林征，李洋

（中國(guó)移動(dòng)通信集團(tuán)貴州有限公司貴陽分公司，貴州 貴陽 550001）

基于小波分析的主動(dòng)預(yù)警式網(wǎng)絡(luò)信息安全運(yùn)維

林征，李洋

（中國(guó)移動(dòng)通信集團(tuán)貴州有限公司貴陽分公司，貴州 貴陽 550001）

提出了一種基于小波分析的安全運(yùn)維分析方法，在海量數(shù)據(jù)挖掘的基礎(chǔ)上，利用小波分析理論對(duì)數(shù)據(jù)進(jìn)行分析，提出針對(duì)海量數(shù)據(jù)的波形化、波形的降噪方法以及小波函數(shù)二進(jìn)制離散算法等問題的解決方案，實(shí)現(xiàn)對(duì)未來的安全趨勢(shì)進(jìn)行主動(dòng)預(yù)警，從而提高網(wǎng)絡(luò)與信息安全工作效率。

小波分析 主動(dòng)預(yù)警 信息安全 安全運(yùn)維

1 傳統(tǒng)網(wǎng)絡(luò)與信息安全工作開展模式分析

近年來，網(wǎng)絡(luò)運(yùn)營(yíng)商在信息安全體系基本建設(shè)完成后，仍舊在網(wǎng)絡(luò)與信息安全運(yùn)維管理過程中面對(duì)不斷出現(xiàn)的新問題和信息安全管理短板。日常網(wǎng)絡(luò)與信息安全工作繁雜（包括日常漏洞整改加固、未備案網(wǎng)站核查、垃圾短信治理、日志分析、設(shè)備巡檢等多項(xiàng)常態(tài)化工作），且人員配置及技術(shù)儲(chǔ)備相對(duì)薄弱，導(dǎo)致大部分網(wǎng)絡(luò)與信息安全工作只得被動(dòng)展開，缺乏預(yù)警機(jī)制，從而無法及時(shí)對(duì)安全運(yùn)維過程中暴露的安全問題進(jìn)行分析和評(píng)價(jià)。

傳統(tǒng)網(wǎng)絡(luò)與信息安全工作開展的技術(shù)性問題主要包括如下：

（1）網(wǎng)絡(luò)安全工具或者監(jiān)控系統(tǒng)使用復(fù)雜，工作難度大。

（2）對(duì)于網(wǎng)元設(shè)備、服務(wù)器設(shè)備、網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志沒有技術(shù)手段進(jìn)行有效分析，難以有效利用海量數(shù)據(jù)資源。

（3）安全預(yù)警和處理多靠人員經(jīng)驗(yàn)，無成熟的理論和工具。

（4）安全維護(hù)工作成果無法用數(shù)字或圖表的形式直觀展現(xiàn)，很難得到認(rèn)可。

傳統(tǒng)網(wǎng)絡(luò)與信息安全工作開展的管理性問題主要包括如下：

（1）制度或流程未能有效地貫徹和落實(shí)。

（2）管理措施被拋棄或故意繞過。

（3）安全管理制度與其他制度存在沖突。

（4）內(nèi)部人員對(duì)落實(shí)體系的積極性不高，缺乏主觀能動(dòng)性。

（5）缺少長(zhǎng)遠(yuǎn)規(guī)劃，沒有突出重點(diǎn)問題。

對(duì)于日常運(yùn)維管理工作中的技術(shù)性問題，需要一種適用的網(wǎng)絡(luò)安全工具：這種工具有足夠先進(jìn)和精確的理論支持；可對(duì)現(xiàn)有運(yùn)維數(shù)據(jù)進(jìn)行深度挖掘；可以及時(shí)地對(duì)將可能要發(fā)生的安全事件進(jìn)行預(yù)警；可以為安全運(yùn)維工作提供短期和長(zhǎng)期的方向性指引；可以表達(dá)安全運(yùn)維工作的成效，為決策管理層提供數(shù)據(jù)支持。

