數字圖書館網絡監管研究

前言：本站為你精心整理了數字圖書館網絡監管研究范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：黎九平作者單位：武漢交通職業學院圖書館

基于數據挖掘的數字圖書館網絡安全管理模型

1數據采集

由于多源異構安全系統中的數據資源豐富，對數據源的采集借助Agent自動程序進行。Agent肩負雙重任務：一是自動采集目標系統數據，并提交給Sever端進行處理；二是自動監控目標系統的變化，并及時更新變化。Agent自動程序采用多種數據采集策略（日志、Web、Syslog、命令行等）對多源異構安全系統中的數據（安全日志、報警、信息等）進行采集和標準化。這些安全系統在網絡中往往是分布式的，并且具有不同的日志格式，Agent能夠對它們進行統一信息提取，并將其標準化后以事件類型或XML封裝的IDMEF格式發往Server端，以方便Server端進行挖掘。為了能夠支持更多的安全系統，Agent使用配置文件采集信息，因而具有良好的擴展能力，能夠動態添加新的數據源。

2數據整合與預處理

由于網絡安全管理工具中包含了不同種類和廠商的安全產品，Agent從這些異構產品中收集到的數據大部分為多源性、分布性、異構性的數據，必須對其進行整合和預處理操作，以便進行智能分析，這是安全管理需要解決的首要問題。它不僅關系到管理系統能夠支持的安全產品的種類和數量，還關系到分析結果的準確性，并且能夠為提高數據挖掘引擎的效能和健壯性打下良好的基礎。（1）報警格式標準化。由于各安全系統產生的安全事件的格式不盡相同，可能會對同一入侵事件同時產生多個報警，導致了冗余事件的產生，故需要用統一的格式對安全事件進行標準化處理。將報警格式統一。（2）報警字段規范化。每一個屬性字段里的內容的表述規范化，如源地址和目的地址的表達（IP、主機名、MAC地址），時間屬性值的取定和同步，攻擊名稱的統一等。這些處理主要是為了規范報警消息的表達，使之能夠獨立于具體的系統而識別報警并進行進一步的分析。（3）數據預處理。針對異構安全設備提交的各種報警信息，依據設定的時間段，消除冗余事件后并進行錯誤檢測以確保報警不包含明顯錯誤的報警數據庫，漏洞信息庫和資產庫。包括重復的同一報警歸一化；錯誤檢測以確保報警不包含明顯錯誤的信息，如非法的時間戳；冗余報警消除，即如果兩個安全事件除了產生時間和安全系統號兩個字段不同外其余字段完全相同，而產生時間的差異不超過某固定的閾值，則判斷產生了冗余事件。對于冗余的安全事件，將其合并為一個事件，將事件的產生時間設為諸冗余事件中最小的產生時間，而將各冗余事件對應的安全系統號均添加到合并后安全事件的安全系統號數組中。

3數據挖掘

數據挖掘是整個安全管理模型的動力所在，通過定義數據挖掘模型語言，采用合適的數據挖掘算法和工具，對事件進行統計、關聯分析、聚類、序列分析，形成對事件的判斷，識別威脅和產生報警。（1）關聯分析。關聯分析是從網絡告警信息中發現告警與告警之間、告警與故障之間、告警與業務之間的相關性，即在某一告警信息發生之后，另一告警、故障、業務發生的概率。采用基于協同和時序因果關聯的多級報警分析技術能夠有效地關聯了這些報警日志及相關的背景知識，把真正潛在的危險的報警從海量日志中提取出，呈現給管理者。通過多種報警分析方式實現大量分散單一報警的關聯，有效地識別出真實的入侵行為；并通過輔助決策系統和安全專家知識庫為用戶提供針對具體威脅的輔助決策建議。關聯分析能夠實現報警信息的精煉化，提高報警信息的可用信息量，減少報警信息中的無用信息，降低安全設備的虛警和誤警。（2）聚類分析。聚類分析采用特征聚合和模糊聚類兩種技術來實時地壓縮重復報警，去除冗余。特征聚合是通過比較報警的屬性特征，快速地辨別和合并重復的報警；模糊聚類是通過計算報警之間的相似度，來構造模糊等價矩陣進行聚類分析，以區分和歸并難以發現的重復報警。特征聚合和模糊聚類兩種技術合理結合，相互補充，不僅縮短了壓縮時間，保證了實時性，而且提高了壓縮效率。聚類分析減少了在異構分布環境下相似事件的數量，突出相似安全事件的屬性特征。（3）序列分析。序列分析把報警數據之間的關聯性與時間性聯系起來，通過時間序列搜索出重復發生且概率較高的規則，其目的是為了挖掘數據之間的聯系。序列分析把告警序列作為以時間為主線的有序序列，在一定的時間間隔內挖掘知識，注重告警信息的時效性，為了提高分析的效率，一般只對告警類型和告警時間兩類謂詞進行挖掘，從中發現告警信息發生的趨勢，提高用戶的自我防范和預測能力。產生的序列規則主要描述告警之間在時間上的關系，即如果某些告警信息的組合在一個時間段內發生，那么在另外的一個時間段內會有另外一些告警信息的組合發生。

