第16卷第1期 智能系统学报 Vol.16 No.1 2021年1月 CAAI Transactions on Intelligent Systems Jan.2021 D0L:10.11992tis.202006053 基于多源异构数据融合的网络安全态势评估体系 常利伟2,田晓雄,张宇青,钱宇华,胡治国 (1.山西财经大学信息学院,山西太原030006:2.山西大学大数据科学与产业研究院,山西太原030006) 摘要:针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引 入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模 块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以BP神经网络为决策引擎 分析各数据源的数据,使用指数加权D-S证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方 法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同:多源融合 技术进一步将识别攻击类型的准确率提升到88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。 关键词:网络安全:网络安全态势评估:数据融合:层次化分析方法;网络攻击:威胁量化:检测评估 中图分类号:TP393文献标志码:A文章编号:1673-4785(2021)01-0038-10 中文引用格式:常利伟,田晓雄,张宇青,等.基于多源异构数据融合的网络安全态势评估体系J,智能系统学报,2021, 16(1):38-47. 英文引用格式:CHANGLiwei,TIAN Xiaoxiong,ZHANG Yuqing,etal.Network security situation assessment architecture based on multi-source heterogeneous data fusionJ CAAI transactions on intelligent systems,2021,16(1):38-47. Network security situation assessment architecture based on multi-source heterogeneous data fusion CHANG Liwei,TIAN Xiaoxiong',ZHANG Yuqing',QIAN Yuhua',HU Zhiguo (1.College of Information,Shanxi University of Finance and Economics,Taiyuan 030006,China;2.Institute of Big Data Science and Industry,Shanxi University,Taiyuan 030006,China) Abstract:Because it is difficult to detect malicious network activity precisely and analyze the network situation effect- ively based only on the single point network data,in this paper,we propose a network security situation assessment ar- chitecture consisting of five modules:a traffic detection module,attribute extraction module,decision engine module, multi-source fusion module,and situation assessment module based on the strategy of multi-source heterogeneous data fusion and the idea of hierarchical network security assessment.In this assessment architecture,a BP neural network is used as the decision engine to analyze the multi-source heterogeneous data,the exponential weighting D-S evidence the- ory is used to merge the output of multiple decision engines,and the threat status of the network is exhibited by refer- ring to the hierarchical network security threat assessment method.The experimental results demonstrate that first,the data from different detectors have different advantages for identifying different types of attacks;second,the multi- source fusion technology can further improve the accuracy of identifying attacks,which is up to 88.7%;and third,the hierarchical network analysis method can exactly exhibit the threat status of network effectivity. Keywords:network security;network security situation assessment;data fusion;hierarchical analysis method;network attacks;threat quantification;detection and evaluation 收稿日期:2020-06-30. 基金项目:山西省自然科学基金项目(201801D221159):山西省 没有网络安全就没有国家安全,网络安全已 高等学校科技创新项目(2019L0470):山西省重点研 成为信息时代国家安全的基石。然而随着网络规 发项目(201903D421003). 通信作者:常利伟.E-mail:changliwei0(02@163.com 模的日益扩大以及网络恶意行为的复杂化与智能
DOI: 10.11992/tis.202006053 基于多源异构数据融合的网络安全态势评估体系 常利伟1,2,田晓雄1 ,张宇青1 ,钱宇华2 ,胡治国2 (1. 山西财经大学 信息学院,山西 太原 030006; 2. 山西大学 大数据科学与产业研究院,山西 太原 030006) 摘 要:针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引 入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模 块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以 BP 神经网络为决策引擎 分析各数据源的数据,使用指数加权 D-S 证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方 法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同;多源融合 技术进一步将识别攻击类型的准确率提升到 88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。 关键词:网络安全;网络安全态势评估;数据融合;层次化分析方法;网络攻击;威胁量化;检测评估 中图分类号:TP393 文献标志码:A 文章编号:1673−4785(2021)01−0038−10 中文引用格式:常利伟, 田晓雄, 张宇青, 等. 基于多源异构数据融合的网络安全态势评估体系 [J]. 智能系统学报, 2021, 16(1): 38–47. 英文引用格式:CHANG Liwei, TIAN Xiaoxiong, ZHANG Yuqing, et al. Network security situation assessment architecture based on multi-source heterogeneous data fusion[J]. CAAI transactions on intelligent systems, 2021, 16(1): 38–47. Network security situation assessment architecture based on multi-source heterogeneous data fusion CHANG Liwei1,2 ,TIAN Xiaoxiong1 ,ZHANG Yuqing1 ,QIAN Yuhua2 ,HU Zhiguo2 (1. College of Information, Shanxi University of Finance and Economics, Taiyuan 030006, China; 2. Institute of Big Data Science and Industry, Shanxi University, Taiyuan 030006, China) Abstract: Because it is difficult to detect malicious network activity precisely and analyze the network situation effectively based only on the single point network data, in this paper, we propose a network security situation assessment architecture consisting of five modules: a traffic detection module, attribute extraction module, decision engine module, multi-source fusion module, and situation assessment module based on the strategy of multi-source heterogeneous data fusion and the idea of hierarchical network security assessment. In this assessment