層次化網絡信息論文范文

本站小編為你精心準備了層次化網絡信息論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1網絡信息內容安全事件特征分析

本節通過對電信網和互聯網中的通信數據集的分析，對ICSI的特點進行歸納，從而為態勢評估模型的設計提供合理、有力的切入點。本節數據集的主要來源為VAST2008中的CellPhoneSocialNetwork數據集[14]和Enron公司2009年郵件數據集[15]。其中，CellPhoneSocialNetwork數據集包含了400人10天共計9834條通信記錄。如表1中所示，From和To分別表示通信雙方的號碼編號，Datetime表示按照需求劃分出的時間段編號，Duration為通信時長，Type為通信類型，CellTower為主叫用戶所屬的基站編號。Enron公司郵件數據集中，采用87448個用戶的255636封郵件數據。如表2中所示，From和To分別表示郵件雙方的ID編號，DomainName-i和DomainName-j分別表示郵件雙方的地址域名，Time為郵件發送時間，Subject為郵件的主題。 網絡通信數據集可以反映網絡中用戶的多個通信特征，通過對通信特征的分析可以找到其中蘊含的規律，對其中非常規性的規律進行歸納，可折射出網絡中各類安全事件的狀況。通過對上述兩個數據集的分析可以得到：（1）行為特征（BehavioralCharacter）表1中，大部分用戶的通信時長在一個常規的閾值范圍之內，而極少數用戶的通信時長超過或低于該閾值，累積超長或超短通信次數較多的地址或號碼具有一定的非常規性。表2中，大部分用戶的郵件內容不具有重復性，即具有不同的主題，那些同一通信類型且具有相同內容類似廣播的通信通常具有非常規性。同時，大部分用戶某時段內的通信次數通常保持在一個常規的閾值范圍之內，而極少數用戶的通信次數超過了該閾值，表明該號碼或地址具有特殊用途，如，作為商業聯絡或者為ICSI的發送源，前者屬于合法通信行為，后者則需結合通信內容做出判別。（2）關系特征（RelationCharacter）表1和表2中，大多數用戶的通信對象較為固定，即僅與一定范圍內的人進行聯絡，符合人類社交的群體性特征，而那些通信對象數目過多的用戶可能具有特殊的用途。（3）位置特征（LocationCharacter）表1中，大部分用戶在一段時間內通信所涉及的基站數目較少，符合用戶活動范圍的有限區域性特征。極少數用戶所涉及的基站范圍較多，則表明該用戶具有一定的特殊性。同理，表2中，大部分用戶在一定時間段內的IP地址是較為固定的，極少數用戶的位置變化頻繁，表明了該用戶具有特殊性。（4）內容特征（ContentCharacter）對表1和表2中用戶的行為特征、關系特征和移動特征進行關聯分析，可以得到網絡中特殊用戶的地址或號碼，但如果需要進一步明確ICSI事件的具體內容，則需有針對性地對此類用戶的具體通信內容進行分析。通過上述分析可知，ICSI具有多維特征，如圖1所示。同時，時間（When）、地點(Where)、人物(Who)和內容(What)是能夠清楚描述一個事件的四要素，在對ICSI的態勢評估中，需要充分考慮到這四個因素。其中，When是事件的發生區間即通信時間，Where可在用戶的位置特征中得到反映，Who可在表示用戶的通信關系特征信息中獲取，What則由用戶的行為特征和通信內容特征決定。從圖中可以看出，在網絡多維通信數據集中，隱含了各類安全事件發生的要素，如何充分利用此類信息，整合ICSI所涉及的各維數據，是實現對ICSI全面的態勢評估的基礎。下面將針對此問題，提出一種層次化的評估模型，并對其各指數的量化方法進行論述。

2信息內容安全事件態勢評估體系

通過上文的分析可知，網絡ICSI的態勢通過多維通信信息展示。首先，對通信數據分析得到ICSI的事件的自身信息。如，通過對通聯關系的分析可確定事件的影響（發送次數、涉及人數）；通過對通信類型的分析可確定事件的類型（語音、視頻、郵件等）；通過對主題、關鍵詞等內容的分析可以確定內容類別（政治類、經濟類、軍事類等）；通過對涉及的通信地址的分析可得出事件的目標（目標人群、地區）。其次，通過對各個區域內涉及ICSI的地址或號碼的分析可得出不同地區的態勢指數；最后，綜合各個區域的ICSI態勢指數得出全網的ICSI態勢值。