2 小波理論原理

小波分析理論最早是由法國(guó)數(shù)學(xué)家Molet在1980年進(jìn)行地震數(shù)據(jù)分析工作的過程中提出，隨后S.Mallat在1989年提出多分辨率分析的概念，統(tǒng)一了其他人提出的各種具體小波構(gòu)造方法，給出了Mallat算法。小波變換作為替換短時(shí)傅里葉變換的一種方法被提出來。小波分析與短時(shí)傅里葉分析采用相同的處理方法，也是用窗口的形式將一個(gè)函數(shù)與信號(hào)相乘（小波變換中這個(gè)用來相乘的函數(shù)就是小波函數(shù)），變換結(jié)果被分成在時(shí)域內(nèi)不同的片段。盡管如此，連續(xù)小波變換與短時(shí)傅里葉變換還是有2個(gè)主要的不同點(diǎn)：

（1）由于傅里葉變換沒有采用加窗的方式，會(huì)在變換結(jié)果中看到相應(yīng)正弦信號(hào)的尖峰，因此結(jié)果中沒有負(fù)頻率。

（2）為計(jì)算每個(gè)單一的頻譜分量，需要將窗口寬度改變，這可能是小波變換最重要的特征。

連續(xù)小波變換定義為：

小波變換其實(shí)是一個(gè)含有2個(gè)自變量的函數(shù)（t和s），分別作為平移和縮放參數(shù)。psi(t)是變換函數(shù)，稱之為母小波。滿足這個(gè)條件的窗函數(shù)應(yīng)該是有限寬度的，且函數(shù)是振蕩的。“母”這個(gè)字眼揭示了變換中用到的含有不同支撐域的函數(shù)，都可以追溯到一個(gè)主要函數(shù)——母小波。換句話說，母小波就是產(chǎn)生其他窗函數(shù)的原型。

“變換”這個(gè)詞和在快速傅里葉變換中的變換是一樣應(yīng)用的。隨著窗口在信號(hào)上平移，和窗口的位置相關(guān)。這個(gè)說法在變換域內(nèi)明顯反映了時(shí)間信息。不過，不像之前說的短時(shí)傅里葉變換，沒有頻率參數(shù)，而以frequency的縮放參數(shù)將其取代。

小波分析克服了工程界一直應(yīng)用的傅里葉變換不能同時(shí)具有時(shí)域和頻域的細(xì)節(jié)特征，通過小波基的伸縮和平移，根據(jù)信號(hào)的變換特征自適應(yīng)地調(diào)整分析方式，更準(zhǔn)確地捕捉到眾多離散數(shù)據(jù)中的突變信號(hào)。

3 基于小波理論的主動(dòng)預(yù)警式網(wǎng)絡(luò)信息安全運(yùn)維內(nèi)容

在網(wǎng)絡(luò)信息安全運(yùn)維工作中會(huì)接觸大量的數(shù)據(jù)，包括實(shí)時(shí)網(wǎng)絡(luò)流量日志、防火墻產(chǎn)生的連接數(shù)日志、操作系統(tǒng)和網(wǎng)元的告警日志、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)生的入侵告警、審計(jì)系統(tǒng)產(chǎn)生的操作審計(jì)日志信息、日常檢查出的漏洞分布情況、檢查操作系統(tǒng)配置合規(guī)情況等，隨著網(wǎng)絡(luò)安全和信息技術(shù)的發(fā)展，將會(huì)接觸到更多的系統(tǒng)，且面對(duì)更海量的數(shù)據(jù)。因此，有必要對(duì)這些數(shù)據(jù)進(jìn)行深度挖掘分析，從而找出隱藏信息和規(guī)律，甚至可以提前對(duì)網(wǎng)絡(luò)安全情況進(jìn)行預(yù)警，對(duì)未來的網(wǎng)絡(luò)安全走勢(shì)進(jìn)行預(yù)測(cè)，從而指引日常信息安全運(yùn)維工作的方向。

以上的海量日志數(shù)據(jù)都有一個(gè)共同的特征——時(shí)序。需關(guān)心這些日志數(shù)據(jù)的時(shí)間維度，比如：異常流量發(fā)生的時(shí)間、安全漏洞發(fā)生的時(shí)間、系統(tǒng)入侵的時(shí)間、系統(tǒng)告警的時(shí)間等。

