基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全運營平臺設(shè)計

付志博,楊 航,劉家豪

(1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司 平臺網(wǎng)絡(luò)安全分公司,廣州510663;2.南方電網(wǎng)有限責(zé)任公司數(shù)字化部,廣州510000)

0 引 言

運營平臺通常指為了對平臺的服務(wù)進行提升,從而發(fā)展更多的用戶,同時獲取更大的利益構(gòu)建的平臺經(jīng)營以及運作等相關(guān)工作。其按照整體的統(tǒng)籌范圍可包含以下幾個方面:1)構(gòu)建平臺、不斷的完善和優(yōu)化(平臺為用戶以及服務(wù)者間構(gòu)建了橋梁);2)平臺前端的流程優(yōu)化、數(shù)據(jù)挖掘、用戶行為分析,具體有ARRU(Average Revenue Per User)值、交易額、交易量以及用戶量等數(shù)據(jù)維度;3)平臺后端服務(wù)的提供者,包括合作、優(yōu)化以及服務(wù)管理等;4)平臺的活動推廣、營銷以及策劃等活動的開展;5)平臺的日常反饋、售后服務(wù)、投訴、咨詢以及日常維護等;6)平臺組織的框架構(gòu)建,人員崗位的管理以及設(shè)置[1]。

隨著計算機網(wǎng)絡(luò)平臺的信息化快速發(fā)展,數(shù)據(jù)信息化的資產(chǎn)數(shù)量越來越多,同時,系統(tǒng)的關(guān)聯(lián)度以及復(fù)雜度也在持續(xù)增強,導(dǎo)致信息安全的防護工作面臨嚴重的困難和挑戰(zhàn)[2]。要保障信息系統(tǒng)正常運行,需要正確識別風(fēng)險安全,滿足國家監(jiān)管以及各行業(yè)的需求,信息安全的保障管理合法依規(guī)。需建立一個基于網(wǎng)絡(luò)安全威脅的運行平臺,使其能做到事后分析、事中監(jiān)控以及事前分析等,從而全面地提升數(shù)據(jù)信息防護以及安全管理,保證使用者的信息安全[3]。為此筆者提出一種基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全運營平臺設(shè)計,該平臺通過對入侵數(shù)據(jù)進行識別,可得出精確識別結(jié)果,誤識別率較低,同時還能及時告警,并且追溯其源頭。

1 多源異構(gòu)傳感器數(shù)據(jù)安全融合

1.1 DS證據(jù)理論

DS(Dempster-Shafer)證據(jù)理論是一種不精確的推理理論,在多源異構(gòu)傳感器節(jié)點內(nèi)存在很多無法表達的確定性決策信息,因此產(chǎn)生了不確定性問題。DS證據(jù)論證適合人類推理和決策的過程,同時還可以將全部證據(jù)相結(jié)合,對證據(jù)生成信任函數(shù),更適合處理含有不確定性以及未知性的多源異構(gòu)數(shù)據(jù)信息[4]。

在應(yīng)用DS融合規(guī)則前,先要確定目標框架Θ,即預(yù)理解事件,具體公式為

其中A為鑒別框架內(nèi)元素,通過BPA(Basic Probability Allocation)分配傳感器,敘述不同的事件信任度。

而框架內(nèi)BPA函數(shù)m其實是[0,1]間的常數(shù),并且需要滿足以下條件

對不同命題證據(jù)存在不同概率的分配函數(shù),可利用正交求和算法對各個相關(guān)證據(jù)BPA進行合并。其目的是降低不確定區(qū)間,化解各證據(jù)間矛盾,獲得每個證據(jù)影響力的融合結(jié)果,具體DS證據(jù)合并公式為

對DS證據(jù)合并法則,沖突系數(shù)是KConflict,它是正規(guī)化常數(shù),目的是對同一假設(shè)空間內(nèi)的每個證據(jù)間矛盾程度進行衡量,同時,防止概率值分配至空集合?,而KConflict范圍處于0≤KConflict≤1之間。其中,KConflict值越大,說明各證據(jù)沖突就越強烈;反之,數(shù)值越小相同或者部分相同的證據(jù)就越多[5]。

