本发明涉及信息安全技术领域,具体而言,涉及基于可信计算的云计算信息安全可视化系统。
背景技术:
近年来,社会信息化不断推进。网络应用越来越广泛,网络安全问题也随之日益突出严峻。网络安全可视化近年来也成为一个越来越受关注的领域,利用人们的视觉特点,将数据以图形图像的形式展现,用户能够更加直观的了解数据中蕴含的信息,使得网络管理者对网络中存在的安全问题做出判断,从而对网络状况做出分析。
有关可信计算的概念,在ISO/IEC 15408标准中给出了以下定义:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性,也就是说在每个终端平台上植入一个信任根,让计算机从BIOS到操作系统内核层,再到应用层都构建信任关系;以此为基础,扩大到网络上,建立相应的信任链,从而进入计算机免疫时代。当终端受到攻击时,可实现自我保护、自我管理和自我恢复。
可信计算为行为安全而生。据中国信息安全专家在《软件行为学》一书中描述,行为安全应该包括:行为的机密性、行为的完整性、行为的真实性等特征,在态势地图方面,现在人们更多的式研究如何保证信息的机密性和真实性,但是对于行为的完整性,尤其是可视化的完整信息始终存在诸多不足。
技术实现要素:
本发明的目的在于提供基于可信计算的云计算信息安全可视化系统,以解决上述的问题。
为解决上述技术问题,本发明采用的技术方案是:
基于可信计算的云计算信息安全可视化系统,其特征在于,包括依次连接的信息数据挖掘模块、可信信息预处理模块、信息存储模块和基于可信完整性的信息分析与展示模块;
所述信息数据挖掘模块,认证进行信息收集的网络中的硬件节点,判断网络硬件节点可信度,建立所采集信息的信任关系,通过在局域网络中抓取网络数据包的方式获取原始信息数据,所述原始信息数据包括IP间敏感信息发送检测数据、邮件检测日志数据和分布式拒绝服务攻击数据三种数据类型;
所述可信信息预处理模块,对原始信息数据进行数据降维、识别和分类预处理,形成可度量的量化数据,为整体信任环境的构建提供基础;
所述信息存储模块,将预处理后的信息数据加密后存储到云存储资源池相应的位置中,通过信息数据挖掘模块、可信信息预处理模块共同构建可信数据平台,并在可信数据平台的基础上实现数据的安全可信储存,构建整体信任环境;所述可信数据平台还包括可信软件系统,所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口,同时对所述可信数据平台后续软件提供完整性度量,并对不可控操作系统的特定行为进行行为审计和分析;所述后续软件包括核心加载软件和不可控操作系统软件;所述信息数据挖掘模块为可信链的起点,所述信息数据挖掘模块、可信信息预处理模块、信息存储模块和基于可信完整性的信息分析与展示模块生成共同构成可信链,上述各系统均设置有3G模块和数据收发应用程序,数据通过3G模块进行传输,3G模块上电后,由所述可信数据平台进行上电检测;
所述基于可信完整性的信息分析与展示模块,用于在已构建的可信数据平台基础上实现信息的提取、分析和展示,为管理人员提供可视化的可信数据和图形展示,其包括邮件往来关系分析展示子模块、日志次数分布分析展示子模块、IP间信息发送关系分析展示子模块、敏感邮件转发路径分析与展示子模块和分布式拒绝服务攻击数据分析与展示子模块,具体为:
(1)邮件往来关系分析展示子模块,用于对云存储资源池中存储的邮件检测日志数据进行提取、分析、处理,并展示某一指定时间段内检测到的敏感邮件往来关系;所述邮件往来关系分析展示子模块通过设计可选择日期的日历 使用户能与界面进行交互,用户可任意选择要查看的时间段,具体执行以下操作:
根据用户选择的时间段,系统对云存储资源池中的数据进行选取,选取到数据后以字典的形式对数据进行存储,经过对数据进行分析处理,根据敏感邮件的收发对应关系生成对应的矩阵数据模型;随后,通过和弦图的形式对所选择时间段内敏感邮件的收发关系进行可视化展示,各个不同邮箱分布在圆形的周围,在圆形外侧轮廓显示邮箱地址,如果不同的邮箱之间有着敏感信息的发送关系,便在两个邮箱之间做一条带状线条,线条粗的一方表示邮件的发送方,而线条细的一方表示邮件的接收方;
(2)日志次数分布分析展示子模块,用于按照时间段以及检测到的日志数量进行分类和统计,并用树状图的形式表现出来,具体为:
(2-1)将接收的日志数据集W按照时间段划分为n个时间子集,即W={W1,W2,…,Wj,…,Wn};
(2-2)人为设定m个日志数量等级,将每个时间子集Wj划分m个等级子集,即W1j、W2j、…、Wij、…、Wmj;
(2-3)以日志数据集W为根,Wj为第一层节点,Wij为第二层节点构造树TW;
(2-5)计算树TW中每个节点的量值,其中叶子节点的量值即为该数据元素的值,非叶子节点的量值等于其下层所有子节点的量值之和,至此日志数据集W构造成了一个树型数据结构;
(2-6)将生成的树型数据结构映射为二维平面上的树状图;
(3)IP间信息发送关系分析展示子模块,用于对位于云存储资源池相应位置的IP间敏感信息发送检测数据进行提取、分析、统计处理,通过可视化展示形式及界面交互展示一定时间段内不同的IP之间的敏感信息发送关联关系;所述IP间信息发送关系分析展示子模块采用时间段选择机制以及散点布局展示方式,用节点形式表示实体,线条表示实体之间的联系,用节点的大小来表示IP间信息发送关联关系的强弱程度,根据鼠标点击事件有选择性的进行层次展示;鼠标悬停在节点上会出现对应实体的详细信息,所述详细信息包括ID、发现时间,鼠标点击实体会选择出与所选择节点有关联的所有IP;同时设置有搜索机制,用户通过输入某一IP选择想要查看的IP关联信息;
所述邮件的收发对应关系通过获取邮件的TCP连接方向得到,具体为:首先通过解析获得的网络数据包,得到包括源IP地址、目的IP地址、源端口、目的端口、序列号的信息,并以四元组1{源IP地址,源端口,目的IP地址,目的端口}和四元组2:{目的IP地址,目的端口,源IP地址,源端口}分别标示TCP连接的两个方向,然后将网络数据包的应用层数据根据序列号按序写入与TCP连接方向对应的日志文件中。
(4)敏感邮件转发路径分析与展示子模块,用于通过分析处理统计邮件检测日志数据中的检测数据以及邮件转发关系,展示某一特定邮件在不同的邮箱之间被转发的路径,具体为:
首先,用户在搜索框内输入要搜索的邮件标题或者邮件标题所含的关键词,系统根据关键词对邮件记录数据中所有的邮件标题进行模糊匹配检索,若没有检索到与用户输入相匹配的邮件,则发送信息提醒用户重新输入;如果成功检索到相关记录,便将检索结果以Table内容的形式展示给用户,同时为每个邮件的标题添加Cl ick事件,用户点击目标邮件的标题,后台根据用户所选邮件再次对邮件记录进行检索匹配,找到该邮件的转发记录,并对每次转发的收发件人以字典的形式进行统计记录,构造可视化展示所需要的数据;最后,以一个层叠树状图的形式展示邮件的转发路径呈现给用户并提供交互功能,如果某邮箱为最后一级接收者,则树形图的顶点为空心显示,如果该邮箱还将此邮件转发给了另外的一个或者几个邮箱,则代表该邮箱的树形图节点设为实心;所述Table内容包括邮件ID、邮件标题、邮件时间、邮件始发人和邮件附件个数;
(5)分布式拒绝服务攻击数据分析与展示子模块,用于提取、分析并展示分布式拒绝服务攻击数据,具体为:
