信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)研究范文

本站小編為你精心準(zhǔn)備了信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)研究參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

摘要：信息管理風(fēng)險(xiǎn)預(yù)警是當(dāng)前信息領(lǐng)域的研究熱點(diǎn)，由于當(dāng)前入侵行為的多樣性，使得傳統(tǒng)風(fēng)險(xiǎn)預(yù)警系統(tǒng)難以對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估，無(wú)法保證信息的安全，為了提高信息管理風(fēng)險(xiǎn)預(yù)警效果，提出了基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)。首先對(duì)當(dāng)前信息管理風(fēng)險(xiǎn)預(yù)警研究進(jìn)展進(jìn)行分析，構(gòu)建了信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的總體框架，然后對(duì)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的關(guān)鍵技術(shù)進(jìn)行了詳細(xì)設(shè)計(jì)，最后進(jìn)行了信息管理風(fēng)險(xiǎn)預(yù)警的仿真測(cè)試。結(jié)果表明，設(shè)計(jì)的信息管理風(fēng)險(xiǎn)預(yù)警精度高，能夠有效保證信息安全性，具有一定的實(shí)際應(yīng)用價(jià)值。

關(guān)鍵詞：數(shù)據(jù)挖掘；信息管理風(fēng)險(xiǎn)；關(guān)聯(lián)規(guī)則

0引言

最初人們使用防火墻、信息審計(jì)等保證信息管理系統(tǒng)的安全，但是它們存在許多不足，如只能被動(dòng)對(duì)一些非法入侵，攻擊行為進(jìn)行防范，而信息管理風(fēng)險(xiǎn)預(yù)警技術(shù)是一種主動(dòng)的防范方式，可以對(duì)信息管理系統(tǒng)將來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果對(duì)信息管理風(fēng)險(xiǎn)進(jìn)行預(yù)警，成為信息管理系統(tǒng)安全的主要保障措施［1］。在實(shí)際應(yīng)用中，存在許多類(lèi)型的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，它們均存在一些不足，如難以對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估，信息管理風(fēng)險(xiǎn)預(yù)警的錯(cuò)誤率高等，無(wú)法保證信息的安全。為了提高信息管理風(fēng)險(xiǎn)預(yù)警效果，設(shè)計(jì)了一個(gè)基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，并通過(guò)仿真實(shí)驗(yàn)對(duì)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的有效性和可行性進(jìn)行了具體測(cè)試。

1數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)

1．1信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)總體結(jié)構(gòu)

信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)采用分布式結(jié)構(gòu)［2－3］，主要包括檢測(cè)域、預(yù)警、區(qū)域預(yù)警中心，區(qū)域預(yù)警中心能夠?qū)?bào)警信息進(jìn)行融合，預(yù)警包含在檢測(cè)域中，同一個(gè)檢測(cè)域中可以包含多個(gè)預(yù)警，以此來(lái)實(shí)現(xiàn)數(shù)據(jù)包獲取以及預(yù)處理等檢測(cè)分析。信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的總體結(jié)構(gòu)如圖1所示。從圖1可以看出，每個(gè)檢測(cè)域中都包含了蜜罐宿主機(jī)、蜜罐網(wǎng)關(guān)、日志服務(wù)器等多個(gè)網(wǎng)段，其外觀均為2U標(biāo)準(zhǔn)尺寸，當(dāng)檢測(cè)域確定之后，其中的主機(jī)IP地址也會(huì)隨之確定，實(shí)現(xiàn)檢測(cè)域與IP地址的綁定［4－5］。檢測(cè)域中的蜜罐宿主機(jī)能夠虛擬安裝業(yè)務(wù)系統(tǒng)，通過(guò)安裝主機(jī)行為監(jiān)控模塊，實(shí)現(xiàn)威脅入侵行為的監(jiān)控。蜜罐網(wǎng)關(guān)能夠隔離主動(dòng)防御系統(tǒng)與實(shí)際信息網(wǎng)絡(luò)系統(tǒng)，將進(jìn)入蜜罐宿主機(jī)的威脅入侵行為控制在蜜罐宿主機(jī)中。日志服務(wù)器的主要功能是收集各類(lèi)原始流量數(shù)據(jù)包和網(wǎng)絡(luò)、主機(jī)日志，將得到的樣本文件進(jìn)行關(guān)聯(lián)分析，結(jié)合離線分析技術(shù)實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)分析需求。

1．2設(shè)計(jì)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)

