亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于有窮自動機的網(wǎng)絡訓練綜合分析方法與流程

文檔序號:11878014閱讀:385來源:國知局
一種基于有窮自動機的網(wǎng)絡訓練綜合分析方法與流程

本發(fā)明涉及WEB服務領(lǐng)域及網(wǎng)絡安全保障技能訓練領(lǐng)域,具體涉及一種基于有窮自動機的網(wǎng)絡訓練綜合分析方法。



背景技術(shù):

隨著網(wǎng)絡安全保障技能訓練中對于訓練者所具備的互聯(lián)網(wǎng)技術(shù)水平不斷提高,網(wǎng)絡訓練系統(tǒng)中對于網(wǎng)絡態(tài)勢的綜合分析和評價方法也在隨之發(fā)展。根據(jù)網(wǎng)絡訓練需求,對于訓練者在訓練網(wǎng)絡中所產(chǎn)生的訓練行為進行詳細分析,不斷提升訓練人員在特定環(huán)境下的網(wǎng)絡應用和安全保障能力。

網(wǎng)絡訓練有其一定的特殊性:難以在真實互聯(lián)網(wǎng)環(huán)境中訓練,因為網(wǎng)絡安全技能訓練是以計算機網(wǎng)絡為探測、分析和保障目標,執(zhí)行信息獲取、網(wǎng)絡探測、數(shù)據(jù)分析和技術(shù)保障等訓練行為。由于互聯(lián)網(wǎng)環(huán)境復雜,用戶對自身網(wǎng)絡安全都比較敏感,在真實互聯(lián)網(wǎng)環(huán)境進行訓練容易帶來安全隱患,也容易觸發(fā)互聯(lián)網(wǎng)設(shè)備的安全告警,因此需要在模擬互聯(lián)網(wǎng)的獨立網(wǎng)絡系統(tǒng)中開展網(wǎng)絡訓練。因此,在這樣的網(wǎng)絡訓練系統(tǒng)中就需要一套獨立完整的網(wǎng)絡訓練綜合分析體系。

由于訓練人員的水平參差不齊,需要根據(jù)其現(xiàn)有能力和知識水平劃分等級,開展有針對性的訓練,并隨其水平提高提供不同的訓練方法和不同復雜程度的訓練環(huán)境。訓練人員在不同的訓練環(huán)境中進行不同的訓練,這就需要有一個詳細的、統(tǒng)一的網(wǎng)絡訓練行為分析標準。而目前傳統(tǒng)的網(wǎng)絡訓練分析方法僅針對一種或幾種訓練給出分析方法,沒有針對多種訓練環(huán)境、多個訓練人員和多種訓練模式的分析方法。



技術(shù)實現(xiàn)要素:

本發(fā)明為克服現(xiàn)有技術(shù)的缺陷,而提供一種針對模擬環(huán)境的網(wǎng)絡訓練綜合分析方法,該方法基于有窮自動機技術(shù),建立了訓練系統(tǒng)網(wǎng)絡態(tài)勢的分析架構(gòu),模擬了網(wǎng)絡訓練場景,并根據(jù)訓練對網(wǎng)絡狀態(tài)造成的影響進行綜合評估,同時就相關(guān)核心問題進行了分析,通過該方法達到網(wǎng)絡態(tài)勢評估的高準確性、高效性和實時性要求。

為達到上述目的,本發(fā)明采用的技術(shù)方案是:一種基于有窮自動機的網(wǎng)絡訓練綜合分析方法,具體包括網(wǎng)絡態(tài)勢綜合分析模塊和入侵檢測系統(tǒng)(IDS);所述入侵檢測系統(tǒng)包括網(wǎng)絡入侵告警系統(tǒng)(NIDS)和主機入侵告警系統(tǒng)(HIDS);所述網(wǎng)絡態(tài)勢綜合分析模塊接收網(wǎng)絡入侵告警系統(tǒng)和主機入侵告警系統(tǒng)產(chǎn)生的多種入侵告警日志,基于有窮自動機建立了網(wǎng)絡訓練場景模型和分析算法,通過將這些日志按模型關(guān)聯(lián)和融合,組織成網(wǎng)絡訓練事件,與所述網(wǎng)絡態(tài)勢綜合分析模塊中的規(guī)則庫進行匹配,實時提交準確、直觀的日志分析結(jié)果,重建訓練情景。