(5-1)分布式拒绝服务攻击数据分析与展示子模块从云存储资源池的相应位置中提取分布式拒绝服务攻击数据,采用哈希表进行存储,哈希表中关键字采用字符串形式,字符串由源IP、端口号以及根据用户设定的时间间隔所选取的时间签三项组成,这三项中任意一项新建元素出现不同时都要把新建元素插入到哈希表中,每一个元素在图形化中都表示一个节点,表示和被连接主机之间的关系,哈希表中关键字对应的值表示该次连接通信活动中的数据总量;
(5-2)计算所有节点的坐标值,进而将带有坐标信息的点进行绘制,并根据不同需求进行时间间隔、图形显示的单位半径参数的调整,其中绘制时遵 循的原则为:主机节点和中心节点之间的连线用不同颜色表示在时间间隔内通信数据量的大小,按照一定系数进行映射;主机节点由若干同心圆组成,颜色的对比强烈程度代表着该连接中涉及的端口数量。
优选地,其特征在于,所述可信信息预处理模块包括数据降维单元、数据识别单元和数据分类单元,为整体信任环境的构建提供基础,具体为:
(1)数据降维单元,用于采用改进的主成分分析法消除原始信息数据间的冗余,降低原始信息数据的维数,具体为:
1)提取要分析的N条原始信息数据,作为矩阵X=[x1,x2,…,xN],其中xi为第i条原始信息数据;
2)求解N条原始信息数据的平均值:
3)求解N条原始信息数据的协方差矩阵A:
4)根据协方差矩阵A的特征值计算其主成分元素:
Aδi=μiδi
其中μi,δi分别为特征值及对应的特征向量;
5)根据给定的精度ρ,通过数值计算方法,求解前M个最大特征值:
其中,M的取值范围为
6)取前M个最大特征值及对应的特征向量,令
Φ=[δ1,δ2,…,δM],Γ=diag(μ1,μ2,…,μM)
则有AΦ=ΦΓ;
7)计算低维向量组成的新矩阵Y=ΦTX;
(2)数据识别单元,用于对降低维数后的原始信息数据进行识别检测,去除不相关的信息数据,得到相关信息数据;
(3)数据分类单元,用于对相关信息数据按照数据类型进行分类。
优选地,所述数据识别单元包括对分布式拒绝服务攻击数据进行识别,具体为:
1)设降维后的n条原始信息数据矩阵为Y′=ΦTX′,其中X′=[x1,x2,…,xn],xj∈X′,选择Db3小波作为分析小波,并选择最大分解尺度,对Y′运用分解算法进行小波分解得到小波系数矩阵,当j≤最大尺度时,从小波系数矩阵中提取高频系数,计算小系数的方差Ψ后,根据[j,log2Ψ]拟合直线求得斜率k,从而求解出网络流量的自相似参数Hurst值H:
H=(k-1)/2
2)通过分析求得的不同时刻的Hurst变化值ΔH=Ht-Ht-1,设定门限值T,若ΔH>T,判定分布式拒绝服务攻击发生,保存对应的原始信息数据;若ΔH≤T,判定分布式拒绝服务攻击没有发出,去除对应的原始信息数据。本发明公开的技术方案可以包括以下有益效果:
1、在可信信息预处理模块中设置数据降维单元、数据识别单元和数据分类单元,对原始信息数据进行降维、识别和分类处理,从而实现将不同类型的数据存储在云存储资源池的不同位置中,利于基于可信完整性的信息分析与展示模块对相应数据的提取,进一步提高了系统的运行速度;
2、利用可视化的技术,针对于网络安全检测系统中捕获到的网络中敏感信息类型以及传输情况等进行可视化的展示,从五个不同的角度对网络安全检测数据进行分析及展示,分别是敏感邮件在各个邮箱间的往来关系分析展示、IP与IP之间敏感信息发送关系分析与可视化展示、针对于某一特定邮件在不同的邮箱间的转发路径的分析展示、日志次数分布分析与展示和分布式拒绝服务攻击数据分析展示,能够精确、全方位地提供网络中的安全日志信息,提高了整个系统的可信完整度;
3、在日志次数分布分析展示子模块中,构造了一种同时基于日志发布时间段和数量等级的层式树状图,用户可以按照发布时间和发布数量直观地看到查看日志发布情况;在邮件往来关系分析展示子模块中,通过解析和重组网络数据包,能获得完整的TCP连接信息,且采用层叠树状图进行展示,使用户能清晰直观地查看目标邮件在不用邮箱间的转发情况,以方便管理人员做出相应的判断及决策;
