文档详细内容(约10页)
第16卷第1期 智能系统学报 Vol.16 No.1 2021年1月 CAAI Transactions on Intelligent Systems Jan.2021 D0L:10.11992tis.202006053 基于多源异构数据融合的网络安全态势评估体系 常利伟2,田晓雄,张宇青,钱宇华,胡治国 (1.山西财经大学信息学院,山西太原030006:2.山西大学大数据科学与产业研究院,山西太原030006) 摘要:针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引 入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模 块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以BP神经网络为决策引擎 分析各数据源的数据,使用指数加权D-S证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方 法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同:多源融合 技术进一步将识别攻击类型的准确率提升到88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。 关键词:网络安全:网络安全态势评估:数据融合:层次化分析方法;网络攻击:威胁量化:检测评估 中图分类号:TP393文献标志码:A文章编号:1673-4785(2021)01-0038-10 中文引用格式:常利伟,田晓雄,张宇青,等.基于多源异构数据融合的网络安全态势评估体系J,智能系统学报,2021, 16(1):38-47. 英文引用格式:CHANGLiwei,TIAN Xiaoxiong,ZHANG Yuqing,etal.Network security situation assessment architecture based on multi-source heterogeneous data fusionJ CAAI transactions on intelligent systems,2021,16(1):38-47. Network security situation assessment architecture based on multi-source heterogeneous data fusion CHANG Liwei,TIAN Xiaoxiong',ZHANG Yuqing',QIAN Yuhua',HU Zhiguo (1.College of Information,Shanxi University of Finance and Economics,Taiyuan 030006,China;2.Institute of Big Data Science and Industry,Shanxi University,Taiyuan 030006,China) Abstract:Because it is difficult to detect malicious network activity precisely and analyze the network situation effect- ively based only on the single point network data,in this paper,we propose a network security situation assessment ar- chitecture consisting of five modules:a traffic detection module,attribute extraction module,decision engine module, multi-source fusion module,and situation assessment module based on the strategy of multi-source heterogeneous data fusion and the idea of hierarchical network security assessment.In this assessment architecture,a BP neural network is used as the decision engine to analyze the multi-source heterogeneous data,the exponential weighting D-S evidence the- ory is used to merge the output of multiple decision engines,and the threat status of the network is exhibited by refer- ring to the hierarchical network security threat assessment method.The experimental results demonstrate that first,the data from different detectors have different advantages