architecture, a BP neural network is used as the decision engine to analyze the multi-source heterogeneous data, the exponential weighting D-S evidence theory is used to merge the output of multiple decision engines, and the threat status of the network is exhibited by referring to the hierarchical network security threat assessment method. The experimental results demonstrate that first, the data from different detectors have different advantages for identifying different types of attacks; second, the multisource fusion technology can further improve the accuracy of identifying attacks, which is up to 88.7%; and third, the hierarchical network analysis method can exactly exhibit the threat status of network effectivity. Keywords: network security; network security situation assessment; data fusion; hierarchical analysis method; network attacks; threat quantification; detection and evaluation 没有网络安全就没有国家安全,网络安全已 成为信息时代国家安全的基石。然而随着网络规 模的日益扩大以及网络恶意行为的复杂化与智能 收稿日期:2020−06−30. 基金项目:山西省自然科学基金项目 (201801D221159);山西省 高等学校科技创新项目 (2019L0470);山西省重点研 发项目 (201903D421003). 通信作者:常利伟. E-mail:changliwei002@163.com. 第 16 卷第 1 期 智 能 系 统 学 报 Vol.16 No.1 2021 年 1 月 CAAI Transactions on Intelligent Systems Jan. 2021
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·39· 化,传统以入侵检测系统为核心的单点防御体系 胁、脆弱性和稳定性3个维度评估网络的安全状 暴露出越来越多的弊端。单点检测方式本质上是 况,并在决策层面将结果进行融合来衡量整个网 通过单个节点的信息做出判断,会形成“安全信息 络的安全状况。2020年Zheng Weifa等使用D- 孤岛”,无法从整个网络层面做出准确的决策,因 S证据理论融合主机防火墙数据、wb防火墙数 此面对复杂的网络恶意活动时会产生大量的误 据和入侵检测数据,对网络安全性进行评估。 报、漏报。 通过对以上学术成果的综合分析,本文构成 安全态势评估通过技术手段从时间和空间 出基于多源异构数据融合的网络安全态势评估体 维度来感知并获取安全相关元素,综合分析安全 系,主要工作如下: 信息以准确判断安全状况。随后国内外许多研 1)提出了包含流量探测模块、属性提炼模 究人员将态势评估的思想及方法应用到网络安全 块、决策引擎模块、多源融合模块、态势评估模块 领域,设计和实现了许多高效网络安全态势评估 等5大模块的网铬安全态势评估体系。 系统。 2)以入侵检测系统(Snort)报警规则为标尺, 1995年Endsley"将态势感知概括为态势觉 提炼网络威胁等级划分原则。 察、态势理解、态势投射3个过程。1999年 3)使用层次化网络安全威胁评估方法,依次 Bass)首次提出网络安全态势感知,本质上是融 评估服务层、主机层、网络层态势。 合多源入侵检测系统的结果,识别网络中的攻击 1网络安全态势评估体系 活动,评估网络运行状况。2002年陈继军)提出 权系数理论原则,用于确定各传感器的系数。 本文提出的基于多源异构数据融合的网络安 2005年诸葛建伟等引入D-S证据理论,构建决 全态势评估体系包含流量探侧模块、属性提炼模 策引擎判断网络状况。2006年陈秀真等提出了 块、决策引擎模块、多源融合模块和态势评估模 层次化安全威胁评估模型,通过网络流量信息及 块等5大模块。如图1所示,5个模块构建时吻 入侵检测报警信息,对网络运行状况进行评估。 合信息安全管理中安全基础、识别认定、检测评 2008年马琳茹等通过指数加权规则,将不同的 估、安全防护4个维度,充分考虑可用性、可控 传感器赋予不同的信任以改进D-S证据理论。 性、保密性等信息安全要求。如图2所示:1)流 2009年韦勇等)从节点脆弱性和攻击威胁等角 量探测模块是在网络中部署多个探测器,以全面 度,基于D-S证据理论算法,构建网络安全态势 地获取网络信息;2)属性提炼模块是基于恶意活 评估模型。 动特征,准确地构造有助于提高识别攻击类型的 2016年刘效武等⑧构建了一个融合-感知-决 核心属性;3)决策引擎模块是利用网络数据,科 策-控制的态势认知融合感控模型,对网络状况 学地训练由核心属性到攻击类型的模型;4)多源 进行评估。2018年Wang Huan等9使用混淆矩阵 融合模块是巧妙地融合决策引擎的输出结果,有 最大特征值对应的特征向量确定主机态势的参 效提升识别攻击类型的性能:5)态势评估模块是 数,对网络运行状况进行评估。2018年龚俭等1 基于融合结果,直观地展示网络运行状态。 认为网络安全态势感知(network security situation 可控性 awareness,.NSSA)是认知网络系统安全状态的过 程,包含原始数据测量、语义提取、融合处理、异 可用性 常识别、态势获取等内容。2018年Zhao Dong- 保密性 安全基础 mei等)通过粗糙集属性简约算法提取核心属 令 法 识别认定 性,并使用粒子群优化算法优化径向基神经网络 流量探测模块 提 引 态势评 检测评估 识别网络攻击。2018年陈维鹏等)将网络态势 模块 合 模 安全防护 等级进行划分,通过模拟退火算法优化BP(back 块 propagation)神经网络参数,确定网络空间态势感 知等级。2019年贾焰等1对网络安全态势感知 图1网络安全态势评估体系 概念、网络安全态势关键技术等方面的研究现状 Fig.1 The architecture of network security situation as- 进行深入剖析。2019年Xi Rongrong等从威 sessment
化,传统以入侵检测系统为核心的单点防御体系 暴露出越来越多的弊端。单点检测方式本质上是 通过单个节点的信息做出判断,会形成“安全信息 孤岛”,无法从整个网络层面做出准确的决策,因 此面对复杂的网络恶意活动时会产生大量的误 报、漏报。 安全态势评估通过技术手段从时间和空间 维度来感知并获取安全相关元素,综合分析安全 信息以准确判断安全状况。随后国内外许多研 究人员将态势评估的思想及方法应用到网络安全 领域,设计和实现了许多高效网络安全态势评估 系统。 1995 年 Endsley[1] 将态势感知概括为态势觉 察、态势理解、态势投 射 3 个过程。 199 9 年 Bass[2] 首次提出网络安全态势感知,本质上是融 合多源入侵检测系统的结果,识别网络中的攻击 活动,评估网络运行状况。2002 年陈继军[3] 提出 权系数理论原则,用于确定各传感器的系数。 2005 年诸葛建伟等[4] 引入 D-S 证据理论,构建决 策引擎判断网络状况。2006 年陈秀真等[5] 提出了 层次化安全威胁评估模型,通过网络流量信息及 入侵检测报警信息,对网络运行状况进行评估。 2008 年马琳茹等[6] 通过指数加权规则,将不同的 传感器赋予不同的信任以改进 D-S 证据理论。 2009 年韦勇等[7] 从节点脆弱性和攻击威胁等角 度,基于 D-S 证据理论算法,构建网络安全态势 评估模型。 2016 年刘效武等[8] 构建了一个融合−感知−决 策−控制的态势认知融合感控模型,对网络状况 进行评估。2018 年 Wang Huan 等 [9] 使用混淆矩阵 最大特征值对应的特征向量确定主机态势的参 数,对网络运行状况进行评估。2018 年龚俭等[10] 认为网络安全态势感知 (network security situation awareness, NSSA) 是认知网络系统安全状态的过 程,包含原始数据测量、语义提取、融合处理、异 常识别、态势获取等内容。2018 年 Zhao Dongmei 等 [11] 通过粗糙集属性简约算法提取核心属 性,并使用粒子群优化算法优化径向基神经网络 识别网络攻击。2018 年陈维鹏等[12] 将网络态势 等级进行划分,通过模拟退火算法优化 BP(back propagation) 神经网络参数,确定网络空间态势感 知等级。2019 年贾焰等[13] 对网络安全态势感知 概念、网络安全态势关键技术等方面的研究现状 进行深入剖析。2019 年 Xi Rongrong 等 [14] 从威 胁、脆弱性和稳定性 3 个维度评估网络的安全状 况,并在决策层面将结果进行融合来衡量整个网 络的安全状况。2020 年 Zheng Weifa 等 [15] 使用 DS 证据理论融合主机防火墙数据、web 防火墙数 据和入侵检测数据,对网络安全性进行评估。 通过对以上学术成果的综合分析,本文构成 出基于多源异构数据融合的网络安全态势评估体 系,主要工作如下: 1) 提出了包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块、态势评估模块 等 5 大模块的网络安全态势评估体系。 2) 以入侵检测系统 (Snort) 报警规则为标尺, 提炼网络威胁等级划分原则。 3) 使用层次化网络安全威胁评估方法,依次 评估服务层、主机层、网络层态势。 1 网络安全态势评估体系 本文提出的基于多源异构数据融合的网络安 全态势评估体系包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块和态势评估模 块等 5 大模块。如图 1 所示,5 个模块构建时吻 合信息安全管理中安全基础、识别认定、检测评 估、安全防护 4 个维度,充分考虑可用性、可控 性、保密性等信息安全要求。如图 2 所示:1) 流 量探测模块是在网络中部署多个探测器,以全面 地获取网络信息;2) 属性提炼模块是基于恶意活 动特征,准确地构造有助于提高识别攻击类型的 核心属性;3) 决策引擎模块是利用网络数据,科 学地训练由核心属性到攻击类型的模型;4) 多源 融合模块是巧妙地融合决策引擎的输出结果,有 效提升识别攻击类型的性能;5) 态势评估模块是 基于融合结果,直观地展示网络运行状态。 可控性 可用性 保密性 安全基础 识别认定 检测评估 安全防护 流 量 探 测 模 块 属 性 提 炼 模 块 决 策 引 擎 模 块 多 源 融 合 模 块 态 势 评 估 模 块 图 1 网络安全态势评估体系 Fig. 1 The architecture of network security situation assessment 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·39·