2.1層次化評估模型根據對事件的分析過程，本文提出了一個層次化ICSI態勢評估模型，如圖2所示。該模型分為數據層、事件層、區域層和系統層四個層次，采用自下而上，先局部后整體，先判別事件后根據事件關聯的方法，對網絡中ICSI的態勢進行評估。圖2中，在數據層輸入相關的ICSI通信記錄；在事件層利用行為特征中的通信時長、通信次數、通信類型和內容特征中的內容類別，進行事件級態勢指數的評估；根據位置特征和關系特征中涉及到的用戶位置和地址/號碼等相關信息確定事件所屬的區域，結合事件層得出的事件級態勢指數，計算區域層態勢指數；系統層整合各個區域的態勢指數給出整個網絡的態勢值。定義2：事件級態勢指數IF（IncidentFactor）。表示ICSI發生時對整個網絡ICSI的影響程度。通過ICSI中的通信類型和內容類別結合通信時長、通信次數對ICSI的影響，在事件層做出判斷。定義3：區域級態勢指數AF（AreaFactor）。表示ICSI事件所涉及區域的態勢指數。綜合本區域中用戶及其涉及事件的態勢指數給出AF。定義4：系統級態勢指數SF（SystemFactor）。表示整個通信系統中ICSI的態勢總指數。整合各個區域的AF，給出整個系統的SF。

2.2評估指數的量化計算本節將對上述定義中的事件級態勢指數IF、區域級態勢指數AF和系統級態勢指數SF給出相應的量化計算方法。

2.2.1事件級事件級態勢指數的計算包括了對事件通信次數、通信時長、通信類型和內容類別的綜合衡量，IFi的值越大，則表示事件級態勢指數對整個系統的ICSI態勢指數的影響越大。為了更加真實地反映網絡中ICSI的變化，本文將一天劃分為h個時間段。對于給定的分析時間窗口t，定義t時刻事件i的態勢指數為。

2.2.2區域級和系統級本文對區域級和系統級態勢指數的設計采用相同的原理。t時刻區域n的區域級態勢指數AFn如下式（4）所示，區域級態勢指數越大，說明該區域的ICSI事件態勢狀態越嚴重。

3實驗分析

為全面驗證層次化ICSI態勢評估模型的有效性和可靠性，本文實驗分為兩部分進行。實驗一，利用開源數據集，采用較大的時間窗口，進行事件低維度特征的粗粒度態勢評估；實驗二，建立局域網仿真環境，采用較小的事件窗口，結合事件多維度特征進行細粒度的態勢評估。

3.1實驗一本節實驗采用VAST2008中的CellPhoneSocialNetwork數據集和Enron公司2009年郵件數據集作為實驗數據。其中，采用VAST2008的數據集中的2006年6月1日至5日的數據進行態勢評估，將超長通話（LongDuration）、超短通話（ShortDuration）和頻繁通信（FrequentCommunication）作為事件的行為特征，如圖3所示。根據數據集的具體數據和實驗需求，圖3中，選取基站編號為10的基站下用戶作為研究對象，在選取的5天時間段內，最長通信時長為1732秒，最短通信時長為166秒，平均通信時長為1030秒，平均通信次數為5。根據先驗知識和實驗數據的選取便利，將大于n通信記為超短通話，認為大于10次的通信為頻繁通信。采用Enron公司2009年郵件數據集中的2001年5月29日至6月27日的數據進行態勢評估，將頻繁通信（FrequentCommunication）作為事件的行為特征。如圖4所示，選取域名為和下的用戶作為研究對象，在選取的30天時間段內，平均通信次數為56，將大于112次的通信記為通信次數較多。設定t為1天，劃分出四個時間段kT分別賦值為1，3，3，4，來表示通信次數的變化情況：非常低，中，中，高，對其進行歸一化處理后得(0.091,0.273,0.273,0.364)。事件特征和涉及的ID/IP及其重要性如表4和5所示，對Enron2009中兩域名的權重賦值分別為0.6和0.4。利用前文介紹的層次式ICSI態勢評估模型的計算方法，對圖3和圖4中的模型進行分析，結合表4和表5中的數據，對縱坐標做歸一化處理，可得到如下實驗結果。（1）VAST2008和Enron2009數據集下的ICSI事件級態勢（分別以ID335和IP4967為例）。圖5中，6月1日和6月4日分別出現了兩個特征的峰值，圖6中，在6月6日出現態勢的最高峰點，6月20日出現態勢的較小峰值點，其他時間段基本處于零值點。以Enron2009數據集中用戶IP4967為例進行說明：在提取的時間段內，通過與數據集中的數據對照發現，其郵件發送數目在6月6日為413，6月20日為120，均超過了設定的閾值，且6日的次數遠大于20日的次數，而在5月29至6月27的其他時間均沒有出現超過閾值的通信，這一行為特征從圖中得到了良好的反映。同時，從圖6中還可以看出，通信類型和內容類別特征權重的賦值對于用戶IP4967來說是不變的，但是隨著頻繁通信特征的態勢變化，二者也隨之發生了變化。實際中，當某用戶采用固定的通信類型進行頻繁通信時，即使其傳遞的消息內容權重值始終不高，如，固定內容的垃圾郵件，仍應引起網絡管理員的重視。由此，ICSI的各個維度特征之間可以產生相互影響，且本文中對事件級態勢評估定義的計算方法是有效的。（2）VAST2008和Enron2009數據集下的ICSI區域級態勢（分別以ID161、285、323和335；IP253、801、1654和4967為例）。圖7和圖8中顯示的為區域內各ID和IP的態勢評估變化。以圖7中的VAST2008為例進行說明：ID335的事件級態勢如圖5所示，在區域級態勢計算時加入了該用戶的重要性權重0.145，如圖7所示，其態勢評估值的大小較事件級態勢下降了一些，原因為與區域內的其他用戶分配了權重即對整體態勢的影響程度，但沒有對該用戶個體的態勢變化趨勢產生影響。因此，加入用戶重要性權重之后，可以更加突出定義的重要用戶的ICSI態勢變化。對于其中重要性賦值較低的用戶，其變化仍為研究的對象，但不會對整體態勢產生大的影響，符合網絡中的實際運行狀況和信息安全管理的需求。（3）VAST2008和Enron2009數據集下的ICSI系統級態勢。整合系統中所涉及的各區域級態勢評估值即可得到系統整體的態勢評估值變化。本節實驗中，VAST2008只涉及一個基站，Enron2009涉及兩個域名。將圖9和10與前文中的事件級、區域級態勢圖進行對比可以看出，二者的系統級態勢圖中均包含了個體和區域的態勢走勢特點。其中，VAST2008基站10下的ICSI態勢變化趨勢較為連續，平緩處較多；Enron2009兩域名下的ICSI態勢變化趨勢起伏較大。結合數據庫中的數據分析原因為，在電信網絡中，ICSI各特征的變化較為顯著。在不同時段，雖然表現的特征維度不同，但均具有一定的特征變化。在互聯網絡中，ICSI各特征的變化則具有一定的突發性。由此可以看出，本文提出的模型和參數計算方法，結合了網絡構成的各元素，從最基本的各用戶行為特征等處著手，對ICSI的態勢變化具有敏感性，能夠有效把握其變化趨勢。

