一种网络空间安全态势实时检测方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,特别是涉及一种网络空间安全态势实时检测方 法。
【背景技术】
[0002] 随着互联网规模和应用领域的不断发展,其基础性、全局性的地位逐渐增强。同 时,网络攻击和破坏行为日益增多,且逐渐呈现出组织严密化、行为趋利化和目标直接化的 特点。而现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于 它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络安全问题已 成为影响Internet和各类应用发展的主要问题。网络安全态势感知(CyberspaceSecurity SituationAwareness,CSSA)在此背景下产生,目的是从总体上把握网络运行的安全状况 及未来的发展趋势,实时感知当前网络所面临的各种威胁,为及时、准确地采取应对措施提 供决策依据,从而将网络威胁带来的风险和损失降至最低。
[0003]国外众多研究机构已开始着手研制网络安全态势感知应用系统。美国国家能 源研究科学计算中心(NERSC)领导的劳伦斯伯克利国家实验室(LawrenceBerkeley NationalLabs)开发了"SpinningCubeofPotentialDoom"系统,该系统为了能尽可 能多的显示网络中实时存在的信息,通过在三维空间中用点来表示网络流量信息实现了态 势可视化并有效地提高了态势感知能力。卡耐基.梅隆大学软件工程部(CMU/SEI)领导 CERT/NetSA(CERTNetworkSituationalAwarenessGroup)开发了SILK(theSystemfor Internet-LevelKnowledge),该系统采用集成化思想,通过多种策略把现有的Netflow工 具集成在一起,对大规模网络安全态势状况进行实时监控和安全分析。美国国家高级安全 系统研究中心(NationalCenterforAdvancedSecureSystemsResearch,NCASSR)开发 安全事件融合工具的集成框架SIFT(SecurityIncidentFusionTool)为互联网提供安 全态势感知,目前SIFT包含的态势感知软件包括:VISionIP,VisFlowConnect-IP,UCLog+ 等。VISionIP和VisFlowConnect-IP分别通过系统状态和网络连接分析可视化来获取 Internet的安全态势感知,UCLog+是一个安全事件存储数据库系统,用于对告警日志和其 它安全数据进行关联分析和安全趋势预测。
[0004] 目前,对网络安全态势感知的研究主要集中于对单机日志、NetFlow、SNMP和服务 等数据的简单关联分析基础之上,存在着感知范围片面、精度低等不足,因此无法从本质上 把握网络运行的内在规律,更难以全面准确地对整个网络的安全态势进行动态评估和趋势 预测。
[0005] 为了对网络面临的安全风险和安全态势进行实时、定量的评估,专利《网络安全 风险检测系统及方法》(公开号CN1567853A)公开了一种基于人工免疫的网络安全风检测 方法,该方法模拟了生物免疫原理对大规模网络活动中的异常网络行为进行监控和风险检 测,并通过人工抗体的浓度指标定量展示网络安全风险。专利《基于信息关联的网络安全态 势感知系统及其方法》(公开号CN102340485A)提出综合利用主动扫描和被动嗅探相结合 的方式获取网络脆弱性信息、通过对各种安全日志的采集和分析来获取威胁信息、以及网 络流量等基本信息生成网络安全态势。上述方法通过各类检测引擎的检测结果或记录对网 络安全态势进行评估,只考虑单一时空尺度上的网络行为,存在分析方法简单,融合层次较 低的问题,导致态势评估结果粗糙、难以描述网络行为的复杂特征,更不能细粒度的刻画网 络威胁行为发生、发展和演化的全过程。
【发明内容】
[0006] 本发明的目的在于为了解决上述问题而提供一种基于多尺度熵理论和人工免疫 的网络空间安全态势实时检测方法。多尺度熵理论适于在多时空序列内对多数据源结构进 行检查和复杂网络行为的分析与建模。根据信息熵理论,若样本序列中存在着异常行为,则 序列的随机性降低,导致衡量结构复杂度的样本熵也将减小,因此可以利用多尺度熵理论 全面分析多时空尺度上网络行为的复杂度特性,克服单一时空尺度下的网络行为分析不准 确问题。
[0007] 针对传统的网络安全态势感知模型直接以原始的网络信号作为检测对象,导致模 型缺少时间分辨率,在单一时间尺度下的网络行为分析不准确这一问题,本发明采用多尺 度熵理论,在不同的网络层次下计算原始网络数据特征的多尺度熵,生成样本特征的熵值 向量以刻画多时间尺度上的网络行为特征;此外,本发明采用人工免疫检测器作为网络异 常检测引擎,利用人工免疫模型的自适应,自学习能力,以发现各类已知和潜在的网络安全 威胁,为态势计算提供数据支撑。
[0008] 为了达到上述目的,本发明采用了以下技术方案:
[0009] 本发明包括以下步骤:
[0010] 1)原始特征提取,通过数据收集模块从网络中获取原始的网络数据包特征;
[0011] 2)多尺度熵计算,对提取到的网络特征进行多尺度熵计算,在不同的时间尺度下 计算原始数据包特征序列的样本熵,获得不同尺度因子下的熵值特征向量;
[0012] 3)检测器训练,在不同的时间尺度下,利用样本熵特征向量和否定选择算法训练 免疫检测器;
[0013] 4)网络威胁安全检测,将网络数据包多尺度熵特征向量提交给基于免疫的异常检 测模块,利用训练成熟的免疫检测器在多种时空尺度上进行网络安全威胁检测;
[0014] 5)网络安全态势计算,计算不同时间尺度和网络层次下的网络安全态势,态势计 算模块根据网络面临的安全威胁,资产权重,以及漏洞脆弱性评分值生成多尺度、多层次的 网络安全态势;
[0015] 6)态势可视化,在不同的时间和网络层次下,用不同颜色的曲线图表示网络安全 态势。
[0016] 具体地,所述多尺度熵计算包含以下步骤:
[0017] 1)对于原始网络样本特征序列X= {Xl,x2, ...xN},根据尺度因子 τk,(1 <k<t),计算新的粗粒序列,可选的时间尺度有:毫秒ms,秒s,分钟m,小时h,天 d〇
[0019] 2)计算粗粒序列中任意两m维嵌入向量子序列yj(T)与5^(1)间的距离
[0020] 3)根据似容限r,计算距离占比
其中η,为距离
d[y,(τ),yk (τ)]小于相似容限r的数目,及均值平均值
[0021]
计算样本熵,尺度因子^下,各个样本特 征的样本熵构成样本熵检测向量;
[0022] 5)重复步骤1)-4)计算所有尺度因子下的样本熵向量。
[0023] 具体地,所述检测器训练包含以下步骤:
[0024] 1)在不同的时间尺度τi下的正常样本熵向量作为自体训练集;
[0025] 2)基于不同的时间尺度τJ的自体训练集,调用否定选择算法,生成成熟的免疫 检测器;
[0026] 3)分别记录各个时间尺度^下产生的成熟检测器到集合D_t1<3
[0027] 具体地,所述网络威胁安全检测包含以下步骤:
[0028] 1)在不同的时间尺度τ依次执行步骤2)_5)对测试样本进行免疫检测;
[0029] 2)计算待测试样本的在时间尺度τi下的样本熵向量;
[0030] 3)在时间尺度τi下调用成熟检测器,对样本熵向量进行检测,若该向量被成熟检 测器覆盖则产生报警;
[0031] 4)根据检测器中心向量的相似性进行聚类,将同一检测器类发出的警报对应的划 入同一攻击类别;
[0032] 5)分别统计单位时间内每一类攻击的报警数量,并输出各类报警强度。
[0033] 具体地,所述网络安全态势计算包含以下步骤:
[0034] 1)在不同的时间尺度τ依次执行步骤2)_7)对测试样本进行态势计算;
[0035] 2)统计网络中各台主机Q中免疫检测器单位时间内每一类攻击对应的报警强度 (数量)Ti;
[0036] 3)基于通用弱点评价体系和漏洞扫描软件量人评估主机的漏洞脆弱性D1;
[0037] 4)根据主机的报警强度?\,脆弱性指数Di,资产权重t,产生主机的安全态势指标
η为攻击类别数量,σ 表计算权重;
[0038]5)统计子网内主机的安全态势, m为该子网内的主机 台数;
[0039] 6)统计区域网络内子网的安全态势, k为该子网内的子
,. 网数量;
[0040] 7)统计全网络内区域网络的安全态势,S为该子网内的 子网数量。
[0041] 本发明的有益效果在于:
[0042]本发明的分析方法相对传统方法考虑的时间尺度更全面,融合层次更高,态势评 估结果更精确,能够描述网络行为的复杂特征,能够细粒度的刻画网络威胁行为发生、发展 和演化的全过程。
【附图说明】
[0043] 图1是本发明所述网络空间安全态势实时检测方法的系统架构图;
[0044] 图2是本发明所述网络空间安全态势实时检测方法的工作流程图;
[0045] 图3是本发明所述多尺度熵计算步骤图;
[0046] 图4是本发明所述检测器的训练步骤图;
[0047] 图5本发明所述网络威胁安全检测的步骤图;
[0048] 图6是本发明所述网络安全态势计算的步骤图。
【具体实施方式】
[0049]下面结合附图对本发明作进一步具体描述:
[0050] 如图1所示,本发明提出了一种基于人工免疫和多尺度熵的网络安全态势评估方 法,该方法包含6个部分:原始特征提取、多尺度熵计算、检测器训练、网络威胁安全检测、 网络安全态势计算和态势可视化。其中,原始特征提取是通过数据收集模块从网络中获取 原始的网络数据包特征,用于后继检多尺度熵计算和网络异常测过程;多尺度熵计算,对提 取到的网络特征进行多尺度熵计算,在不同的时间尺度下计算原始数据包特征序列的样本 熵,获得不同尺度因子下的熵值特征向量;检测器训练过程采用传统的否定选择算法产生 成熟的免疫检测器用于对网络异常进行检测;成熟检测器对在不同的时间尺度下对实时采 集的网络样本进行威胁检测;态势计算过程综合免疫检测结果、系统漏洞脆弱性量化评分、 以及网络资产权重进行计算;态势可视化过程采用直观的示图对不同网络层次,不同时间 尺度下的网络安全态势进行展示。
[0051] 如图2所示为本发明的工作流程