·40· 智能系统学报 第16卷 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 探测器1日志 选择 训练 数值归一化 非数值向量化 属性提取 探测器1 分析 预测 探测器2日志 属性提取 选择 训练 属性构造 多模型 数值归一化 探测器2 非数值向量化 信息 属性提取 分析 预测 融合 探测器3日志 数值归一化 选择 训练 非数值向量化 属性提取 探测器3 分析 预测 由底层到高层计算网络态势 服务层 主机层 网络层 SusSfs huhf 局 12m, m(attack) huhi 后1 h,(t=fS(),0) N((1),) 由高层到底层分析攻击目标 态势评估模块 图2模块组件关系 Fig.2 The relationship of modules 1.1流量探测模块 Netflow、Snort、Suricata探测器获得的基础属 信息在网络中以流量包为单元,在2台设备 性如表1~3所示。1)将其中数值型数据进行归 之间进行传递,流量包由一台主机发出,途径路 化处理,避免数值变化较大的属性覆盖数值较小 由器、交换机、防火墙、网卡等设备,到达另一台 的属性,使得数值变化较小的属性失去作用; 主机。流量探测模块将在以上设备中部署多个探 2)将非数值型属性编码成向量,使得计算机能够 测器,尽可能全面地获取网络数据。 处理。 常用的探测器分以下2类:1)网络流量探测 由于其侧重点各异,不同探测器将获取到不 器,这类探测器通常部署在局域网入口路由器 同属性的网络数据。因此本文设计不同的统计算 上,可以全面地、实时地获取所有流入、流出局域 法,以高效地提炼不同探测器的属性:1)研究发 网的网络流量,并发送至数据处理中心:2)入侵 现如果直接使用Netflow和Suricata中的地址属 检测系统,入侵检测系统实时检测网络流量信 性、端口属性、应用服务属性和时间属性进行攻 息,并与规则库中的报警规则进行匹配,一旦发 击识别,效果不明显,因此借助统计算法融合以 现异常流量,将发出对应的警告信息。 上4类属性生成网络连接属性6-1(如表4),其他 1.2属性提炼模块 属性保留;2)Snort和Suricata为入侵检测系统,其 属性提炼模块根据网络恶意活动的特征,准 所产生的报警信息是其核心要素,因此针对性地 确地构造有助于提高识别攻击类型的核心属性。 设计统计算法提炼报警数量与报警类别属性
数值归一化 非数值向量化 属性提取 ... 数值归一化 非数值向量化 属性提取 ... 属性提取 属性构造 数值归一化 非数值向量化 属性提取... 服务层 由底层到高层计算网络态势 由高层到底层分析攻击目标 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 态势评估模块 主机层 网络层 探测器 1 探测器 2 探测器 3 探测器 1 日志 探测器 2 日志 探测器 3 日志 选择 训练 选择 训练 选择 训练 分析 预测 分析 预测 分析 预测 多模型 信息 融合 ∑ g i=1 m(attacki )10f(attacki) vkj= sukjsfkj sukjsf ∑ kj n j=1 hukhfk hukhf ∑ k m k=1 lk= hk (t)=f(Sk (t), V(t)) N(t)=f(H(t), L(t)) 图 2 模块组件关系 Fig. 2 The relationship of modules 1.1 流量探测模块 信息在网络中以流量包为单元,在 2 台设备 之间进行传递,流量包由一台主机发出,途径路 由器、交换机、防火墙、网卡等设备,到达另一台 主机。流量探测模块将在以上设备中部署多个探 测器,尽可能全面地获取网络数据。 常用的探测器分以下 2 类:1) 网络流量探测 器,这类探测器通常部署在局域网入口路由器 上,可以全面地、实时地获取所有流入、流出局域 网的网络流量,并发送至数据处理中心;2) 入侵 检测系统,入侵检测系统实时检测网络流量信 息,并与规则库中的报警规则进行匹配,一旦发 现异常流量,将发出对应的警告信息。 1.2 属性提炼模块 属性提炼模块根据网络恶意活动的特征,准 确地构造有助于提高识别攻击类型的核心属性。 Netflow、Snort、Suricata 探测器获得的基础属 性如表 1~3 所示。1) 将其中数值型数据进行归一 化处理,避免数值变化较大的属性覆盖数值较小 的属性,使得数值变化较小的属性失去作用; 2)将非数值型属性编码成向量,使得计算机能够 处理。 由于其侧重点各异,不同探测器将获取到不 同属性的网络数据。因此本文设计不同的统计算 法,以高效地提炼不同探测器的属性:1) 研究发 现如果直接使用 Netflow 和 Suricata 中的地址属 性、端口属性、应用服务属性和时间属性进行攻 击识别,效果不明显,因此借助统计算法融合以 上 4 类属性生成网络连接属性[16-19] (如表 4),其他 属性保留;2) Snort 和 Suricata 为入侵检测系统,其 所产生的报警信息是其核心要素,因此针对性地 设计统计算法提炼报警数量与报警类别属性。 ·40· 智 能 系 统 学 报 第 16 卷
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 41· 表1 Netflow基础属性 表4网络连接属性 Table 1 Basic features of Netflow Table 4 Statistical features of network traffic 序号 属性名称 描述 序号 属性名称 描述 开始时间 Sip与Dip相同并且Sport-与 1 Stime is sm ips prots 2 Dur 持续时间 Dport相同为l,否则为0 每100条记录中,Ltime、 3 Ltime 结束时间 ct dst Itm Dip相同的数量 4 Protocol 传输层协议 每100条记录中,Ltime 5 Sip 源ip地址 ct src Itm Sip相同的数量 6 Dip 目的ip地址 每100条记录中,Ltime、 4 ct_src_dport Itm 7 Sport 源端口号 Sip、Dporti相同的数量 每100条记录中,Ltime、 8 Dport 目的端口号 ct_dst sport Itm Dip、Sport相同的数量 9 Pkt 包数 每100条记录中,Ltime 10 Byt 包大小 ct_dst_src_ltm Sip、Dip相同的数量 11 Bps 比特数s 每100条记录中,Sip、 ct_srv_src 12 Serve相同的数量 Pps 包数s 每100条记录中,Dip 13 Bpp 平均包大小 ct srv dst Serve相同的数量 表2 Snort基础属性 Table 2 Basic features of Snort 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练,准确 序号 属性名称 描述 地学习出从各探测器核心属性到攻击类型的模 Sip 源ip地址 型。神经网络是一个优秀的分类模型,学者们常 2 Dip 目的ip地址 用此模型作为决策引擎,0,本文采用BP神经网 Sport 源端口号 络作为决策引擎。 BP神经网络由输入层、隐藏层、输出层构成。 Dport 目的端口号 Robert Hecht Nielson证明,只包含一个隐藏层的 Ip len Ip包长度 网络可以逼近闭合区间内的任一连续函数,因此 6 Attack_num 报警数量 BP神经网络能够实现由属性到攻击类型的映射。 > Attack_type 报警类型 含有1层隐藏层的BP神经网络训练过程如 下,输人层有m个神经元,隐藏层有h个神经元, 表3 Suricata基础属性 Table 3 Basic features of Suricata 输出层有n个神经元,激活函数为x),隐藏层神 经元输出为D(d,d2…,dw),输入层与隐藏层之间 序号 属性名称 描述 的权值为W{w1≤i≤m,1≤j≤h,隐藏层与输出 Stime 开始时间 层之间的权值为Vy1≤k≤n,1≤j≤h,神经网络 Ltime 结束时间 预测值为7=,2,…,)识真实值为Y=0,2,…,) Sip 源ip地址 均方误差为E,如图3所示。 4 Dip 目的ip地址 隐藏层第j个节点的输出值为 J Sport 源端口号 =位小1a (1) 6 Dport 目的端口号 输出层第k个节点的输出值为 > Sever 应用层服务 8 Pkt 包数 (2) 9 Byt 包大小 均方误差为 10 Attack_num 报警数量 11 (3) Attack_type 报警类型 =2-w
表 1 Netflow 基础属性 Table 1 Basic features of Netflow 序号 属性名称 描述 1 Stime 开始时间 2 Dur 持续时间 3 Ltime 结束时间 4 Protocol 传输层协议 5 Sip 源ip地址 6 Dip 目的ip地址 7 Sport 源端口号 8 Dport 目的端口号 9 Pkt 包数 10 Byt 包大小 11 Bps 比特数/s 12 Pps 包数/s 13 Bpp 平均包大小 表 2 Snort 基础属性 Table 2 Basic features of Snort 序号 属性名称 描述 1 Sip 源ip地址 2 Dip 目的ip地址 3 Sport 源端口号 4 Dport 目的端口号 5 Ip_len Ip包长度 6 Attack_num 报警数量 7 Attack_type 报警类型 表 3 Suricata 基础属性 Table 3 Basic features of Suricata 序号 属性名称 描述 1 Stime 开始时间 2 Ltime 结束时间 3 Sip 源ip地址 4 Dip 目的ip地址 5 Sport 源端口号 6 Dport 目的端口号 7 Sever 应用层服务 8 Pkt 包数 9 Byt 包大小 10 Attack_num 报警数量 11 Attack_type 报警类型 表 4 网络连接属性 Table 4 Statistical features of network traffic 序号 属性名称 描述 1 is_sm_ips_prots Sip与Dip相同并且Sport与 Dport相同为1,否则为0 2 ct_dst_ltm 每100条记录中,Ltime、 Dip相同的数量 3 ct_src_ltm 每100条记录中,Ltime、 Sip相同的数量 4 ct_src_dport_ltm 每100条记录中,Ltime、 Sip、Dport相同的数量 5 ct_dst_sport_ltm 每100条记录中,Ltime、 Dip、Sport相同的数量 6 ct_dst_src_ltm 每100条记录中,Ltime、 Sip、Dip相同的数量 7 ct_srv_src 每100条记录中,Sip、 Serve相同的数量 8 ct_srv_dst 每100条记录中,Dip、 Serve相同的数量 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练,准确 地学习出从各探测器核心属性到攻击类型的模 型。