for identifying different types of attacks;second,the multi- source fusion technology can further improve the accuracy of identifying attacks,which is up to 88.7%;and third,the hierarchical network analysis method can exactly exhibit the threat status of network effectivity. Keywords:network security;network security situation assessment;data fusion;hierarchical analysis method;network attacks;threat quantification;detection and evaluation 收稿日期:2020-06-30. 基金项目:山西省自然科学基金项目(201801D221159):山西省 没有网络安全就没有国家安全,网络安全已 高等学校科技创新项目(2019L0470):山西省重点研 成为信息时代国家安全的基石。然而随着网络规 发项目(201903D421003). 通信作者:常利伟.E-mail:changliwei0(02@163.com 模的日益扩大以及网络恶意行为的复杂化与智能
DOI: 10.11992/tis.202006053 基于多源异构数据融合的网络安全态势评估体系 常利伟1,2,田晓雄1 ,张宇青1 ,钱宇华2 ,胡治国2 (1. 山西财经大学 信息学院,山西 太原 030006; 2. 山西大学 大数据科学与产业研究院,山西 太原 030006) 摘 要:针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引 入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模 块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以 BP 神经网络为决策引擎 分析各数据源的数据,使用指数加权 D-S 证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方 法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同;多源融合 技术进一步将识别攻击类型的准确率提升到 88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。 关键词:网络安全;网络安全态势评估;数据融合;层次化分析方法;网络攻击;威胁量化;检测评估 中图分类号:TP393 文献标志码:A 文章编号:1673−4785(2021)01−0038−10 中文引用格式:常利伟, 田晓雄, 张宇青, 等. 基于多源异构数据融合的网络安全态势评估体系 [J]. 智能系统学报, 2021, 16(1): 38–47. 英文引用格式:CHANG Liwei, TIAN Xiaoxiong, ZHANG Yuqing, et al. Network security situation assessment architecture based on multi-source heterogeneous data fusion[J]. CAAI transactions on intelligent systems, 2021, 16(1): 38–47. Network security situation assessment architecture based on multi-source heterogeneous data fusion CHANG Liwei1,2 ,TIAN Xiaoxiong1 ,ZHANG Yuqing1 ,QIAN Yuhua2 ,HU Zhiguo2 (1. College of Information, Shanxi University of Finance and Economics, Taiyuan 030006, China; 2. Institute of Big Data Science and Industry, Shanxi University, Taiyuan 030006, China) Abstract: Because it is difficult to detect malicious network activity precisely and analyze the network situation effectively based only on the single point network data, in this paper, we propose a network security situation assessment architecture consisting of five modules: a traffic detection module, attribute extraction module, decision engine module, multi-source fusion module, and