4、分布式拒绝服务攻击数据分析与展示子模块中,基于时间签进行分布式拒绝服务攻击数据的提取,并提出图形绘制的原则,将焦点集中在攻击的条件基础上,而并不是等待攻击者具备了所有条件后进行攻击时的监控和显示,且能够对分布式拒绝服务攻击模式进行多维度显示,另外,根据不同需求进行时间间隔、图形显示的单位半径参数的调整,提高了用户交互的性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
图1是本发明各模块的连接示意图;
附图标记:
信息数据挖掘模块1、可信信息预处理模块2、信息存储模块3、基于可信完整性的信息分析与展示模块4、数据降维单元21、数据识别单元22、数据分类单元23、往来关系分析展示子模块41、日志次数分布分析展示子模块42、IP间信息发送关系分析展示子模块43、敏感邮件转发路径分析与展示子模块44、分布式拒绝服务攻击数据分析与展示子模块45。
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
具体实施方式
下面通过具体的实施例并结合附图对本发明做进一步的详细描述。
参见图1,本实施例基于可信计算的云计算信息安全可视化系统,包括依次连接的信息数据挖掘模块1、可信信息预处理模块2、信息存储模块3和基于可信完整性的信息分析与展示模块4;
所述信息数据挖掘模块1,认证进行信息收集的网络中的硬件节点,判断网络硬件节点可信度,建立所采集信息的信任关系,通过在局域网络中抓取网络数据包的方式获取原始信息数据,所述原始信息数据包括IP间敏感信息发送检测数据、邮件检测日志数据和分布式拒绝服务攻击数据三种数据类型;
所述可信信息预处理模块2,对原始信息数据进行数据降维、识别和分类预处理,形成可度量的量化数据,为整体信任环境的构建提供基础;
所述信息存储模块3,将预处理后的信息数据加密后存储到云存储资源池相应的位置中,通过信息数据挖掘模块、可信信息预处理模块共同构建可信数 据平台,并在可信数据平台的基础上实现数据的安全可信储存,构建整体信任环境;所述可信数据平台还包括可信软件系统,所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口,同时对所述可信数据平台后续软件提供完整性度量,并对不可控操作系统的特定行为进行行为审计和分析;所述后续软件包括核心加载软件和不可控操作系统软件;所述信息数据挖掘模块为可信链的起点,所述信息数据挖掘模块、可信信息预处理模块、信息存储模块和基于可信完整性的信息分析与展示模块生成共同构成可信链,上述各系统均设置有3G模块和数据收发应用程序,数据通过3G模块进行传输,3G模块上电后,由所述可信数据平台进行上电检测;
所述基于可信完整性的信息分析与展示模块4,用于在已构建的可信数据平台基础上实现信息的提取、分析和展示,为管理人员提供可视化的可信数据和图形展示,其包括邮件往来关系分析展示子模块41、日志次数分布分析展示子模块42、IP间信息发送关系分析展示子模块43、敏感邮件转发路径分析与展示子模块44和分布式拒绝服务攻击数据分析与展示子模块45,具体为:
(1)邮件往来关系分析展示子模块41,用于对云存储资源池中存储的邮件检测日志数据进行提取、分析、处理,并展示某一指定时间段内检测到的敏感邮件往来关系;所述邮件往来关系分析展示子模块41通过设计可选择日期的日历使用户能与界面进行交互,用户可任意选择要查看的时间段,具体执行以下操作:
根据用户选择的时间段,系统对云存储资源池中的数据进行选取,选取到数据后以字典的形式对数据进行存储,经过对数据进行分析处理,根据敏感邮件的收发对应关系生成对应的矩阵数据模型;随后,通过和弦图的形式对所选择时间段内敏感邮件的收发关系进行可视化展示,各个不同邮箱分布在圆形的周围,在圆形外侧轮廓显示邮箱地址,如果不同的邮箱之间有着敏感信息的发送关系,便在两个邮箱之间做一条带状线条,线条粗的一方表示邮件的发送方,而线条细的一方表示邮件的接收方;
(2)日志次数分布分析展示子模块42,用于按照时间段以及检测到的日志数量进行分类和统计,并用树状图的形式表现出来,具体为:
(2-1)将接收的日志数据集W按照时间段划分为n个时间子集,即W={W1,W2,…,Wj,…,Wn};
(2-2)人为设定m个日志数量等级,将每个时间子集Wj划分m个等级子集,即W1j、W2j、…、Wij、…、Wmj,其中m的取值范围为[4,8];
(2-3)以日志数据集W为根,Wj为第一层节点,Wij为第二层节点构造树TW;
(2-5)计算树TW中每个节点的量值,其中叶子节点的量值即为该数据元素的值,非叶子节点的量值等于其下层所有子节点的量值之和,至此日志数据集W构造成了一个树型数据结构;
(2-6)将生成的树型数据结构映射为二维平面上的树状图;
(3)IP间信息发送关系分析展示子模块43,用于对位于云存储资源池相应位置的IP间敏感信息发送检测数据进行提取、分析、统计处理,通过可视化展示形式及界面交互展示一定时间段内不同的IP之间的敏感信息发送关联关系;所述IP间信息发送关系分析展示子模块43采用时间段选择机制以及散点布局展示方式,用节点形式表示实体,线条表示实体之间的联系,用节点的大小来表示IP间信息发送关联关系的强弱程度,根据鼠标点击事件有选择性的进行层次展示;鼠标悬停在节点上会出现对应实体的详细信息,所述详细信息包括ID、发现时间,鼠标点击实体便会选择出与所选择节点有关联的所有IP,并只显示该子网络图,同时也以文字的形式展示出其发送信息的对应关系;同时设置有搜索机制,用户可以输入某一IP选择想要查看的IP关联信息;
(4)敏感邮件转发路径分析与展示子模块44,用于通过分析处理统计邮件检测日志数据中的检测数据以及邮件转发关系,展示某一特定邮件在不同的邮箱之间被转发的路径,具体为:
首先,用户在搜索框内输入要搜索的邮件标题或者邮件标题所含的关键词,系统根据关键词对邮件记录数据中所有的邮件标题进行模糊匹配检索,若没有检索到与用户输入相匹配的邮件,则发送信息提醒用户重新输入;如果成功检索到相关记录,便将检索结果以Table内容的形式展示给用户,同时为每个邮件的标题添加Click事件,用户点击目标邮件的标题,后台根据用户所选邮件再次对邮件记录进行检索匹配,找到该邮件的转发记录,并对每次转发的收发件人以字典的形式进行统计记录,构造可视化展示所需要的数据;最后,以一个层叠树状图的形式展示邮件的转发路径呈现给用户并提供交互功能,如果某 邮箱为最后一级接收者,则树形图的顶点为空心显示,如果该邮箱还将此邮件转发给了另外的一个或者几个邮箱,则代表该邮箱的树形图节点设为实心的;
(5)分布式拒绝服务攻击数据分析与展示子模块45,用于提取、分析并展示分布式拒绝服务攻击数据,具体为:
1)分布式拒绝服务攻击数据分析与展示子模块45从云存储资源池的相应位置中提取分布式拒绝服务攻击数据,采用哈希表进行存储,哈希表中关键字采用字符串形式,字符串由源IP、端口号以及根据用户设定的时间间隔所选取的时间签三项组成,这三项中任意一项新建元素出现不同时都要把新建元素插入到哈希表中,每一个元素在将来的图形化表示中都是一个节点,表示和被连接主机之间的关系,哈希表中关键字对应的值表示该次连接通信活动中的数据总量;
