(支持向量機理論及其在網(wǎng)絡(luò)安全中的應(yīng)用)第5章支持向量機在網(wǎng)絡(luò)安全風(fēng)險評估.ppt

1、,第5章 支持向量機在網(wǎng)絡(luò)安全風(fēng)險 評估和態(tài)勢預(yù)測中的應(yīng)用,5.1 網(wǎng)絡(luò)安全風(fēng)險評估和態(tài)勢預(yù)測概述 5.2 支持向量機應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險評估和 態(tài)勢預(yù)測的可行性 5.3 基于支持向量機的網(wǎng)絡(luò)安全風(fēng)險評估方法 5.4 基于支持向量機的網(wǎng)絡(luò)態(tài)勢預(yù)測方法 5.5 小結(jié),5.1 網(wǎng)絡(luò)安全風(fēng)險評估和態(tài)勢預(yù)測概述5.1.1 網(wǎng)絡(luò)安全風(fēng)險評估基礎(chǔ)理論及研究現(xiàn)狀定義5.1.1 (網(wǎng)絡(luò)安全風(fēng)險評估)網(wǎng)絡(luò)安全風(fēng)險評估是指依據(jù)國家有關(guān)網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)，對網(wǎng)絡(luò)信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。,網(wǎng)絡(luò)安全風(fēng)險評估要評估網(wǎng)絡(luò)信息系統(tǒng)的脆弱性、面臨的威脅以及脆弱性

2、被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。根據(jù)評估結(jié)果，提出有效的安全措施，消除風(fēng)險或?qū)L(fēng)險降低到最低程度。網(wǎng)絡(luò)安全風(fēng)險要素關(guān)系模型如圖5.1.1所示，其基本概念及其他們之間的關(guān)系如下110。,圖5.1.1 風(fēng)險評估各要素關(guān)系圖,(1) 威脅(Threat)：就是可能對資產(chǎn)或組織造成損害的意外事件的潛在原因，風(fēng)險評估關(guān)心的是威脅發(fā)生的可能性。(2) 脆弱性(Vulnerability)：也被稱做漏洞，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，脆弱性本身并不能構(gòu)成傷害，但脆弱性一旦被威脅利用，就可能對資產(chǎn)造成損害。(3) 風(fēng)險(R

3、isk)：是指特定威脅利用資產(chǎn)的脆弱性帶來損害的潛在可能性。風(fēng)險是威脅事件發(fā)生的可能性與影響綜合作用的結(jié)果。(4) 資產(chǎn)(Assess)：是指任何對組織有價值的東西，包括計算機硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等。,(5) 資產(chǎn)價值(Assess Value)：是指資產(chǎn)的重要程度和敏感程度，資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)評估的具體內(nèi)容。(6) 安全需求(Security requirement)：是指為保證單位的業(yè)務(wù)戰(zhàn)略能夠正常行使，在信息安全保障措施方面提出的要求。(7) 安全措施(Safeguard)：是指為了對付威脅、減少脆弱性、保護資產(chǎn)、限制意外事件的影響、檢測

4、和響應(yīng)意外事件、促進災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種事件、規(guī)程和機制的總稱。(8) 安全事件(Security incident)：是指威脅主體能夠產(chǎn)生威脅，并利用資產(chǎn)及其安全措施的脆弱性，產(chǎn)生安全危害的情況。,(9) 殘余風(fēng)險(Residual risk)：是指采取安全防護措施，提高了防護能力后，仍然可能存在的風(fēng)險。(10) 業(yè)務(wù)戰(zhàn)略(Bussness strategy)：是指一個組織通過信息技術(shù)手段實現(xiàn)的工作任務(wù)。一個單位的業(yè)務(wù)戰(zhàn)略對信息系統(tǒng)的依賴程度越高，風(fēng)險評估的任務(wù)就越重要。,風(fēng)險評估各要素之間的關(guān)系如下：(1) 業(yè)務(wù)戰(zhàn)略依賴于資產(chǎn)去完成；資產(chǎn)具有價值，單位的業(yè)務(wù)戰(zhàn)略越重要，對資產(chǎn)