situation assessment module based on the strategy of multi-source heterogeneous data fusion and the idea of hierarchical network security assessment. In this assessment architecture, a BP neural network is used as the decision engine to analyze the multi-source heterogeneous data, the exponential weighting D-S evidence theory is used to merge the output of multiple decision engines, and the threat status of the network is exhibited by referring to the hierarchical network security threat assessment method. The experimental results demonstrate that first, the data from different detectors have different advantages for identifying different types of attacks; second, the multisource fusion technology can further improve the accuracy of identifying attacks, which is up to 88.7%; and third, the hierarchical network analysis method can exactly exhibit the threat status of network effectivity. Keywords: network security; network security situation assessment; data fusion; hierarchical analysis method; network attacks; threat quantification; detection and evaluation 没有网络安全就没有国家安全,网络安全已 成为信息时代国家安全的基石。然而随着网络规 模的日益扩大以及网络恶意行为的复杂化与智能 收稿日期:2020−06−30. 基金项目:山西省自然科学基金项目 (201801D221159);山西省 高等学校科技创新项目 (2019L0470);山西省重点研 发项目 (201903D421003). 通信作者:常利伟. E-mail:changliwei002@163.com. 第 16 卷第 1 期 智 能 系 统 学 报 Vol.16 No.1 2021 年 1 月 CAAI Transactions on Intelligent Systems Jan. 2021
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·39· 化,传统以入侵检测系统为核心的单点防御体系 胁、脆弱性和稳定性3个维度评估网络的安全状 暴露出越来越多的弊端。单点检测方式本质上是 况,并在决策层面将结果进行融合来衡量整个网 通过单个节点的信息做出判断,会形成“安全信息 络的安全状况。2020年Zheng Weifa等使用D- 孤岛”,无法从整个网络层面做出准确的决策,因 S证据理论融合主机防火墙数据、wb防火墙数 此面对复杂的网络恶意活动时会产生大量的误 据和入侵检测数据,对网络安全性进行评估。 报、漏报。 通过对以上学术成果的综合分析,本文构成 安全态势评估通过技术手段从时间和空间 出基于多源异构数据融合的网络安全态势评估体 维度来感知并获取安全相关元素,综合分析安全 系,主要工作如下: 信息以准确判断安全状况。随后国内外许多研 1)提出了包含流量探测模块、属性提炼模 究人员将态势评估的思想及方法应用到网络安全 块、决策引擎模块、多源融合模块、态势评估模块 领域,设计和实现了许多高效网络安全态势评估 等5大模块的网铬安全态势评估体系。 系统。 2)以入侵检测系统(Snort)报警规则为标尺, 1995年Endsley"将态势感知概括为态势觉 提炼网络威胁等级划分原则。 察、态势理解、态势投射3个过程。1999年 3)使用层次化网络安全威胁评估方法,依次 Bass)首次提出网络安全态势感知,本质上是融 评估服务层、主机层、网络层态势。 合多源入侵检测系统的结果,识别网络中的攻击 1网络安全态势评估体系 活动,评估网络运行状况。2002年陈继军)提出 权系数理论原则,用于确定各传感器的系数。 本文提出的基于多源异构数据融合的网络安 2005年诸葛建伟等引入D-S证据理论,构建决 全态势评估体系包含流量探侧模块、属性提炼模 策引擎判断网络状况。2006年陈秀真等提出了 块、决策引擎模块、多源融合模块和态势评估模 层次化安全威胁评估模型,通过网络流量信息及 块等5大模块。如图1所示,5个模块构建时吻 入侵检测报警信息,对网络运行状况进行评估。 