高等院校网络安全态势评估模型应用与研究
2015-05-30郑士芹
郑士芹
摘 要:随着云计算、大数据技术的快速发展和应用,高等院校网络运行积累了海量的数据资源,网络安全防御凸显的更加重要。网络安全态势评估可以采用先进的支持向量机技术评估高校信息化管理系统运行状态,发现高校网络中潜在的威胁,进一步设计与构建高可靠性网络安全防御系统。
关键词:网络安全;态势评估;模式识别;支持向量机
1 概述
随着计算机技术、网络技术的快速发展,高等院校采用了云计算、大数据分析等设计与实现高校信息化管理系统,比如教务管理系统、学籍管理系统、科研管理系统等,积累了海量的数据资源,其可以通过移动互联网、光纤网络进行共享。面对日益严峻的网络病毒、木马等安全威胁,为了能够提高高校网络的安全防御能力,高校网络已经着手开始构建全方位、纵深层次的安全防御体系,以便能够多层次、立体化、全方位构建网络安全屏障[1]。高校网络安全态势评估是网络安全防御的基础,也是构建高校网络集中安全管理、智能化防御的首要内容。
2 高校网络安全态势评估算法分析
目前,高校网络安全态势评估经过多年的研究,其采用的算法已经诞生了很多,主要包括基于数学模型、基于知识推理、基于模式识别三个类别。
2.1 基于数学模型的评估算法
目前,基于数学模型的高校网络安全态势评估算法包括统计分析评估算法、模糊数学评估算法。基于统计分析的高校网络安全态势评估算法通常以入侵行为是异常活动的子集为前提,依据评估记录定义网络中正常行为特征的活动库,比如网络流量的平均值、方差等,若系统将当前检测到的网络事件严重偏离正常行为特征时,则认为当前网络事件是潜在的攻击行为。统计分析的特征通常用主体特征变量的参数及其操作频率、阈值、方差等统计量来描述,实际高校网络安全态势评估过程中建立正常行为特征,典型的系统主体特征有登录时间段、查看某文件的次数、内存和外设的占用率等[2]。高校网络安全态势具有随机性和模糊性,随机性表现为事件是否发生,而模糊性则关注事件的自身状态,模糊性是高校网络安全态势事件在性质和类属上具有不分明性,源于事件之间的过渡状态,它们互相交叉渗透,模糊了彼此的界限,模糊数学理论通常被用于网络态势评估量化分析过程中,利用模糊数学评估算法评估高校网络安全态势一般具有较大的误差或者错误。
2.2 基于知识推理的评估算法
目前,常用的基于知识推理的评估算法包括专家系统、贝叶斯网络等。专家系统以高校网络安全评估中产生的专家经验知识为基础,构建一个核心的知识库和推理机,利用知识规则分析和评估的网络安全态势,可以通过规则匹配,评估网络安全态势,发现高校网络中存在的攻击行为,高校网络安全态势评估设计简单,对于特征比较明显的高校网络安全态势评估率高。贝叶斯网络可以使用图论评估高校网络安全态势,使用概率论进行辅助的定量分析,然后根据系统资源分析高校网络中的攻击行为,预测高校网络攻击结果,由于高校网络的设备是动态变化的,高校网络中设备数量的每一次变化都需要重新配置通信资源,不利于进行高校网络安全态势的实时动态评估[3]。
2.3 基于模式识别的评估算法
