模型引入数据挖掘和统计学等方法,将网络中与病毒 相关的各种活动数据进行分析,从时间维度和区域维度为
管理提供了决策依据。
——评价方式。模型对安全状况进行评价时,先按照
各分项指标进行评价,再取分项评价中的最差评价作为综
合评价标准。
——可靠性分析。模型的可靠性包含两个方面:一是 数据来源的可靠性;二是在数据来源一定的情况下,使用 数据的方差或标准差度量数据的可靠性。
——统计平均。一般认为平均值能够代表一个样本的 平均情况,或者说平均值能够代表一个样本中大多数元素 的情况。在模型算法设计中,认为每台主机染毒机会均等, 即某个主机染毒可视为随机事件,取某个ip范围即某个单 位的主机作为样本,将每台主机的染毒次数都做统计平均 则能反映单位内每台主机的平均情况。
——标准差、向上标准差。病毒预警模型中,用标准 差来衡量样本的不平均程度,即衡量每个样本点离平均值 的距离的平均值。判断染毒次数的异常上界,就是由平均 值加上向上标准差得到的。
标准差计算公式.以:Jz型,其中,n表示样本标准
差,;表示样本均值,石,表示样本点,以为样本容量。
向上标准差计算公式:n=J擎,一2{:一:立:≯。,其 中,岛表示样本向上标准差,;表示样本均值,工.表示样本 点,刀为样本容量。
——异常判断原理。异常判断原理来源于统计学,即 小概率事件发生时可以认为系统异常。在模型中,把所有 主机的染毒次数看作一个样本,而每台主机的染毒次数看 作是样本点,其均值反映了样本的总体情况,而向上标准 差反映了比均值大的样本点离平均值距离的平均值。从比
平均值大的样本点中挑出其离平均值的距离比标准差还大 的样本点,将其认为是异常样本点。
——误差估计原理。在模型中,假设一个单位的全部 染毒次数服从较为稳定的分布,则针对不同的情况在分布 已知和分布未知的情况下,都可以用样本二阶矩,如标准 差等来计算、预测和评估结果的误差。
2 实用网络病毒安全评价和预警模型
根据以上模型原理和系统实际需求,制定了具有实用 价值的网络病毒安全评价和预警模型,分别是“基于区域 的时间维度安全级别评价及预警模型”和“基于病毒的区 域维度安全级别评价及预警模型”。
2.1基于区域的时间维度安全级别评价及预警模型 区域指的是某一个特定的逻辑范围,可以映射在行政
区划,也可以映射在一个ip范围,在本文中统称为单位。基
1 26 l凹晒凹。cisma口。@①向。④田
万方数据
于区域的时间维度安全级别评价是以天为最小单位,在每
天评价的基础上,对周、月、季的安全情况进行综合评价。 下面以染毒事件为例进行模型原理说明。
(1)模型源数据。
——ipg指徊范围,模型中针对某个范围的病毒活动
统计量。
——Day:指第day日,模型中针对某个范围一天的
病毒活动统计量。
——ActiveHost(ips,day)指第day日,ips范围内
的活跃(开机且联网状态)主机数量。
——Infect—CS(ips,day)指第day日,ips范围内的
染毒事件发生次数。
——InfectHost(ips,day)指第day日,ips范围内
的染毒事件涉及的主机数。
——Infect_Gs(ips,day>指第day日,ips范围内的
染毒事件涉及的病毒种数。 (2)模型中间指标分析。中间指标是指从源数据分析,
按照一定的原理及计算公式得到的指标,中间指标关联说 明及计算公式分析如下:
——InfecLcs—M(ips,day)指第day日,ips范围
内的平陆均邺每机s染-毒M(次i数p,s计㈣算2公慧式如器下:
——InfectHost—Prp(ips,day)指第day日,ips范
围内感染病毒的主机数所占比例,计算公式如下:
埘ec啊。咖c晒。㈣2器等署嚣高
——InfecLCS—SSD(ips,day) 指第day日,ips范 围内每机染毒次数向上标准差,计算公式如下:
庞[h血ct—cs(ip。d町)-础妇一csJ呱jp5.向僻
hl‘缸c鼬sD(咖,由y)= 《旦——————‘——————一
其中,刀为满足条件的ip个数。
——Infect—CS—Max(ips,day) 指第day日,ips范 围内染毒次数异常标准,计算公式如下:
Infect_cs—Max(ips, day)=InfecLCs—M(ips,day)
+Infect—CS—SSD(ips,day)
当染毒次数大于此值时,认为该主机的染毒次数异常。
——Infect—AbnIIll—Host(ips,day)指第day日,ips
范围内染毒次数异常主机数,计算公式如下: Infect—Abnml—Host(ips。 day)=∑ip s.f.(ImecLcs(ip,day)>InfecLCs—Max(ips,day))
——InfecLAbnnll—Prp(ips,day)指第day日,ips
学术研究
州刚强蝴=些篙岩铲
范围内,异常主机染毒次数所占比例,计算公式如下:
病毒爆发可以有两种情景:局部集中爆发与普遍爆发,
Infect Cs_M(ips,day)无法区别上述两种情景,病毒模型引 入Infect Cs-Max(ips,day)、In姒Abnml Host(ipS,day),
Ir】fect AbI】ml Prp(ips,day)可有效区别出病毒爆发情景。 (5)模型综合分析。网络病毒安全评价和预警模型最终
目的是根据单位主机感染病毒的情况得出安全评价。在得 出安全评价的同时,也给出安全评价的依据,即模型中的 各种中间指标和最终指标的值。通过将这些值以图、表等 形式展现出来,使管理员对系统的安全性有全面的掌握。综 合指标关联说明及计算公式如下:
——InfecLCS—PJ(ips,day)指第day日,ips范围
内平均每机染毒次数评价,计算公式如下:
优h曲d—Gs(ips,dq,)sd
良口(I面嘲_Gsaps,d动≤6(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)