神经网络是一个优秀的分类模型,学者们常 用此模型作为决策引擎[11, 20] ,本文采用 BP 神经网 络作为决策引擎。 BP 神经网络由输入层、隐藏层、输出层构成。 Robert Hecht Nielson[21] 证明,只包含一个隐藏层的 网络可以逼近闭合区间内的任一连续函数,因此 BP 神经网络能够实现由属性到攻击类型的映射。 W{wji|1 ⩽ i ⩽ m,1 ⩽ j ⩽ h} V{vk j|1 ⩽ k ⩽ n,1 ⩽ j ⩽ h} Yb = (by1,by2,··· ,byn) T Y = (y1, y2,···, yn) T 含有 1 层隐藏层的 BP 神经网络训练过程如 下,输入层有 m 个神经元,隐藏层有 h 个神经元, 输出层有 n 个神经元,激活函数为 f(x),隐藏层神 经元输出为 D=(d1 ,d2 ,…,dh ) T ,输入层与隐藏层之间 的权值为 ,隐藏层与输出 层之间的权值为 ,神经网络 预测值为 ,真实值为 , 均方误差为 E,如图 3 所示。 隐藏层第 j 个节点的输出值为 dj = f (∑m i=1 xiwji) ,1 ⩽ j ⩽ h (1) 输出层第 k 个节点的输出值为 byk = f (∑h j=1 djvk j) ,1 ⩽ k ⩽ n (2) 均方误差为 E = 1 2 ∑n k=1 ( byk −yk )2 (3) 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·41·
·42· 智能系统学报 第16卷 arg min ∑mA)-y (10) 1.5态势评估模块 态势评估模块的功能是基于多源融合模块的 输出结果,有效地评估网络态势。可分为攻击威 胁量化和态势评估2个内容。 1.5.1攻击威胁量化 量化影响态势变化的关键因子(如:攻击威胁 因子),是科学评估网络运行状态的基础。其中攻 击威胁因子量化是目前研究的一个难点,本文使 用权系数理论量化攻击威胁。经过划分威胁等级 图3BP神经网络 和威胁等级量化2个步骤得到攻击威胁因子值。 Fig.3 BP netural network 1)划分威胁等级 输出层及隐藏层各神经元的权值调整为 Snot作为一个常用的入侵检测系统,受到用 户的广泛认可。根据危害大小,Snort能够对攻击 △w=-刀aM 威胁定性分析,表5列出了攻击威胁等级的核心 4 内容。深入剖析威胁等级划分机理,本文提出了 △w=-w 攻击威胁等级划分原则。 表5网络攻击威胁程度 ②-wr(2小②小 Table 5 Severity of network attack 威胁 5 报警类型 描述 等级 1.4 多源融合模块 attempted-admin 成功获取管理员控制权限 高 多源融合模块将有机地融合所有决策引擎的 attempted-user 成功获取普通用户控制权限高 输出结果,进一步提高识别攻击的性能。融合算 潜在的侵犯企业隐私活动 高 法将各个决策引擎的输出结果作为融合因子,将 policy-violation 相同安全事件组合处理得到融合结果。本文使用 shellcode-detect 检测到可执行代码 高 指数加权D-S证据理论融合决策引擎输出结果, attempted-dos 企图发动拒绝服务攻击 中 并利用粒子群优化算法确定指数权重(particle denial-of-service 检测到拒绝服务攻击 中 swarm optimization-dempster shafer,PSO-DS). successful-dos 成功发动拒绝服务攻击 % 指数加权D-S证据理论为 successful-recon-limited 信息泄露 中 mA)=mA)产msA,)…m,A)产 (6) icmp-event 通常发生的ICMP事件 低 K K=2mar产%A加mA misc-activity 杂乱的网络活动 低 (7) network-scan 检测到网络扫描 低 式中:g为数据源个数;n为攻击类型个数;m1(A) not-suspicious 没有可疑流量 低 为第一个证据源认为是第i类攻击的概率;w:为 第一个证据源认为是第ⅰ类攻击的指数权值; ①威胁等级划分机理 m(A)为融合后第i类攻击的概率。 如表5所示,攻击严重程度为高的攻击基本 使用粒子群优化算法搜索指数权值: 上是获取计算机控制权限、木马、执行代码等恶 Vid=CsVid+Ci(Pid-Xud)+Car2(8nd-Xid) (8) 意活动,此类攻击会威胁主机系统安全;攻击严 Xu+nd Xid +Vid (9) 重程度为中的攻击以获取系统内部信息和消耗网 式中:d为优化空间维度;c、c2分别为将粒子推 络带宽为目的,这类攻击不会对主机系统造成破 向局部最优和全局最优的权重;c3为惯性权重; 坏:严重程度为低的攻击以网络扫描、获取网络 n,乃为随机数。为真实数据中第i种攻击的概 信息为目的,这类攻击对网络造成较轻影响。 率,粒子群优化目标为 ②威胁等级划分原则
m h n... ... ... 图 3 BP 神经网络 Fig. 3 BP netural network 输出层及隐藏层各神经元的权值调整为 ∆vk j = −η ∂E ∂vk j = −η ∂E ∂byk ∂byk ∂vk j = −η(byk −yk)f ′ (∑h j=1 djvk j) dj (4) ∆wji =−η ∂E ∂wji = −η (∑n k=1 ∂E ∂byk ∂byk ∂dj ) ∂dj ∂wji = −η (∑n k=1 ( byk −yk ) f ′ (∑h j=1 djvk j) vk j) f ′ (∑m i=1 xiwji) xi (5) 1.4 多源融合模块 多源融合模块将有机地融合所有决策引擎的 输出结果,进一步提高识别攻击的性能。融合算 法将各个决策引擎的输出结果作为融合因子,将 相同安全事件组合处理得到融合结果。本文使用 指数加权 D-S 证据理论融合决策引擎输出结果, 并利用粒子群优化算法确定指数权重 (particle swarm optimization-dempster shafer, PSO-DS)。 指数加权 D-S 证据理论为 m(Ai) = m1(Ai) w1im2(Ai) w2i ···mg(Ai) wgi K (6) K = ∑n i=1 m1(Ai) w1im2(Ai) w2i ···mg(Ai) wgi (7) m1(Ai) w1i m(Ai) 式中:g 为数据源个数;n 为攻击类型个数; 为第一个证据源认为是第 i 类攻击的概率; 为 第一个证据源认为是第 i 类攻击的指数权值; 为融合后第 i 类攻击的概率。 使用粒子群优化算法搜索指数权值: vtd = c3vtd +c1r1(ptd − xtd)+c2r2(gtd − xtd) (8) x(t+1)d = xtd +vtd (9) c1 c2 c3 r1 r2 yi 式中:d 为优化空间维度; 、 分别为将粒子推 向局部最优和全局最优的权重; 为惯性权重; , 为随机数。 为真实数据中第 i 种攻击的概 率,粒子群优化目标为 argmin(∑n i=1 (m(Ai)−yi) 2 ) (10) 1.5 态势评估模块 态势评估模块的功能是基于多源融合模块的 输出结果,有效地评估网络态势。可分为攻击威 胁量化和态势评估 2 个内容。 1.5.1 攻击威胁量化 量化影响态势变化的关键因子 (如:攻击威胁 因子),是科学评估网络运行状态的基础。其中攻 击威胁因子量化是目前研究的一个难点,本文使 用权系数理论量化攻击威胁。经过划分威胁等级 和威胁等级量化 2 个步骤得到攻击威胁因子值。 1) 划分威胁等级 Snort 作为一个常用的入侵检测系统,受到用 户的广泛认可。根据危害大小,Snort 能够对攻击 威胁定性分析,表 5 列出了攻击威胁等级的核心 内容。深入剖析威胁等级划分机理,本文提出了 攻击威胁等级划分原则。 表 5 网络攻击威胁程度 Table 5 Severity of network attack 报警类型 描述 威胁 等级 attempted-admin 成功获取管理员控制权限 高 attempted-user 成功获取普通用户控制权限 高 policy-violation 潜在的侵犯企业隐私活动 高 shellcode-detect 检测到可执行代码 高 attempted-dos 企图发动拒绝服务攻击 中 denial-of-service 检测到拒绝服务攻击 中 successful-dos 成功发动拒绝服务攻击 中 successful-recon-limited 信息泄露 中 icmp-event 通常发生的ICMP事件 低 misc-activity 杂乱的网络活动 低 network-scan 检测到网络扫描 低 not-suspicious 没有可疑流量 低 ①威胁等级划分机理 如表 5 所示,攻击严重程度为高的攻击基本 上是获取计算机控制权限、木马、执行代码等恶 意活动,此类攻击会威胁主机系统安全;攻击严 重程度为中的攻击以获取系统内部信息和消耗网 络带宽为目的,这类攻击不会对主机系统造成破 坏;严重程度为低的攻击以网络扫描、获取网络 信息为目的,这类攻击对网络造成较轻影响。 ②威胁等级划分原则 ·42· 智 能 系 统 学 报 第 16 卷
