基于數(shù)據(jù)挖掘的信息管理風(fēng)險預(yù)警系統(tǒng)研究

李穎

(海軍青島特勤療養(yǎng)中心 經(jīng)濟(jì)管理科,山東 青島 266071)

0 引言

最初人們使用防火墻、信息審計等保證信息管理系統(tǒng)的安全，但是它們存在許多不足，如只能被動對一些非法入侵，攻擊行為進(jìn)行防范，而信息管理風(fēng)險預(yù)警技術(shù)是一種主動的防范方式，可以對信息管理系統(tǒng)將來的風(fēng)險進(jìn)行評估，根據(jù)評估結(jié)果對信息管理風(fēng)險進(jìn)行預(yù)警，成為信息管理系統(tǒng)安全的主要保障措施[1]。在實際應(yīng)用中，存在許多類型的信息管理風(fēng)險預(yù)警系統(tǒng)，它們均存在一些不足，如難以對風(fēng)險進(jìn)行準(zhǔn)確評估，信息管理風(fēng)險預(yù)警的錯誤率高等，無法保證信息的安全。

為了提高信息管理風(fēng)險預(yù)警效果，設(shè)計了一個基于數(shù)據(jù)挖掘的信息管理風(fēng)險預(yù)警系統(tǒng)，并通過仿真實驗對信息管理風(fēng)險預(yù)警系統(tǒng)的有效性和可行性進(jìn)行了具體測試。

1 數(shù)據(jù)挖掘的信息管理風(fēng)險預(yù)警系統(tǒng)

1.1 信息管理風(fēng)險預(yù)警系統(tǒng)總體結(jié)構(gòu)

信息管理風(fēng)險預(yù)警系統(tǒng)采用分布式結(jié)構(gòu)[2-3]，主要包括檢測域、預(yù)警代理、區(qū)域預(yù)警中心，區(qū)域預(yù)警中心能夠?qū)缶畔⑦M(jìn)行融合，預(yù)警代理包含在檢測域中，同一個檢測域中可以包含多個預(yù)警代理，以此來實現(xiàn)數(shù)據(jù)包獲取以及預(yù)處理等檢測分析。信息管理風(fēng)險預(yù)警系統(tǒng)的總體結(jié)構(gòu)如圖1所示。

從圖1可以看出，每個檢測域中都包含了蜜罐宿主機(jī)、蜜罐網(wǎng)關(guān)、日志服務(wù)器等多個網(wǎng)段，其外觀均為2U標(biāo)準(zhǔn)尺寸，當(dāng)檢測域確定之后，其中的主機(jī)IP地址也會隨之確定，實現(xiàn)檢測域與IP地址的綁定[4-5]。檢測域中的蜜罐宿主機(jī)能夠虛擬安裝業(yè)務(wù)系統(tǒng)，通過安裝主機(jī)行為監(jiān)控模塊，實現(xiàn)威脅入侵行為的監(jiān)控。蜜罐網(wǎng)關(guān)能夠隔離主動防御系統(tǒng)與實際信息網(wǎng)絡(luò)系統(tǒng)，將進(jìn)入蜜罐宿主機(jī)的威脅入侵行為控制在蜜罐宿主機(jī)中。日志服務(wù)器的主要功能是收集各類原始流量數(shù)據(jù)包和網(wǎng)絡(luò)、主機(jī)日志，將得到的樣本文件進(jìn)行關(guān)聯(lián)分析，結(jié)合離線分析技術(shù)實現(xiàn)系統(tǒng)的數(shù)據(jù)分析需求。

圖1 信息管理風(fēng)險預(yù)警系統(tǒng)總體結(jié)構(gòu)

1.2 設(shè)計信息管理風(fēng)險預(yù)警系統(tǒng)

1.2.1 數(shù)據(jù)采集

在預(yù)警代理模塊中，需要對數(shù)據(jù)進(jìn)行處理和分析，其中能夠判斷風(fēng)險類型的叫做預(yù)警規(guī)則庫。規(guī)則庫主要包括入侵特征庫和正常模式庫，入侵特征庫是根據(jù)經(jīng)過研究的攻擊類型的特點，利用模式匹配來分辨攻擊類型。這兩種規(guī)則庫都需要通過獲取網(wǎng)絡(luò)數(shù)據(jù)包不斷地更新[6-8]。為了獲取到網(wǎng)絡(luò)數(shù)據(jù)包，在Windows平臺下選擇WinPcap庫完成數(shù)據(jù)采集，WinPcap的結(jié)構(gòu)如圖2所示。