5、的依賴程度越高，資產(chǎn)的價值就越大，則風(fēng)險越大。(2) 風(fēng)險是由威脅發(fā)起的，威脅越大則風(fēng)險越大，并可能演變成安全事件；威脅都要利用脆弱性來危害資產(chǎn)，脆弱性使資產(chǎn)暴露，脆弱性越大則風(fēng)險越大。(3) 資產(chǎn)的重要性和對風(fēng)險的意識會導(dǎo)出安全需求，安全需求通過安全措施來得到滿足；安全措施可以抗擊威脅，降低風(fēng)險，減弱安全事件的影響。,(4) 風(fēng)險不可能也沒有必要降低為零，在實施了安全措施后還會有殘留下來的風(fēng)險，其中一部分殘余風(fēng)險來自于安全措施不當(dāng)或無效，在以后需要繼續(xù)控制這部分風(fēng)險；另一部分是綜合考慮了安全的成本與資產(chǎn)價值后，有意未去控制的風(fēng)險，這部分風(fēng)險是可以接受的。殘余風(fēng)險應(yīng)受到密切監(jiān)視，因為它可能會在

6、將來誘發(fā)新的安全事件。風(fēng)險計算模型是對通過風(fēng)險分析計算風(fēng)險值的過程的抽象，它主要包括資產(chǎn)評估、威脅評估、脆弱性評估以及風(fēng)險分析，如圖5.1.2所示。,圖5.1.2 風(fēng)險計算模型,風(fēng)險計算模型包含信息資產(chǎn)、弱點/脆弱性等關(guān)鍵要素。每個要素有各自的屬性。信息資產(chǎn)的屬性是資產(chǎn)價值；弱點的屬性是弱點被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度；威脅的屬性是威脅發(fā)生的可能性。風(fēng)險計算的過程如下：(1) 對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；(2) 對威脅進行分析，并對威脅發(fā)生的可能性賦值；(3) 識別信息資產(chǎn)的脆弱性，并對弱點的嚴(yán)重程度賦值；(4) 根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；(5) 結(jié)合信息資產(chǎn)的

7、重要性和在此資產(chǎn)上發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。,通過對現(xiàn)有網(wǎng)絡(luò)安全評估系統(tǒng)的研究，網(wǎng)絡(luò)安全評估技術(shù)可進行如下劃分111：(1) 根據(jù)評估對象分為漏洞、威脅和資產(chǎn)評估。其中，資產(chǎn)評估從資產(chǎn)價值的角度評估系統(tǒng)中所有信息資產(chǎn)，找出哪些資產(chǎn)對系統(tǒng)的各種功能實現(xiàn)最重要，哪些資產(chǎn)最容易受到攻擊，哪些資產(chǎn)值得采取安全措施。資產(chǎn)評估根據(jù)資產(chǎn)安全屬性的輸入，按照資產(chǎn)評估模型，得到資產(chǎn)的安全價值，用來確定評估對象，是威脅評估和漏洞評估的基礎(chǔ)；漏洞評估主要是檢測、評估影響系統(tǒng)安全的內(nèi)部因素；威脅評估分析外部事件對系統(tǒng)安全的影響。,(2) 依據(jù)運行方式分為基于單機系統(tǒng)、基于客戶端、網(wǎng)絡(luò)探測型和管理者/代

8、理型評估軟件。最早的安全評估工具是基于單機系統(tǒng)的方法，如COPS、System Security Scanner(S3)；采用客戶端方法的有Kane Security Analyst；網(wǎng)絡(luò)探測型通過在系統(tǒng)外圍進行掃描來發(fā)現(xiàn)漏洞，不需要進入到網(wǎng)絡(luò)中不同的系統(tǒng)，比如Nessus；使用管理者/代理型方法的檢測人員，只需一臺控制器和管理者通信，管理者依次和網(wǎng)絡(luò)中不同系統(tǒng)上運行的檢測代理通信。,(3) 按照評估目標(biāo)分為主機、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和安全策略評估。其中，主機評估包括對用戶、系統(tǒng)、網(wǎng)絡(luò)服務(wù)的安全分析；網(wǎng)絡(luò)評估涉及網(wǎng)絡(luò)設(shè)備(如交換機、路由器)和網(wǎng)絡(luò)拓撲結(jié)構(gòu)(網(wǎng)絡(luò)安全區(qū)域劃分、訪問控制策略、通信傳輸加密

9、等)的評估；應(yīng)用系統(tǒng)評估涉及到非附屬于操作系統(tǒng)的軟件產(chǎn)品(如數(shù)據(jù)庫)的評估；安全策略評估針對軟件的使用問題，涉及對象是操作系統(tǒng)提供的功能選項設(shè)置，如service pack and hotfix、帳戶和審計策略等。,(4) 根據(jù)相對位置分為在企業(yè)內(nèi)運行評估軟件的內(nèi)部評估和模擬黑客的外部評估。(5) 根據(jù)評估方法分為手動和自動評估。手動方法由評估人員根據(jù)經(jīng)驗，檢查各種配置是否正確、補丁是否齊全等；自動評估使用評估軟件，檢查系統(tǒng)安全漏洞，且對系統(tǒng)資源的使用狀況進行分析。(6) 根據(jù)評估模式分為基于評估標(biāo)準(zhǔn)檢查列表(checklist)的靜態(tài)評估和基于系統(tǒng)配置/黑客行為改變的動態(tài)評估。,在針對目標(biāo)進

10、行評估過程中，經(jīng)常使用到的技術(shù)有如下兩大類：(1) 從安全漏洞的角度進行網(wǎng)絡(luò)安全評估，通過各種方法識別網(wǎng)絡(luò)中存在的漏洞，然后給出相應(yīng)的評估結(jié)果和解決方案，常用的手段有入侵測試、安全審計、主觀評價法、工具掃描和顧問訪談等。我們分別使用屬性綜合評價系統(tǒng)理論和D-S證據(jù)理論對漏洞的靜態(tài)嚴(yán)重性和動態(tài)嚴(yán)重性進行了評估112, 113。,(2) 不依賴于安全漏洞的安全評估模型，建立量化脆弱性因素的評估指標(biāo)，通過不同的數(shù)學(xué)模型對各量化指標(biāo)進行融合分析，得出合理的評估結(jié)果，如應(yīng)用AHP算法對目標(biāo)網(wǎng)絡(luò)進行安全評估、基于Bayes網(wǎng)絡(luò)的安全評估等。但是，在應(yīng)用第2種方法的安全評估工作中，量化指標(biāo)值的確定包含大量主

11、觀成分，過多依賴專家經(jīng)驗。目前應(yīng)用的風(fēng)險評估的方法很多，主要有事件樹分析法114、故障樹分析法115、層次分析法116、模糊綜合評判法117，還有最近出現(xiàn)的神經(jīng)網(wǎng)絡(luò)評估方法118等。表5.1.1詳細說明了各種方法的特點及其優(yōu)缺點119。,5.1.2 網(wǎng)絡(luò)態(tài)勢預(yù)測基礎(chǔ)理論及研究現(xiàn)狀定義5.1.2 (網(wǎng)絡(luò)態(tài)勢)網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢120。需要指出的是，態(tài)勢是一種狀態(tài)、一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。定義5.1.3 (網(wǎng)絡(luò)態(tài)勢預(yù)測)網(wǎng)絡(luò)態(tài)勢預(yù)測是指根據(jù)提取出的歷史網(wǎng)絡(luò)態(tài)勢，預(yù)測未來網(wǎng)

12、絡(luò)態(tài)勢的過程。,網(wǎng)絡(luò)態(tài)勢預(yù)測是網(wǎng)絡(luò)態(tài)勢感知的一個重要的組成部分，網(wǎng)絡(luò)態(tài)勢感知的定義如下：定義5.1.4 (網(wǎng)絡(luò)態(tài)勢感知)網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢120。1988年，Endsley在其文章中121把態(tài)勢感知定義為“在一定的時空條件下，對環(huán)境因素的獲取、理解以及對未來狀態(tài)的預(yù)測”，整個態(tài)勢感知過程可由如圖5.1.3所示的三級模型直觀地表示出來。網(wǎng)絡(luò)態(tài)勢評估和威脅評估分別是網(wǎng)絡(luò)態(tài)勢感知的兩個環(huán)節(jié)，網(wǎng)絡(luò)威脅評估建立在網(wǎng)絡(luò)態(tài)勢評估的基礎(chǔ)之上。三者之間的關(guān)系如圖5.1.4所示。,圖5.1.3態(tài)勢感知的三級模型,圖5.

13、1.4網(wǎng)絡(luò)態(tài)勢感知、態(tài)勢評估與威脅評估關(guān)系圖,5.2 支持向量機應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險 評估和態(tài)勢預(yù)測的可行性5.2.1 支持向量機應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險評估的可行性使用支持向量機對網(wǎng)絡(luò)安全風(fēng)險進行評估，主要基于如下原因132：(1) 網(wǎng)絡(luò)安全風(fēng)險評估本質(zhì)上屬于有限樣本(數(shù)據(jù))的、非線性模式識別問題，支持向量機是專門針對有限樣本情況的，它的目標(biāo)是得到現(xiàn)有信息下的最優(yōu)解而不僅僅是樣本數(shù)趨向于無窮大時的最優(yōu)解。,(2) 風(fēng)險評估追求的是在現(xiàn)有信息情況下的最優(yōu)解，支持向量機能將分類問題最終轉(zhuǎn)化成一個二次尋優(yōu)問題，從理論上將得到全局最優(yōu)解，解決了在神經(jīng)網(wǎng)絡(luò)方法中無法避免得到局部極值的情況。(3) 風(fēng)險評估對問

14、題解決方法的泛化能力以及簡單性要求較高。支持向量機能將實際問題通過非線性變換轉(zhuǎn)到高維特征空間，在高維空間中構(gòu)造線性判別函數(shù)使得原始空間具有了非線性判別函數(shù)的功能，不僅保證了模型的推廣能力，并且解決了維數(shù)災(zāi)難問題。,5.2.2 支持向量機應(yīng)用于網(wǎng)絡(luò)態(tài)勢預(yù)測的可行性網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)通過對提取的網(wǎng)絡(luò)特征值進行綜合計算得出定量描述的網(wǎng)絡(luò)總體狀態(tài)的安全態(tài)勢值，這是一個基于時間序列的數(shù)據(jù)集，基于該數(shù)據(jù)集的態(tài)勢預(yù)測具有非線性關(guān)系和非正態(tài)分布的特性133。傳統(tǒng)的預(yù)測方法如線性回歸分析、灰色預(yù)測等算法可以預(yù)測一段時間內(nèi)數(shù)據(jù)變化的大致趨勢，但在處理具有非線性關(guān)系、非正態(tài)分布特性的網(wǎng)絡(luò)態(tài)勢值所形成的時間序列數(shù)據(jù)時，

15、效果不理想。,5.3 基于支持向量機的網(wǎng)絡(luò)安全 風(fēng)險評估方法 5.3.1 基于二叉樹的多類分類方法基于支持向量機的網(wǎng)絡(luò)安全風(fēng)險評估方法119利用基于二叉樹的多分類方法。其基本原理為首先將所有類別分成兩個子類，再將子類進一步劃分成兩個次級子類，如此循環(huán)下去，直到所有的節(jié)點都只包含一個單獨的類別為止，此節(jié)點也是二叉樹中的葉子，這樣就得到一個倒立的二叉分類樹。二叉樹相對于其他的多分類算法來說，結(jié)構(gòu)簡單，所需的SVM分類器個數(shù)較少，對于K類分類問題只需構(gòu)造K1個SVM分類器，所以識別速度較快，是目前最先進的一種多分類方法。,先將網(wǎng)絡(luò)的風(fēng)險等級分為四級：分別為一級，二級，三級，四級，其中一級為最低風(fēng)險等

16、級，四級為最高風(fēng)險等級。基于二叉樹的多分類方法用SVM1將訓(xùn)練樣本先分為兩類(A，B)，利用SVM2將A類分為兩類(一級和二級)，利用SVM3將B類分為兩類(三級和四級)，所以共需3個SVM就可以把網(wǎng)絡(luò)的安全風(fēng)險分為四個不同的等級，形成倒立的樹狀結(jié)構(gòu)，如圖5.3.1所示。,圖5.3.1 基于二叉樹的分類框,5.3.2 基于支持向量機的網(wǎng)絡(luò)安全評估模型基于支持向量機的網(wǎng)絡(luò)安全風(fēng)險評估方法以LIBSVM為核心代碼，以Microsoft VC+6.0作為開發(fā)工具，優(yōu)化設(shè)計了SVM工具箱，不僅保證了評估效果，而且大大縮短了評估所花費的時間和費用，提高了評估效果，降低了評估代價。其評估模型包括以下幾個部

