层次化网络信息论文范文

本站小编为你精心准备了层次化网络信息论文参考范文，愿这些范文能点燃您思维的火花，激发您的写作灵感。欢迎深入阅读并收藏。

1网络信息内容安全事件特征分析

本节通过对电信网和互联网中的通信数据集的分析，对ICSI的特点进行归纳，从而为态势评估模型的设计提供合理、有力的切入点。本节数据集的主要来源为VAST2008中的CellPhoneSocialNetwork数据集[14]和Enron公司2009年邮件数据集[15]。其中，CellPhoneSocialNetwork数据集包含了400人10天共计9834条通信记录。如表1中所示，From和To分别表示通信双方的号码编号，Datetime表示按照需求划分出的时间段编号，Duration为通信时长，Type为通信类型，CellTower为主叫用户所属的基站编号。Enron公司邮件数据集中，采用87448个用户的255636封邮件数据。如表2中所示，From和To分别表示邮件双方的ID编号，DomainName-i和DomainName-j分别表示邮件双方的地址域名，Time为邮件发送时间，Subject为邮件的主题。 网络通信数据集可以反映网络中用户的多个通信特征，通过对通信特征的分析可以找到其中蕴含的规律，对其中非常规性的规律进行归纳，可折射出网络中各类安全事件的状况。通过对上述两个数据集的分析可以得到：（1）行为特征（BehavioralCharacter）表1中，大部分用户的通信时长在一个常规的阈值范围之内，而极少数用户的通信时长超过或低于该阈值，累积超长或超短通信次数较多的地址或号码具有一定的非常规性。表2中，大部分用户的邮件内容不具有重复性，即具有不同的主题，那些同一通信类型且具有相同内容类似广播的通信通常具有非常规性。同时，大部分用户某时段内的通信次数通常保持在一个常规的阈值范围之内，而极少数用户的通信次数超过了该阈值，表明该号码或地址具有特殊用途，如，作为商业联络或者为ICSI的发送源，前者属于合法通信行为，后者则需结合通信内容做出判别。（2）关系特征（RelationCharacter）表1和表2中，大多数用户的通信对象较为固定，即仅与一定范围内的人进行联络，符合人类社交的群体性特征，而那些通信对象数目过多的用户可能具有特殊的用途。（3）位置特征（LocationCharacter）表1中，大部分用户在一段时间内通信所涉及的基站数目较少，符合用户活动范围的有限区域性特征。极少数用户所涉及的基站范围较多，则表明该用户具有一定的特殊性。同理，表2中，大部分用户在一定时间段内的IP地址是较为固定的，极少数用户的位置变化频繁，表明了该用户具有特殊性。（4）内容特征（ContentCharacter）对表1和表2中用户的行为特征、关系特征和移动特征进行关联分析，可以得到网络中特殊用户的地址或号码，但如果需要进一步明确ICSI事件的具体内容，则需有针对性地对此类用户的具体通信内容进行分析。通过上述分析可知，ICSI具有多维特征，如图1所示。同时，时间（When）、地点(Where)、人物(Who)和内容(What)是能够清楚描述一个事件的四要素，在对ICSI的态势评估中，需要充分考虑到这四个因素。其中，When是事件的发生区间即通信时间，Where可在用户的位置特征中得到反映，Who可在表示用户的通信关系特征信息中获取，What则由用户的行为特征和通信内容特征决定。从图中可以看出，在网络多维通信数据集中，隐含了各类安全事件发生的要素，如何充分利用此类信息，整合ICSI所涉及的各维数据，是实现对ICSI全面的态势评估的基础。下面将针对此问题，提出一种层次化的评估模型，并对其各指数的量化方法进行论述。

2信息内容安全事件态势评估体系

通过上文的分析可知，网络ICSI的态势通过多维通信信息展示。首先，对通信数据分析得到ICSI的事件的自身信息。如，通过对通联关系的分析可确定事件的影响（发送次数、涉及人数）；通过对通信类型的分析可确定事件的类型（语音、视频、邮件等）；通过对主题、关键词等内容的分析可以确定内容类别（政治类、经济类、军事类等）；通过对涉及的通信地址的分析可得出事件的目标（目标人群、地区）。其次，通过对各个区域内涉及ICSI的地址或号码的分析可得出不同地区的态势指数；最后，综合各个区域的ICSI态势指数得出全网的ICSI态势值。