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·43· 通过对Snort划分攻击威胁等级机理的深入 网络自底向上分为服务层、主机层和网络层。按 研究,本文提出了攻击威胁等级划分原则,如表6 照层次关系,以攻击对网络造成的危害程度为核 所示。 心评估安全态势,如图5所示。 表6威胁等级划分原则 Table 6 Classification principles of attack severity 类别 描述 威胁等级 计算机权限 获取计算机控制权限 空 网络层 隐私信息 获取系统内部信息 为 带宽消耗 消耗网络带宽 多 主机层 网络扫描 扫描获取网络信息 低 HTTP FTP SMTP DNS 2)威胁等级量化 服务层 本文将权系数理论)与攻击威胁等级划分原 Attack 1 Attack 2 Attack 3 Attack n 则有机结合以量化威胁等级。权系数分布函数如 图4所示,横轴是排队等级(威胁等级),纵轴是对 图5层次化网络安全威胁态势评估 Fig.5 Hierarchical threat assessment model for computer 应的权系数(威胁值)。 networks 1)服务层态势 攻击威胁因子和攻击概率等态势因子会影响 服务态势,服务态势随着网络运行状况实时发生 变化,在时间窗口△:内第k台主机上第j个服务 的态势为 S(t0)= (12) 20)x) 式中:g为该时间窗口内的攻击总数;m(attack,)为 排队等级 第i个攻击对应的攻击概率;f(attack,)为第i个攻 图4权系数函数分布 击对应的攻击威胁因子值。 Fig.4 Distribution of the weight function 2)主机层态势 为简化量化过程,将权系数函数离散化处理 主机的态势情况由主机上运行的服务态势及 得到权系数公式,n为攻击等级个数,i为排列顺 其在主机上的重要性决定,在时间窗口△1内,第 序,权系数只与决策目标数和攻击严重等级有 k台主机的态势值为 关。仅需定义威胁等级,使用权系数公式就能够 hu(t)=f(Sk(t),V(t))=Sk(t)Vi(t) (13) 计算出攻击威胁因子值。在一定程度上减轻了主 S(t)=(sk1(),S2(0),·,s()为此时间段内运 观依赖问题。 行在该主机上服务态势的向量,其中n为运行的 权系数为 服务数,V()=(,2,…,ya)为该主机上运行服 21 务的权值向量。服务权值计算方法为 白 6 1≤i< S山Sf材 (14) n suxjSfe W= i22 (11) S4()=(s1,s42,,Sun)表示该主机上使用应 -2In 用层服务的用户数量的向量,Sf()=(sf,sf2,…,sfn) 为该主机上各个服务使用频率向量。 i<n 3)网络层态势 1.5.2态势评估 网络层态势是由网络中每台主机的态势及每 本文采用层次化网络安全威胁评估模型,将 台主机的权值决定的,整个网络的态势为
通过对 Snort 划分攻击威胁等级机理的深入 研究,本文提出了攻击威胁等级划分原则,如表 6 所示。 表 6 威胁等级划分原则 Table 6 Classification principles of attack severity 类别 描述 威胁等级 计算机权限 获取计算机控制权限 高 隐私信息 获取系统内部信息 中 带宽消耗 消耗网络带宽 中 网络扫描 扫描获取网络信息 低 2) 威胁等级量化 本文将权系数理论[3] 与攻击威胁等级划分原 则有机结合以量化威胁等级。权系数分布函数如 图 4 所示,横轴是排队等级 (威胁等级),纵轴是对 应的权系数 (威胁值)。 x 2 f(0) f(x) 排队等级 0 6σ 3σ 权系数 图 4 权系数函数分布 Fig. 4 Distribution of the weight function i 为简化量化过程,将权系数函数离散化处理 得到权系数公式,n 为攻击等级个数, 为排列顺 序,权系数只与决策目标数和攻击严重等级有 关。仅需定义威胁等级,使用权系数公式就能够 计算出攻击威胁因子值。在一定程度上减轻了主 观依赖问题。 权系数为 Wi = 1 2 + √ −2ln 2i n 6 , 1 ⩽ i < n 2 1 2 , i = n 2 1 2 − √ −2ln( 2− 2i n ) 6 , n 2 < i < n (11) 1.5.2 态势评估 本文采用层次化网络安全威胁评估模型,将 网络自底向上分为服务层、主机层和网络层。按 照层次关系,以攻击对网络造成的危害程度为核 心评估安全态势,如图 5 所示。 ... HTTP FTP SMTP DNS ... ... 网络层 主机层 服务层 Attack 1 Attack 2 Attack 3 Attack n 图 5 层次化网络安全威胁态势评估 Fig. 5 Hierarchical threat assessment model for computer networks 1) 服务层态势 ∆t 攻击威胁因子和攻击概率等态势因子会影响 服务态势,服务态势随着网络运行状况实时发生 变化,在时间窗口 内第 k 台主机上第 j 个服务 的态势为 sk j(t) = ∑g i=1 m(attacki)10f(attacki) (12) m(attacki) f (attacki) 式中:g 为该时间窗口内的攻击总数; 为 第 i 个攻击对应的攻击概率; 为第 i 个攻 击对应的攻击威胁因子值。 2) 主机层态势 ∆t 主机的态势情况由主机上运行的服务态势及 其在主机上的重要性决定,在时间窗口 内,第 k 台主机的态势值为 hk(t) = f (Sk (t),V(t)) = Sk (t)Vk(t) (13) Sk (t) = (sk1 (t),sk2 (t),··· ,skn (t)) n Vk(t) = (vk1, vk2,··· , vkn) 为此时间段内运 行在该主机上服务态势的向量,其中 为运行的 服务数, 为该主机上运行服 务的权值向量。服务权值计算方法为 vk j = suk js fk j ∑n j=1 suk js fk j (14) Suk(t) = (suk1,suk2,··· ,sukn) S f k (t) = (s fk1,s fk2,··· ,s fkn) 表示该主机上使用应 用层服务的用户数量的向量, 为该主机上各个服务使用频率向量。 3) 网络层态势 网络层态势是由网络中每台主机的态势及每 台主机的权值决定的,整个网络的态势为 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·43·
·44· 智能系统学报 第16卷 N0=fH0,L()=H(0L(t) (15) 表7攻击类型及威胁因子 H(i=(h,(),h2(t0),…,hm(t)为网络中主机的态 Table 7 Attack types and risk factors 势向量,L(①)=(仙,2,…,lm)为主机的权值,网络中 序号 攻击名称 威胁程度 威胁因子 Analysis 中 0.611 主机数量为m。 Backdoor 高 0.726 hhf灰 l= (16) 3 Dos 中 0.611 了uhf Exploit 高 0.726 5 Fuzzers 高 0.726 式中:m为该网络中的主机数量,Hu()=(h, 6 Generic % 0.611 h2,…,hum)为网络中各个主机用户数量的向量; 7 Reconnaissance 低 0.389 Hf)=(hf,hf,…,hfm)为网络中各个主机使用频 P Shellcode 高 0.726 率的向量。 9 Worm $ 0.726 10 Normal 0 通过态势评估策略,将网络的安全状况及其 演化状况准确地计算出来。如若发生威胁,管理 2.1 决策引擎结果与融合性能分析 员可以根据网络态势变化曲线及时地掌握网络状 图7~12展示了决策引擎和融合算法的实验 况,根据层次图由上到下依次分析网络层态势 结果。分析可知来自不同探测器数据对于识别各 -主机层态势-一服务层态势,追根溯源,准确快速 类攻击各有优势,Netflow数据源对于识别Ana- 的定位问题根源,从而采取有效地措施,保护网络 lysis、Normal准确率较高;Snort数据源对于区分 安全。 Backdoor、Worm攻击效果很好;Suricata可以很好 地识别Dos。融合算法集成了各数据源识别攻击 2实验分析 的优势,提高了决策效果。 如图6所示,根据实验需求,部署Netflow,以 ■预测正确的数量 ☐预测错误的数量 获取网络中流量的信息(如端口号、流量包大小、 9 发包速度等),并部署Snort、Suricata等入侵检测 工具,当发现异常流量则发出警告信息。实验中 BP神经网络包含2层隐藏层,每层32个神经 ¥ 元。粒子群优化算法群体规模为100,在[0,1]内 搜索确定D-S指数权重。 0 s Analy Normal 攻击类别 Internet 工f 子网 图7 Netflow数据源预测结果 Fig.7 Results of Netflow data source 机房子网 Attack I 预测正确的数量 ☐预测错误的数量 9r Attack 2 8 7 Netflow Snort Suricata 数据中心 6 图6网络拓扑 Fig.6 network topology 3 流量数据使用澳大利亚新南威尔逊大学安全 实验室的UNSW-NB15流量包的5%用作本实验 的数据,此流量包包含2天的流量包和攻击信息, Analysis 混合了正常网络流量和综合性攻击流量,更符合 攻击类别 现代真实的流量场景,而且网络规模更大,主机 图8 Snort数据源预测结果 数量更多,攻击类型更加丰富,如表7所示。 Fig.8 Results of Snort data source
N(t) = f(H(t), L(t)) = H(t)L(t) (15) H(t) = (h1(t),h2(t),··· ,hm(t)) L(t) = (l1,l2,··· ,lm) 为网络中主机的态 势向量, 为主机的权值,网络中 主机数量为 m。 lk = hukh fk ∑m k=1 hukh fk (16) Hu(t) = (hu1, hu2,··· ,hum) H f(t) = (h f1,h f2,··· ,h fm) 式中: m 为该网络中的主机数量, 为网络中各个主机用户数量的向量; 为网络中各个主机使用频 率的向量。 通过态势评估策略,将网络的安全状况及其 演化状况准确地计算出来。如若发生威胁,管理 员可以根据网络态势变化曲线及时地掌握网络状 况,根据层次图由上到下依次分析网络层态势 −主机层态势−服务层态势,追根溯源,准确快速 的定位问题根源,从而采取有效地措施,保护网络 安全。 2 实验分析 如图 6 所示,根据实验需求,部署 Netflow,以 获取网络中流量的信息 (如端口号、流量包大小、 发包速度等),并部署 Snort、Suricata 等入侵检测 工具,当发现异常流量则发出警告信息。实验中 BP 神经网络包含 2 层隐藏层,每层 32 个神经 元。粒子群优化算法群体规模为 100,在 [0,1] 内 搜索确定 D-S 指数权重。 工作子网 机房子网 Internet Snort Suricata Attack 1 ... Attack 2 Netflow 数据中心 图 6 网络拓扑 Fig. 6 network topology 流量数据使用澳大利亚新南威尔逊大学安全 实验室的 UNSW-NB15 流量包的 5% 用作本实验 的数据,此流量包包含 2 天的流量包和攻击信息, 混合了正常网络流量和综合性攻击流量,更符合 现代真实的流量场景,而且网络规模更大,主机 数量更多,攻击类型更加丰富,如表 7所示。 表 7 攻击类型及威胁因子 Table 7 Attack types and risk factors 序号 攻击名称 威胁程度 威胁因子 1 Analysis 中 0.611 2 Backdoor 高 0.726 3 Dos 中 0.611 4 Exploit 高 0.726 5 Fuzzers 高 0.726 6 Generic 中 0.611 7 Reconnaissance 低 0.389 8 Shellcode 高 0.726 9 Worm 高 0.726 10 Normal — 0 2.1 决策引擎结果与融合性能分析 图 7~12 展示了决策引擎和融合算法的实验 结果。分析可知来自不同探测器数据对于识别各 类攻击各有优势,Netflow 数据源对于识别 Analysis、Normal 准确率较高;Snort 数据源对于区分 Backdoor、Worm 攻击效果很好;Suricata 可以很好 地识别 Dos。融合算法集成了各数据源识别攻击 的优势,提高了决策效果。 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 7 Netflow 数据源预测结果 Fig. 7 Results of Netflow data source 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 8 Snort 数据源预测结果 Fig. 8 Results of Snort data source ·44· 智 能 系 统 学 报 第 16 卷
