基于深度神经网络的机房信息安全态势感知研究
2023-12-18殷莉
殷莉
关键词:神经网络;机房;信息安全;态势感知
中图分类号:TP309.7 文献标识码:A 文章编号:1006-8228(2023)11-112-04
0 引言
目前,机房内部安全态势感知模型的研究大多集中在框架模型上,包括多传感器信息集成架构模型和基于Netflix 的机房安全态势框架模型,而准确的数学模型尚欠缺。密码学是安全通信的科学,有科学家证明,安全通信不需要在发送方和接收方之间传输任何私钥,这表明深度神经网络密码学已经进入了一个相对动荡的时代[1]。
由于网络攻击越来越多,许多公司或组织将面临大量的网络攻击,就像著名的“Aurora”对谷歌邮件服务器的攻击。一些攻击可以穿透保护系统,攻击公司内网,使公司机密信息泄露、信息被篡改等,导致遭受重大损失。针对网络攻击行为,我们需要尽早发现其来源和潜在威胁,因而大数据和人工智能的应用非常重要[2]。本文探讨了深度神经网络在机房信息安全系统中的应用,以提高机房信息安全态势感知的能力。
1 基于深度神经网络的机房信息安全态势感知研究设计
1.1 数据采集及预处理
在数据收集方面,防火墙日志、路由器日志以及信息安全方面的镜像流量收集了大量数据,数据安全主要是指系统可以识别和使用的智能数据,可以使用服务器云更新安全信息。当前,没有可靠的安全情报和数据支持标准。
经过了系统实验与优化,在IPv4/IPv6 的环境中,可以通过一个万兆网收集网络流量信息。所采用的方法主要有网络端口镜像方法与拆分器镜像方法,将所收集到的数据送到分析系统中进行数据分析,包括接口匹配、流量控制、自动呼叫关联和行为分析等。接口匹配是通过标准TCP/UDP 接口,此识别方法虽然拥有极快的探测速度,但很容易导致信息非法伪造,所以,非常必要对其分析出的信息进行深入研究。
传输功能检查一般有二种方式,一类是通过标准协议识别,另一类是通过未公开的协议识别。此外还包括对指令和数据的特别要求,通过指令和信息可以在计算和测试环境中对独特字段的传输状态作出有特征的检验。后者需要采用反向解析技术,通过这种方式对报文中的唯一字段进行解码和识别,从而实现流量识别。自动连接关联是随着网络数据传输日渐增大,单一接口实现所有数据传输的技术已经不能跟上现实需要。在物联网工程中,需要将有关连接中的信息组合起来,并自动将其与数据传输链路相关联。某些数据流量的恢复可能受到限制,在此情况下,可以使用行为特征分析方法,该方法监测业务中的呼叫数量、先前和较低业务的比率以及数据传输的频率,以便获得数据业务的识别[3]。
1.2 搭建信息安全态势感知架构
基于数据采集及预处理之后,需要开始搭建信息安全态势感知架构。在深度神经网络时代,为了解决大型企业在运营过程中面对信息安全问题,对现有的安全感知体系进行更深入的研究和分析非常重要。经过对海量数据的研究、组织、分析和总结等一系列过程,最终总结出信息安全态势感知系统的总体设计框架。其设计理念是将机房范圍的内部安全与外部互联网安全数据更有效地结合起来,对收集到的数据内容进行全面的威胁分析和风险整合,最终提高机房运营过程中对信息安全威胁的感知。同时为了更好地实现整体项目框架的各项功能,有必要对框架中涉及系统的设计组成进行更深入的探索和分析,以更好地促进机房的信息安全感知优化。机房安全态势基于报警事件提供统一的安全视图状态下信息,能够使网络安全管理员快速并且准确地捕捉到网络安全当前状态,并在此基础上及时采取适当的措施[4]。
系统架构分为四个层次:数据收集层、计算存储层、业务能力层和系统服务层。
⑴ 数据收集层。主要收集防火墙日志、入侵检测日志、关键主机日志、主机访问漏洞信息和威胁信息。由于数据源不同,它们通常以不同的格式来定义机房中的信息安全事件,因此有必要通过正常的表格处理将数据统一格式,剔除不必要的和有噪声的数据。
⑵ 计算存储层。在计算存储层需要使用Hadoop MapReduce 以及Spark 来构建计算平台和大规模数据存储规划。存储大量数据使得能够大规模存储和处理日志以进行态势感知,对大量数据的快速处理,为深入分析高速网络流量的安全性和高智能模型算法的计算资源提供了技术支持。
⑶ 业务能力层。通过协同工作引擎、网络安全引擎、安全分析引擎、运行和维护云引擎、智能学习引擎,集成多个安全事件探测器提供的底层信息,动态地反映机房的信息安全状态,具有机房信息安全发展趋势预期和警告能力。
⑷ 系统服务层。通过感知安全状态和网络状态、掌握攻击情况和来源,了解机房信息安全状态和发展趋势,制定预测性应急计划并采取适当的预防措施,通过安全云服务中心构建关键信息基础设施安全体系,增强信息安全保护能力。