1.2 DS證據(jù)合并規(guī)則改進

DS證據(jù)的使用,受制于KConflict值的范圍大小,KConflict可以使證據(jù)合并不合理,從而影響DS/AHP(Analytic Hierarchy Process)方案結(jié)果與效率。

想要處理KConflict問題,如果應(yīng)用DS證據(jù)的合并規(guī)則,其不但要降低KConflict負荷自覺合理性,同時還需要對整體的合并次數(shù)進行降低。因此使用平均法的DS證據(jù)合并規(guī)則,具體公式為

1.3 基于DS/AHP的傳感器數(shù)據(jù)安全融合流程

具體DS/AHP方法計算過程如圖1所示。

圖1 改進的DS/AHP方法過程圖像Fig.1 Process image of the improved DS/AHP method

1)確認問題目標,證明各種解決方法,列出總體目標影響因素,從下向上建立層級架構(gòu),評價影響因素[6]。

2)構(gòu)建每個層級間對比矩陣,對每個層級因素以及最大的特征向量進行計算。

3)利用C.R.對每個層級因素特征的向量值和架構(gòu)進行檢查,觀察二者是否相同,若不相同,則需對其重新進行因素評估影響。

4)將符合C.R.識別準則的特征向量值取出,備用。

5)將全部方案組成鑒別框架,在根據(jù)不同特征,將方案實現(xiàn)分級,然后工作人員在利用判斷尺度,對不同準則方案的偏好程度完成打分,這樣就能形成分類方案樹的模式。

6)構(gòu)建起始對比矩陣,具體公式為

其中Ax為某評估準則,ad為此準則下的各個方案其優(yōu)劣程度[7]。

7)通過

得到正規(guī)化的數(shù)值后,將其與矩陣特征的向量值進行對比,從而反復(fù)實現(xiàn)步驟6)~步驟7),具體可以得到準則下的方案特征向量值。其中Pk為某評估準確對應(yīng)向量的權(quán)重。

其中d為分類樹下某評估準則方案的所有個數(shù)。

8)通過使用步驟5)~7),可以對全部準則特征向量值進行合并,以此計算出目標的全部方案BPA。

9)在利用KConflict對每個證據(jù)的合并生成結(jié)果進行識別,通過觀察結(jié)果是否處于相同的狀態(tài),如果不相同,則需要重新構(gòu)建分類方案樹[8]。10)采用

計算似真函數(shù)Pl以及信任函數(shù)Bl,同時對信任區(qū)間進行構(gòu)建。式(11)將Bl以及Bl和Pl間的差距排序,其中Bl的數(shù)值越大,則說明支持度越高,反之,差距的數(shù)值越小,表示有較好的選取方案。而在選取方案時,獲得的Bl數(shù)值越高、而Bl和Pl間差距的數(shù)值越低。改進的DS/AHP算法,能對不同節(jié)點中未知數(shù)據(jù)分別計算可信程度以及權(quán)重信息,融合有效決策信息,即可得出最優(yōu)方案。

2 網(wǎng)絡(luò)安全運營平臺設(shè)計

2.1 預(yù)警框架

1)資源層是指受管理對象/資產(chǎn)。常見的有主機、應(yīng)用系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、安全設(shè)備以及網(wǎng)絡(luò)設(shè)備等。所有系統(tǒng)的安全管理與運維工作都圍繞資源層開展[9]。

2)展示層是指使用者能接觸到的功能層,該層可以提供每種安全的業(yè)務(wù),便于用戶應(yīng)用整體系統(tǒng),從而開展安全的運營工作。

3)服務(wù)層是系統(tǒng)中的功能模塊,包含機頂盒資產(chǎn)的畫像,攻擊溯源、安全資產(chǎn)管理以及高級威脅分析的模塊等。

4)大數(shù)據(jù)的分析層,能有效提供大數(shù)據(jù)儲存以及系統(tǒng)的計算功能,為服務(wù)層提供流式或離線分析引擎以及交互式的查詢接口等功能。