合信息安全管理中安全基础、识别认定、检测评 2008年马琳茹等通过指数加权规则,将不同的 估、安全防护4个维度,充分考虑可用性、可控 传感器赋予不同的信任以改进D-S证据理论。 性、保密性等信息安全要求。如图2所示:1)流 2009年韦勇等)从节点脆弱性和攻击威胁等角 量探测模块是在网络中部署多个探测器,以全面 度,基于D-S证据理论算法,构建网络安全态势 地获取网络信息;2)属性提炼模块是基于恶意活 评估模型。 动特征,准确地构造有助于提高识别攻击类型的 2016年刘效武等⑧构建了一个融合-感知-决 核心属性;3)决策引擎模块是利用网络数据,科 策-控制的态势认知融合感控模型,对网络状况 学地训练由核心属性到攻击类型的模型;4)多源 进行评估。2018年Wang Huan等9使用混淆矩阵 融合模块是巧妙地融合决策引擎的输出结果,有 最大特征值对应的特征向量确定主机态势的参 效提升识别攻击类型的性能:5)态势评估模块是 数,对网络运行状况进行评估。2018年龚俭等1 基于融合结果,直观地展示网络运行状态。 认为网络安全态势感知(network security situation 可控性 awareness,.NSSA)是认知网络系统安全状态的过 程,包含原始数据测量、语义提取、融合处理、异 可用性 常识别、态势获取等内容。2018年Zhao Dong- 保密性 安全基础 mei等)通过粗糙集属性简约算法提取核心属 令 法 识别认定 性,并使用粒子群优化算法优化径向基神经网络 流量探测模块 提 引 态势评 检测评估 识别网络攻击。2018年陈维鹏等)将网络态势 模块 合 模 安全防护 等级进行划分,通过模拟退火算法优化BP(back 块 propagation)神经网络参数,确定网络空间态势感 知等级。2019年贾焰等1对网络安全态势感知 图1网络安全态势评估体系 概念、网络安全态势关键技术等方面的研究现状 Fig.1 The architecture of network security situation as- 进行深入剖析。2019年Xi Rongrong等从威 sessment
化,传统以入侵检测系统为核心的单点防御体系 暴露出越来越多的弊端。单点检测方式本质上是 通过单个节点的信息做出判断,会形成“安全信息 孤岛”,无法从整个网络层面做出准确的决策,因 此面对复杂的网络恶意活动时会产生大量的误 报、漏报。 安全态势评估通过技术手段从时间和空间 维度来感知并获取安全相关元素,综合分析安全 信息以准确判断安全状况。随后国内外许多研 究人员将态势评估的思想及方法应用到网络安全 领域,设计和实现了许多高效网络安全态势评估 系统。 1995 年 Endsley[1] 将态势感知概括为态势觉 察、态势理解、态势投 射 3 个过程。 199 9 年 Bass[2] 首次提出网络安全态势感知,本质上是融 合多源入侵检测系统的结果,识别网络中的攻击 活动,评估网络运行状况。2002 年陈继军[3] 提出 权系数理论原则,用于确定各传感器的系数。 2005 年诸葛建伟等[4] 引入 D-S 证据理论,构建决 策引擎判断网络状况。2006 年陈秀真等[5] 提出了 层次化安全威胁评估模型,通过网络流量信息及 入侵检测报警信息,对网络运行状况进行评估。 2008 年马琳茹等[6] 通过指数加权规则,将不同的 传感器赋予不同的信任以改进 D-S 证据理论。 2009 年韦勇等[7] 从节点脆弱性和攻击威胁等角 度,基于 D-S 证据理论算法,构建网络安全态势 评估模型。 2016 年刘效武等[8] 构建了一个融合−感知−决 策−控制的态势认知融合感控模型,对网络状况 进行评估。2018 年 Wang Huan 等 [9] 使用混淆矩阵 最大特征值对应的特征向量确定主机态势的参 数,对网络运行状况进行评估。2018 年龚俭等[10] 认为网络安全态势感知 (network security situation awareness, NSSA) 是认知网络系统安全状态的过 程,包含原始数据测量、语义提取、融合处理、异 常识别、态势获取等内容。2018 年 Zhao Dongmei 等 [11] 通过粗糙集属性简约算法提取核心属 性,并使用粒子群优化算法优化径向基神经网络 识别网络攻击。2018 年陈维鹏等[12] 将网络态势 等级进行划分,通过模拟退火算法优化 BP(back propagation) 神经网络参数,确定网络空间态势感 知等级。2019 年贾焰等[13] 对网络安全态势感知 概念、网络安全态势关键技术等方面的研究现状 进行深入剖析。2019 年 Xi Rongrong 等 [14] 从威 胁、脆弱性和稳定性 3 个维度评估网络的安全状 况,并在决策层面将结果进行融合来衡量整个网 络的安全状况。2020 年 Zheng Weifa 等 [15] 使用 DS 证据理论融合主机防火墙数据、web 防火墙数 据和入侵检测数据,对网络安全性进行评估。 通过对以上学术成果的综合分析,本文构成 出基于多源异构数据融合的网络安全态势评估体 系,主要工作如下: 1) 提出了包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块、态势评估模块 等 5 大模块的网络安全态势评估体系。 2) 以入侵检测系统 (Snort) 报警规则为标尺, 提炼网络威胁等级划分原则。 3) 使用层次化网络安全威胁评估方法,依次 评估服务层、主机层、网络层态势。 