丁 之,何启学,唐冬升,倪 杨
(1.四川中烟工业有限责任公司,成都 610016;2.中科院成都信息技术股份有限公司,成都 610299;3.成都中科信息技术有限公司,成都 610299)
云机房是用于存储或者运行计算资源的物理场所,因此也可将其看作为服务器房,是由物理硬件设备组成,包含服务器、存储设备以及网络交换机等[1],用户可通过云机房完成云上程序的部署,用户利用云机房能够降低运行的额外成本[2]。由于云机房的设备数量较大,并且网络连接较为复杂,属于典型的大规模网络,主要以大覆盖的信息传输方式为主,该类网络存在跨域特点[3],并且对于宏观网络态势的精准管理存在一定不足,导致云机房网络维护难度较大,在运行过程中一旦受到恶意攻击和入侵,会导致云机房发生大规模安全风险[4]。
因此,为保证云机房网络运行安全,需对网络安全事件进行态势分析,掌握风险的危险程度,进而针对性采取相关防护措施[5]。文献[6]结合改进粒子群优化和极限学习机算法对网络的安全态势进行预测,分析网络的运行状态,但是该方法在应用过程中,无法针对安全态势的危险度进行分析。文献[7]采用多源异构数据融合的方式,结合数据的融合分析结果,对网络安全态势进行评估,但是该方法无法针对网络危险事件的重要度进行分析。
事故树分析方法是依据逻辑推理进行危险性辨识的一种方法[8],该方法能够分析事故发生的直接原因,同时能够判断事故潜在因素,因此该方法属于定量分析方法,在风险管理领域中具有较好的应用效果。因此,本文为实现云机房网络安全态势自动化预测,研究基于事故树分析的云机房网络安全态势自动化预测系统。
本文为实现云机房网络安全态势自动化预测,需先获取该网络的日志数据,因此,云机房模块采用日志类传感器进行云机房网络数据采集,日志类传感器结构如图1 所示。
图1 日志类传感器结构Fig.1 Log type sensor structure
日志类传感器在完成网络数据采集的同时,能够实现数据的筛选、合并以及初步分析,并生成统一格式的安全事件数据,经由专用的网络接口,将该数据传送至上层应用中,进行网络安全态势自动化预测以及危险度分析。
1.2.1 异常数据流检测
功能模块以数据管理模块中存储的数据为依据,依据数据特点,以网络传输数据量较大链路中传输的数据流为核心进行时间窗口设置;为计算不同时间段内数据的基本特征,采用时间窗口内数据包划分的方式完成;并且标记数据包的属性类别以及数据包更新。
通过上述内容对数据包进行筛选后,获取数据属性,包括源IP 地址、源端口、协议类型、时间戳、目的IP 地址等,筛选后链路数据包的属性分布特征的提取采用非广延熵技术完成;对提取的特征结果进行处理,计算检测数据包i 的出现概率,其计算公式为
式中:A 为数据包的出现数量;mi为i 的出现次数。
判断数据流中存在的异常网络数据,并计算异常数据第j 个属性的相似度结果,其计算公式为
式中:T 为时间窗口中数据的最大时差;Hj为第j 个属性节点与最近公共节点的层数;ξ 为数据流层次结构的总层数。
异常数据流相似度用S 表示,其计算公式为
式中:wj为第j 个属性权重。
依据相似度计算结果设置最小相似度阈值,同时完成异常数据流集成处理,并对集成后的数据流进行深入挖掘,获取总体特征和网络安全态势之间的关联,对相似簇的异常数据进行整理,形成多个簇,完成异常网络数据检测。
1.2.2 网络危险度
依据上述小节完成云机房网络中异常数据流检测后,进行网络安全态势感知,以此获取云机房网络安全危险度的可度量信息。如果检测的异常数据对应的网络安全事件用e 表示,其在历史上发生的可能性用Ke表示,其计算公式为
式中:φ 为所有更新数据中窗口数据的占据比例;D为窗口检测阈值;Be为云机房网络中异常事件的发生概率。
在进行云机房网络风险度量化分析时,需结合异常数据流的威胁指数完成,以此计算云机房网络危险度,其计算公式为
式中:U 为云机房网络防御值。F 的值越大表示云机房网络安全性越高,危险度越低,反之则安全性越低,危险度越高。
依据上述小节完成F 值的计算后,依据该结果进行云机房网络安全事件重要度计算,文中采用事故分析法完成,该方法是依据事故树的结构,进行求取事故树的最小割集处理,确定顶事件发生的原因和基本事件的结构重要度。采用结构函数描述事故树结构的数学模型,其公式为
式中:Yi为第i 个网络安全事件的状态结果;Fi为第i 个网络安全事件的状态值;2n为状态组合数量;p为基本事件的状态组合序号;φ(F)和φp(F)均为状态变量,前者对应顶事件,后者对应第p 个网络安全事件状态组合,如果发生顶事件两者的值均等于1,如果没发生事件,两者的值均等于0。