5)采集層是指利用數(shù)據(jù)采集以及設(shè)備的控制層。將平臺通過各種各樣的協(xié)議,與資源層的數(shù)據(jù)對象相連接,通過范式化功能完成數(shù)據(jù)的范式化,最后傳送至數(shù)據(jù)總線上。

2.2 平臺安全運營設(shè)計

2.2.1 整體平臺包括的模塊

系統(tǒng)平臺的網(wǎng)絡(luò)設(shè)備包括路由器的網(wǎng)關(guān)和交換機等;安全設(shè)備包括:防毒墻、入侵保護、防火墻以及網(wǎng)閘等;業(yè)務(wù)系統(tǒng)包含BOSS系統(tǒng)以及網(wǎng)廳系統(tǒng)等;安全系統(tǒng)包括授權(quán)管理以及身份認證等;而應(yīng)用系統(tǒng)包括中間件、數(shù)據(jù)庫以及郵件系統(tǒng)等[10]。

2.2.2 高級的威脅分析

具體高級的威脅分析,其分析模塊包含網(wǎng)站安全、系統(tǒng)漏洞、僵木蠕、異常流量以及網(wǎng)絡(luò)入侵,如圖2所示。

圖2 威脅分析模塊圖像Fig.2 Threat analysis module image

其中網(wǎng)站安全是對Web資產(chǎn)的風(fēng)險性以及脆弱性分析,及時發(fā)現(xiàn)域名劫持、網(wǎng)頁篡改以及網(wǎng)站掛馬等攻擊行為。

系統(tǒng)漏洞是針對現(xiàn)網(wǎng)掃描探針,完成網(wǎng)絡(luò)資產(chǎn)脆弱性排名以及分析。

僵木蠕是針對網(wǎng)絡(luò)中僵木蠕探針王識別蠕蟲、木馬以及僵尸等病毒,且追蹤控制的命令路經(jīng)以及傳播的路經(jīng),然后追蹤至源頭。

異常流量是針對網(wǎng)絡(luò)內(nèi)異常流量的探針,在處于背景流的情況下,對異常流量進行識別,其中,對分布式拒絕服務(wù)的攻擊方式識別最為明顯。

網(wǎng)絡(luò)入侵是針對網(wǎng)絡(luò)中入侵的檢測探針,通過攻擊樹以及殺傷鏈等有關(guān)理論,構(gòu)成獨特推理決策引擎,再借助數(shù)據(jù)庫,完成網(wǎng)絡(luò)入侵的感知。

2.2.3 安全資產(chǎn)的管控分析

1)資產(chǎn)識別管理。安全運營平臺通過對風(fēng)險進行評估,將資產(chǎn)價值結(jié)合外部威脅以及資產(chǎn)脆弱性,這樣就能完成對風(fēng)險的評估,從而獲得風(fēng)險計分,再生成相應(yīng)對策,實現(xiàn)威脅阻斷,完成脆弱性修補。

安全運營平臺的風(fēng)險分析,是對整體系統(tǒng)的風(fēng)險進行評估,以此對各個資產(chǎn)外部所發(fā)起安全事件,實現(xiàn)評分,同時又會對平臺的脆弱性,例如,網(wǎng)站安全與系統(tǒng)漏洞等情況進行評分。以此計算出業(yè)務(wù)域以及資產(chǎn)組,甚至平臺的整體評分[11],如圖3所示。

圖3 資產(chǎn)的識別模塊圖像Fig.3 Image of asset identification module

2)攻擊溯源模塊。該模塊采用大數(shù)據(jù)技術(shù),利用CC主機、匹配僵木蠕甚至跳板攻擊、對數(shù)據(jù)流進行建模完成自主判斷等,從而擺脫以往的安全系統(tǒng),找出已知惡意行為,同時,實現(xiàn)網(wǎng)絡(luò)流量的數(shù)據(jù)分析、采集、存儲以及索引。實現(xiàn)業(yè)務(wù)的異常排障以及威脅事件等分析功能,即可完成取證溯源,其中包含外發(fā)流量溯源、分布式拒絕服務(wù)攻擊行為的溯源分析等,如圖4所示。