1．2．1數(shù)據(jù)采集

在預(yù)警模塊中，需要對(duì)數(shù)據(jù)進(jìn)行處理和分析，其中能夠判斷風(fēng)險(xiǎn)類(lèi)型的叫做預(yù)警規(guī)則庫(kù)。規(guī)則庫(kù)主要包括入侵特征庫(kù)和正常模式庫(kù)，入侵特征庫(kù)是根據(jù)經(jīng)過(guò)研究的攻擊類(lèi)型的特點(diǎn)，利用模式匹配來(lái)分辨攻擊類(lèi)型。這兩種規(guī)則庫(kù)都需要通過(guò)獲取網(wǎng)絡(luò)數(shù)據(jù)包不斷地更新［6－8］。為了獲取到網(wǎng)絡(luò)數(shù)據(jù)包，在Windows平臺(tái)下選擇WinPcap庫(kù)完成數(shù)據(jù)采集，WinPcap的結(jié)構(gòu)如圖2所示。正常模式庫(kù)中包括正常行為特征，主要用來(lái)進(jìn)行異常檢測(cè)。特征規(guī)則的結(jié)構(gòu)主要包括兩部分，一部分包括規(guī)則操作、協(xié)議、IP地址等，這一部分被稱(chēng)作規(guī)則頭部；另一部分主要包括預(yù)警信息的需要監(jiān)測(cè)模式的信息，被稱(chēng)為規(guī)則選項(xiàng)［9－10］。建立的規(guī)則庫(kù)內(nèi)容與結(jié)構(gòu)如圖3所示。上述過(guò)程中，出現(xiàn)了屏蔽弧和屏蔽孤點(diǎn)的操作，需要統(tǒng)一對(duì)屏蔽行為的流程進(jìn)行規(guī)范。在屏蔽過(guò)程中，確定發(fā)生了某個(gè)攻擊行為，如果該行為所對(duì)應(yīng)的頂點(diǎn)被屏蔽，那么需要取消該頂點(diǎn)、該行為指向其所有后繼行為所對(duì)應(yīng)的弧與對(duì)應(yīng)頂點(diǎn)的屏蔽，求解出新的攻擊支撐樹(shù)。使用支撐樹(shù)對(duì)使用行為進(jìn)行預(yù)測(cè)。圖4的流程圖GP集合為：在進(jìn)行行為預(yù)測(cè)時(shí)，某一行為的后續(xù)行為并不唯一時(shí)，將后續(xù)可能的行為劃分成的集合稱(chēng)為GP集合。在網(wǎng)絡(luò)使用行為預(yù)測(cè)過(guò)程中，在進(jìn)行攻擊行為權(quán)值自適應(yīng)的同時(shí)，也進(jìn)行了非攻擊行為的權(quán)值自適應(yīng)操作，并利用自適應(yīng)模塊進(jìn)行維護(hù)和更新。對(duì)于已知的攻擊進(jìn)行檢測(cè)，根據(jù)上圖對(duì)于誤用檢測(cè)的效果比較好，但是對(duì)于未知、規(guī)則庫(kù)中不存在的新型攻擊來(lái)說(shuō)，需要先誤用檢測(cè)后再進(jìn)行異常監(jiān)測(cè)，這樣的效果比較好。

1．2．2攻擊行為預(yù)測(cè)

為實(shí)現(xiàn)風(fēng)險(xiǎn)程度的有效辨識(shí)，采用誤用檢測(cè)與異常檢測(cè)共同作業(yè)的方法，誤用檢測(cè)通過(guò)入侵規(guī)則庫(kù)，將其中的特征數(shù)據(jù)與用戶(hù)行為數(shù)據(jù)進(jìn)行對(duì)比匹配，當(dāng)匹配成功后做出相應(yīng)的指示。在得到目前的使用行為后，需要對(duì)下一步的行為進(jìn)行預(yù)測(cè)，對(duì)于完整網(wǎng)絡(luò)來(lái)說(shuō)，查詢(xún)和預(yù)測(cè)耗時(shí)較多，為降低預(yù)測(cè)難度，引入支撐樹(shù)的概念。為創(chuàng)造支撐樹(shù)，需要結(jié)合實(shí)際情況和需求，設(shè)置權(quán)重閾值，訪問(wèn)后繼行為表并判斷是否所有后繼行為表遍歷完畢，如果遍歷完畢那么直接去判斷行為帶權(quán)有向圖中的孤點(diǎn)情況［11－12］；如果沒(méi)有遍歷完畢，需要辨別后繼行為表中的權(quán)重是否低于閾值，如果低于閾值需要屏蔽該弧，如果在閾值內(nèi)，返回到訪問(wèn)后繼行為表重新判斷遍歷情況，再繼續(xù)判斷是否存在孤點(diǎn)，如果有直接屏蔽后能夠求出攻擊支撐樹(shù)。