如果基本发生概率用qi表示,其包含网络元件故障概率以及失误概率,为完成顶事件发生概率计算,文中采用布尔代数对事故树进行简化处理,生成具有“与门”和“或门”相连接的树,结合实际需求,通过2 种门完成顶事件发生概率计算,文中选择“与门”完成该计算,其计算公式为
依据上述公式即可完成云机房网络安全事件的重要度,依据该结果即可分析网络未来的变化情况,完成云机房网络安全态势自动化预测。
云机房网络属于大规模网络,其在运行过程中,网络空间受到的安全攻击类别较多,并且该攻击具有显著的变化特性,导致网络防御效果不理想;同时云机房网络安全影响因素较多,自身漏洞、资产等各部分之间存在较为复杂的关联,导致网络安全危险度量化难度较大;因此,为实现云机房网络安全态势自动化预测,综合上述3 个小节的研究内容,本文设计基于危险度评价和事故树分析的云机房网络安全态势自动化预测系统,该系统总体架构如图2 所示。
图2 云机房网络安全态势自动化预测系统架构Fig.2 Architecture of automatic prediction system for network security situation in cloud computer room
该系统主要包含云机房模块、数据管理模块、功能模块以及可视化模块。云机房模块主要是由大量物理服务器以及网络软件程序组成,通过传感器获取网络运行的所有相关数据;采集的数据均存储在数据管理模块中;功能模块是依据存储的数据进行云机房网络危险度评价以及云机房网络安全事件重要度计算,实现网络安全态势自动化预测,分析网络运行的危险度,完成风险度量化,实现网络多种攻击预测。
为验证文中设计的预测系统对于云机房网络安全态势自动化预测效果,选择某企业的云机房网络作为研究测试对象,采用文中设计的预测系统对其进行安全态势自动化预测,该网络结构如图3 所示。
图3 某企业的云机房网络结构Fig.3 Network structure of cloud computer room in an enterprise
该网络的内网为1000 M,外网为300 M,以中心交换机作为网络交互传输的核心,网络整体分为5 个服务分区,各区的网络设备相关参数如表1 所示。
表1 各区的网络设备相关参数Fig.1 Relevant parameters of network equipment in each district
为验证预测系统的网络日志数据采集效果,采用传感器流量负载情况作为衡量标准,记录传感器在不同的网络服务器数量下,随着采集数据包数量的增加,传感器流量负载的测试结果,采集结果如图4 所示。由图4 可知,设计的预测系统具有全面的网络运行相关数据采集能力,可获取云机房网络运行过程中的数据包传送情况、内存信息、IP 地址信息等,为云机房网络安全态势预测提供可靠依据。
图4 云机房网络数据采集结果Fig.4 Cloud computer room network data collection results
为验证设计的预测系统在网络安全态势预测中的应用效果,选择决定系数作为评级指标,其取值在0~1 之间,该指标能够衡量系统的预测泛化能力,取值越小,表示系统对于网络安全态势的量化效果越佳,该指标的计算公式为
依据式(8)计算R2的结果如图5 所示,由于篇幅有限,仅呈现远程攻击、僵尸网络、源地址篡改3种风险的预测结果。依据图5 测试结果可知,文中设计的预测系统对于云机房网络安全态势的量化效果较好,结果均在0.022 以下,能够预测云机房网络中不同类别的风险态势。
图5 网络安全态势预测结果Fig.5 Prediction results of network security situation
为进一步分析文中设计的预测系统对于云机房网络安全态势的量化效果,随机选择10 个不同目的IP 地址网络的风险态势预测量化结果,如表2所示。依据表2 可知,文中设计的预测系统应用后,能够有效实现不同目的IP 地址网络的风险态势预测量化分析,获取各个目的IP 地址网络的态势值,依据该结果能够判断网络的危险度。
表2 风险态势预测量化结果Tab.2 Quantitative results of risk situation prediction
云机房网络规模较大,在运行过程中,网络之间存在关联,并且网络的物理设备之间也相互连接,覆盖范围较大,会导致其在运行过程中容易受到不同程度的攻击,影响网络安全。因此,本文设计基于危险度评价和事故树分析的云机房网络安全态势自动化预测系统。对该系统的应用效果进行相关分析后得出,其具有较好的网络数据采集能力,并且可完成网络安全态势量化分析,确定风险详细情况,判断云机房网络安全事件的重要度,为云机房网络管理提供可靠依据。