傳統(tǒng)的分析挖掘方法一般是基于統(tǒng)計(jì)學(xué)，將時(shí)間序列數(shù)據(jù)作為變量來處理。但是如果換一個(gè)角度，可以把海量日志數(shù)據(jù)從時(shí)間和發(fā)生頻率這2個(gè)維度考慮，將所有日志數(shù)據(jù)看做是波形，即可以采用小波分析原理對(duì)日志數(shù)據(jù)進(jìn)行處理，從小波分析的結(jié)果來提升日常安全運(yùn)維。

若要將小波理論在主動(dòng)預(yù)警式的網(wǎng)絡(luò)分析系統(tǒng)中進(jìn)行實(shí)現(xiàn)，還需要克服以下3個(gè)問題：

（1）對(duì)現(xiàn)有在運(yùn)維過程中得到的海量日志數(shù)據(jù)進(jìn)行數(shù)模轉(zhuǎn)換，對(duì)數(shù)據(jù)進(jìn)行波形化。

（2）對(duì)得到的波形進(jìn)行去噪。

（3）對(duì)小波變換函數(shù)進(jìn)行二進(jìn)制離散化。

在克服這些困難之后，可以依照?qǐng)D1所示的順序進(jìn)行數(shù)據(jù)的輸入/輸出：

圖1 小波理論主動(dòng)預(yù)警系統(tǒng)演進(jìn)圖

（1）通過對(duì)安全事件進(jìn)行分析，確定與安全事件密切相關(guān)的屬性（如漏洞信息、流量信息、攻擊信息、時(shí)間信息、發(fā)生頻率、危害程度等）。

（2）設(shè)計(jì)數(shù)據(jù)采集模塊，對(duì)安全防護(hù)設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)采集。

（3）對(duì)采集到的數(shù)據(jù)進(jìn)行量化，得到一系列的數(shù)值型數(shù)據(jù)。同時(shí)，把離散的數(shù)值數(shù)據(jù)轉(zhuǎn)換成波形，即把數(shù)字信號(hào)轉(zhuǎn)換成模擬信號(hào)，以進(jìn)行小波分析。

（4）數(shù)據(jù)采集過程中由于外界因素的影響或檢測(cè)誤差的存在，采集到的數(shù)據(jù)通常都包含噪聲，用小波變換做降噪處理，使信號(hào)能最大限度地反映原信號(hào)本身的規(guī)律與性質(zhì)。

（5）對(duì)處理過的信號(hào)波形運(yùn)用小波分析，檢測(cè)出頻率突變點(diǎn)的位置。

（6）綜合各個(gè)屬性的檢測(cè)分析結(jié)果，對(duì)影響公司日常安全運(yùn)維的風(fēng)險(xiǎn)因素進(jìn)行預(yù)警，評(píng)價(jià)公司網(wǎng)絡(luò)與信息安全工作開展整體情況及整體安全水平，為安全策略的制定提供依據(jù)。

3.1 日志數(shù)據(jù)的波形化

日常運(yùn)維過程中產(chǎn)生的日志數(shù)據(jù)往往都會(huì)對(duì)應(yīng)某時(shí)刻或者某段時(shí)間內(nèi)的情況。如果將一種情況的值，比如網(wǎng)絡(luò)流量大小或者檢查出的漏洞數(shù)目、檢測(cè)到的網(wǎng)絡(luò)攻擊數(shù)目等按照一定方法量化后作為波形的幅度si，和其對(duì)應(yīng)的時(shí)間值ti，則會(huì)形成一組離散化的波形，帶入到公式為x(t)={ti,si}，那么所有類型的情況的值都可以是這樣一組波形，從而實(shí)現(xiàn)了日志數(shù)據(jù)的波形化。