1 网络安全态势评估体系 本文提出的基于多源异构数据融合的网络安 全态势评估体系包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块和态势评估模 块等 5 大模块。如图 1 所示,5 个模块构建时吻 合信息安全管理中安全基础、识别认定、检测评 估、安全防护 4 个维度,充分考虑可用性、可控 性、保密性等信息安全要求。如图 2 所示:1) 流 量探测模块是在网络中部署多个探测器,以全面 地获取网络信息;2) 属性提炼模块是基于恶意活 动特征,准确地构造有助于提高识别攻击类型的 核心属性;3) 决策引擎模块是利用网络数据,科 学地训练由核心属性到攻击类型的模型;4) 多源 融合模块是巧妙地融合决策引擎的输出结果,有 效提升识别攻击类型的性能;5) 态势评估模块是 基于融合结果,直观地展示网络运行状态。 可控性 可用性 保密性 安全基础 识别认定 检测评估 安全防护 流 量 探 测 模 块 属 性 提 炼 模 块 决 策 引 擎 模 块 多 源 融 合 模 块 态 势 评 估 模 块 图 1 网络安全态势评估体系 Fig. 1 The architecture of network security situation assessment 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·39·
·40· 智能系统学报 第16卷 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 探测器1日志 选择 训练 数值归一化 非数值向量化 属性提取 探测器1 分析 预测 探测器2日志 属性提取 选择 训练 属性构造 多模型 数值归一化 探测器2 非数值向量化 信息 属性提取 分析 预测 融合 探测器3日志 数值归一化 选择 训练 非数值向量化 属性提取 探测器3 分析 预测 由底层到高层计算网络态势 服务层 主机层 网络层 SusSfs huhf 局 12m, m(attack) huhi 后1 h,(t=fS(),0) N((1),) 由高层到底层分析攻击目标 态势评估模块 图2模块组件关系 Fig.2 The relationship of modules 1.1流量探测模块 Netflow、Snort、Suricata探测器获得的基础属 信息在网络中以流量包为单元,在2台设备 性如表1~3所示。1)将其中数值型数据进行归 之间进行传递,流量包由一台主机发出,途径路 化处理,避免数值变化较大的属性覆盖数值较小 由器、交换机、防火墙、网卡等设备,到达另一台 的属性,使得数值变化较小的属性失去作用; 主机。流量探测模块将在以上设备中部署多个探 2)将非数值型属性编码成向量,使得计算机能够 测器,尽可能全面地获取网络数据。 处理。 常用的探测器分以下2类:1)网络流量探测 由于其侧重点各异,不同探测器将获取到不 器,这类探测器通常部署在局域网入口路由器 同属性的网络数据。因此本文设计不同的统计算 上,可以全面地、实时地获取所有流入、流出局域 法,以高效地提炼不同探测器的属性:1)研究发 网的网络流量,并发送至数据处理中心:2)入侵 现如果直接使用Netflow和Suricata中的地址属 检测系统,入侵检测系统实时检测网络流量信 性、端口属性、应用服务属性和时间属性进行攻 息,并与规则库中的报警规则进行匹配,一旦发 击识别,效果不明显,因此借助统计算法融合以 现异常流量,将发出对应的警告信息。 上4类属性生成网络连接属性6-1(如表4),其他 1.2属性提炼模块 属性保留;2)Snort和Suricata为入侵检测系统,其 属性提炼模块根据网络恶意活动的特征,准 所产生的报警信息是其核心要素,因此针对性地 确地构造有助于提高识别攻击类型的核心属性。 设计统计算法提炼报警数量与报警类别属性
数值归一化 非数值向量化 属性提取 ... 数值归一化 非数值向量化 属性提取 ... 属性提取 属性构造 数值归一化 非数值向量化 属性提取... 服务层 由底层到高层计算网络态势 由高层到底层分析攻击目标 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 态势评估模块 主机层 网络层 探测器 1 探测器 2 探测器 3 探测器 1 日志 探测器 2 日志 探测器 3 日志 选择 训练 选择 训练 选择 训练 分析 预测 分析 预测 分析 预测 多模型 信息 融合 ∑ g i=1 m(attacki )10f(attacki) vkj= sukjsfkj sukjsf ∑ kj n j=1 hukhfk hukhf ∑ k m k=1 lk= hk (t)=f(Sk (t), V(t)) N(t)=f(H(t), L(t)) 图 2 模块组件关系 Fig. 2 The relationship of modules 1.1 流量探测模块 信息在网络中以流量包为单元,在 2 台设备 之间进行传递,流量包由一台主机发出,途径路 由器、交换机、防火墙、网卡等设备,到达另一台 主机。流量探测模块将在以上设备中部署多个探 测器,尽可能全面地获取网络数据。 常用的探测器分以下 2 类:1) 网络流量探测 器,这类探测器通常部署在局域网入口路由器 上,可以全面地、实时地获取所有流入、流出局域 网的网络流量,并发送至数据处理中心;2) 入侵 检测系统,入侵检测系统实时检测网络流量信 息,并与规则库中的报警规则进行匹配,一旦发 现异常流量,将发出对应的警告信息。 