doi:10.3969/j.issn.1005-152X.2009.09.042 1 引言 态势感知源于航天飞行的人因(human factors)研究,目前广泛应用于航天飞行、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、DoS/DDoS攻击等所造成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖现有的信息系统网络安全产品无法实现对整个信息系统网络安全态势的实时监控,因此迫切需要一项新技术新方法来完成该项任务,于是提出了信息系统网络安全态势感知系统研究。纵观国内外相关研究,信息系统网络安全态势感知可描述为在大规模网络环境中,对能够引起信息系统网络安全态势发生变化要素的提取、当前态势的评估以及未来安全态势的预测[1]。 本文所研究的物流信息系统网络IP地址动态分配系统风险态势预测即属于信息系统网络安全态势感知在现实环境中针对较单纯数据的具体应用。文献[1]中提出了基于简单加权法和灰色理论的信息系统网络安全态势感知建模过程,本文基本沿用此方法针对具体问题建立评估和预测模型,并在应用过程中对所建立模型提出了改进方案。 2 具体建模过程 态势是一种状态,一种趋势,是一个整体和全局的概念。其发展趋势可简要概括为:(1)实时或近实时的态势获取;(2)信息系统网络安全态势挖掘;(3)多源异构传感器数据融合;(4)安全态势实时可视化;(5)信息系统网络安全事件预警与联动响应;(6)潜在的、未知的网络恶意行为和恶意代码检测[1]。 目前信息系统网络安全态势感知研究正处于起步阶段,其模型方面的研究也多见于框架模型,如Bass提出的基于多传感器数据融合的信息系统网络安全态势感知框架模型[2];Yin等人提出的基于Netflow信息系统网络安全态势感知框架模型[3]。简单加权法是利用加权多项式建立等式,计算评估函数值的数学方法。 灰色理论是我国学者邓聚龙于1982年提出的对部分信息明确,部分信息不明确的系统进行定性、定量研究的一门新兴学科,具有要求样本少、运算方便、对更新快的样本数据有很强针对性的特点,现在已经成为对系统进行分析、建模、预测、决策、规划及控制的有效工具[4]。 2.1 基于简单加权法的态势评估模型建立 建立评估模型所需的数据均来自某一时间段内对客户端参数的统计,包括:平均受攻击次数、平均产生IP冲突次数、平均IP地址失效次数。 假设1在某一时间段T内,N表示每个客户端平均受攻击次数;C表示N中产生IP冲突的次数;L表示C中导致IP地址失效次数;A表示T时间段内不同情况的影响权重
的集合,由管理员人为设定。
代表T内某种攻击造成的结果对于系统的影响,比如:在网络负载较小的凌晨,即使出现IP地址失效问题,由于未被占用的IP地址较多,服务器可以很快为客户端分配一个新IP,使其重新连接到网络,事实上,这个时间段内IP地址失效与IP冲突甚至并未造成后果的攻击相比对系统的影响并无太大差别,所以三者权重差别较小;而在网络负载较大的晚上20:00-24:00这段时间,出现IP地址失效问题后,由于大量IP地址被占用以及排队请求新IP的客户端数量较多等原因,客户端很可能在相当长时间内无法获得新IP地址,从而无法连接到网络,对系统的影响比其他两种情况要严重得多,所以权重较大。 定义1依据假设1,定义函数F(T,N,C,L,A)来表示IP地址动态分配系统的当前风险状况,记为
式中C和L分别做乘方和底数为10的指数运算,可以更好地反映更严重的攻击结果对IP地址动态分配系统风险态势的影响程度。F(T,N,C,L,A)越大说明IP地址动态分配系统面临的风险越大。 2.2 基于灰色理论的态势预测模型建立 灰色理论非常适用于预测建模,并且能保证较高的预测精度。而对于本文中建立的态势评估模型,针对未来态势的模糊性、随机性、不确定性等特点,适于采用灰色理论建立未来态势预测模型。本文采用的GM(1,1)预测模型是一阶、一个变量的微分方程模型,适合于对系统行为特征值大小的发展变化进行预测。 原始时间序列数据:
经过累加后生成的序列呈现出较强的指数分布规律,可以用线形动态模型模拟和逼近。这里利用GM(1,1)模型模拟累加生成后的数据序列,GM(1,1)模型表示一阶单变量灰色微分方程: