主题建模来发现正常和异常的网络行为,为每个IP 地址的异常日志建立概率模型,每一条异常日志都會被该模型进行评分,将其中得分较低的日志标记为“可疑”以作进一步分析。
系统流程涉及四个节点:数据源(公安网络异常日志),数据接入系统(sas),数据分析系统(异常日志分析系统),UI系统(安全集中监控与审计系统)。
本文采用模糊聚类[9-10]的算法,该算法过程比较简单,其过程可分为以下3步:(1)进行训练样本的标准化处理;(2)进行聚类,即利用适当的距离模式求得数据的模糊矩阵,并利用聚类算法实现样本的聚类;(3)求得最优聚类结果。模糊聚类模型的建立可以通过下面4个步骤实现:
假设样本数量为n,每个样本有m个量化指标,xij则为样本的指标。
6 结语
随着移动警务建设的深入发展,网络安全问题日益突出,本文介绍的态势感知安全管控系统虽然已经具备了部分网络安全态势感知能力,但是由于该系统数据来源局限于日志数据和网络组件的状态信息,尚无法全量实时关联分析全网数据,其态势感知能力局限性较大。
下一步,我们将研究如何实时分析移动警务系统全量数据,并结合本文介绍的态势感知安全管控系统,全面感知网络安全威胁态势、洞悉网络及应用运行健康状态,为移动警务信息系统安稳定运行提供安全保证。
参考文献
[1] 席荣荣,云晓春,金舒原,等.网络安全态势感知研究综述[J].计算机应用,2012,32(1):1-4+59.
[2] Ousterhout K,Rasti R,Ratnasamy S,et al.Making sense of performance data analytics frameworks[C]//Proceedings of the 12th USENIX Symposium on Networked Systems Design and Implementation (NSDI) Oakland,CA.2015:293-307.
[3] Michael Armbrust,Reynold S.Xin,Cheng Lian,et al.Spark SQL: Relational data processing in Spark[C]//Proceedings of the 2015 ACM SIGMOD International Conference on Management of Data. ACM,2015:1383-1394.
[4] 张波.基于大数据技术的公安移动警务通信数据处理平台设计与实现[D].济南:山东大学,2016.
[5] 于兆良,张文涛,葛慧,等.基于Hadoop平台的日志分析模型[J].计算机工程与设计,2016,37(2):338-344+428.
[6] Lee M,Jung H,Cho M.On a Hadoop-based Analytics Service System[J].International Journal of Advances in Soft Computing & Its Applications,2015,7(1):35-39.
[7] 段明琪.基于日志分析的大数据威胁感知系统的研究[D].北京:北京邮电大学,2019:31-35.
[8] 王长会,马庆利.基于大数据的移动用户行为分析研究[J].现代信息科技,2019,3(12):58-60.
[9] 胡聪,刘翠玲,吴尚.基于大数据日志的预警技术分析[J].电气技术,2016(06):328-329.
[10] 韩晓露,刘云,张振江,等.网络安全态势感知理论与技术综述及难点问题研究[J].信息安全与通信保密,2019(07):61-71.
[11] 张晓宇.基于流被动测量的时间测度的研究[D].南京:东南大学,2009.
[12] 石金龙,孙翼.基于Libnids库的Internet网络协议还原系统研究[J].电子技术,2014(03):13-19.
