基於數據挖掘的網絡安全態勢分析方法

2023-12-07 02:28:56

專利名稱：基於數據挖掘的網絡安全態勢分析方法
技術領域：
本發明涉及一種基於數據挖掘的網絡安全態勢分析方法，屬於數據通信的網絡安全技術領域。
背景技術：
隨著計算機技術與通信技術的不斷結合，以及我國網絡化與信息化進程的不斷加速，網際網路與政治、經濟、文化生活越來越密不可分，各種網際網路應用融入到百姓生活的方方面面。但與此同時，伴隨著網絡流量的日漸增加，網絡應用的日益多樣，更多類型、更加隱蔽的網絡安全威脅也層出不窮:黑客對網絡的攻擊手段日趨複雜，攻擊目標擴大，造成的危害日趨嚴重。由於網際網路結構複雜，雖然部署在網絡上的各種安全系統、設備和平臺(如防火牆、入侵檢測系統等)提供大量可用來分析網絡安全態勢數據，但是數據具有廣泛分布、跨組織、格式差異大、海量等特點。這給數據收集、傳輸、格式轉換和存儲提出了很大的挑戰。例如，以往基於網絡木馬和殭屍網絡的分布式拒絕服務式攻擊已逐漸發展成為融合了 P2P技術的攻擊方式，使得防範和打擊難度進一步增加。而另一方面，層出不窮的網絡安全監測技術、手段、產品和設備獲取和生成了大量關於網絡安全事件和流量的監測數據，傳統的人工處理手段和簡單的統計學方法已無法滿足處理這些數據的需要，亟待研究更為高效的分析處理手段，以期從數據中挖掘獲取有價值的信息。綜合來看， 對於宏觀網絡安全態勢分析還存在以下亟待解決的問題:1、現有的網絡安全產品功能單一，如基於物理與鏈路層安全的數據加密產品、基於網絡層的防火牆設備及入侵檢測系統等，其中很多只能對特定網絡安全威脅產生明顯效果，缺乏針對系統層次劃分關聯而成的安全防護集成與整合手段。2、不同網絡安全監測手段包括跨網絡、跨系統、跨應用的海量數據分析與處理的問題。海量數據的特點是數據量大、數據格式複雜、數據隨機出現，缺乏普遍適用的海量數據建模與處理方案，缺乏融合網絡環境中海量數據的安全管理、動態分析、主動監控與過濾的有效手段。3、網際網路的信息傳遞存在多路徑的問題，單一的數據流往往通過不同的路徑在源和目標之間傳遞。如何在巨大的流量下找尋並還原出原來的數據流，對事件的過程進行回溯，也是一項十分難解的技術難題。