3.2 波形的去噪

在得到日志數(shù)據(jù)波形化后難免會(huì)出現(xiàn)噪聲，為了更加準(zhǔn)確地分析波形，需要進(jìn)行去噪。從實(shí)踐結(jié)果來看，噪聲和有用信息的細(xì)節(jié)部分一般都會(huì)在波形的高頻區(qū)域，傳統(tǒng)的傅里葉變換無法去除噪聲和有用信息重疊區(qū)域特別大的情況。因此，可采用小波分析的方法來去除噪聲，這樣更能保持去噪過程中波形細(xì)節(jié)不受損失。

有用信號(hào)的小波系數(shù)往往幅度大、數(shù)目少，而噪聲信號(hào)的小波系數(shù)則幅度小、數(shù)目多，因此可先設(shè)定一個(gè)閾值，在閾值內(nèi)的為有用信息，在閾值之外的認(rèn)定為噪聲。

在小波函數(shù)滿足容許條件的情況下，可以用傅里葉變換經(jīng)過閾值處理后的小波分解結(jié)果來重建原始波形，便于在降噪之后對(duì)優(yōu)化后的波形進(jìn)行進(jìn)一步分析。

小波容許條件為：

其中，Ψ(ω)為小波函數(shù)的傅里葉變換。

通過這樣的小波變換，可以對(duì)原有的波形進(jìn)行有效降噪，過濾掉無用的日志數(shù)據(jù)信息，從而為后續(xù)的精確預(yù)警提供了基礎(chǔ)。

3.3 二進(jìn)制離散化

為了實(shí)現(xiàn)對(duì)日志數(shù)據(jù)的周期性分析和安全預(yù)警，需要對(duì)函數(shù)進(jìn)行二進(jìn)制離散，這樣可以通過計(jì)算機(jī)程序來利用小波變換函數(shù)對(duì)被數(shù)?；拇髷?shù)據(jù)進(jìn)行多級(jí)分解，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的提前預(yù)警并提供預(yù)見性指引。

如果：

那么，x(t)可以表示的小波序列為：

其中：

在日志數(shù)據(jù)二進(jìn)制離散后，實(shí)現(xiàn)對(duì)日志數(shù)據(jù)大規(guī)模多級(jí)分解，并且進(jìn)行周期性規(guī)律分析，從中發(fā)現(xiàn)異常信息，提前預(yù)警，從而為日常安全運(yùn)維工作提供主動(dòng)式的思考，讓日常安全運(yùn)維工作更加有序開展，提升日常安全運(yùn)維水平。

4 實(shí)踐效果

該理論在筆者單位安全運(yùn)維方面得到了應(yīng)用，效果顯著。2013年該理論實(shí)踐后變換得到的日常安全運(yùn)維趨勢(shì)如圖2所示：

圖2 小波理論主動(dòng)預(yù)警系統(tǒng)日常安全運(yùn)維趨勢(shì)圖

（1）點(diǎn)1：73%異常，超出了筆者認(rèn)為的68%和72%的控制區(qū)間。

（2）點(diǎn)2：69%，這個(gè)指標(biāo)是在筆者的受控區(qū)間中，但仍然是異常。

（3）點(diǎn)3：65%，低于閾值，異常。

（4）點(diǎn)4：71%，這個(gè)也是異常，是連續(xù)3個(gè)點(diǎn)（71%、72%、71%）落在控制中線（70%）的一側(cè)，顯示可能出現(xiàn)了單邊安全形勢(shì)。

在2013年內(nèi)，通過該系統(tǒng)筆者單位運(yùn)維安全預(yù)警明顯得以提升，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常事件11起，整治網(wǎng)絡(luò)安全漏洞43個(gè)，同比2012年筆者公司投入運(yùn)維安全人員由2 104人/時(shí)降至733人/時(shí)，可有效控制網(wǎng)絡(luò)風(fēng)險(xiǎn)，大幅提升工作效率。

