一种基于有穷自动机的网络训练综合分析方法与流程

文档序号:11878014阅读:375来源:国知局
一种基于有穷自动机的网络训练综合分析方法与流程

本发明涉及WEB服务领域及网络安全保障技能训练领域,具体涉及一种基于有穷自动机的网络训练综合分析方法。



背景技术:

随着网络安全保障技能训练中对于训练者所具备的互联网技术水平不断提高,网络训练系统中对于网络态势的综合分析和评价方法也在随之发展。根据网络训练需求,对于训练者在训练网络中所产生的训练行为进行详细分析,不断提升训练人员在特定环境下的网络应用和安全保障能力。

网络训练有其一定的特殊性:难以在真实互联网环境中训练,因为网络安全技能训练是以计算机网络为探测、分析和保障目标,执行信息获取、网络探测、数据分析和技术保障等训练行为。由于互联网环境复杂,用户对自身网络安全都比较敏感,在真实互联网环境进行训练容易带来安全隐患,也容易触发互联网设备的安全告警,因此需要在模拟互联网的独立网络系统中开展网络训练。因此,在这样的网络训练系统中就需要一套独立完整的网络训练综合分析体系。

由于训练人员的水平参差不齐,需要根据其现有能力和知识水平划分等级,开展有针对性的训练,并随其水平提高提供不同的训练方法和不同复杂程度的训练环境。训练人员在不同的训练环境中进行不同的训练,这就需要有一个详细的、统一的网络训练行为分析标准。而目前传统的网络训练分析方法仅针对一种或几种训练给出分析方法,没有针对多种训练环境、多个训练人员和多种训练模式的分析方法。



技术实现要素:

本发明为克服现有技术的缺陷,而提供一种针对模拟环境的网络训练综合分析方法,该方法基于有穷自动机技术,建立了训练系统网络态势的分析架构,模拟了网络训练场景,并根据训练对网络状态造成的影响进行综合评估,同时就相关核心问题进行了分析,通过该方法达到网络态势评估的高准确性、高效性和实时性要求。

为达到上述目的,本发明采用的技术方案是:一种基于有穷自动机的网络训练综合分析方法,具体包括网络态势综合分析模块和入侵检测系统(IDS);所述入侵检测系统包括网络入侵告警系统(NIDS)和主机入侵告警系统(HIDS);所述网络态势综合分析模块接收网络入侵告警系统和主机入侵告警系统产生的多种入侵告警日志,基于有穷自动机建立了网络训练场景模型和分析算法,通过将这些日志按模型关联和融合,组织成网络训练事件,与所述网络态势综合分析模块中的规则库进行匹配,实时提交准确、直观的日志分析结果,重建训练情景。

优选的,所述网络态势综合分析模块主要由离线学习过程和日志实时分析过程两部分组成。

优选的,所述离线学习过程具体包括如下步骤:

(1)回放训练数据流,并通过入侵检测系统(IDS)产生原始的告警日志;

(2)经过预处理模块过滤、规约,形成训练事件;

(3)预处理模块完成全部数据流的分析后,形成训练事件集,关联规则挖掘算法(采用Apriori算法),从训练事件集中发现满足最小置信度和最小支持度要求的告警项目集,经训练语义过滤,形成规则库。

优选的,所述日志实时分析过程具体包括如下步骤:

(1)实时数据流的数据包首先经过NIDS产生一条或多条NIDS原始告警 日志;如果入侵行为已经对某目标主机造成了影响,那么位于主机的HIDS也将产生相应的告警日志;

(2)预处理模块对新生成的原始告警日志(包括NIDS日志和HIDS日志)进行过滤、规约、融合后,形成或更新相应的训练事件,形成新的训练结果向量;

(3)日志在线分析模块完成所有训练事件后与规则库中规则的匹配,补偿漏报并预测训练事件的发展,给出匹配规则的置信度和支持度;

(4)将HIDS告警日志与NIDS告警日志融合,提交完整的训练场景;

(5)继续分析数据流中的下一数据包。

优选的,网络训练场景模型由告警规范化模块、告警过滤模块、关联融合模块和训练场景可视化模块四个部分组成;

告警规范化模块将入侵检测设备的主机入侵告警和网络入侵告警的格式统一化,为每条告警标记统一规范的时间戳和唯一标识;

告警过滤模块滤除两种类型的虚警:错误的入侵告警、无关紧要的入侵告警,其中错误的入侵告警是指相关告警指示的训练行为不可能发生在被监测主机上;

关联融合模块并行的运行三个子模块,分别应用不同的关联融合方法,形成过程攸关的训练场景、训练者攸关的训练场景、目标网络攸关的训练场景;

训练场景可视化模块分别形成过程攸关、训练者攸关和目标网络攸关的训练场景图,以图形化的界面直观、清晰展示,安全人员可以通过训练场景图即时的了解被监测网络所受入侵训练的动态情况。

优选的,所述过程攸关的训练场景建立在一对训练者IP地址、目标主机IP地址之间,反映一个训练者的一系列训练步骤;

所述训练者攸关的训练场景建立在一个训练者和整个被监测网络之间,反映一个训练者对整个网络的事件;

所述目标网络攸关的训练场景建立在所有可能的训练者和被监测网络的一个子集之间,反映关注的目标网络受训练的情况。

优选的,所述基于有穷自动机的分析算法具体如下:

定义Apautomata{Q, , ,q0,F}为一个关于过程攸关训练场景的自动机,其中Q为训练步骤集合,为所有的安全事件组成的集合,自动机唯一的终止状态表示训练场景结束,定义一个概念意义上的初始状态为q0,转移函数:Q Q描述训练场景的演进方式;

将一个典型的训练过程分为5个步骤:链接(step1)、登录(step2)、访问(step3)、下载(step4)、退出(step5);相应的,将所有的训练事件也划分为这5个步骤;一个训练事件属于且仅属于上述5类中的一种;Apautomata具体定义为:

Apautomata{Q, , ,q0,F}

Q{q0,step1,step2,step3,step4,step5,End}

{1,2,3,4,5,e}

F{End}

中的元素e表示训练场景的结束条件,即训练场景超时条件;

自动机在step[i]状态(i=1,2,3,4),第k类训练事件(k=i+1,i+2,…5)将使自动机转移到step[k]状态;自动机step[i]状态将第i类(i=1,2,3,4,5)事件融合;step[1]状态存在一个到自己的转移,step[1]总处于活动状态;

在具体的编码过程中,上面的过程攸关训练场景自动机的转移图被编码为一个条件状态转移表,并用于对P-Automata的模拟。

由于上述技术方案的运用,本发明与现有技术相比具有下列优点:

本发明基于有穷自动机的网络训练综合分析方法,是针对复杂网络环境提出了新的综合分析方法,基于有穷自动机建立了网络训练场景模型和分析算法,能适应多场景、多人员、多模式的训练需求,应用到网络训练系统综合分析评估中,提高了网络训练态势监控和评估的有效性,增强了网络训练系统的可靠性与实用性。

附图说明

附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。

附图1是本发明的网络态势综合分析实现框架图;

附图2是本发明的网络训练规则库形成过程流程图;

附图3是本发明的日志实时分析过程流程图;

附图4是本发明的网络训练场景构建流程图;

附图5是本发明的过程训练场景自动机的转移图;

附图6是本发明的网络训练过程流程图;

附图7是本发明的网络训练场景模拟图;

附图8是本发明的网络训练综合分析流程图;

附图9是本发明的网络训练态势展示流程图;

附图10是本发明的网络训练综合分析流程图。

具体实施方式

本发明的基于有穷自动机的网络训练综合分析方法中的网络训练是一个训练者与目标系统相互交互的过程,所以一次网络训练的效果如何,不仅与训练本身的能力有关,也与目标环境的安全状况有关。网络态势综合分析以此为基 准,评价训练行为,结合不同的训练任务模式,建立相应的综合分析体系。

网络态势综合分析模块接收网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)的原始告警,将NIDS告警组织成为包含若干原始告警的网络安全事件,并与规则库进行匹配,与经归并过滤预处理的HIDS告警融合,从而重建网络事件场景,实时提交准确、直观的日志分析结果。

从入侵检测系统的角度定义一个网络安全事件为由若干NIDS告警顺序形成的告警集合,每个事件跟踪了一对源、目的IP地址的NIDS告警情况,以网络安全事件作为日志分析中NIDS告警处理的单位,即以单个网络事件与规则库中的规则进行匹配。

网络态势综合分析模块主要由离线学习和日志实时分析两部分组成,如附图1所示。

离线学习过程由数据挖掘算法对回放的数据流引起的IDS告警,或在线分析过程中记录下的安全事件进行关联分析,从大量的训练数据中找出符合置信度要求和支持度要求的告警频繁项目集,这些频繁项目集标识了典型的训练过程所能触发的IDS告警集合,挖掘算法能够保证获取的频繁项目集的完备性,离线学习过程最后对生成的频繁项目集进行训练语义的分析,滤除不合乎训练语义要求的项目集,最终形成关联规则库。

离线规则库形成的具体流程如附图2所示,流程为:

(1)回放训练数据流,并通过入侵检测系统(IDS)产生原始的告警日志;

(2)经过预处理模块过滤、规约,形成训练事件;

(3)预处理模块完成全部数据流的分析后,形成训练事件集,关联规则挖掘算法(采用Apriori算法),从训练事件集中发现满足最小置信度和最小支持度要求的告警项目集,经训练语义过滤,形成规则库。

日志实时分析详细流程如附图3所示,流程为:

(1)实时数据流的数据包首先经过NIDS产生一条或多条NIDS原始告警日志;如果入侵行为已经对某目标主机造成了影响,那么位于主机的HIDS也将产生相应的告警日志;

(2)预处理模块对新生成的原始告警日志(包括NIDS日志和HIDS日志)进行过滤、规约、融合后,形成或更新相应的训练事件,形成新的训练结果向量;

(3)日志在线分析模块完成所有训练事件后与规则库中规则的匹配,补偿漏报并预测训练事件的发展,给出匹配规则的置信度和支持度;

(4)将HIDS告警日志与NIDS告警日志融合,提交完整的训练场景;

(5)继续分析数据流中的下一数据包。

网络训练综合分析模块接收NIDS和HIDS产生的多种入侵告警日志,通过将这些日志关联和融合,生成反映一对一的过程攸关的训练场景、多对一的目标网络攸关的训练场景,以及一对多的训练者攸关的训练场景,如附图7所示。

如附图4所示,网络训练场景构建过程由四个部分组成:告警规范化模块、告警过滤模块、关联融合模块、训练场景可视化模块。

告警规范化模块将入侵检测设备的两类入侵告警(主机入侵检测告警和网络入侵检测告警)的格式统一化,为每条告警标记统一规范的时间戳和唯一标识。

告警过滤模块滤除两种类型的虚警:错误的入侵告警、无关紧要的入侵告警,其中错误的入侵告警是指相关告警指示的训练行为不可能发生在被监测主机上。

关联融合模块并行的运行三个子模块,分别应用不同的关联融合方法,形 成过程攸关的训练场景、训练者攸关的训练场景、目标网络攸关的训练场景。过程攸关的训练场景建立在一对训练者IP地址、目标主机IP地址之间,反映一个训练者的一系列训练步骤。训练者攸关的训练场景建立在一个训练者和整个被监测网络之间,反映一个训练者对整个网络的事件。目标网络攸关的训练场景建立在所有可能的训练者和被监测网络的一个子集之间,反映关注的目标网络受训练的情况。

训练场景可视化模块分别形成过程攸关、训练者攸关和目标网络攸关的训练场景图,以图形化的界面直观、清晰展示,安全人员可以通过训练场景图即时的了解被监测网络所受入侵训练的动态情况。

基于有穷自动机的网络训练分析算法解决了训练过程中训练步骤跳转的问题。考虑到一个典型的训练过程一般由若干阶段构成,故采用一个非确定的有穷自动机对一对训练者IP地址、目标主机IP地址间的训练过程建模。

定义Apautomata{Q, , ,q0,F}为一个关于过程攸关训练场景的自动机,其中Q为训练步骤集合,为所有的安全事件组成的集合,自动机唯一的终止状态表示训练场景结束,定义一个概念意义上的初始状态为q0,转移函数:Q Q描述训练场景的演进方式。

将一个典型的训练过程分为5个步骤:链接(step1)、登录(step2)、访问(step3)、下载(step4)、退出(step5)。相应的,将所有的训练事件也划分为这5个步骤。一个训练事件属于且仅属于上述5类中的一种。Apautomata具体定义为:

Apautomata{Q, , ,q0,F}

Q{q0,step1,step2,step3,step4,step5,End}

{1,2,3,4,5,e}

F{End}

中的元素e表示训练场景的结束条件,即训练场景超时条件。其中的转移图表示如附图5所示:

自动机在step[i]状态(i=1,2,3,4),第k类训练事件(k=i+1,i+2,…5)将使自动机转移到step[k]状态;自动机step[i]状态将第i类(i=1,2,3,4,5)事件融合;step[1]状态存在一个到自己的转移,step[1]总处于活动状态。

在具体的编码过程中,上面的过程攸关训练场景自动机的转移图被编码为一个条件状态转移表,并用于对P-Automata的模拟。

首先训练人员接收到任务,并配置模拟网络环境;然后,训练人员接入模拟网络,综合利用所掌握的网络安全技能,制定训练步骤,并执行;最后,任务结束时,系统根据采集到的数据进行综合训练分析,考察训练者对各种安全保障手段的综合运用能力,如附图6、8、9、10所示,采集到的数据流量(包括网络数据流量、主机数据流量和学员数据流量)通过综合训练分析,分别对参训人员数据捕获与分析、对主机数据捕获与采集和对网络数据捕获与分析后训练分析显示,经网络分析显示事件处理机制后显示模块与后台数据通信,进而态势显示。

本发明改进了传统的网络安全技能训练分析技术,针对复杂网络环境提出了新的综合分析方法,基于有穷自动机建立了网络训练场景模型和分析算法,能适应多场景、多人员、多模式的训练需求,应用到网络训练系统综合分析评估中,提高了网络训练态势监控和评估的有效性,增强了网络训练系统的可靠性与实用性。

以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围 之内。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1