2)计算所有节点的坐标值,进而将带有坐标信息的点进行绘制,并根据不同需求进行时间间隔、图形显示的单位半径参数的调整,其中绘制时遵循的原则为:主机节点和中心节点之间的连线表示在时间间隔内通信数据量的大小,按照一定系数进行映射,通信数据量用不同颜色表示,颜色为红色的表示通信数据量较大;主机节点由若干同心圆组成,颜色的对比强烈程度代表着该连接中涉及的端口数量。
其中,所述可信信息预处理模块2包括数据降维单元21、数据识别单元22和数据分类单元23,具体为:
(1)数据降维单元21,用于采用改进的主成分分析法消除原始信息数据间的的冗余,降低原始信息数据的维数,所述改进的主成分分析法为:
1)提起要分析的N条原始信息数据,作为矩阵X=[x1,x2,…,xN],其中xi为第i条原始信息数据;
2)求解N条原始信息数据的平均值:
3)求解N条原始信息数据的协方差矩阵M:
4)根据协方差矩阵A的特征值问题计算主成分元素:
Aδi=μiδi
其中μi,δi分别为M的特征值及对应的特征向量;
5)根据给定的精度ρ,通过数值计算方法,求解前M个最大特征值:
其中,M的取值范围为
6)取前M个最大特征值及对应的特征向量,令
Φ=[δ1,δ2,…,δM],Γ=diag(μ1,μ2,…,μM)
则有AΦ=ΦΓ;
7)计算低维向量组成的新矩阵Y=ΦTX;
(2)数据识别单元22,用于对降低维数后的原始信息数据进行识别检测,去除不相关的信息数据,得到相关信息数据;
(3)数据分类单元23,用于对相关信息数据按照数据类型进行分类。
其中,所述数据识别单元22包括对分布式拒绝服务攻击数据进行识别,具体为:
1)设降维后的K条原始信息数据矩阵为Y′=ΦTX′,其中X′=[x1,x2,…,xK],xj∈X′,选择Db3小波作为分析小波,并选择最大分解尺度,对Y′运用分解算法进行小波分解得到小波系数矩阵,当j≤最大尺度时,从小波系数矩阵中提取高频系数,计算小系数的方差Ψ后,并根据[j,log2Ψ]拟合直线求得斜率k,从而求解出网络流量的自相似参数Hurst值H:
H=(k-1)/2
2)通过分析求得的不同时刻的Hurst变化值ΔH=Ht-Ht-1,设定门限值T,若ΔH>T,判定分布式拒绝服务攻击发生,保存对应的原始信息数据;若ΔH≤T,判定分布式拒绝服务攻击没有发出,去除对应的原始信息数据。
其中,所述邮件的收发对应关系通过获取邮件的TCP连接方向得到,首先通过解析获得的网络数据包,得到包括源IP地址、目的IP地址、源端口、目的端口、序列号的信息,并以四元组1:源IP地址,源端口,目的IP地址,目的端口和四元组2:目的IP地址,目的端口,源IP地址,源端口,分别标 示TCP连接的两个方向,然后将网络数据包的应用层数据根据序列号按序写入与TCP连接方向对应的日志文件中。
其中,所述Table内容包括邮件ID、邮件标题、邮件时间、邮件始发人和邮件附件个数。
本实施例在可信信息预处理模块2中设置数据降维单元21、数据识别单元22和数据分类单元23,对原始信息数据进行降维、识别和分类处理,从而实现将不同类型的数据存储在云存储资源池的不同位置中,利于基于可信完整性的信息分析与展示模块4对相应数据的提取,进一步提高了系统的运行速度;利用可视化的技术,针对于网络安全检测系统中捕获到的网络中敏感信息类型以及传输情况等进行可视化的展示,从五个不同的角度对网络安全检测数据进行分析及展示,精确、全方位且方便管理人员做出相应的判断及决策,提高了整个系统的可信完整度;设置的分布式拒绝服务攻击数据分析与展示子模块45能够对分布式拒绝服务攻击模式进行多维度显示,方便管理人员做出相应的判断及决策,提高了信息的完整度,从另一个方面提高了系统的可信度;且根据不同需求进行时间间隔、图形显示的单位半径参数的调整,提高了用户交互的性能;本实施例取值m=4,系统的运行速度提高了2%。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。