1.2 属性提炼模块 属性提炼模块根据网络恶意活动的特征,准 确地构造有助于提高识别攻击类型的核心属性。 Netflow、Snort、Suricata 探测器获得的基础属 性如表 1~3 所示。1) 将其中数值型数据进行归一 化处理,避免数值变化较大的属性覆盖数值较小 的属性,使得数值变化较小的属性失去作用; 2)将非数值型属性编码成向量,使得计算机能够 处理。 由于其侧重点各异,不同探测器将获取到不 同属性的网络数据。因此本文设计不同的统计算 法,以高效地提炼不同探测器的属性:1) 研究发 现如果直接使用 Netflow 和 Suricata 中的地址属 性、端口属性、应用服务属性和时间属性进行攻 击识别,效果不明显,因此借助统计算法融合以 上 4 类属性生成网络连接属性[16-19] (如表 4),其他 属性保留;2) Snort 和 Suricata 为入侵检测系统,其 所产生的报警信息是其核心要素,因此针对性地 设计统计算法提炼报警数量与报警类别属性。 ·40· 智 能 系 统 学 报 第 16 卷
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 41· 表1 Netflow基础属性 表4网络连接属性 Table 1 Basic features of Netflow Table 4 Statistical features of network traffic 序号 属性名称 描述 序号 属性名称 描述 开始时间 Sip与Dip相同并且Sport-与 1 Stime is sm ips prots 2 Dur 持续时间 Dport相同为l,否则为0 每100条记录中,Ltime、 3 Ltime 结束时间 ct dst Itm Dip相同的数量 4 Protocol 传输层协议 每100条记录中,Ltime 5 Sip 源ip地址 ct src Itm Sip相同的数量 6 Dip 目的ip地址 每100条记录中,Ltime、 4 ct_src_dport Itm 7 Sport 源端口号 Sip、Dporti相同的数量 每100条记录中,Ltime、 8 Dport 目的端口号 ct_dst sport Itm Dip、Sport相同的数量 9 Pkt 包数 每100条记录中,Ltime 10 Byt 包大小 ct_dst_src_ltm Sip、Dip相同的数量 11 Bps 比特数s 每100条记录中,Sip、 ct_srv_src 12 Serve相同的数量 Pps 包数s 每100条记录中,Dip 13 Bpp 平均包大小 ct srv dst Serve相同的数量 表2 Snort基础属性 Table 2 Basic features of Snort 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练,准确 序号 属性名称 描述 地学习出从各探测器核心属性到攻击类型的模 Sip 源ip地址 型。神经网络是一个优秀的分类模型,学者们常 2 Dip 目的ip地址 用此模型作为决策引擎,0,本文采用BP神经网 Sport 源端口号 络作为决策引擎。 BP神经网络由输入层、隐藏层、输出层构成。 Dport 目的端口号 Robert Hecht Nielson证明,只包含一个隐藏层的 Ip len Ip包长度 网络可以逼近闭合区间内的任一连续函数,因此 6 Attack_num 报警数量 BP神经网络能够实现由属性到攻击类型的映射。 > Attack_type 报警类型 含有1层隐藏层的BP神经网络训练过程如 下,输人层有m个神经元,隐藏层有h个神经元, 表3 Suricata基础属性 Table 3 Basic features of Suricata 输出层有n个神经元,激活函数为x),隐藏层神 经元输出为D(d,d2…,dw),输入层与隐藏层之间 序号 属性名称 描述 的权值为W{w1≤i≤m,1≤j≤h,隐藏层与输出 Stime 开始时间 层之间的权值为Vy1≤k≤n,1≤j≤h,神经网络 Ltime 结束时间 预测值为7=,2,…,)识真实值为Y=0,2,…,) Sip 源ip地址 均方误差为E,如图3所示。 4 Dip 目的ip地址 隐藏层第j个节点的输出值为 J Sport 源端口号 =位小1a (1) 6 Dport 目的端口号 输出层第k个节点的输出值为 > Sever 应用层服务 8 Pkt 包数 (2) 9 Byt 包大小 均方误差为 10 Attack_num 报警数量 11 (3) Attack_type 报警类型 =2-w
表 1 Netflow 基础属性 Table 1 Basic features of Netflow 序号 属性名称 描述 1 Stime 开始时间 2 Dur 持续时间 3 Ltime 结束时间 4 Protocol 传输层协议 5 Sip 源ip地址 6 Dip 目的ip地址 7 Sport 源端口号 8 Dport 目的端口号 9 Pkt 包数 10 Byt 包大小 11 Bps 比特数/s 12 Pps 包数/s 13 Bpp 平均包大小 表 2 Snort 基础属性 Table 2 Basic features of Snort 序号 属性名称 描述 1 Sip 源ip地址 2 Dip 目的ip地址 3 Sport 源端口号 4 Dport 目的端口号 5 Ip_len Ip包长度 6 Attack_num 报警数量 7 