優(yōu)選的,所述網(wǎng)絡態(tài)勢綜合分析模塊主要由離線學習過程和日志實時分析過程兩部分組成。

優(yōu)選的,所述離線學習過程具體包括如下步驟:

(1)回放訓練數(shù)據(jù)流,并通過入侵檢測系統(tǒng)(IDS)產(chǎn)生原始的告警日志;

(2)經(jīng)過預處理模塊過濾、規(guī)約,形成訓練事件;

(3)預處理模塊完成全部數(shù)據(jù)流的分析后,形成訓練事件集,關(guān)聯(lián)規(guī)則挖掘算法(采用Apriori算法),從訓練事件集中發(fā)現(xiàn)滿足最小置信度和最小支持度要求的告警項目集,經(jīng)訓練語義過濾,形成規(guī)則庫。

優(yōu)選的,所述日志實時分析過程具體包括如下步驟:

(1)實時數(shù)據(jù)流的數(shù)據(jù)包首先經(jīng)過NIDS產(chǎn)生一條或多條NIDS原始告警 日志;如果入侵行為已經(jīng)對某目標主機造成了影響,那么位于主機的HIDS也將產(chǎn)生相應的告警日志;

(2)預處理模塊對新生成的原始告警日志(包括NIDS日志和HIDS日志)進行過濾、規(guī)約、融合后,形成或更新相應的訓練事件,形成新的訓練結(jié)果向量;

(3)日志在線分析模塊完成所有訓練事件后與規(guī)則庫中規(guī)則的匹配,補償漏報并預測訓練事件的發(fā)展,給出匹配規(guī)則的置信度和支持度;

(4)將HIDS告警日志與NIDS告警日志融合,提交完整的訓練場景;

(5)繼續(xù)分析數(shù)據(jù)流中的下一數(shù)據(jù)包。

優(yōu)選的,網(wǎng)絡訓練場景模型由告警規(guī)范化模塊、告警過濾模塊、關(guān)聯(lián)融合模塊和訓練場景可視化模塊四個部分組成;

告警規(guī)范化模塊將入侵檢測設(shè)備的主機入侵告警和網(wǎng)絡入侵告警的格式統(tǒng)一化,為每條告警標記統(tǒng)一規(guī)范的時間戳和唯一標識;

告警過濾模塊濾除兩種類型的虛警:錯誤的入侵告警、無關(guān)緊要的入侵告警,其中錯誤的入侵告警是指相關(guān)告警指示的訓練行為不可能發(fā)生在被監(jiān)測主機上;

關(guān)聯(lián)融合模塊并行的運行三個子模塊,分別應用不同的關(guān)聯(lián)融合方法,形成過程攸關(guān)的訓練場景、訓練者攸關(guān)的訓練場景、目標網(wǎng)絡攸關(guān)的訓練場景;

訓練場景可視化模塊分別形成過程攸關(guān)、訓練者攸關(guān)和目標網(wǎng)絡攸關(guān)的訓練場景圖,以圖形化的界面直觀、清晰展示,安全人員可以通過訓練場景圖即時的了解被監(jiān)測網(wǎng)絡所受入侵訓練的動態(tài)情況。

優(yōu)選的,所述過程攸關(guān)的訓練場景建立在一對訓練者IP地址、目標主機IP地址之間,反映一個訓練者的一系列訓練步驟;

所述訓練者攸關(guān)的訓練場景建立在一個訓練者和整個被監(jiān)測網(wǎng)絡之間,反映一個訓練者對整個網(wǎng)絡的事件;

所述目標網(wǎng)絡攸關(guān)的訓練場景建立在所有可能的訓練者和被監(jiān)測網(wǎng)絡的一個子集之間,反映關(guān)注的目標網(wǎng)絡受訓練的情況。

優(yōu)選的,所述基于有窮自動機的分析算法具體如下:

定義Apautomata{Q, , ,q0,F}為一個關(guān)于過程攸關(guān)訓練場景的自動機,其中Q為訓練步驟集合,為所有的安全事件組成的集合,自動機唯一的終止狀態(tài)表示訓練場景結(jié)束,定義一個概念意義上的初始狀態(tài)為q0,轉(zhuǎn)移函數(shù):Q Q描述訓練場景的演進方式;

將一個典型的訓練過程分為5個步驟:鏈接(step1)、登錄(step2)、訪問(step3)、下載(step4)、退出(step5);相應的,將所有的訓練事件也劃分為這5個步驟;一個訓練事件屬于且僅屬于上述5類中的一種;Apautomata具體定義為:

Apautomata{Q, , ,q0,F}

Q{q0,step1,step2,step3,step4,step5,End}

{1,2,3,4,5,e}

F{End}

中的元素e表示訓練場景的結(jié)束條件,即訓練場景超時條件;

自動機在step[i]狀態(tài)(i=1,2,3,4),第k類訓練事件(k=i+1,i+2,…5)將使自動機轉(zhuǎn)移到step[k]狀態(tài);自動機step[i]狀態(tài)將第i類(i=1,2,3,4,5)事件融合;step[1]狀態(tài)存在一個到自己的轉(zhuǎn)移,step[1]總處于活動狀態(tài);

在具體的編碼過程中,上面的過程攸關(guān)訓練場景自動機的轉(zhuǎn)移圖被編碼為一個條件狀態(tài)轉(zhuǎn)移表,并用于對P-Automata的模擬。

由于上述技術(shù)方案的運用,本發(fā)明與現(xiàn)有技術(shù)相比具有下列優(yōu)點:

本發(fā)明基于有窮自動機的網(wǎng)絡訓練綜合分析方法,是針對復雜網(wǎng)絡環(huán)境提出了新的綜合分析方法,基于有窮自動機建立了網(wǎng)絡訓練場景模型和分析算法,能適應多場景、多人員、多模式的訓練需求,應用到網(wǎng)絡訓練系統(tǒng)綜合分析評估中,提高了網(wǎng)絡訓練態(tài)勢監(jiān)控和評估的有效性,增強了網(wǎng)絡訓練系統(tǒng)的可靠性與實用性。

附圖說明

附圖用來提供對本申請技術(shù)方案的進一步理解,并且構(gòu)成說明書的一部分,與本申請的實施例一起用于解釋本申請的技術(shù)方案,并不構(gòu)成對本申請技術(shù)方案的限制。

附圖1是本發(fā)明的網(wǎng)絡態(tài)勢綜合分析實現(xiàn)框架圖;

附圖2是本發(fā)明的網(wǎng)絡訓練規(guī)則庫形成過程流程圖;

附圖3是本發(fā)明的日志實時分析過程流程圖;

附圖4是本發(fā)明的網(wǎng)絡訓練場景構(gòu)建流程圖;

附圖5是本發(fā)明的過程訓練場景自動機的轉(zhuǎn)移圖;

附圖6是本發(fā)明的網(wǎng)絡訓練過程流程圖;

附圖7是本發(fā)明的網(wǎng)絡訓練場景模擬圖;

附圖8是本發(fā)明的網(wǎng)絡訓練綜合分析流程圖;

附圖9是本發(fā)明的網(wǎng)絡訓練態(tài)勢展示流程圖;

附圖10是本發(fā)明的網(wǎng)絡訓練綜合分析流程圖。

具體實施方式

本發(fā)明的基于有窮自動機的網(wǎng)絡訓練綜合分析方法中的網(wǎng)絡訓練是一個訓練者與目標系統(tǒng)相互交互的過程,所以一次網(wǎng)絡訓練的效果如何,不僅與訓練本身的能力有關(guān),也與目標環(huán)境的安全狀況有關(guān)。網(wǎng)絡態(tài)勢綜合分析以此為基 準,評價訓練行為,結(jié)合不同的訓練任務模式,建立相應的綜合分析體系。

網(wǎng)絡態(tài)勢綜合分析模塊接收網(wǎng)絡入侵檢測系統(tǒng)(NIDS)和主機入侵檢測系統(tǒng)(HIDS)的原始告警,將NIDS告警組織成為包含若干原始告警的網(wǎng)絡安全事件,并與規(guī)則庫進行匹配,與經(jīng)歸并過濾預處理的HIDS告警融合,從而重建網(wǎng)絡事件場景,實時提交準確、直觀的日志分析結(jié)果。

從入侵檢測系統(tǒng)的角度定義一個網(wǎng)絡安全事件為由若干NIDS告警順序形成的告警集合,每個事件跟蹤了一對源、目的IP地址的NIDS告警情況,以網(wǎng)絡安全事件作為日志分析中NIDS告警處理的單位,即以單個網(wǎng)絡事件與規(guī)則庫中的規(guī)則進行匹配。

網(wǎng)絡態(tài)勢綜合分析模塊主要由離線學習和日志實時分析兩部分組成,如附圖1所示。

離線學習過程由數(shù)據(jù)挖掘算法對回放的數(shù)據(jù)流引起的IDS告警,或在線分析過程中記錄下的安全事件進行關(guān)聯(lián)分析,從大量的訓練數(shù)據(jù)中找出符合置信度要求和支持度要求的告警頻繁項目集,這些頻繁項目集標識了典型的訓練過程所能觸發(fā)的IDS告警集合,挖掘算法能夠保證獲取的頻繁項目集的完備性,離線學習過程最后對生成的頻繁項目集進行訓練語義的分析,濾除不合乎訓練語義要求的項目集,最終形成關(guān)聯(lián)規(guī)則庫。

離線規(guī)則庫形成的具體流程如附圖2所示,流程為:

(1)回放訓練數(shù)據(jù)流,并通過入侵檢測系統(tǒng)(IDS)產(chǎn)生原始的告警日志;

(2)經(jīng)過預處理模塊過濾、規(guī)約,形成訓練事件;

(3)預處理模塊完成全部數(shù)據(jù)流的分析后,形成訓練事件集,關(guān)聯(lián)規(guī)則挖掘算法(采用Apriori算法),從訓練事件集中發(fā)現(xiàn)滿足最小置信度和最小支持度要求的告警項目集,經(jīng)訓練語義過濾,形成規(guī)則庫。

日志實時分析詳細流程如附圖3所示,流程為:

(1)實時數(shù)據(jù)流的數(shù)據(jù)包首先經(jīng)過NIDS產(chǎn)生一條或多條NIDS原始告警日志;如果入侵行為已經(jīng)對某目標主機造成了影響,那么位于主機的HIDS也將產(chǎn)生相應的告警日志;

(2)預處理模塊對新生成的原始告警日志(包括NIDS日志和HIDS日志)進行過濾、規(guī)約、融合后,形成或更新相應的訓練事件,形成新的訓練結(jié)果向量;

(3)日志在線分析模塊完成所有訓練事件后與規(guī)則庫中規(guī)則的匹配,補償漏報并預測訓練事件的發(fā)展,給出匹配規(guī)則的置信度和支持度;

(4)將HIDS告警日志與NIDS告警日志融合,提交完整的訓練場景;

(5)繼續(xù)分析數(shù)據(jù)流中的下一數(shù)據(jù)包。

網(wǎng)絡訓練綜合分析模塊接收NIDS和HIDS產(chǎn)生的多種入侵告警日志,通過將這些日志關(guān)聯(lián)和融合,生成反映一對一的過程攸關(guān)的訓練場景、多對一的目標網(wǎng)絡攸關(guān)的訓練場景,以及一對多的訓練者攸關(guān)的訓練場景,如附圖7所示。

如附圖4所示,網(wǎng)絡訓練場景構(gòu)建過程由四個部分組成:告警規(guī)范化模塊、告警過濾模塊、關(guān)聯(lián)融合模塊、訓練場景可視化模塊。

告警規(guī)范化模塊將入侵檢測設(shè)備的兩類入侵告警(主機入侵檢測告警和網(wǎng)絡入侵檢測告警)的格式統(tǒng)一化,為每條告警標記統(tǒng)一規(guī)范的時間戳和唯一標識。

告警過濾模塊濾除兩種類型的虛警:錯誤的入侵告警、無關(guān)緊要的入侵告警,其中錯誤的入侵告警是指相關(guān)告警指示的訓練行為不可能發(fā)生在被監(jiān)測主機上。

關(guān)聯(lián)融合模塊并行的運行三個子模塊,分別應用不同的關(guān)聯(lián)融合方法,形 成過程攸關(guān)的訓練場景、訓練者攸關(guān)的訓練場景、目標網(wǎng)絡攸關(guān)的訓練場景。過程攸關(guān)的訓練場景建立在一對訓練者IP地址、目標主機IP地址之間,反映一個訓練者的一系列訓練步驟。訓練者攸關(guān)的訓練場景建立在一個訓練者和整個被監(jiān)測網(wǎng)絡之間,反映一個訓練者對整個網(wǎng)絡的事件。目標網(wǎng)絡攸關(guān)的訓練場景建立在所有可能的訓練者和被監(jiān)測網(wǎng)絡的一個子集之間,反映關(guān)注的目標網(wǎng)絡受訓練的情況。