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·45· 预测正确的数量 1.0 ☐预测错误的数量 Netflow 0.9 9r 8 0.7 0 6 54 3 2 0 0.1 Analysis Normal Analysis Backdoo Worm 攻击类别 攻击类别 图9 Suricata数据源预测结果 Fig.9 Results of Suricata data source 图12攻击预测 Fig.12 Attack prediction ■预测正确的数量 一预测错误的数量 表8性能指标对比分析 9 8 Table 8 Performance index contrastive analysis % 7 性能指标 Netflow Snort Surica-ta D-S PSO-DS 6 5 准确率 85.2 80.2 79.5 87.8 88.7 误警率 19.9 26.1 25.6 14.9 13.7 2 表9UNSW-NB15已有成果实验结果阿 0 Table 9 Other experimental results of UNSW-NB15171% Analy Generic Reconn Normal 性能指标 攻击类别 DT LR NB ANN EM clustering 准确率 85.6 83.2 82.1 81.3 78.5 图10D-S证据融合预测结果 Fig.10 Attack prediction of D-S 误警率 15.8 18.5 18.6 21.1 23.8 预测正确的数量 ☐预测错误的数量 2.2网络安全态势评估 9, 2.2.1服务层态势 8 7 在网络中重放了UNSW-NB15中2015-2- 6 17日的部分流量数据,该段时间持续33000s,每 5 5min为一个时间窗口,共110个时间窗口,如横 43 坐标10对应第10个时间窗口的态势值。使用本 文提出的网络攻击威胁划分原则及权系数理论得 0 到攻击因子,按照评估体系进行评估。某一主机上DS Analysis HTTP、SMTP3种服务的态势情况如图13所示。 攻击类别 600 500 =解 图11PSO-DS证据融合预测结果 Fig.11 Attack prediction of PSO-DS 400 如表8所示,与其他结果相比,本文选用的 300 PSO-DS融合算法准确率高,并且误警率降低, 200 充分证明了多点融合体系有效集成各单点检测 100 的优势,显著提高识别各攻击类型的能力;针对 o出 1102030405060708090100110 误警率较高的问题,本文查阅了使用此数据集 时间窗口/5min) 的研究成果,如表9所示,均存在误警率较高 图13服务层安全态势 问题。 Fig.13 Security situation of service
9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 9 Suricata 数据源预测结果 Fig. 9 Results of Suricata data source 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 10 D-S 证据融合预测结果 Fig. 10 Attack prediction of D-S 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 11 PSO-DS 证据融合预测结果 Fig. 11 Attack prediction of PSO-DS 如表 8 所示,与其他结果相比,本文选用的 PSO-DS 融合算法准确率高,并且误警率降低, 充分证明了多点融合体系有效集成各单点检测 的优势,显著提高识别各攻击类型的能力;针对 误警率较高的问题,本文查阅了使用此数据集 的研究成果,如表 9 所示,均存在误警率较高 问题。 Analysis Backdoor Dos Worm Normal 1.0 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 Netflow Suricata Snort 攻击类别 准确率 图 12 攻击预测 Fig. 12 Attack prediction 表 8 性能指标对比分析 Table 8 Performance index contrastive analysis % 性能指标 Netflow Snort Surica-ta D-S PSO-DS 准确率 85.2 80.2 79.5 87.8 88.7 误警率 19.9 26.1 25.6 14.9 13.7 表 9 UNSW-NB15 已有成果实验结果[17] Table 9 Other experimental results of UNSW-NB15[17] % 性能指标 DT LR NB ANN EM clustering 准确率 85.6 83.2 82.1 81.3 78.5 误警率 15.8 18.5 18.6 21.1 23.8 2.2 网络安全态势评估 2.2.1 服务层态势 在网络中重放了 UNSW-NB15 中 2015-2- 17 日的部分流量数据,该段时间持续 33 000 s,每 5 min 为一个时间窗口,共 110 个时间窗口,如横 坐标 10 对应第 10 个时间窗口的态势值。使用本 文提出的网络攻击威胁划分原则及权系数理论得 到攻击因子,按照评估体系进行评估。某一主机上DNS、 HTTP、SMTP 3 种服务的态势情况如图 13 所示。 600 500 400 300 200 100 0 1 20 30 40 50 60 70 80 90 100 10 110 DNS HTTP SMTP 时间窗口/(5 min) 服务态势值 图 13 服务层安全态势 Fig. 13 Security situation of service 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·45·
·46- 智能系统学报 第16卷 该日此主机上HTTP服务遭受到了2次强烈 络评估方法,提出了一个网络安全态势评估体 的攻击、4次中度攻击、多次轻度攻击,管理员应 系。I)在网络中部署Netflow、Snort、Suricata探 该注意该主机HTTP服务的使用情况、该主机是 测器全面地获取网络数据:2)基于恶意活动的特 否在访问非法网站、是否受到web攻击,并采取 点,提炼有助于提高区别攻击类型的核心属性;3) 相应对策。 使用BP神经网络分别对数据进行决策;4)利用 2.2.2主机层态势 PSO-DS方法对各BP神经网络分类结果进行有 主机层态势与运行在主机上服务态势及各个 机融合;5)使用层次化网络评估方法,直观展现 服务重要度相关,根据服务的用户数量和使用频 网络态势。实验结果证明,不同探测器获得的网 率确定服务的权值。由图14可知,主机1受到了 络信息对于识别不同攻击的优势不同,多点检测 2次强烈的攻击,并受到了多次小规模攻击;主机 体系有机融合各单点检测的优势,显著提高识别 2受到了2次强烈的攻击:主机3受到了5次强烈 各攻击类型的能力。 的网络攻击;网络管理员应该特别注意此两台主 今后的研究将拓展到态势预测,通过态势曲 机的运行状况。 线的变化趋势,对态势曲线的未来走向进行预 测,以达到提前防护的目标。 1200 1000 -Host 3 参考文献: 800 [1]ENDSLEY MR.Toward a theory of situation awareness in 600 dynamic system[J].Human factors:the journal of the hu- 400 man factors and ergonomics society,1995,37(1):32-6. 200 [2]BASS T.Intrusion detection systems and multisensor data fusion[J].Communications of the ACM,2000,43(4): 102030405060708090100110 99-105. 时间窗口/(5min) [3]陈继军.多传感器管理及信息融合D]西安:西北工业 图14主机层安全态势 大学,2002,49-55 Fig.14 Security situation of host CHEN Jijun.Multi-Sensor administration and information 2.2.3网络层态势 fusion[D].Xi'an:Northwestern Polytechnical University, 根据主机的用户数量与频率,确定主机的权 2002:49-55 值。根据主机的权值和主机的态势情况,计算得 [4]诸葛建伟,王大为,陈昱,等.基于D-S证据理论的网络 到整个网络的运行态势。由图15所示,该网络一 异常检测方法).软件学报,2006,173463-471 天内持续受到攻击,产生4次较大波动,网络管理 ZHUGE Jianwei.WANG Dawei.CHEN Yu,et al.A net- work anomaly detector based on the D-S evidence 员应该查看这几个时间段内主机的运行情况,找 theory[J].Journal of software,2006,17(3):463-471. 到异常主机。此流量包一天内一直遭受到大量攻 [5]陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势 击,网络态势图符合流量包攻击情况,准确地展 量化评估方法).软件学报,2006,17(4)885-897. 示出当天网络的运行状况。 CHEN Xiuzhen,ZHENG Qinghua,GUAN Xiaohong, 800 et al.A network anomaly detector based on the D-S evid- ence theory[J].Journal of software,2006,17(4):885-897. 600 [6]马琳茹,杨林,王建新.多源异构安全信息融合关联技术 研究系).系统仿真学报,2008,20(4)981-989 400 人 MA Linru,YANG Lin,WANG Jianxin.Research on se- curity information fusion from multiple heterogeneous 200 sensors[J].Journal of system simulation,2008,20(4): 981-989 1102030405060708090100110 [7]韦勇,连一峰,冯登国.基于信息融合的网络安全态势评 时间窗口/(5min) 估模型[J.计算机研究与发展,2009,46(3):353-362. 图15网络层安全态势 WEI Yong,LIAN Yifeng,FENG Dengguo.A network se- Fig.15 Security situation of network curity situational awareness model based on information fusion[J.Journal of computer research and development, 3结束语 2009,46(3):353-362 [8]刘效武,王慧强,吕宏武,等.网络安全态势认知融合感 本文借鉴多源融合策略,充分利用层次化网 控模型U.软件学报,2016,27(8):2099-2114