1．2．3信息管理風(fēng)險(xiǎn)評(píng)估

為實(shí)現(xiàn)預(yù)警信息的分類(lèi)，需要對(duì)信息管理風(fēng)險(xiǎn)進(jìn)行定性與定量分析。本文采用模糊綜合評(píng)價(jià)方法，從管理和技術(shù)兩方面進(jìn)行考慮，將待評(píng)價(jià)的網(wǎng)絡(luò)行為各個(gè)要素按照關(guān)聯(lián)規(guī)則建立遞進(jìn)層次模型，構(gòu)造出判別矩陣。

1．2．4數(shù)據(jù)挖掘的預(yù)警機(jī)制

對(duì)于已經(jīng)完成采集的數(shù)據(jù)，網(wǎng)絡(luò)中的數(shù)據(jù)包會(huì)按照時(shí)間順序依次排列，為了實(shí)現(xiàn)預(yù)警系統(tǒng)對(duì)于攻擊行為的分析，需要從大量的數(shù)據(jù)中挖掘出其中的關(guān)聯(lián)相關(guān)關(guān)系或因果結(jié)構(gòu)，這種數(shù)據(jù)挖掘的方法稱(chēng)為關(guān)聯(lián)規(guī)則。數(shù)據(jù)挖掘的過(guò)程繁瑣，但是具體的步驟比較清晰，主要包括3步：準(zhǔn)備數(shù)據(jù)、挖掘信息、總結(jié)測(cè)評(píng)。在數(shù)據(jù)的準(zhǔn)備階段使用的數(shù)據(jù)大部分是在數(shù)據(jù)庫(kù)中經(jīng)過(guò)很長(zhǎng)時(shí)間的存儲(chǔ)，失去了時(shí)效性，對(duì)于用戶(hù)來(lái)說(shuō)意義不大，因此在數(shù)據(jù)挖掘前要提前準(zhǔn)備好需要進(jìn)行挖掘的數(shù)據(jù)的大概信息。在挖掘過(guò)程中，應(yīng)用到的數(shù)據(jù)挖掘技術(shù)為關(guān)聯(lián)性分析。基于關(guān)聯(lián)規(guī)則的預(yù)警機(jī)制能夠反映預(yù)警時(shí)間和風(fēng)險(xiǎn)事件之間存在的相關(guān)關(guān)系，根據(jù)預(yù)警時(shí)間中的項(xiàng)值與關(guān)聯(lián)項(xiàng)值進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)。其中關(guān)聯(lián)規(guī)則算法使用的是NewApriori算法，從修剪頻繁集和優(yōu)化連接策略這兩方面進(jìn)行優(yōu)化，提高挖掘效率。NewApriori算法的輸入值為交易數(shù)據(jù)庫(kù)D，其中最小支持度表示為min＿sup，輸出值為D中頻繁項(xiàng)集M，那么M1＝find＿frequent＿1＿itensets（D），從Mk－1中刪除不可能得到的頻繁項(xiàng)集的集合：Mk＝delete（Mk－1），在得到頻繁項(xiàng)集后，從中生成關(guān)聯(lián)規(guī)則。至此完成基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的設(shè)計(jì)。

2系統(tǒng)測(cè)試

2．1搭建測(cè)試環(huán)境

為驗(yàn)證本文系統(tǒng)的有效性，需要對(duì)系統(tǒng)進(jìn)行測(cè)試。根據(jù)系統(tǒng)的實(shí)際應(yīng)用情況搭建測(cè)試環(huán)境，需要的設(shè)備主要包括：預(yù)警服務(wù)器2臺(tái)，型號(hào)為FXP0和FXP1，F(xiàn)XP1的IP地址為192．168．0．1，網(wǎng)絡(luò)主機(jī)1臺(tái)，配備以太網(wǎng)口，IP地址為192．168．11．10，交換機(jī)2臺(tái)，型號(hào)均為SF1009，終端主機(jī)2臺(tái)，配備以太網(wǎng)口，IP地址為192．168．11．36，另外備網(wǎng)線若干，將上述設(shè)備搭建起來(lái)，使具有配置功能的預(yù)警服務(wù)器FXP0通過(guò)交換機(jī)1與網(wǎng)絡(luò)主機(jī)相連，監(jiān)聽(tīng)功能的預(yù)警服務(wù)器通過(guò)交換機(jī)2與客戶(hù)終端主機(jī)相連接，最后將交換機(jī)1、2相連，共同組成系統(tǒng)測(cè)試環(huán)境。將該系統(tǒng)應(yīng)用在某公司內(nèi)部網(wǎng)絡(luò)中，設(shè)置兩個(gè)重要的檢測(cè)點(diǎn)，在對(duì)應(yīng)工作站中設(shè)計(jì)相應(yīng)的檢測(cè)中心。