訓練場景可視化模塊分別形成過程攸關(guān)、訓練者攸關(guān)和目標網(wǎng)絡攸關(guān)的訓練場景圖,以圖形化的界面直觀、清晰展示,安全人員可以通過訓練場景圖即時的了解被監(jiān)測網(wǎng)絡所受入侵訓練的動態(tài)情況。

基于有窮自動機的網(wǎng)絡訓練分析算法解決了訓練過程中訓練步驟跳轉(zhuǎn)的問題。考慮到一個典型的訓練過程一般由若干階段構(gòu)成,故采用一個非確定的有窮自動機對一對訓練者IP地址、目標主機IP地址間的訓練過程建模。

定義Apautomata{Q, , ,q0,F}為一個關(guān)于過程攸關(guān)訓練場景的自動機,其中Q為訓練步驟集合,為所有的安全事件組成的集合,自動機唯一的終止狀態(tài)表示訓練場景結(jié)束,定義一個概念意義上的初始狀態(tài)為q0,轉(zhuǎn)移函數(shù):Q Q描述訓練場景的演進方式。

將一個典型的訓練過程分為5個步驟:鏈接(step1)、登錄(step2)、訪問(step3)、下載(step4)、退出(step5)。相應的,將所有的訓練事件也劃分為這5個步驟。一個訓練事件屬于且僅屬于上述5類中的一種。Apautomata具體定義為:

Apautomata{Q, , ,q0,F}

Q{q0,step1,step2,step3,step4,step5,End}

{1,2,3,4,5,e}

F{End}

中的元素e表示訓練場景的結(jié)束條件,即訓練場景超時條件。其中的轉(zhuǎn)移圖表示如附圖5所示:

自動機在step[i]狀態(tài)(i=1,2,3,4),第k類訓練事件(k=i+1,i+2,…5)將使自動機轉(zhuǎn)移到step[k]狀態(tài);自動機step[i]狀態(tài)將第i類(i=1,2,3,4,5)事件融合;step[1]狀態(tài)存在一個到自己的轉(zhuǎn)移,step[1]總處于活動狀態(tài)。

在具體的編碼過程中,上面的過程攸關(guān)訓練場景自動機的轉(zhuǎn)移圖被編碼為一個條件狀態(tài)轉(zhuǎn)移表,并用于對P-Automata的模擬。

首先訓練人員接收到任務,并配置模擬網(wǎng)絡環(huán)境;然后,訓練人員接入模擬網(wǎng)絡,綜合利用所掌握的網(wǎng)絡安全技能,制定訓練步驟,并執(zhí)行;最后,任務結(jié)束時,系統(tǒng)根據(jù)采集到的數(shù)據(jù)進行綜合訓練分析,考察訓練者對各種安全保障手段的綜合運用能力,如附圖6、8、9、10所示,采集到的數(shù)據(jù)流量(包括網(wǎng)絡數(shù)據(jù)流量、主機數(shù)據(jù)流量和學員數(shù)據(jù)流量)通過綜合訓練分析,分別對參訓人員數(shù)據(jù)捕獲與分析、對主機數(shù)據(jù)捕獲與采集和對網(wǎng)絡數(shù)據(jù)捕獲與分析后訓練分析顯示,經(jīng)網(wǎng)絡分析顯示事件處理機制后顯示模塊與后臺數(shù)據(jù)通信,進而態(tài)勢顯示。

本發(fā)明改進了傳統(tǒng)的網(wǎng)絡安全技能訓練分析技術(shù),針對復雜網(wǎng)絡環(huán)境提出了新的綜合分析方法,基于有窮自動機建立了網(wǎng)絡訓練場景模型和分析算法,能適應多場景、多人員、多模式的訓練需求,應用到網(wǎng)絡訓練系統(tǒng)綜合分析評估中,提高了網(wǎng)絡訓練態(tài)勢監(jiān)控和評估的有效性,增強了網(wǎng)絡訓練系統(tǒng)的可靠性與實用性。

以上僅是本發(fā)明的具體應用范例,對本發(fā)明的保護范圍不構(gòu)成任何限制。凡采用等同變換或者等效替換而形成的技術(shù)方案,均落在本發(fā)明權(quán)利保護范圍 之內(nèi)。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1