模式识别是数据挖掘的一种分析方法,常用于各类数据分析。高校网络安全态势评估使用模式识别算法,可以很好地识别相关的态势值,常用的模式识别评估算法包括K均值、SVM和神经网络,最具代表性的是神经网络算法[4]。神经网络算法的输入向量可以描述高校网络底层安全态势指标,比如安全漏洞、网络扫描攻击、缓冲区溢出攻击、拒绝服务攻击、蠕虫病毒攻击、口令猜测攻击、防火墙部署、入侵检测部署情况等,输出向量描述高校网络安全态势评估的高安全性指标,比如网络的完整性、安全性和机密性。可以使用已经评判过的样本训练神经网络,确定隐含层以及各层之间的链接权值,从而构建一个高校网络安全态势评估的模型和相关的参数。根据高校网络安全态势值的时间序列要求,利用基于模式识别的评估算法,构建一个可以识别的系统模式。高校网络安全态势系统设置的归纳器可以对历史网络安全态势进行分析和归纳,根据历史网络安全态势预测未来即将发生的行为,归纳得到一个事件发生的基本预测结果。通过对预测结果进行动态的评估,可以实时地识别系统中潜在的安全攻击事件。与传统单一的统计分析方法相比,基于模式识别的高校网络安全态势评估的方式不仅可以对单一的攻击事件进行预测和分析,还可以注重网络攻击事件之间的关联性,增加了对事件发生顺序的甄别、判断和分析,是对统计分析方法的重要改进。基于模式识别的高校网络安全态势评估分析方法可以关注多个安全攻击行为,具有较强的实时性,能够在短时间内检测到系统的异常行为。
3 高校网络安全态势评估模型设计
随着高校网络接入设备和软件系统增多,网络拓扑结构变得越来越复杂。因此,上述安全态势评估模型无法适应复杂网络评估,造成高校网络安全态势评估准确度降低。为了适应现代高校网络动态变化特征,提高安全态势评估准确度,文章提出了一种基于RF-SVM网络安全态势评估模型,该模型包含高校网络安全态势训练和高校网络安全态势评估模块,这两个模块的功能可以描述如下。
3.1 RF-SVM训练模块
在RF-SVM模型的训练模块中,其关键功能模块包括四个部分,分别包括控制模块、网络安全态势训练模块、网络安全态势数据读取模块、网络安全态势评估模块。文章的算法中,将这四个功能模块进行有效的集成,完成对网络安全态势的评估。算法执行步骤如下所述:(1)首先根据需要确定输入的网络安全态势值的时间序列化条件,确定高校网络安全态势值的时间化序列,统计时间序列的取值范围。(2)然后调用高校网络安全态势数据库,读取本模块的控制函数、网络安全态势评估函数,紧接进行高校网络安全态势值时间序列的统计工作,评估高校网络的安全态势,根据时间序列划分类别,将安全态势评估值的结果保存到LIST结构数据中。(3)算法取出LIST中保存的数据,将其传输到预测模型,训练高校网络安全态势感知功能模块,生成一个态势预测模型。
3.2 RF-SVM评估模块
高校网络安全态势预测模型训练完毕,采用以下步骤预测实际的高校网络安全态势。关键步骤描述如下:(1)获取高校网络安全态势感知实际数据,根据要求设定时间序列规范和高校网络安全态势的时间序列。(2)统计高校网络安全态势的时间序列。(3)调用本模块中的态势预测函数,评估实际的高校网络安全态势。
4 结束语
高校网络安全关系学校各类信息化系统的正常运行。因此,高校网络安全态势评估可以及时地发现网络安全存在的威胁,提高防御系统的实时性处理能力,进一步提高高校防御系统的有效性。
参考文献
[1]何永明.基于KNN-SVM的网络安全态势评估模型[J].计算机工程与应用,2013,9:81-84.
[2]郭洪荣.指标融合下对网络安全态势评估模型的构建研究[J].网络安全技术与应用,2014,1:44-46.
[3]彭鹏.基于信息融合的网络安全态势评估模型分析[J].网络安全技术与应用,2015,5:25-26.
[4]吕刚.应用模糊分析法对评价网络信息安全的有效研究[J].网络安全技术与应用,2013,8:118-119.
[5]陈虹,王飞,肖振久,等.一种融合多源数据的网络安全态势评估模型[J].计算机工程与应用,2014,14:47-51.