圖2 WinPcap結(jié)構(gòu)圖

正常模式庫中包括正常行為特征，主要用來進(jìn)行異常檢測。特征規(guī)則的結(jié)構(gòu)主要包括兩部分，一部分包括規(guī)則操作、協(xié)議、IP地址等，這一部分被稱作規(guī)則頭部；另一部分主要包括預(yù)警信息的需要監(jiān)測模式的信息，被稱為規(guī)則選項[9-10]。建立的規(guī)則庫內(nèi)容與結(jié)構(gòu)如圖3所示。

圖3 規(guī)則庫結(jié)構(gòu)

上述過程中，出現(xiàn)了屏蔽弧和屏蔽孤點的操作，需要統(tǒng)一對屏蔽行為的流程進(jìn)行規(guī)范。在屏蔽過程中，確定發(fā)生了某個攻擊行為，如果該行為所對應(yīng)的頂點被屏蔽，那么需要取消該頂點、該行為指向其所有后繼行為所對應(yīng)的弧與對應(yīng)頂點的屏蔽，求解出新的攻擊支撐樹。使用支撐樹對使用行為進(jìn)行預(yù)測，相關(guān)流程如圖4所示。

圖4 行為預(yù)測流程圖

圖4的流程圖GP集合為：在進(jìn)行行為預(yù)測時，某一行為的后續(xù)行為并不唯一時，將后續(xù)可能的行為劃分成的集合稱為GP集合。在網(wǎng)絡(luò)使用行為預(yù)測過程中，在進(jìn)行攻擊行為權(quán)值自適應(yīng)的同時，也進(jìn)行了非攻擊行為的權(quán)值自適應(yīng)操作，并利用自適應(yīng)模塊進(jìn)行維護(hù)和更新。

對于已知的攻擊進(jìn)行檢測，根據(jù)上圖對于誤用檢測的效果比較好，但是對于未知、規(guī)則庫中不存在的新型攻擊來說，需要先誤用檢測后再進(jìn)行異常監(jiān)測，這樣的效果比較好。

1.2.2 攻擊行為預(yù)測

為實現(xiàn)風(fēng)險程度的有效辨識，采用誤用檢測與異常檢測共同作業(yè)的方法，誤用檢測通過入侵規(guī)則庫，將其中的特征數(shù)據(jù)與用戶行為數(shù)據(jù)進(jìn)行對比匹配，當(dāng)匹配成功后做出相應(yīng)的指示。在得到目前的使用行為后，需要對下一步的行為進(jìn)行預(yù)測，對于完整網(wǎng)絡(luò)來說，查詢和預(yù)測耗時較多，為降低預(yù)測難度，引入支撐樹的概念。為創(chuàng)造支撐樹，需要結(jié)合實際情況和需求，設(shè)置權(quán)重閾值，訪問后繼行為表并判斷是否所有后繼行為表遍歷完畢，如果遍歷完畢那么直接去判斷行為帶權(quán)有向圖中的孤點情況[11-12]；如果沒有遍歷完畢，需要辨別后繼行為表中的權(quán)重是否低于閾值，如果低于閾值需要屏蔽該弧，如果在閾值內(nèi)，返回到訪問后繼行為表重新判斷遍歷情況，再繼續(xù)判斷是否存在孤點，如果有直接屏蔽后能夠求出攻擊支撐樹。

1.2.3 信息管理風(fēng)險評估

(1)

對判斷矩陣進(jìn)行調(diào)整，直到得到滿足一致性要求的判斷矩陣。模糊綜合評價模型具有3個基本要素：因素集合U={U1,U2,…,Um}、評價集合V={V1,V2,…,Vn}和單因素評價矩陣R，其中影響因素的數(shù)量不確定，暫且記作Ui(i=1,2,…,m)，影響因素相對應(yīng)的權(quán)重系數(shù)能夠反映出各因素在綜合評價中具有的重要程度，可以表示為ai(i=1,2,…,m)，對所有的影響因素進(jìn)行分級劃分，構(gòu)成了綜合模糊評價模型，單因素評價矩陣R和一級模糊綜合評價模型如式(2)、式(3)。