圖4 攻擊溯源分析模塊圖像Fig.4 Image of attack source analysis module

3)威脅情報功能模塊。安全運營平臺采用威脅情報功能有惡意樣本、漏洞、域名庫以及IP庫等,目的是完成對IT資產(chǎn)威脅的準確通報與驗證,進而增強對攻擊事件的溯源分析、熱點事件的實時預(yù)警以及增強安全威脅的事件預(yù)測等功能。

4)工單、情報驅(qū)動安全運營分析。傳統(tǒng)的防病毒產(chǎn)品以及防御系統(tǒng)和入侵檢測,大多數(shù)是依靠簽名對惡意軟件進行識別,而安全運營平臺則是通過與威脅情報事件關(guān)聯(lián)以及引擎自動收集,再經(jīng)過智能關(guān)聯(lián)過濾噪聲事件,提高告警的準確性,將風(fēng)險點利用工單形式發(fā)送給運維人員,實現(xiàn)預(yù)警、通知,完成整體風(fēng)險閉環(huán)[12]。

3 實驗仿真證明

為驗證筆者方法的有效性,實驗環(huán)境選擇兩臺Intel core雙核2.66 GHz和4 GByte內(nèi)存,軟件系統(tǒng)使用Windows10系統(tǒng),分為A計算機與B計算機,將筆者構(gòu)建的運維平臺,在A計算機上模擬,選擇某公司的數(shù)據(jù)9 995條,并在數(shù)據(jù)集內(nèi)插入異常數(shù)據(jù)5條,一共構(gòu)成10 000條數(shù)據(jù),利用B計算機反復(fù)向A計算機發(fā)送數(shù)據(jù),通過觀察筆者構(gòu)建平臺在運營期間是否能識別出異常入侵數(shù)據(jù),及時進行告警,并且通過溯源分析,找出入侵路徑以及入侵源頭。數(shù)據(jù)傳輸過程如圖5、圖6所示。

圖5 平臺識別入侵數(shù)據(jù)情況Fig.5 The situation of the platform identifyingintrusion data

圖6 平臺誤識別入侵數(shù)據(jù)情況Fig.6 The platform misidentifies the intrusion data situation

從圖5可以看出,筆者構(gòu)建的運營平臺,能準確地識別出異常數(shù)據(jù),識別率在98%以上。雖然隨著數(shù)據(jù)增加,識別曲線出現(xiàn)輕微波動,但數(shù)值一直是處于平穩(wěn)狀態(tài),并且隨著數(shù)據(jù)增加出現(xiàn)下降過程。

從圖6可以看出,筆者構(gòu)建平臺的誤識別率一直處于0~2%之間,同樣沒有隨著數(shù)據(jù)增加,發(fā)生誤識別率上升現(xiàn)象。同時該平臺在識別出異常數(shù)據(jù)后,通過告警方式,通知實驗人員,同時能很快地尋找出異常數(shù)據(jù)傳輸路徑,找出傳播源頭。

4 結(jié) 語

筆者提出的基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全運營平臺設(shè)計,能有效地識別出入侵數(shù)據(jù),并以工單的形式通知運營人員,同時,可以追溯到入侵路徑以及入侵源頭,這表明效果良好。但互聯(lián)網(wǎng)技術(shù)的發(fā)展日新月異,數(shù)據(jù)入侵的方式越來越多,從而導(dǎo)致很多防御手段需要實時地進行更新,防止運營平臺被入侵,導(dǎo)致數(shù)據(jù)信息被竊取、泄密以及丟失等,甚至是出現(xiàn)整體平臺無法完成正常工作的情況。所以筆者設(shè)計的平臺需要實時進行優(yōu)化、更新,以此應(yīng)對不法入侵行為。