2.1层次化评估模型根据对事件的分析过程，本文提出了一个层次化ICSI态势评估模型，如图2所示。该模型分为数据层、事件层、区域层和系统层四个层次，采用自下而上，先局部后整体，先判别事件后根据事件关联的方法，对网络中ICSI的态势进行评估。图2中，在数据层输入相关的ICSI通信记录；在事件层利用行为特征中的通信时长、通信次数、通信类型和内容特征中的内容类别，进行事件级态势指数的评估；根据位置特征和关系特征中涉及到的用户位置和地址/号码等相关信息确定事件所属的区域，结合事件层得出的事件级态势指数，计算区域层态势指数；系统层整合各个区域的态势指数给出整个网络的态势值。定义2：事件级态势指数IF（IncidentFactor）。表示ICSI发生时对整个网络ICSI的影响程度。通过ICSI中的通信类型和内容类别结合通信时长、通信次数对ICSI的影响，在事件层做出判断。定义3：区域级态势指数AF（AreaFactor）。表示ICSI事件所涉及区域的态势指数。综合本区域中用户及其涉及事件的态势指数给出AF。定义4：系统级态势指数SF（SystemFactor）。表示整个通信系统中ICSI的态势总指数。整合各个区域的AF，给出整个系统的SF。

2.2评估指数的量化计算本节将对上述定义中的事件级态势指数IF、区域级态势指数AF和系统级态势指数SF给出相应的量化计算方法。

2.2.1事件级事件级态势指数的计算包括了对事件通信次数、通信时长、通信类型和内容类别的综合衡量，IFi的值越大，则表示事件级态势指数对整个系统的ICSI态势指数的影响越大。为了更加真实地反映网络中ICSI的变化，本文将一天划分为h个时间段。对于给定的分析时间窗口t，定义t时刻事件i的态势指数为。

2.2.2区域级和系统级本文对区域级和系统级态势指数的设计采用相同的原理。t时刻区域n的区域级态势指数AFn如下式（4）所示，区域级态势指数越大，说明该区域的ICSI事件态势状态越严重。

3实验分析

为全面验证层次化ICSI态势评估模型的有效性和可靠性，本文实验分为两部分进行。实验一，利用开源数据集，采用较大的时间窗口，进行事件低维度特征的粗粒度态势评估；实验二，建立局域网仿真环境，采用较小的事件窗口，结合事件多维度特征进行细粒度的态势评估。