(2)

(3)

(4)

1.2.4 數(shù)據(jù)挖掘的預(yù)警機(jī)制

對于已經(jīng)完成采集的數(shù)據(jù)，網(wǎng)絡(luò)中的數(shù)據(jù)包會按照時間順序依次排列，為了實現(xiàn)預(yù)警系統(tǒng)對于攻擊行為的分析，需要從大量的數(shù)據(jù)中挖掘出其中的關(guān)聯(lián)相關(guān)關(guān)系或因果結(jié)構(gòu)，這種數(shù)據(jù)挖掘的方法稱為關(guān)聯(lián)規(guī)則。數(shù)據(jù)挖掘的過程繁瑣，但是具體的步驟比較清晰，主要包括3步：準(zhǔn)備數(shù)據(jù)、挖掘信息、總結(jié)測評。在數(shù)據(jù)的準(zhǔn)備階段使用的數(shù)據(jù)大部分是在數(shù)據(jù)庫中經(jīng)過很長時間的存儲，失去了時效性，對于用戶來說意義不大，因此在數(shù)據(jù)挖掘前要提前準(zhǔn)備好需要進(jìn)行挖掘的數(shù)據(jù)的大概信息。在挖掘過程中，應(yīng)用到的數(shù)據(jù)挖掘技術(shù)為關(guān)聯(lián)性分析。

假設(shè)不同項目的集合表示為I={i1,i2,i3,…,im}，那么該集合中共有m個不同項目，在交易數(shù)據(jù)庫D中的每一個交易或事務(wù)都是上式中的一組項目的集合，那么對于I中的項目集也存在于某個交易或事務(wù)中，那么說明這個交易或事務(wù)支持該項目集，說明在這之間存在關(guān)聯(lián)規(guī)則。將這種數(shù)據(jù)挖掘方法應(yīng)用到風(fēng)險預(yù)警機(jī)制中，具體如圖5所示。

圖5 基于數(shù)據(jù)挖掘的風(fēng)險預(yù)警機(jī)制

基于關(guān)聯(lián)規(guī)則的預(yù)警機(jī)制能夠反映預(yù)警時間和風(fēng)險事件之間存在的相關(guān)關(guān)系，根據(jù)預(yù)警時間中的項值與關(guān)聯(lián)項值進(jìn)行風(fēng)險預(yù)測。其中關(guān)聯(lián)規(guī)則算法使用的是NewApriori算法，從修剪頻繁集和優(yōu)化連接策略這兩方面進(jìn)行優(yōu)化，提高挖掘效率。NewApriori算法的輸入值為交易數(shù)據(jù)庫D，其中最小支持度表示為min_sup，輸出值為D中頻繁項集M，那么M1=find_frequent_1_itensets(D)，從Mk-1中刪除不可能得到的頻繁項集的集合：Mk=delete(Mk-1)，在得到頻繁項集后，從中生成關(guān)聯(lián)規(guī)則。至此完成基于數(shù)據(jù)挖掘的信息管理風(fēng)險預(yù)警系統(tǒng)的設(shè)計。

2 系統(tǒng)測試

2.1 搭建測試環(huán)境

為驗證本文系統(tǒng)的有效性，需要對系統(tǒng)進(jìn)行測試。根據(jù)系統(tǒng)的實際應(yīng)用情況搭建測試環(huán)境，需要的設(shè)備主要包括：預(yù)警服務(wù)器2臺，型號為FXP0和FXP1，F(xiàn)XP1的IP地址為192.168.0.1，網(wǎng)絡(luò)主機(jī)1臺，配備以太網(wǎng)口，IP地址為192.168.11.10，交換機(jī)2臺，型號均為SF1 009，終端主機(jī)2臺，配備以太網(wǎng)口，IP地址為192.168.11.36，另外備網(wǎng)線若干，將上述設(shè)備搭建起來，使具有配置功能的預(yù)警服務(wù)器FXP0通過交換機(jī)1與網(wǎng)絡(luò)主機(jī)相連，監(jiān)聽功能的預(yù)警服務(wù)器通過交換機(jī)2與客戶終端主機(jī)相連接，最后將交換機(jī)1、2相連，共同組成系統(tǒng)測試環(huán)境。將該系統(tǒng)應(yīng)用在某公司內(nèi)部網(wǎng)絡(luò)中，設(shè)置兩個重要的檢測點，在對應(yīng)工作站中設(shè)計相應(yīng)的檢測中心。

