网络安全态势评估作为一门新型的网络安全技术,它在宏观层面上为网络安全提供了一个清晰的状态表示,并能够预测未来安全状态的趋势变化。传统的网络安全态势评估方法依赖于告警记录,而基于网络流的态势评估方法通过对全网流量信息的合适特征描述,能够更快更准确地识别网络中的异常行为。
随着网络规模的扩大,原有的以单台主机或单个局域网为核心的态势评估方法已经无法满足当前对运行效率和准确性的需求。为解决这一问题,本文提出了一种基于网络流的层次化网络安全态势评估方法,该方法主要分为四个阶段:网络流划分、特征提取、异常检测和安全态势指数聚合。
在网络安全态势评估中,将网络划分为三个层次:主机层、子网层和全网层。这种层次化的划分有助于更精确地定位和分析安全事件的发生位置和影响范围。
网络流划分是通过部署在网络中的流量监测设备获取网络流数据。网络流是一组具有相同五元组(源IP、目的IP、源端口、目的端口、协议类型)取值的分组序列。网络流数据被用来完成子网划分,即通过CPM(Community Partitioning Method,社区划分方法)算法识别网络中的子网,把网络中的各个设备视作节点,设备间的网络流视为节点间的连接关系,从而将网络抽象为由节点和边组成的图。
接着,特征提取阶段包括从子网内部流和外部流中提取相应的内部特征和外部特征,以检测子网内外的异常行为。本文介绍了五类网络流特征:计数型特征、流量特征、度型特征、均数型特征和复合型特征。这些特征分别关注不同属性的不重复值个数、数据包和字节的总和、特定值的特征值个数、平均数据包或字节数以及通过简单统计得出的特征组合。
异常检测是基于层次聚类的异常检测方法,利用已标记的异常流量样本集计算特征熵和特征比,并将网络流样本表示为包含多个网络流特征的属性向量。通过属性向量间的相关系数作为相似性度量,基于最大相似性的原则合并类,最终形成分类模型。异常检测算法使用分类树将相似的异常嵌入到子树中,并输出相同的标记类。
安全态势指数聚合阶段将各个子网的安全态势指数综合起来,获得整体网络安全态势指数。这一过程能够有效提高安全态势评估的精度和效率。
本文提出的层次化网络安全态势评估方法,通过划分网络层次、抽取网络流特征、异常行为检测以及安全态势指数聚合,能有效应对网络安全面临的挑战。这种评估方法不仅有助于及时发现和处理网络安全事件,也为网络安全管理提供了重要参考,具有广泛的应用前景。