系统采用大数据技术,根据预先设计的流程处理数据,提高准确性和可靠性,在大数据流框架下,技术具有分布式、高可扩展性特性,如果集群节点的数量增加,处理攻击发生的能力就会提高。在数据处理过程中,涉及数据标准化和情报数据库的连接。数据规范化是系统使用正则表达式对各种硬件信息、传输数据等进行规范化,将数据转换为系统平台上的常用数据,以便更好地进行分析。知识库访谈是数据通过情报库连接到知识库和本公司自己的支持情报数据,为后续的检测和分析提供数据。系统必须完成对大量数据的搜索,因此它依赖搜索引擎来获取这些数据。利用搜索引擎可以实现内容、名称、分类等全文分布式搜索,搜索过程中,时间可以用作数据分析的索引字段。分析数据是研究潜在的数据威胁并采取预防措施,包括使用智能软件检测技术、杀毒技术、机器学习技术、自动化数据处理技术等[5]。
构建信息安全态势感知架构中,需要采用智能恶意软件检测技术来实现,通过大量的传统软件和恶意软件样本,创建人工智能引擎来检查两种类型软件的特征,构建模型来识别恶意软件安全风险,采用技术来改进现有的防病毒探测规则,提高其可靠性,更好地识别病毒和相关的机器学习数据。利用沙盒技术收集和处理数据也必须基于机器学习和相关性分析等手段来过滤大数据并提取关键数据,发送给运营团队进行大数据分析,采用自动化数据处理技术来进行数据处理及其感知。尽管态势感知技术已经是一种智能工具,但它仍然是基于机器人的,为了向专业人士提供更可靠的综合数据,基于人工智能的自动数据处理平台正在不断研发中,跟踪攻击者以持续检测未知威胁,生成本地可用信息威胁分析规则,可供本地分析平台使用,基于以上步骤完成对信息安全态势感知架构的构建。
1.3 构建机房信息安全态势感知模型
基于深度神经网络构建的信息安全态势感知模型,在分析国内外机房信息安全态势感知有关研究现状基础上,结合JDL 功能模型及态势感知心理模型等其他领域的经典态势感知模型分析,给出了机房信息安全的概念模型,包含机房信息安全状态感知层、态势评估层及状况预测层等三个层次,如图1 所示。
级别1 状态感知是態势感知的基础。该级别是采用已有的技术手段从千千万万的数据中挖掘出有效的机房安全信息,并用诸如XML 格式进行标注,作为评价的输入数据信息。
级别2 态势评估是态势感知的核心,也是当前安全形势的动态理解过程。它通过判别抽取出安全事件,并保证关联性,在此基础上构建相应的安全情况图来表征整个机房信息安全情况。
级别3 状况预测是根据过去的机房信息安全状况和当前的机房信息安全状况来判断未来的安全趋势,这将有助于决策者更深入地了解机房信息安全状况,并为合理而精确的决策提供证据。
根据灰色模型GM(1,1):
x (t) + az (t) =b
其中,a 为系数,b 为灰度输出。当a<2 时,则GM(1,1)起作用,因而预测结果随a 变化而变化。
假定t 时间内,情境数据库中抽取出来的异常值安全序列可以用x 表示,即为:
X = X (1) ,X (2) ,…,X (n)
和
X (t) ≥ 0,t = 1,2,…,n
来进行标识。基于以上步骤能够完成机房信息安全态势感知模型的建立[6]。
2 对比实验
2.1 实验说明
为验证上文所设计的基于深度神经网络的机房信息安全态势感知研究的有效性,特建立对比实验。将基于深度神经的机房信息安全态势感知研究(方法1)与依赖RSA 公钥加密算法的机房信息安全态势感知系统(方法2)以及基于大数据的机房信息安全态势感知系统研究进行对比。
2.2 实验准备
该机房模型实验在RED 160G 平台下进行了测试,该平台配置了华为5000 多层路由交换机、防火墙和10 台PC。每一台PC 的配置都是RED 160G,并且带有1G Ethemet。将下午两点至下午七点分为五个时间段,分别为T1,T2,T3,T4 和T5。在每一个时间内,一些黑客工具用于测试。
2.3 实验结果
三种方法对于机房中的信息安全态势感知结果如表1 所示。
由表1 可知,方法1 感知到的网络威胁数量与实际网络威胁数量一致,且每个时间段都符合,而方法2和方法3 结果虽然与实际情况接近,但数值并不准确,个别时间段感知到的结果相差较大,由此,可以得出方法1 即基于深度神经网络的机房信息安全态势感知研究方法最为准确。
3 结束语
机房信息安全感知系统是现阶段比较重要的研究领域,我们可以提高系统对意外事件的响应能力,减少网络攻击的损失,可以检测异常违规行为,并增加系统反击的力量。本文基于深度神经网络,首先分步提出了机房安全状况认知模型,经过仿真检验后,说明基于该方法的机房信息安全态势感知准确性较高,可以在信息安全态势感知领域得到进一步应用,机房信息安全态势感知的应用前景非常广阔。该方法可以通过实时监测、分析和识别网络活动、系统漏洞、异常行为等,提供全面的安全态势感知,帮助及早发现和应对潜在的安全威胁。
在机房信息安全态势感知领域,还有一些需要进一步研究和待解决的问题,例如大规模数据处理、智能化分析与预测、多维度数据关联、自动化响应与处置、隐私保护与合规性、跨机房安全协同等。未来可以针对这些问题进行深入研究,以提高机房信息安全态势感知的能力和效果。