3.1实验一本节实验采用VAST2008中的CellPhoneSocialNetwork数据集和Enron公司2009年邮件数据集作为实验数据。其中，采用VAST2008的数据集中的2006年6月1日至5日的数据进行态势评估，将超长通话（LongDuration）、超短通话（ShortDuration）和频繁通信（FrequentCommunication）作为事件的行为特征，如图3所示。根据数据集的具体数据和实验需求，图3中，选取基站编号为10的基站下用户作为研究对象，在选取的5天时间段内，最长通信时长为1732秒，最短通信时长为166秒，平均通信时长为1030秒，平均通信次数为5。根据先验知识和实验数据的选取便利，将大于n通信记为超短通话，认为大于10次的通信为频繁通信。采用Enron公司2009年邮件数据集中的2001年5月29日至6月27日的数据进行态势评估，将频繁通信（FrequentCommunication）作为事件的行为特征。如图4所示，选取域名为和下的用户作为研究对象，在选取的30天时间段内，平均通信次数为56，将大于112次的通信记为通信次数较多。设定t为1天，划分出四个时间段kT分别赋值为1，3，3，4，来表示通信次数的变化情况：非常低，中，中，高，对其进行归一化处理后得(0.091,0.273,0.273,0.364)。事件特征和涉及的ID/IP及其重要性如表4和5所示，对Enron2009中两域名的权重赋值分别为0.6和0.4。利用前文介绍的层次式ICSI态势评估模型的计算方法，对图3和图4中的模型进行分析，结合表4和表5中的数据，对纵坐标做归一化处理，可得到如下实验结果。（1）VAST2008和Enron2009数据集下的ICSI事件级态势（分别以ID335和IP4967为例）。图5中，6月1日和6月4日分别出现了两个特征的峰值，图6中，在6月6日出现态势的最高峰点，6月20日出现态势的较小峰值点，其他时间段基本处于零值点。以Enron2009数据集中用户IP4967为例进行说明：在提取的时间段内，通过与数据集中的数据对照发现，其邮件发送数目在6月6日为413，6月20日为120，均超过了设定的阈值，且6日的次数远大于20日的次数，而在5月29至6月27的其他时间均没有出现超过阈值的通信，这一行为特征从图中得到了良好的反映。同时，从图6中还可以看出，通信类型和内容类别特征权重的赋值对于用户IP4967来说是不变的，但是随着频繁通信特征的态势变化，二者也随之发生了变化。实际中，当某用户采用固定的通信类型进行频繁通信时，即使其传递的消息内容权重值始终不高，如，固定内容的垃圾邮件，仍应引起网络管理员的重视。由此，ICSI的各个维度特征之间可以产生相互影响，且本文中对事件级态势评估定义的计算方法是有效的。（2）VAST2008和Enron2009数据集下的ICSI区域级态势（分别以ID161、285、323和335；IP253、801、1654和4967为例）。图7和图8中显示的为区域内各ID和IP的态势评估变化。以图7中的VAST2008为例进行说明：ID335的事件级态势如图5所示，在区域级态势计算时加入了该用户的重要性权重0.145，如图7所示，其态势评估值的大小较事件级态势下降了一些，原因为与区域内的其他用户分配了权重即对整体态势的影响程度，但没有对该用户个体的态势变化趋势产生影响。因此，加入用户重要性权重之后，可以更加突出定义的重要用户的ICSI态势变化。对于其中重要性赋值较低的用户，其变化仍为研究的对象，但不会对整体态势产生大的影响，符合网络中的实际运行状况和信息安全管理的需求。（3）VAST2008和Enron2009数据集下的ICSI系统级态势。整合系统中所涉及的各区域级态势评估值即可得到系统整体的态势评估值变化。本节实验中，VAST2008只涉及一个基站，Enron2009涉及两个域名。将图9和10与前文中的事件级、区域级态势图进行对比可以看出，二者的系统级态势图中均包含了个体和区域的态势走势特点。其中，VAST2008基站10下的ICSI态势变化趋势较为连续，平缓处较多；Enron2009两域名下的ICSI态势变化趋势起伏较大。结合数据库中的数据分析原因为，在电信网络中，ICSI各特征的变化较为显著。在不同时段，虽然表现的特征维度不同，但均具有一定的特征变化。在互联网络中，ICSI各特征的变化则具有一定的突发性。由此可以看出，本文提出的模型和参数计算方法，结合了网络构成的各元素，从最基本的各用户行为特征等处着手，对ICSI的态势变化具有敏感性，能够有效把握其变化趋势。