17、分119。(1) 數(shù)據(jù)預(yù)處理。LIBSVM有專門的數(shù)據(jù)格式，數(shù)據(jù)預(yù)處理功能就是將收集的數(shù)據(jù)轉(zhuǎn)換成LIBSVM數(shù)據(jù)格式。,(2) 設(shè)置參數(shù)并訓(xùn)練SVM模型。采用RBF核函數(shù)，其參數(shù)為s2，C=150，其余各參數(shù)采用默認參數(shù)。參數(shù)設(shè)置完成后，就可以進行訓(xùn)練和測試了，首先點擊“Open”通過瀏覽導(dǎo)入存放訓(xùn)練數(shù)據(jù)的訓(xùn)練文件形成trainfile.txt文件，及其需要存放訓(xùn)練結(jié)果的模型文件model.txt。然后點擊“Train”按鈕，就可看到訓(xùn)練得到的SVM模型的各個參數(shù)和訓(xùn)練時間。采用基于二叉樹的多分類方法，得到3個SVM訓(xùn)練模型，如圖5.3.2所示。,圖5.3.2 SVM訓(xùn)練結(jié)果,(3) 測試SV

18、M模型。導(dǎo)入存放測試數(shù)據(jù)的文件，如testfile.txt，輸入存放結(jié)果的輸出文件，如out.txt，然后點擊“Test”按鈕進行測試，就可對測試集的樣本進行分類，可以通過結(jié)果顯示區(qū)域看到模型的分類精度和測試時間，也可以通過查看和測試文件存放在同目錄的out.txt文件，得到測試集各個樣本的分類結(jié)果，即風(fēng)險等級。從而根據(jù)風(fēng)險等級采取相應(yīng)的控制措施，使系統(tǒng)的風(fēng)險控制在可以接受的水平。,5.3.3 網(wǎng)絡(luò)安全風(fēng)險評估實驗和結(jié)果分析SVM和ANN都是人工智能方法的兩個分支，且都廣泛的應(yīng)用到風(fēng)險評估方面，所以有必要對兩者的評估效果進行比較。下面利用搜集到的樣本數(shù)據(jù)，從三個方面對SVM和ANN評估效果進行

19、比較。,為了比較SVM和ANN在小樣本情況下的分類性能，在訓(xùn)練樣本中，分別選取10，20，50，80個樣本作為訓(xùn)練樣本集進行訓(xùn)練，用同樣的900個樣本作為測試集，對SVM和ANN模型進行測試，比較兩者性能的優(yōu)劣。結(jié)果如表5.3.1所示119。,5.4 基于支持向量機的網(wǎng)絡(luò)態(tài)勢預(yù)測方法5.4.1 e-支持向量回歸機,(5.4.1),下面考慮硬e帶超平面的存在性。顯然，對于有限個訓(xùn)練點組成的訓(xùn)練集，當(dāng)e充分大時，硬e 帶超平面總是存在的。而最小的能使硬e 帶超平面存在的e值e min，則應(yīng)該是下列最優(yōu)化問題的最優(yōu)值 (5.4.2) (5.4.3),e-不敏感損失函數(shù)為 (5.4.4),如果f(x)

20、為單變量線性函數(shù)： (5.4.5)當(dāng)樣本點位于兩條虛線之間的帶狀區(qū)域內(nèi)時，則認為在該點沒有損失；只有當(dāng)樣本點位于e帶之外時，才有損失出現(xiàn)，如圖5.4.1所示。,圖5.4.1 e-帶示意圖,1. 線性硬e帶支持向量回歸機線性硬e帶支持向量回歸機的原始最優(yōu)化問題為： (5.4.6) (5.4.7) (5.4.8),為了求解式(5.4.6)(5.4.8)所示的最優(yōu)化問題，引入Lagrange函數(shù)(5.4.9),(5.4.10) (5.4.11),把式(5.4.10)、(5.4.11)所示的極值條件代入式(5.4.9)中，并對它關(guān)于a(*)求極大，就得到如下的對偶問題： (5.4.12) (5.4.1

21、3) (5.4.14),2硬e-帶支持向量回歸機,Step3 構(gòu)造并求解最優(yōu)化問題：(5.4.18) (5.4.19) (5.4.20),(5.4.21) (5.4.22) (5.4.23),3e-支持向量回歸機,(5.4.24) (5.4.25) (5.4.26) (5.4.27),為了求解式(5.4.24)(5.4.27)所示的原始問題，引入Lagrange函數(shù)：(5.4.28),(5.4.29) (5.4.30) (5.4.31),將式(5.4.29)(5.4.31)代入式(5.4.28)中，并對之關(guān)于a(*)求極大，就得到了式(5.4.24)(5.4.27)所示的原始問題的對偶問題： (5.4.32) (5.4.33) (5.4.34),(5.4.35),又記 (5.4.36) (5.4.37) (5.4.38