發明內容
本發明的目的是針對如何整合網際網路流量資源、圍繞網絡安全數據為核心的進行技術與模式創新，用以提升網絡安全數據分析能力，提升突發網絡安全事件處理能力，提升態勢預警通報能力，提供一種基於數據挖掘的網絡安全態勢分析方法。為了達到上述發明目的，本發明的技術解決方案如下:一種基於數據挖掘的網絡安全態勢分析方法，包括下述操作步驟:
(I)選取對象:當由特定的網絡木馬和殭屍網絡控制端程序生成相應的受控端程序，並成功植入受控計算機後，受控木馬需要通過不同的方式找尋對應的控制主機，如固定IP位址、動態域名、P2P、IRC協議等。但無論是通過哪種方式，在受控木馬尋找控制主機、控制主機發送指令等通信過程中，必然包括源、目的IP位址、埠、傳輸協議、返回值等信息，可通過監測手段發現並記錄這些信息。本發明中，用以分析的對象數據包括以下欄位信息:事件類型、源IP、目的IP、源埠、目的埠、發生時間、返回信息等，其特點是所有通訊記錄都是已知確定的網絡木馬和殭屍網絡程序在通訊過程中產生的數據。(2)通過事件數量模型或事件擴散速度模型進行數據分析。所述的事件數量模型具體描述如下:本模型觀測高級特徵事件的數 量，判斷是否存在異常。其運行分為兩個階段:學習階段和實時檢測階段。在學習階段讀取歷史事件庫中一段時間的日誌，或者從當前起的一段時期內的安全事件，然後建立起指標的正常閾值，在檢測階段統計指標的觀測值進行比較。為了避免一天不同時刻內的特徵事件數量變化太大，這裡每隔一小時建立一次閾值，在比較的時候總是將當前時刻統計得到的指標值與對應的閾值進行對比。模型參數:1、時間間隔T:進行一次統計分析的周期，取值範圍為I分鐘-10分鐘，預設為I分鐘。2、自學習起止時間:根據歷史日誌，建立統計模型時歷史日誌的起止時間。如果歷史日誌為空，也可以為學習周期長度，即從當前起的某段時間為自學習時間。3、事件類型:用戶感興趣、需要關注的安全事件。對應於現在的事件範化標準中的小類。輸入項:當前觀測周期內，引擎上報的特徵事件。輸出項:1、當前周期內各小類安全事件的數量；2、當前高級事件數量指標的評估值，分為4個等級。算法描述:該模塊的運行以用戶設置好各參數，並觸發其運行為準。首先進入學習階段，建立基線；待學習階段建立後自動轉入檢測階段。自學習階段算法:1、統計學習階段起止時間內，每個時間間隔內，用戶定義的各類安全事件的數量;2、以小時為單位，統計每個小時內，各類安全事件數量的均值和方差，統計公式為:X=^1Xii σ =拉 EfU其中:N——以時間間隔為單位的，各類安全事件數量統計值的個數，與學習階段的長度、時間間隔大小有關，例如，如果學習周期為5天，時間間隔為10分鐘，則對應的N=24X60X5/10 ；Xi——某個時間間隔內，第i類安全事件的數量。檢測階段算法:1、統計當前時間間隔，各類安全事件的數量Xj ；2、判斷各類安全事件數量的異常度:
權利要求
1.一種基於數據挖掘的網絡安全態勢的分析方法，其特徵在於，該方法包括下述操作步驟: (1)選取對象:選定網絡木馬和殭屍網絡事件作為統計分析的對象，統稱為安全事件； (2)建立並通過事件數量模型或事件擴散速度模型對所述的安全事件進行分析。
2.根據權利要求1所述的基於數據挖掘的網絡安全態勢分析方法，其特徵在於，所述的事件數量模型包括如下參數: 時間間隔T:進行一次統計分析的周期，取值範圍為I分鐘-10分鐘，預設為I分鐘； 自學習起止時間:學習周期長度； 事件類型:用戶選定的感興趣、需要關注的安全事件的種類； 所述的事件數量模型包括如下階段: 第一階段，自學習階段，具體方法如下: 1)、統計學習階段各類安全事件的數量Xi； 2)、計算各類安全事件數量的均值:
3.根據權利要求1所述的基於數據挖掘的網絡安全態勢分析方法，其特徵在於，所述的事件擴散速度模型包括以下參數: 時間間隔T:進行一次統計分析的周期，取值範圍為I分鐘一 10分鐘，預設為I分鐘； 自學習起止時間:自學習時間長度； 所述的事件擴散速度模型包括以下階段: 自學習階段，具體方法如下: I)、統計學習階段起止時間內，各時間間隔內各類安全事件擴散的速度，計算方法為:用當前時刻的各類安全事件數量，減去前一時刻各類安全事件的數量，將結果作為擴散速度Vi ;2)、計算每個小時各類安全事件擴散速度的均值:
全文摘要
本發明通過對多種網絡安全威脅的原理和特徵進行分析，結合多種已知數據分析方法及技術，研究形成兩種基於數據挖掘的網絡安全態勢分析新方法和新技術，即事件數量模型和事件擴散速度模型。通過研究，整理了網絡安全威脅和數據挖掘技術的相關知識，並在網絡安全事件和態勢的分析方法和技術上形成創新。
文檔編號G06F17/30GK103248630SQ201310188278
公開日2013年8月14日 申請日期2013年5月20日 優先權日2013年5月20日
發明者易平, 安思華, 鄒福泰, 柳寧, 李建華 申請人:上海交通大學