Attack_type 报警类型 表 3 Suricata 基础属性 Table 3 Basic features of Suricata 序号 属性名称 描述 1 Stime 开始时间 2 Ltime 结束时间 3 Sip 源ip地址 4 Dip 目的ip地址 5 Sport 源端口号 6 Dport 目的端口号 7 Sever 应用层服务 8 Pkt 包数 9 Byt 包大小 10 Attack_num 报警数量 11 Attack_type 报警类型 表 4 网络连接属性 Table 4 Statistical features of network traffic 序号 属性名称 描述 1 is_sm_ips_prots Sip与Dip相同并且Sport与 Dport相同为1,否则为0 2 ct_dst_ltm 每100条记录中,Ltime、 Dip相同的数量 3 ct_src_ltm 每100条记录中,Ltime、 Sip相同的数量 4 ct_src_dport_ltm 每100条记录中,Ltime、 Sip、Dport相同的数量 5 ct_dst_sport_ltm 每100条记录中,Ltime、 Dip、Sport相同的数量 6 ct_dst_src_ltm 每100条记录中,Ltime、 Sip、Dip相同的数量 7 ct_srv_src 每100条记录中,Sip、 Serve相同的数量 8 ct_srv_dst 每100条记录中,Dip、 Serve相同的数量 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练,准确 地学习出从各探测器核心属性到攻击类型的模 型。神经网络是一个优秀的分类模型,学者们常 用此模型作为决策引擎[11, 20] ,本文采用 BP 神经网 络作为决策引擎。 BP 神经网络由输入层、隐藏层、输出层构成。 Robert Hecht Nielson[21] 证明,只包含一个隐藏层的 网络可以逼近闭合区间内的任一连续函数,因此 BP 神经网络能够实现由属性到攻击类型的映射。 W{wji|1 ⩽ i ⩽ m,1 ⩽ j ⩽ h} V{vk j|1 ⩽ k ⩽ n,1 ⩽ j ⩽ h} Yb = (by1,by2,··· ,byn) T Y = (y1, y2,···, yn) T 含有 1 层隐藏层的 BP 神经网络训练过程如 下,输入层有 m 个神经元,隐藏层有 h 个神经元, 输出层有 n 个神经元,激活函数为 f(x),隐藏层神 经元输出为 D=(d1 ,d2 ,…,dh ) T ,输入层与隐藏层之间 的权值为 ,隐藏层与输出 层之间的权值为 ,神经网络 预测值为 ,真实值为 , 均方误差为 E,如图 3 所示。 隐藏层第 j 个节点的输出值为 dj = f (∑m i=1 xiwji) ,1 ⩽ j ⩽ h (1) 输出层第 k 个节点的输出值为 byk = f (∑h j=1 djvk j) ,1 ⩽ k ⩽ n (2) 均方误差为 E = 1 2 ∑n k=1 ( byk −yk )2 (3) 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·41·
·42· 智能系统学报 第16卷 arg min ∑mA)-y (10) 1.5态势评估模块 态势评估模块的功能是基于多源融合模块的 输出结果,有效地评估网络态势。可分为攻击威 胁量化和态势评估2个内容。 1.5.1攻击威胁量化 量化影响态势变化的关键因子(如:攻击威胁 因子),是科学评估网络运行状态的基础。其中攻 击威胁因子量化是目前研究的一个难点,本文使 用权系数理论量化攻击威胁。经过划分威胁等级 图3BP神经网络 和威胁等级量化2个步骤得到攻击威胁因子值。 Fig.3 BP netural network 1)划分威胁等级 输出层及隐藏层各神经元的权值调整为 Snot作为一个常用的入侵检测系统,受到用 户的广泛认可。根据危害大小,Snort能够对攻击 △w=-刀aM 威胁定性分析,表5列出了攻击威胁等级的核心 4 内容。深入剖析威胁等级划分机理,本文提出了 △w=-w 攻击威胁等级划分原则。 表5网络攻击威胁程度 ②-wr(2小②小 Table 5 Severity of network attack 威胁 5 报警类型 描述 等级 1.4 多源融合模块 attempted-admin 成功获取管理员控制权限 高 多源融合模块将有机地融合所有决策引擎的 attempted-user 成功获取普通用户控制权限高 输出结果,进一步提高识别攻击的性能。融合算 潜在的侵犯企业隐私活动 高 法将各个决策引擎的输出结果作为融合因子,将 policy-violation 相同安全事件组合处理得到融合结果。本文使用 shellcode-detect 检测到可执行代码 高 指数加权D-S证据理论融合决策引擎输出结果, attempted-dos 企图发动拒绝服务攻击 中 并利用粒子群优化算法确定指数权重(particle denial-of-service 检测到拒绝服务攻击 中 swarm optimization-dempster shafer,PSO-DS). successful-dos 成功发动拒绝服务攻击 % 指数加权D-S证据理论为 successful-recon-limited 信息泄露 中 mA)=mA)产msA,)…m,A)产 (6) icmp-event 通常发生的ICMP事件 低 K K=2mar产%A加mA misc-activity 杂乱的网络活动 低 (7) network-scan 检测到网络扫描 低 式中:g为数据源个数;n为攻击类型个数;m1(A) not-suspicious 没有可疑流量 低 为第一个证据源认为是第i类攻击的概率;w:为 第一个证据源认为是第ⅰ类攻击的指数权值; ①威胁等级划分机理 m(A)为融合后第i类攻击的概率。 