第1期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·45· 预测正确的数量 1.0 ☐预测错误的数量 Netflow 0.9 9r 8 0.7 0 6 54 3 2 0 0.1 Analysis Normal Analysis Backdoo Worm 攻击类别 攻击类别 图9 Suricata数据源预测结果 Fig.9 Results of Suricata data source 图12攻击预测 Fig.12 Attack prediction ■预测正确的数量 一预测错误的数量 表8性能指标对比分析 9 8 Table 8 Performance index contrastive analysis % 7 性能指标 Netflow Snort Surica-ta D-S PSO-DS 6 5 准确率 85.2 80.2 79.5 87.8 88.7 误警率 19.9 26.1 25.6 14.9 13.7 2 表9UNSW-NB15已有成果实验结果阿 0 Table 9 Other experimental results of UNSW-NB15171% Analy Generic Reconn Normal 性能指标 攻击类别 DT LR NB ANN EM clustering 准确率 85.6 83.2 82.1 81.3 78.5 图10D-S证据融合预测结果 Fig.10 Attack prediction of D-S 误警率 15.8 18.5 18.6 21.1 23.8 预测正确的数量 ☐预测错误的数量 2.2网络安全态势评估 9, 2.2.1服务层态势 8 7 在网络中重放了UNSW-NB15中2015-2- 6 17日的部分流量数据，该段时间持续33000s,每 5 5min为一个时间窗口，共110个时间窗口，如横 43 坐标10对应第10个时间窗口的态势值。使用本 文提出的网络攻击威胁划分原则及权系数理论得 0 到攻击因子，按照评估体系进行评估。某一主机上DS Analysis HTTP、SMTP3种服务的态势情况如图13所示。 攻击类别 600 500 =解 图11PSO-DS证据融合预测结果 Fig.11 Attack prediction of PSO-DS 400 如表8所示，与其他结果相比，本文选用的 300 PSO-DS融合算法准确率高，并且误警率降低， 200 充分证明了多点融合体系有效集成各单点检测 100 的优势，显著提高识别各攻击类型的能力；针对 o出 1102030405060708090100110 误警率较高的问题，本文查阅了使用此数据集 时间窗口/5min) 的研究成果，如表9所示，均存在误警率较高 图13服务层安全态势 问题。 Fig.13 Security situation of service9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 9 Suricata 数据源预测结果 Fig. 9 Results of Suricata data source 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 10 D-S 证据融合预测结果 Fig. 10 Attack prediction of D-S 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 11 PSO-DS 证据融合预测结果 Fig. 11 Attack prediction of PSO-DS 如表 8 所示，与其他结果相比，本文选用的 PSO-DS 融合算法准确率高，并且误警率降低， 充分证明了多点融合体系有效集成各单点检测 的优势，显著提高识别各攻击类型的能力；针对 误警率较高的问题，本文查阅了使用此数据集 的研究成果，如表 9 所示，均存在误警率较高 问题。 Analysis Backdoor Dos Worm Normal 1.0 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 Netflow Suricata Snort 攻击类别 准确率 图 12 攻击预测 Fig. 12 Attack prediction 表 8 性能指标对比分析 Table 8 Performance index contrastive analysis % 性能指标 Netflow Snort Surica-ta D-S PSO-DS 准确率 85.2 80.2 79.5 87.8 88.7 误警率 19.9 26.1 25.6 14.9 13.7 表 9 UNSW-NB15 已有成果实验结果[17] Table 9 Other experimental results of UNSW-NB15[17] % 性能指标 DT LR NB ANN EM clustering 准确率 85.6 83.2 82.1 81.3 78.5 误警率 15.8 18.5 18.6 21.1 23.8 2.2 网络安全态势评估 2.2.1 服务层态势 在网络中重放了 UNSW-NB15 中 2015-2- 17 日的部分流量数据，该段时间持续 33 000 s，每 5 min 为一个时间窗口，共 110 个时间窗口，如横 坐标 10 对应第 10 个时间窗口的态势值。使用本 文提出的网络攻击威胁划分原则及权系数理论得 到攻击因子，按照评估体系进行评估。某一主机上DNS、 HTTP、SMTP 3 种服务的态势情况如图 13 所示。 600 500 400 300 200 100 0 1 20 30 40 50 60 70 80 90 100 10 110 DNS HTTP SMTP 时间窗口/(5 min) 服务态势值 图 13 服务层安全态势 Fig. 13 Security situation of service 第 1 期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·45·