该日此主机上 HTTP 服务遭受到了 2 次强烈 的攻击、4 次中度攻击、多次轻度攻击,管理员应 该注意该主机 HTTP 服务的使用情况、该主机是 否在访问非法网站、是否受到 web 攻击,并采取 相应对策。 2.2.2 主机层态势 主机层态势与运行在主机上服务态势及各个 服务重要度相关,根据服务的用户数量和使用频 率确定服务的权值。由图 14 可知,主机 1 受到了 2 次强烈的攻击,并受到了多次小规模攻击;主机 2 受到了 2 次强烈的攻击;主机 3 受到了 5 次强烈 的网络攻击;网络管理员应该特别注意此两台主 机的运行状况。 1 200 1 000 800 600 400 200 0 Host 1 Host 2 Host 3 主机态势图 时间窗口/(5 min) 1 20 30 40 50 60 70 80 90 100 10 110 图 14 主机层安全态势 Fig. 14 Security situation of host 2.2.3 网络层态势 根据主机的用户数量与频率,确定主机的权 值。根据主机的权值和主机的态势情况,计算得 到整个网络的运行态势。由图 15 所示,该网络一 天内持续受到攻击,产生 4 次较大波动,网络管理 员应该查看这几个时间段内主机的运行情况,找 到异常主机。此流量包一天内一直遭受到大量攻 击,网络态势图符合流量包攻击情况,准确地展 示出当天网络的运行状况。 800 600 400 0 200 网络态势值 时间窗口/(5 min) 1 20 30 40 50 60 70 80 90 100 10 110 图 15 网络层安全态势 Fig. 15 Security situation of network 3 结束语 本文借鉴多源融合策略,充分利用层次化网 络评估方法,提出了一个网络安全态势评估体 系。1) 在网络中部署 Netflow、Snort、Suricata 探 测器全面地获取网络数据;2) 基于恶意活动的特 点,提炼有助于提高区别攻击类型的核心属性;3) 使用 BP 神经网络分别对数据进行决策;4) 利用 PSO-DS 方法对各 BP 神经网络分类结果进行有 机融合;5) 使用层次化网络评估方法,直观展现 网络态势。实验结果证明,不同探测器获得的网 络信息对于识别不同攻击的优势不同, 多点检测 体系有机融合各单点检测的优势,显著提高识别 各攻击类型的能力。 今后的研究将拓展到态势预测,通过态势曲 线的变化趋势,对态势曲线的未来走向进行预 测,以达到提前防护的目标。 参考文献: ENDSLEY MR. Toward a theory of situation awareness in dynamic system[J]. Human factors: the journal of the human factors and ergonomics society, 1995, 37(1): 32–6. [1] BASS T. Intrusion detection systems and multisensor data fusion[J]. Communications of the ACM, 2000, 43(4): 99–105. [2] 陈继军. 多传感器管理及信息融合 [D]. 西安: 西北工业 大学, 2002, 49−55. CHEN Jijun. Multi-Sensor administration and information fusion[D]. Xi’an: Northwestern Polytechnical University, 2002: 49–55. [3] 诸葛建伟, 王大为, 陈昱, 等. 基于 D-S 证据理论的网络 异常检测方法 [J]. 软件学报, 2006, 17(3): 463–471. ZHUGE Jianwei, WANG Dawei, CHEN Yu, et al. A network anomaly detector based on the D-S evidence theory[J]. Journal of software, 2006, 17(3): 463–471. [4] 陈秀真, 郑庆华, 管晓宏, 等. 层次化网络安全威胁态势 量化评估方法 [J]. 软件学报, 2006, 17(4): 885–897. CHEN Xiuzhen, ZHENG Qinghua, GUAN Xiaohong, et al. A network anomaly detector based on the D-S evidence theory[J]. Journal of software, 2006, 17(4): 885–897. [5] 马琳茹, 杨林, 王建新. 多源异构安全信息融合关联技术 研究系 [J]. 系统仿真学报, 2008, 20(4): 981–989. MA Linru, YANG Lin, WANG Jianxin. Research on security information fusion from multiple heterogeneous sensors[J]. Journal of system simulation, 2008, 20(4): 981–989. [6] 韦勇, 连一峰, 冯登国. 基于信息融合的网络安全态势评 估模型 [J]. 计算机研究与发展, 2009, 46(3): 353–362. WEI Yong, LIAN Yifeng, FENG Dengguo. A network security situational awareness model based on information fusion[J]. Journal of computer research and development, 2009, 46(3): 353–362. [7] 刘效武, 王慧强, 吕宏武, 等. 网络安全态势认知融合感 控模型 [J]. 软件学报, 2016, 27(8): 2099–2114. [8] ·46· 智 能 系 统 学 报 第 16 卷
第1期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·47· LIU Xiaowu,WANG Huigiang,LU Hongwu,et al.Fu- data set[J].Information security journal:a global per- sion-based cognitive awareness-control model for network spective,2016,25(1/2/3:18-31 security situation[J].Journal of software,2016,27(8): [18]MOUSTAFA N.SLAY J.CREECH G.Novel geometric 2099-2114 area analysis technique for anomaly detection using [9]WANG Huan,CHEN Zhanfang,FENG Xin,et al.Re- trapezoidal area estimation on large-scale networks[J]. search on network security situation assessment and quan- IEEE transactions on big data,2019,5(4):481-494 tification method based on analytic hierarchy process[J]. [19]MOUSTAFA N,CREECH G,SLAY J.Big data analyt- Wireless personal communications,2018,102(2): ics for intrusion detection system:statistical decision- 1401-1420. making using finite dirichlet mixture models[M].CAR- [10]龚俭,藏小冬,苏琪,等.网络安全态势感知综述.软 RASCOSA I P,KALUTARAGE H K,HUANG Yan. 件学报,2017,28(4:1010-1026 Data Analytics and Decision Support for Cybersecurity. GONG Jian,ZANG Xiaodong,SU Qi,et al.Survey of Cham:Springer,2017:127-156. network security situation awareness[J].Journal of soft- [20]甘文道,周城,宋波.基于RAN-RBF神经网络的网络安 ware,2017,28(4):1010-1026. [11]ZHAO Dongmei,LIU Jinxing.Study on network security 全态势预测模型[J.计算机科学,2016,43(11A): 388-392. situation awareness based on particle swarm optimization algorithm[J.Computers and industrial engineering,2018, GAN Wendao,ZHOU Cheng,SONG Bo.Network secur- 125:764-775. ity situation prediction model based on RAN-RBF neural [12]陈维鹏,敖志刚,郭杰,等.基于改进的BP神经网络的 network[J].Computer science,2016,43(11A):388-392. 网络空间态势感知系统安全评估[J].