5 結(jié)束語

通過小波變換分析手段，可以將在工作中收集的海量網(wǎng)絡(luò)和信息安全有關(guān)數(shù)據(jù)進(jìn)行深度挖掘分析，并且建立基于小波理論的主動(dòng)預(yù)警式網(wǎng)絡(luò)分析理論和系統(tǒng)，將數(shù)據(jù)收集、數(shù)據(jù)數(shù)模轉(zhuǎn)換、數(shù)據(jù)降噪、數(shù)據(jù)分析等過程全自動(dòng)化、圖形化表現(xiàn)出來，對(duì)網(wǎng)絡(luò)安全各事件的發(fā)生進(jìn)行規(guī)律解讀，提前預(yù)警可能發(fā)生的風(fēng)險(xiǎn)事件，使日常信息安全運(yùn)維工作有理可依、有據(jù)可循，為從以事件為導(dǎo)向的被動(dòng)型安全企業(yè)轉(zhuǎn)變?yōu)橐燥L(fēng)險(xiǎn)為導(dǎo)向的成熟型安全企業(yè)提供有力的技術(shù)支撐。

[1] ROBI POLIKAR. THE ENGINEER’S ULTIMATE GUIDE TO WAVELET ANALYSIS: The Wavelet Tutorial[EB/OL]. (2012-02-16). http://yanlijun250.iteye. com/blog/1418011.

[2] Lokenath Debnath. Wavelet Transforms and Their Applications to Turbulence[EB/OL]. (2011-05-25). http:// wenku.baidu.com/link?url=ZC1JSaTZsrc1P9yl6BEDC-rh_3 VkQOVRJeW3Jn2BzVYyzQhiuPd0V0WtbrKqOJi35MEIR QhJmnYqiGVLO_L3eQmaTjIVinygV9SOMVPrCye.

[3] Daubechies I. The Wavelet Transform, Time-Frequency Localization and Signal Analysis[J]. IEEE Transactions on Information Theory, 1990,36(5): 961-1005.

[4] Mallat S. A Theory for Multiresolution Signal Decomposition[EB/OL]. (2010-11-26). http://wenku. baidu.com/link?url=gxrUf621vw9fIoHyze5Gk53z16W6 6vNO7IcCPJATzZhtQpnhORiQ6-SnyidmWb18Szvdpv_ Ckn66OK7yHhsogBcETAq9wtgIEzfQcTTMKaq.

[5] 李世雄. 小波變換及其應(yīng)用[M]. 北京: 高等教育出版社, 1997.

[6] 何嶺松. 小波函數(shù)性質(zhì)及其對(duì)小波分析結(jié)果的影響[J]. 振動(dòng)工程學(xué)報(bào), 2000(1): 143-146.

[7] 劉素一,權(quán)先璋,張勇傳. 不同小波函數(shù)對(duì)徑流分析結(jié)果的影響[J]. 水電能源科學(xué), 2003(1): 29-31.

[8] 段瑞玲,李玉和,李慶祥. 小波函數(shù)的選擇及其對(duì)圖像濾波性能影響[J]. 計(jì)算機(jī)應(yīng)用, 2005(12): 219-220.

[9] 張平文,劉法啟. 小波函數(shù)值的計(jì)算[J]. 計(jì)算數(shù)學(xué), 1995(2): 173-185.

[10] 張新紅. 小波網(wǎng)絡(luò)理論及其在經(jīng)濟(jì)預(yù)測(cè)中的應(yīng)用研究[D]. 天津: 天津大學(xué), 2003.★

Active Warning Network Information Security Operation Based on Wavelet Analysis

LIN Zheng, LI Yang
(China Mobile Group Guizhou Co., Ltd., Guiyang Branch, Guiyang 550001, China)

A security operation and maintenance evaluation method based on wavelet analysis was presented in this paper. Based on huge amounts of data mining, data was analyzed by means of wavelet analysis theory. A noise reduction method according to wave form of huge amounts of data was presented. Also, a solution to binary discrete algorithm of wavelet function was put forward to achieve active warning to future security trend and enhance effi ciency of network and information security.

wavelet analysis active warning information security security operation

10.3969/j.issn.1006-1010.2015.12.011

TP319

A

1006-1010(2015)12-0054-04

林征,李洋. 基于小波分析的主動(dòng)預(yù)警式網(wǎng)絡(luò)信息安全運(yùn)維[J]. 移動(dòng)通信, 2015,39(12): 54-57.

2015-04-28

責(zé)任編輯：袁婷 yuanting@mbcom.cn