4用戶接口

用戶接口的作用是將數據挖掘的結果以可視化的方式提供給系統分析員，系統分析員根據挖掘結果來預測此網絡行為的發展態勢和可能影響，并作出相應的決策。挖掘結果分為3類：（1）信息類。對應于最低級的告警，挖掘結果保存入數據庫中供下次再分析。（2）警告類。對中等級別的告警，挖掘結果除送入數據庫外，還要進一步分析，并做出相應的決策。（3）嚴重類。對應于高級別的告警，根據預先設定的閥值采取特定的動作，例如防火墻規則的添加，IDS系統的報警等。

5信息庫

信息庫由資產信息庫和知識庫組成，其中資產信息庫包括主機信息庫、漏洞信息庫和網絡信息庫，知識庫主要包括攻擊知識庫和背景知識庫。主機信息庫包含各個主機的相關信息；漏洞信息庫是獨立的數據庫；網絡信息庫主要由兩部分組成，一是利用網絡管理工具進行流量分析和拓撲發現得到的相關網絡信息，二是對防火墻中的日志進行分析得到的信息。信息庫的使用極大提高了挖掘引擎的工作效率和智能性。

實驗與分析

1實驗環境與實驗數據來源

（1）實驗環境：①內部網絡環境包括運行OpenNMS網絡管理系統的DebianLinux主機，安裝MySQL數據庫的主機，運行客戶端（安裝Nessus漏洞掃描系統、Nmap網絡拓撲掃描工具）Windows主機，系統服務器（agent+server，安裝了SnortIDS，P0f，Pads，SSH，Iptable等插件）DebianLinux主機。②采取Cisco-PIX防火墻、入侵檢測系統等硬件安全設備及交換機、集線器等網絡設備。③來自外網的攻擊主機。（2）實驗數據來源：實驗中的原始網絡數據包括正常的網絡流量和攻擊數據流，測試數據是DARPA2000數據集LLDOS1.0。該數據集包含大量的正常背景數據和各種攻擊數據，其中包括DDoS攻擊，測試目標是檢測模型精簡報警的效率及識別DDoS攻擊場景的能力，這些攻擊通過從外部攻擊主機重放來模擬來自外網的攻擊。同時在攻擊過程中，要有一部分正常Internet的網絡流量。實驗過程中，我們收集了來自下列安全設備的報警或數據：Snort入侵檢測系統、Iptables防火墻、Apache服務器日志、IIS服務器日志、Nmap網絡拓撲結構掃描工具、Ntop網絡流量檢測工具、Nessus網絡漏洞掃描系統。利用Netpoke（Tcpdump文件重放工具）對數據進行重放，由Snort2.0入侵檢測系統、Cisco-PIX防火墻等其他插件檢測和產生報警數據，并對其進行報警整合和挖掘。

2實驗結果分析

通過實驗，我們收集了以下的實驗項目：報警3865次，聚合120次，驗證124次，攻擊12次，場景分析4次。通過計算，實時壓縮率為94.56%，誤報率為2.22%，攻擊構造率為0.31%，場景檢測率為0.103%。從實驗結果看，實時壓縮率達到94.56%，主要聚合了ICMPPing端口掃描和DDoS產生的報警。由于數據集本身沒有提供被保護網絡的資源配置信息，存在一定程度的誤報，因而需要對壓縮后的報警進行報警驗證。將驗證后的報警分別進行因果關聯，構造攻擊場景圖，其中的12條報警互相關聯在一起構成了DDoS攻擊場景；再根據動態關聯規則進行動態關聯，實時匹配了4個攻擊場景，包括RPCsadmindbufferoverflow、Webattack、DDoS、attack等。因此，基于數據挖掘的網絡安全模型能夠有效地從大量安全事件中準確識別出真實的攻擊行為，從而實現報警信息的精煉化，提高報警信息的可用信息量，減少報警信息中的無用信息，降低安全設備的虛警和誤警。實驗結果表明，本文提出的基于數據挖掘的數字圖書館網絡安全管理模型能夠有效地提高數字圖書館網絡安全防護能力。該模型智能性好、自動化程度高、檢測效果好、自適應能力強，能夠滿足新的安全形勢的需要。