2.2 設(shè)計測試過程

在上述的測試環(huán)境中，使用終端主機(jī)從網(wǎng)絡(luò)主機(jī)下載文件，登錄網(wǎng)絡(luò)攻擊行為預(yù)警系統(tǒng)，并利用預(yù)警服務(wù)器對傳輸?shù)臄?shù)據(jù)進(jìn)行采集，在測試過程中，人為設(shè)計網(wǎng)絡(luò)安全攻擊與非攻擊性的通知，并使用行為分析系統(tǒng)，設(shè)置抓包時間，并連接系統(tǒng)的監(jiān)聽端口抓取指定時間段內(nèi)的數(shù)據(jù)，分別使用本文設(shè)計的系統(tǒng)與傳統(tǒng)的系統(tǒng)進(jìn)行預(yù)警，并將預(yù)警結(jié)果進(jìn)行統(tǒng)計分析。

2.3 實驗結(jié)果分析

通過上述實驗過程，對監(jiān)控中心原始數(shù)據(jù)、區(qū)域預(yù)警中心報警數(shù)據(jù)的數(shù)量進(jìn)行統(tǒng)計，結(jié)果如表1所示。

表1 報警數(shù)量測試結(jié)果

從表1的測試結(jié)果可以看出，原有系統(tǒng)與本文系統(tǒng)對于信息管理風(fēng)險都具有優(yōu)秀的辨識性，但是原有的系統(tǒng)中無法區(qū)分出通知、預(yù)警和報警情況，僅能將這3種情況全部判定為預(yù)警情況，本文的系統(tǒng)經(jīng)過深度的數(shù)據(jù)挖掘處理后，能夠劃分出信息管理風(fēng)險的等級，詳細(xì)地辨識出通知、預(yù)警和報警情況，說明本文設(shè)計的系統(tǒng)具有一定的有效性。

2.4 其它系統(tǒng)的性能對比

為了測試本文的信息管理風(fēng)險預(yù)警系統(tǒng)的優(yōu)越性，選擇傳統(tǒng)的信息管理風(fēng)險預(yù)警系統(tǒng)進(jìn)行對比實驗，其進(jìn)行5次仿真實驗，統(tǒng)計它們的信息管理風(fēng)險預(yù)警系統(tǒng)精度，結(jié)果如圖6所示。

從圖6可以看出，相對于傳統(tǒng)信息管理風(fēng)險預(yù)警系統(tǒng)，本文系統(tǒng)的信息管理風(fēng)險預(yù)警精度得到大幅度提升，降低了信息管理風(fēng)險預(yù)警的錯誤率，可以保證信息管理系統(tǒng)中的信息安全。

圖6 與傳統(tǒng)系統(tǒng)的信息管理風(fēng)險預(yù)警精度對比

3 總結(jié)

互聯(lián)網(wǎng)的普及也使得網(wǎng)絡(luò)攻擊手段層出不窮，信息管理安全所面對的風(fēng)險也越來越大。傳統(tǒng)的信息管理預(yù)警系統(tǒng)由于缺少風(fēng)險評估方面的設(shè)計，導(dǎo)致在預(yù)警過程中劃分信息管理風(fēng)險的等級，將一些攻擊性小的通知類信息也識別為預(yù)警信息，在給用戶造成困擾的同時，也導(dǎo)致了資源的浪費。因此，設(shè)計一種基于數(shù)據(jù)挖掘的信息管理風(fēng)險預(yù)警系統(tǒng)。在硬件設(shè)計中，提出了信息管理風(fēng)險預(yù)警系統(tǒng)的總體體系結(jié)構(gòu)，軟件設(shè)計中，著重對風(fēng)險評估進(jìn)行了研究。但是本文未研究預(yù)警系統(tǒng)中各模塊之間的通信安全，在后續(xù)的研究過程中將會在該方面進(jìn)行深度探析。