WEB应用安全和数据库安全的领航者 基于模糊粗糙集方法与威胁情报工作流的 技术分享 刘志乐 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 www.dbappsecurity.com.cn 内容提要 安全分析的现状和趋势 基于模糊粗糙集的态势感知 基于工作流的威胁情报分析 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 1 安全分析的现状和趋势 5 网络安全发展趋势 近年来的漏洞数量和木马样本走势 （来源：CNCERT/CC） www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 RSAC话题热度 STIX支持厂商（产品）达到40个，用户社区10个 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 创新沙盒的发展趋势 1. 大数据安全分析是初创公司扎堆的热点领域 2. 基于机器学习的可疑行为检测技术成为研究焦点 3. 从客户环境中采集数据、汇总到云端提炼安全情报，再共享到客户环境中，成 为安全情报产生和使用的重要情景 4. 以轻量级代理 + 弹性计算平台的方式提供安全能力，成 为初创公司青睐的业 务模式，硬件盒子出现的越来越少 5. 众包模式作为一种新兴的生产组织形式，开始出现在网络安全服务中 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 网络安全发展趋势 安全事件 • 速度越来越快 • 种类越来越多 • 数据量越来越大 www.dbappsecurity.com.cn 海量数据 • • • • • 安全漏洞 攻击事件 状态日志 网络行为 …… WEB应用安全和数据库安全的领航者 2 基于模糊粗糙集的态势感知 粗糙集理论简述 粗糙集理论最初是由波兰科学家Pawlak提出的，是处理不确 定、不完备和模糊信息的有力工具。 粗糙集理论建立在用等价关系（满足自反，对称，传 递三个性质的关系，比如a和a本身是等价的，即自反， a和b等价，推出b和a等价，即对称，a和b等价，b和c 等价，推出a和c等价，即传递）对全域（即所有元素 的集合）进行划分（等价的分为一个集合，所有元素 被分为多个集合）的基础上，可以定义一个集合的上 近似和下近似，除数据集外不需要任何先验知识。 www.dbappsecurity.com.cn 应用： 对决策信息系统进 行属性约简 例： 态势因子和态势等 级构成的表 WEB应用安全和数据库安全的领航者 模糊粗糙集简述 模糊粗糙集方法是粗糙集的扩展方法。 模糊集是用来表达模糊概念的集合。 对于一般的集合，一个元素只有属于这个集合和不属于这个集合两种情况。 然而在现实中，常常面对无法明确划分的情况，为描述这种情况，Zadeh提出了模糊集 的概念，对传统集合的隶属关系进行了推广。 用0~1之间的一个数来表示元素与集合之间的隶属程度，当隶 属度被限定为0和1时，模糊集就是一个传统集合。 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 态势感知的数学本质 态势理解 态势评估 态势预测 态势可视化 网络安全态势感知的核心环节 数据融合领域的研究重点 即在融合各安全信息并进行简单处 理的基础上，通过一些数学方法或 者数学模型，经过分析，得到一个 对当前网络安全状态的整体描述。 简言之，该过程即态势因子集合到态势集合的映射。 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 网络态势评估方法分类 基于数学模型的方法 基于知识推理的方法 基于模式识别的方法 www.dbappsecurity.com.cn 层次分析法 集对分析法 ………… 基于图模型的方法 基于证据理论的方法 ………… 灰关联分析方法 粗糙集合方法 神经网络方法 …… WEB应用安全和数据库安全的领航者 态势因子的定义 态势评估 粗糙集方法 (对应离散型的态势因子) 如攻击类型，只关心是哪一种攻击类型， 而攻击类型也没有谁大谁小之说 与其相对的： 连续型态势因子，如网络流量有大小，且是连 续的 www.dbappsecurity.com.cn 态势因子： 指能引起网络态势变化的因素，比如 可通过处理监测数据、日志等原始数 据生成态势因子。 离散型态势因子： 即态势因子的取值是离散的，比如攻 击者IP地址，攻击类型等，属于不可 比较大小或者比较大小无意义的类型， 且取值不连续 WEB应用安全和数据库安全的领航者 连续型态势因子的离散处理 连续型 态势因子 例： 0-9 离散化处理 损失精度 离散型 态势因子 0-3, 3-6, 6-9 原因：离散化处理后，例如7与8会被认为属于同一个部分 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 模型建立过程 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 模糊粗糙集方法优越性证明 • 根据KDD Cup 99数据进行对比参照： 使用四大类攻击类型进行测试，模糊粗糙集方法在Dos攻击上的结果以及总的结果上， 相比于几种离散化方法，精度都要高。 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 网络流量异常评估 取得基础流量数据 41个条件属性类型：持续时间、协议、源、目的…… 5个决策属性：正常+4个异常类型 41个条件规则聚合 聚合得到新的规则决策表 依据依赖关系，得到23个约简属性 约简得到23个属性的决策表 www.dbappsecurity.com.cn 持续时间、服务类型、状态、源、目的…… 依据该决策表评估流量异常情况状态 WEB应用安全和数据库安全的领航者 网络流量评估 对象 持续时 间 服务类型 状态 来包字节 回包字 节 决策状 态 P1 2 Smtp, SF [900，1684] [363,10 02] …… 0 P2 0 Private REJ 0 0 …… 1 P3 0 smtp SF [100,787] [10,329] …… 1 Pn 1 smtp SF 1600 213 …… ？ Pn 的决策状态因为可能有多条规则匹配，它们的决策可能不一致， 我们用最多的来代表最后的决策。 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者