计算机科学, [21]HECHT-NIELSEN R.Theory of the backpropagation 2018.45(11A):345-347,341 neural network[C]//Proceedings of the International 1989 CHEN Weipeng,AO Zhigang,GUO Jie,et al.Research Joint Conference on Neural Networks.Washington,USA: on cyberspace situation awareness security assessment IEEE,1989:593-605 based on improved BP neural network[J.Computer sci- 作者简介: ence,2018.45(11A:345-347,341. [13]贾焰,韩伟红,杨行.网络安全态势感知研究现状与发 常利伟,副教授,中国计算机学会 展趋势[.广州大学学报(自然科学版),2019,18(3): 会员、中国密码学会会员、山西省区块 1-10 链研究会理事,主要研究方向为密码 JIA Yan,HAN Weihong,YANG Xing.Summary of net- 算法、网络安全态势感知、量子保密通 信和区块链。参与国家级项目4项, work security situation assessment[J].Journal of Guang- 主持山西省科研及教研项目3项,获 zhou University (natural science edition),2019,18(3): 山西省教学成果一等奖1项。发表学 1-10. [14]XI Rongrong,YUN Xiaochun,HAO Zhiyu.Framework 术论文近20篇。 for risk assessment in cyber situational awareness[J].let 田晓雄,硕士研究生,主要研究方 information security,2019,13(2):149-156. 向为网铬安全和信息融合。 [15]ZHENG Weifa.Research on situation awareness of net- work security assessment based on dempster- shafer[C]//2019 International Conference on Computer Science Communication and Network Security.France: Edition Diffusion Press Sciences,2020:131-136. [16]MOUSTAFA N.SLAY J.UNSW-NB15:a comprehens- ive data set for network intrusion detection systems (UN- 张宇青,硕士研究生,主要研究方 SW-NB15 network data set)[C]//Proceedings of 2015 向为网络安全与模式识别。 Military Communications and Information Systems Con- ference.Canberra,Australia:IEEE,2015:1-6. [17]MOUSTAFA N.SLAY J.The evaluation of network an- omaly detection systems:statistical analysis of the UN- SW-NB15 data set and the comparison with the KDD99
LIU Xiaowu, WANG Huiqiang, LU Hongwu, et al. Fusion-based cognitive awareness-control model for network security situation[J]. Journal of software, 2016, 27(8): 2099–2114. WANG Huan, CHEN Zhanfang, FENG Xin, et al. Research on network security situation assessment and quantification method based on analytic hierarchy process[J]. Wireless personal communications, 2018, 102(2): 1401–1420. [9] 龚俭, 臧小冬, 苏琪, 等. 网络安全态势感知综述 [J]. 软 件学报, 2017, 28(4): 1010–1026. GONG Jian, ZANG Xiaodong, SU Qi, et al. Survey of network security situation awareness[J]. Journal of software, 2017, 28(4): 1010–1026. [10] ZHAO Dongmei, LIU Jinxing. Study on network security situation awareness based on particle swarm optimization algorithm[J]. Computers and industrial engineering, 2018, 125: 764–775. [11] 陈维鹏, 敖志刚, 郭杰, 等. 基于改进的 BP 神经网络的 网络空间态势感知系统安全评估 [J]. 计算机科学, 2018, 45(11A): 345–347, 341. CHEN Weipeng, AO Zhigang, GUO Jie, et al. Research on cyberspace situation awareness security assessment based on improved BP neural network[J]. Computer science, 2018, 45(11A): 345–347, 341. [12] 贾焰, 韩伟红, 杨行. 网络安全态势感知研究现状与发 展趋势 [J]. 广州大学学报(自然科学版), 2019, 18(3): 1–10. JIA Yan, HAN Weihong, YANG Xing. Summary of network security situation assessment[J]. Journal of Guangzhou University (natural science edition), 2019, 18(3): 1–10. [13] XI Rongrong, YUN Xiaochun, HAO Zhiyu. Framework for risk assessment in cyber situational awareness[J]. Iet information security, 2019, 13(2): 149–156. [14] ZHENG Weifa. Research on situation awareness of network security assessment based on dempstershafer[C]//2019 International Conference on Computer Science Communication and Network Security. France: Edition Diffusion Press Sciences, 2020: 131–136. [15] MOUSTAFA N, SLAY J. UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set)[C]//Proceedings of 2015 Military Communications and Information Systems Conference. Canberra, Australia: IEEE, 2015: 1–6. [16] MOUSTAFA N, SLAY J. The evaluation of network anomaly detection systems: statistical analysis of the UNSW-NB15 data set and the comparison with the KDD99 [17] data set[J]. Information security journal: a global perspective, 2016, 25(1/2/3): 18–31. MOUSTAFA N, SLAY J, CREECH G. Novel geometric area analysis technique for anomaly detection using trapezoidal area estimation on large-scale networks[J]. IEEE transactions on big data, 2019, 5(4): 481–494. [18] MOUSTAFA N, CREECH G, SLAY J. Big data analytics for intrusion detection system: statistical decisionmaking using finite dirichlet mixture models[M]. CARRASCOSA I P, KALUTARAGE H K, HUANG Yan. Data Analytics and Decision Support for Cybersecurity. Cham: Springer, 2017: 127-156. [19] 甘文道, 周城, 宋波. 基于 RAN-RBF 神经网络的网络安 全态势预测模型 [J]. 计算机科学, 2016,43 (11A): 388–392. GAN Wendao, ZHOU Cheng, SONG Bo. Network security situation prediction model based on RAN-RBF neural network[J]. Computer science, 2016,43 (11A): 388–392. [20] HECHT-NIELSEN R. Theory of the backpropagation neural network[C]//Proceedings of the International 1989 Joint Conference on Neural Networks. Washington, USA: IEEE, 1989: 593–605. [21] 作者简介: 常利伟,副教授,中国计算机学会 会员、中国密码学会会员、山西省区块 链研究会理事,主要研究方向为密码 算法、网络安全态势感知、量子保密通 信和区块链。参与国家级项目 4 项, 主持山西省科研及教研项目 3 项,获 山西省教学成果一等奖 1 项。发表学 术论文近 20 篇。 田晓雄,硕士研究生,主要研究方 向为网络安全和信息融合。 张宇青,硕士研究生,主要研究方 向为网络安全与模式识别。 第 1 期 常利伟,等:基于多源异构数据融合的网络安全态势评估体系 ·47·