全威脅VoT進(jìn)行修正

5、,得到各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的安全態(tài)勢(shì)值后,即可利用各節(jié)點(diǎn)權(quán)重信息加權(quán)計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)，由以下公式計(jì)算節(jié)點(diǎn)權(quán)重wh:由各個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì)值SAh和節(jié)點(diǎn)權(quán)重wh可以計(jì)算得到網(wǎng)絡(luò)安全態(tài)勢(shì)值SA,計(jì)算公式如下:,綜合計(jì)算,網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法,本節(jié)介紹基于時(shí)間序列分析的態(tài)勢(shì)預(yù)測(cè)算法,對(duì)利用量化算法計(jì)算出的多個(gè)時(shí)段的網(wǎng)絡(luò)安全態(tài)勢(shì)值樣本進(jìn)行時(shí)間序列分析,從而實(shí)現(xiàn)對(duì)未來(lái)的網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行預(yù)測(cè),,,灰色系統(tǒng)理論是鄧聚龍教授在1982年創(chuàng)立的，應(yīng)用廣泛

6、：人口預(yù)測(cè)，災(zāi)變預(yù)測(cè)，初霜預(yù)測(cè)等?；疑到y(tǒng)理論是一種研究一些既含有已知信息又含知或未確知信息的系統(tǒng)理論和方法,它從雜亂無(wú)章的、有限的、離散的數(shù)據(jù)中找出數(shù)據(jù)的規(guī)律,然后建立相應(yīng)的灰色模型進(jìn)行預(yù)測(cè)。GM(1,1)模型是一種最常用的灰色預(yù)測(cè)模型,它是由一個(gè)只包含單變量的一階灰微分方程構(gòu)成的模型,在本文中這個(gè)單變量即為網(wǎng)絡(luò)安全態(tài)勢(shì)值,GM(1,1)模型,GM(1,1)模型,原始數(shù)據(jù)如下：首先對(duì)原始數(shù)據(jù)進(jìn)行一次累加處理，獲得新的數(shù)據(jù)。

7、而GM（1，1）模型的單變量一階灰微分方程為,GM(1,1)模型,根據(jù)最小二乘法得到：計(jì)算得到的累加序列值為：還原得預(yù)測(cè)值為：,ARMA模型,自回歸移動(dòng)平均模型它的基本思想是:將預(yù)測(cè)對(duì)象隨時(shí)間推移而形成的數(shù)據(jù)序列視為一個(gè)隨機(jī)序列,即除去個(gè)別的因偶然因素引起的觀測(cè)值外,時(shí)間序列是一組依賴(lài)于時(shí)間的隨機(jī)變量,這組隨機(jī)變量所具有的依存關(guān)系或自相關(guān)性表征了預(yù)測(cè)對(duì)象發(fā)展的延續(xù)性,而這種自相關(guān)性一旦被相應(yīng)的數(shù)學(xué)模型描述出來(lái),就

8、可以從時(shí)間序列的過(guò)去值及現(xiàn)在值預(yù)測(cè)其未來(lái)的值.由自回歸模型（簡(jiǎn)稱(chēng)AR模型）與滑動(dòng)平均模型（簡(jiǎn)稱(chēng)MA模型）為基礎(chǔ)“混合”構(gòu)成。,,,請(qǐng)?jiān)诖溯斎肽奈谋?。?qǐng)?jiān)诖溯斎肽奈谋尽Ｕ?qǐng)?jiān)诖溯斎肽奈谋?。?qǐng)?jiān)诖溯斎肽奈谋尽Ｕ?qǐng)?jiān)诖溯斎肽奈谋尽?實(shí)例分析,,,各個(gè)網(wǎng)絡(luò)服務(wù)器節(jié)點(diǎn)的服務(wù)信息S按照本文提出的模型表示如下:,實(shí)例模擬,,,0. 正常用戶(hù)集合在模擬過(guò)程中一直訪問(wèn)Server 1、Server 2和Server 3;1. Server

9、 3受到SQL注入攻擊;2. Server 4受到通過(guò)Server 3進(jìn)行的SQL注入攻擊;3. Server 1受到UDP FLOOD攻擊(DoS攻擊);4. Server 2受到MSBLAST蠕蟲(chóng)攻擊;5. Server 1、Server 2和Server 3同時(shí)受到以上1、3、4步驟中的攻擊;6. Server 3受到SQL注入攻擊和一種未知攻擊；7. Server 1受到Unicode解碼漏洞攻擊和SYNFLOOD攻