3.2实验二实验一中的数据来源为开源数据集，可供选择的特征维度较低，选择的时间窗口较大。本节将通过自建局域网仿真环境，模拟产生ICSI事件，对涵盖五个特征维度的ICSI进行细粒度的态势评估。该局域网网段为192.168.1.0-24，其中192.168.0.21、192.168.0.22和192.168.0.23分别代表三个区域地址，系统地址为192.168.0.24，三个区域的重要性权重赋值分别为0.3、0.4和0.3。实验中通过计算机终端通信软件，模拟产生超长通话、超短通话和频繁通信，涉及的通信类型为视频、音频和信息，内容类别设定为军事、政治、经济和特殊类。基于层次化的ICSI态势评估模型如图11所示，各事件特征重要性和用户个体权重信息的设置方法与实验一中的相同，由于涉及终端用户数目较多，在此不再赘述。实验中，产生的通信数据总数目为166条/分钟，其中，出现超长通话、超短通话和频繁通信的用户数目/分钟，出现的比例分别为0.5%、0.5%和0.5%。将超过600秒的通信时长记为超长通信，低于10秒的通信时长记为超短通信，超过6次/分钟的通信次数记为频繁通信。各通信类型占总通信类型的比例设置为：视频10%、音频50%和信息40%，按照通信类型对用户的影响程度设置，视频类＞语音类＞短信类＞邮件类等。同时，为了凸显态势评估模型对特殊类事件的有效感知能力，将各内容类别占总通信类别的百分比设定为军事30%、政治30%、经济30%和特殊10%，按照通信内容对用户的影响程度设置，特殊类＞政治类＞军事类＞经济类。各通信类型和内容类别的权重设置原则按照表3所示进行。实验中，为更好反映用户通信特点和模型对事件态势变化的把握能力，对各通信维度特征的重要性权重赋值均等，设定t为1分钟，对纵坐标做归一化处理，使用层次化ICSI态势评估模型进行相应的计算，得出事件级、区域级和系统级三个层次态势评估状况。（1）局域网仿真环境下的ICSI事件级态势（以IP192.168.0.3中的超长通话、频繁通信、通信类型和内容类别特征为例）图12中表示的为IP192.168.0.3的超长通话、频繁通信、通信类型和内容类别特征，在时间段18：00-19:00间的变化趋势。如图中所示，在18：15分左右，内容类别特征达到接近1的态势值，而此时的频繁通信特征也保持在一个较高的水平，通信类型特征的归一化态势值则在零点附近。这说明此时该IP用户的通信过程中，发生了具有较高权值的内容类型的事件，其采用的通信类型不具有较高的权值，且在此时段进行了多次通信，应引起网络管理员的重视。对应如图13中所示，此时的事件级态势值为整个观测时段中的最高点。图12中，18：25分左右出现了内容类别特征的另一较高峰值点，但此时其他各维度特征归一化值均为零点附近。这说明此时发生的通信中，出现了具有一定权值的内容类型的事件，但其不具有其他诸如多次通信等的特征，因此，可看作单次事件，对整个态势的影响力度不大，故此点的事件级态势值并不高，如图13中所示。通过上述分析可知，本文模型和参数的计算方法结合了ICSI事件的多个维度特征，贴合用户和网络通信的实际状况，对ICSI事件的态势把握客观、清晰，便于网络管理员将关注点聚焦在那些尤为重要，影响度较大的事件上。同时，在实际应用中，可以根据网络信息安全管理的需求，对各个特征赋予不同的重要性权值，使得其可以在多维特征的态势变化中得以重点显现，引起特别关注。（2）局域网仿真环境下的ICSI区域级态势图14中表示的为ICSI的区域级态势。仿真环境下，建立了三个区域分别为192.168.21、192.168.22和192.168.23，并分别赋予了不同的重要性权重。如图14所示，将区域内所属用户的多维特征综合，并根据赋予的各用户重要性权值形成的区域级态势，较实验一中的含有较少维度特征的态势，其变化趋势的波动较多，图形较为复杂。由此可以看出，ICSI事件本身具有多维特征，对其的态势评估结合的特征维度越多，越能更好更完整地表达该事件的变化趋势和影响程度。（3）局域网仿真环境下的ICSI系统级态势图15为局域网仿真环境下的ICSI系统级态势图。从图中可以看出，局域网系统级态势的变化，较实验一中两个开源数据集下的系统级态势变化曲线更为连续。这说明采用较小的时间窗口，可以细粒度得反映网络中ICSI的变化，为信息安全管理提供有效的数据支持。通过上述两个实验测试表明：（1）本文提出的层次化ICSI态势评估模型具有有效性、可靠性和可行性。各个级别的态势评估结果与所涉及事件的多维特征及其重要性程度紧密相关，是一个全面、综合、系统的评估；（2）对VAST2008和Enron2009数据集的测试结果说明，采用较大的统计分析时间窗口（以天为计量单位），可以提供较为宏观的事件态势评估走势图；同时，对于低维度数据集的态势评估的整体把握性强，可以从长时期的态势变化曲线中，发现其中的安全规律；（3）对局域网仿真数据集的测试结果说明，采用较小的统计分析时间窗口（以分钟为计量单位），可以提供较为微观的事件态势评估走势图；同时，对于高维度数据集的态势评估的特征敏感度强，能够从短时期的态势变化曲线中，聚焦当前ICSI事件中的突出影响因素。

4结论

为解决网络信息内容安全事件的态势评估问题，本文提出了一种层次化的态势评估模型及参数计算方法。根据信息内容安全事件所具有的行为特征、内容特征、关系特征和位置特征，采用层次式结构模型。利用各特征内维度间的关系，对事件级、区域级和系统级态势评估值分别进行计算。为更好说明模型和方法的有效性和可行性，分别采用开源数据集VAST2008、Enron2009和局域网仿真环境下的数据集进行实验，结果表明，该模型和参数计算方法可以实现对网络信息内容安全事件的态势评估，体现了事件的强度和变化趋势，能够使网络管理员及时了解系统内的网络信息安全动态。下一步工作的重点是，将模型和方法应用于多网段局域网和大规模网络系统的信息内容安全事件的态势评估。

作者：葛琳季新生江涛单位：国家数字交换系统工程技术研究中心