2．2設(shè)計(jì)測(cè)試過(guò)程

在上述的測(cè)試環(huán)境中，使用終端主機(jī)從網(wǎng)絡(luò)主機(jī)下載文件，登錄網(wǎng)絡(luò)攻擊行為預(yù)警系統(tǒng)，并利用預(yù)警服務(wù)器對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行采集，在測(cè)試過(guò)程中，人為設(shè)計(jì)網(wǎng)絡(luò)安全攻擊與非攻擊性的通知，并使用行為分析系統(tǒng)，設(shè)置抓包時(shí)間，并連接系統(tǒng)的監(jiān)聽(tīng)端口抓取指定時(shí)間段內(nèi)的數(shù)據(jù)，分別使用本文設(shè)計(jì)的系統(tǒng)與傳統(tǒng)的系統(tǒng)進(jìn)行預(yù)警，并將預(yù)警結(jié)果進(jìn)行統(tǒng)計(jì)分析。

2．3實(shí)驗(yàn)結(jié)果分析

通過(guò)上述實(shí)驗(yàn)過(guò)程，對(duì)監(jiān)控中心原始數(shù)據(jù)、區(qū)域預(yù)警中心報(bào)警數(shù)據(jù)的數(shù)量進(jìn)行統(tǒng)計(jì)，結(jié)果如表1所示。從表1的測(cè)試結(jié)果可以看出，原有系統(tǒng)與本文系統(tǒng)對(duì)于信息管理風(fēng)險(xiǎn)都具有優(yōu)秀的辨識(shí)性，但是原有的系統(tǒng)中無(wú)法區(qū)分出通知、預(yù)警和報(bào)警情況，僅能將這3種情況全部判定為預(yù)警情況，本文的系統(tǒng)經(jīng)過(guò)深度的數(shù)據(jù)挖掘處理后，能夠劃分出信息管理風(fēng)險(xiǎn)的等級(jí)，詳細(xì)地辨識(shí)出通知、預(yù)警和報(bào)警情況，說(shuō)明本文設(shè)計(jì)的系統(tǒng)具有一定的有效性。

2．4其它系統(tǒng)的性能對(duì)比

為了測(cè)試本文的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的優(yōu)越性，選擇傳統(tǒng)的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)進(jìn)行對(duì)比實(shí)驗(yàn)，其進(jìn)行5次仿真實(shí)驗(yàn)，統(tǒng)計(jì)它們的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)精度，結(jié)果如圖6所示。從圖6可以看出，相對(duì)于傳統(tǒng)信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)，本文系統(tǒng)的信息管理風(fēng)險(xiǎn)預(yù)警精度得到大幅度提升，降低了信息管理風(fēng)險(xiǎn)預(yù)警的錯(cuò)誤率，可以保證信息管理系統(tǒng)中的信息安全。

3總結(jié)

互聯(lián)網(wǎng)的普及也使得網(wǎng)絡(luò)攻擊手段層出不窮，信息管理安全所面對(duì)的風(fēng)險(xiǎn)也越來(lái)越大。傳統(tǒng)的信息管理預(yù)警系統(tǒng)由于缺少風(fēng)險(xiǎn)評(píng)估方面的設(shè)計(jì)，導(dǎo)致在預(yù)警過(guò)程中劃分信息管理風(fēng)險(xiǎn)的等級(jí)，將一些攻擊性小的通知類(lèi)信息也識(shí)別為預(yù)警信息，在給用戶(hù)造成困擾的同時(shí)，也導(dǎo)致了資源的浪費(fèi)。因此，設(shè)計(jì)一種基于數(shù)據(jù)挖掘的信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)。在硬件設(shè)計(jì)中，提出了信息管理風(fēng)險(xiǎn)預(yù)警系統(tǒng)的總體體系結(jié)構(gòu)，軟件設(shè)計(jì)中，著重對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行了研究。但是本文未研究預(yù)警系統(tǒng)中各模塊之間的通信安全，在后續(xù)的研究過(guò)程中將會(huì)在該方面進(jìn)行深度探析。

作者:李穎 單位:海軍青島特勤療養(yǎng)中心經(jīng)濟(jì)管理科