3.2實驗二實驗一中的數據來源為開源數據集，可供選擇的特征維度較低，選擇的時間窗口較大。本節將通過自建局域網仿真環境，模擬產生ICSI事件，對涵蓋五個特征維度的ICSI進行細粒度的態勢評估。該局域網網段為192.168.1.0-24，其中192.168.0.21、192.168.0.22和192.168.0.23分別代表三個區域地址，系統地址為192.168.0.24，三個區域的重要性權重賦值分別為0.3、0.4和0.3。實驗中通過計算機終端通信軟件，模擬產生超長通話、超短通話和頻繁通信，涉及的通信類型為視頻、音頻和信息，內容類別設定為軍事、政治、經濟和特殊類。基于層次化的ICSI態勢評估模型如圖11所示，各事件特征重要性和用戶個體權重信息的設置方法與實驗一中的相同，由于涉及終端用戶數目較多，在此不再贅述。實驗中，產生的通信數據總數目為166條/分鐘，其中，出現超長通話、超短通話和頻繁通信的用戶數目/分鐘，出現的比例分別為0.5%、0.5%和0.5%。將超過600秒的通信時長記為超長通信，低于10秒的通信時長記為超短通信，超過6次/分鐘的通信次數記為頻繁通信。各通信類型占總通信類型的比例設置為：視頻10%、音頻50%和信息40%，按照通信類型對用戶的影響程度設置，視頻類＞語音類＞短信類＞郵件類等。同時，為了凸顯態勢評估模型對特殊類事件的有效感知能力，將各內容類別占總通信類別的百分比設定為軍事30%、政治30%、經濟30%和特殊10%，按照通信內容對用戶的影響程度設置，特殊類＞政治類＞軍事類＞經濟類。各通信類型和內容類別的權重設置原則按照表3所示進行。實驗中，為更好反映用戶通信特點和模型對事件態勢變化的把握能力，對各通信維度特征的重要性權重賦值均等，設定t為1分鐘，對縱坐標做歸一化處理，使用層次化ICSI態勢評估模型進行相應的計算，得出事件級、區域級和系統級三個層次態勢評估狀況。（1）局域網仿真環境下的ICSI事件級態勢（以IP192.168.0.3中的超長通話、頻繁通信、通信類型和內容類別特征為例）圖12中表示的為IP192.168.0.3的超長通話、頻繁通信、通信類型和內容類別特征，在時間段18：00-19:00間的變化趨勢。如圖中所示，在18：15分左右，內容類別特征達到接近1的態勢值，而此時的頻繁通信特征也保持在一個較高的水平，通信類型特征的歸一化態勢值則在零點附近。這說明此時該IP用戶的通信過程中，發生了具有較高權值的內容類型的事件，其采用的通信類型不具有較高的權值，且在此時段進行了多次通信，應引起網絡管理員的重視。對應如圖13中所示，此時的事件級態勢值為整個觀測時段中的最高點。圖12中，18：25分左右出現了內容類別特征的另一較高峰值點，但此時其他各維度特征歸一化值均為零點附近。這說明此時發生的通信中，出現了具有一定權值的內容類型的事件，但其不具有其他諸如多次通信等的特征，因此，可看作單次事件，對整個態勢的影響力度不大，故此點的事件級態勢值并不高，如圖13中所示。通過上述分析可知，本文模型和參數的計算方法結合了ICSI事件的多個維度特征，貼合用戶和網絡通信的實際狀況，對ICSI事件的態勢把握客觀、清晰，便于網絡管理員將關注點聚焦在那些尤為重要，影響度較大的事件上。同時，在實際應用中，可以根據網絡信息安全管理的需求，對各個特征賦予不同的重要性權值，使得其可以在多維特征的態勢變化中得以重點顯現，引起特別關注。（2）局域網仿真環境下的ICSI區域級態勢圖14中表示的為ICSI的區域級態勢。仿真環境下，建立了三個區域分別為192.168.21、192.168.22和192.168.23，并分別賦予了不同的重要性權重。如圖14所示，將區域內所屬用戶的多維特征綜合，并根據賦予的各用戶重要性權值形成的區域級態勢，較實驗一中的含有較少維度特征的態勢，其變化趨勢的波動較多，圖形較為復雜。由此可以看出，ICSI事件本身具有多維特征，對其的態勢評估結合的特征維度越多，越能更好更完整地表達該事件的變化趨勢和影響程度。（3）局域網仿真環境下的ICSI系統級態勢圖15為局域網仿真環境下的ICSI系統級態勢圖。從圖中可以看出，局域網系統級態勢的變化，較實驗一中兩個開源數據集下的系統級態勢變化曲線更為連續。這說明采用較小的時間窗口，可以細粒度得反映網絡中ICSI的變化，為信息安全管理提供有效的數據支持。通過上述兩個實驗測試表明：（1）本文提出的層次化ICSI態勢評估模型具有有效性、可靠性和可行性。各個級別的態勢評估結果與所涉及事件的多維特征及其重要性程度緊密相關，是一個全面、綜合、系統的評估；（2）對VAST2008和Enron2009數據集的測試結果說明，采用較大的統計分析時間窗口（以天為計量單位），可以提供較為宏觀的事件態勢評估走勢圖；同時，對于低維度數據集的態勢評估的整體把握性強，可以從長時期的態勢變化曲線中，發現其中的安全規律；（3）對局域網仿真數據集的測試結果說明，采用較小的統計分析時間窗口（以分鐘為計量單位），可以提供較為微觀的事件態勢評估走勢圖；同時，對于高維度數據集的態勢評估的特征敏感度強，能夠從短時期的態勢變化曲線中，聚焦當前ICSI事件中的突出影響因素。

4結論

為解決網絡信息內容安全事件的態勢評估問題，本文提出了一種層次化的態勢評估模型及參數計算方法。根據信息內容安全事件所具有的行為特征、內容特征、關系特征和位置特征，采用層次式結構模型。利用各特征內維度間的關系，對事件級、區域級和系統級態勢評估值分別進行計算。為更好說明模型和方法的有效性和可行性，分別采用開源數據集VAST2008、Enron2009和局域網仿真環境下的數據集進行實驗，結果表明，該模型和參數計算方法可以實現對網絡信息內容安全事件的態勢評估，體現了事件的強度和變化趨勢，能夠使網絡管理員及時了解系統內的網絡信息安全動態。下一步工作的重點是，將模型和方法應用于多網段局域網和大規模網絡系統的信息內容安全事件的態勢評估。

作者：葛琳季新生江濤單位：國家數字交換系統工程技術研究中心