如表5所示,攻击严重程度为高的攻击基本 使用粒子群优化算法搜索指数权值: 上是获取计算机控制权限、木马、执行代码等恶 Vid=CsVid+Ci(Pid-Xud)+Car2(8nd-Xid) (8) 意活动,此类攻击会威胁主机系统安全;攻击严 Xu+nd Xid +Vid (9) 重程度为中的攻击以获取系统内部信息和消耗网 式中:d为优化空间维度;c、c2分别为将粒子推 络带宽为目的,这类攻击不会对主机系统造成破 向局部最优和全局最优的权重;c3为惯性权重; 坏:严重程度为低的攻击以网络扫描、获取网络 n,乃为随机数。为真实数据中第i种攻击的概 信息为目的,这类攻击对网络造成较轻影响。 率,粒子群优化目标为 ②威胁等级划分原则
m h n... ... ... 图 3 BP 神经网络 Fig. 3 BP netural network 输出层及隐藏层各神经元的权值调整为 ∆vk j = −η ∂E ∂vk j = −η ∂E ∂byk ∂byk ∂vk j = −η(byk −yk)f ′ (∑h j=1 djvk j) dj (4) ∆wji =−η ∂E ∂wji = −η (∑n k=1 ∂E ∂byk ∂byk ∂dj ) ∂dj ∂wji = −η (∑n k=1 ( byk −yk ) f ′ (∑h j=1 djvk j) vk j) f ′ (∑m i=1 xiwji) xi (5) 1.4 多源融合模块 多源融合模块将有机地融合所有决策引擎的 输出结果,进一步提高识别攻击的性能。融合算 法将各个决策引擎的输出结果作为融合因子,将 相同安全事件组合处理得到融合结果。本文使用 指数加权 D-S 证据理论融合决策引擎输出结果, 并利用粒子群优化算法确定指数权重 (particle swarm optimization-dempster shafer, PSO-DS)。 指数加权 D-S 证据理论为 m(Ai) = m1(Ai) w1im2(Ai) w2i ···mg(Ai) wgi K (6) K = ∑n i=1 m1(Ai) w1im2(Ai) w2i ···mg(Ai) wgi (7) m1(Ai) w1i m(Ai) 式中:g 为数据源个数;n 为攻击类型个数; 为第一个证据源认为是第 i 类攻击的概率; 为 第一个证据源认为是第 i 类攻击的指数权值; 为融合后第 i 类攻击的概率。 使用粒子群优化算法搜索指数权值: vtd = c3vtd +c1r1(ptd − xtd)+c2r2(gtd − xtd) (8) x(t+1)d = xtd +vtd (9) c1 c2 c3 r1 r2 yi 式中:d 为优化空间维度; 、 分别为将粒子推 向局部最优和全局最优的权重; 为惯性权重; , 为随机数。 为真实数据中第 i 种攻击的概 率,粒子群优化目标为 argmin(∑n i=1 (m(Ai)−yi) 2 ) (10) 1.5 态势评估模块 态势评估模块的功能是基于多源融合模块的 输出结果,有效地评估网络态势。可分为攻击威 胁量化和态势评估 2 个内容。 1.5.1 攻击威胁量化 量化影响态势变化的关键因子 (如:攻击威胁 因子),是科学评估网络运行状态的基础。其中攻 击威胁因子量化是目前研究的一个难点,本文使 用权系数理论量化攻击威胁。经过划分威胁等级 和威胁等级量化 2 个步骤得到攻击威胁因子值。 1) 划分威胁等级 Snort 作为一个常用的入侵检测系统,受到用 户的广泛认可。根据危害大小,Snort 能够对攻击 威胁定性分析,表 5 列出了攻击威胁等级的核心 内容。深入剖析威胁等级划分机理,本文提出了 攻击威胁等级划分原则。 表 5 网络攻击威胁程度 Table 5 Severity of network attack 报警类型 描述 威胁 等级 attempted-admin 成功获取管理员控制权限 高 attempted-user 成功获取普通用户控制权限 高 policy-violation 潜在的侵犯企业隐私活动 高 shellcode-detect 检测到可执行代码 高 attempted-dos 企图发动拒绝服务攻击 中 denial-of-service 检测到拒绝服务攻击 中 successful-dos 成功发动拒绝服务攻击 中 successful-recon-limited 信息泄露 中 icmp-event 通常发生的ICMP事件 低 misc-activity 杂乱的网络活动 低 network-scan 检测到网络扫描 低 not-suspicious 没有可疑流量 低 ①威胁等级划分机理 如表 5 所示,攻击严重程度为高的攻击基本 上是获取计算机控制权限、木马、执行代码等恶 意活动,此类攻击会威胁主机系统安全;攻击严 重程度为中的攻击以获取系统内部信息和消耗网 络带宽为目的,这类攻击不会对主机系统造成破 坏;严重程度为低的攻击以网络扫描、获取网络 信息为目的,这类攻击对网络造成较轻影响。 ②威胁等级划分原则 ·42· 智 能 系 统 学 报 第 16 卷
