·44· 智能系统学报 第16卷 N0=fH0,L()=H(0L(t) (15) 表7攻击类型及威胁因子 H(i=(h,(),h2(t0),…,hm(t)为网络中主机的态 Table 7 Attack types and risk factors 势向量，L(①)=（仙，2，…，lm)为主机的权值，网络中 序号 攻击名称 威胁程度 威胁因子 Analysis 中 0.611 主机数量为m。 Backdoor 高 0.726 hhf灰 l= (16) 3 Dos 中 0.611 了uhf Exploit 高 0.726 5 Fuzzers 高 0.726 式中：m为该网络中的主机数量，Hu()=(h, 6 Generic % 0.611 h2,…,hum)为网络中各个主机用户数量的向量； 7 Reconnaissance 低 0.389 Hf)=(hf,hf,…,hfm)为网络中各个主机使用频 P Shellcode 高 0.726 率的向量。 9 Worm $ 0.726 10 Normal 0 通过态势评估策略，将网络的安全状况及其 演化状况准确地计算出来。如若发生威胁，管理 2.1 决策引擎结果与融合性能分析 员可以根据网络态势变化曲线及时地掌握网络状 图7~12展示了决策引擎和融合算法的实验 况，根据层次图由上到下依次分析网络层态势 结果。分析可知来自不同探测器数据对于识别各 -主机层态势-一服务层态势，追根溯源，准确快速 类攻击各有优势，Netflow数据源对于识别Ana- 的定位问题根源，从而采取有效地措施，保护网络 lysis、Normal准确率较高；Snort数据源对于区分 安全。 Backdoor、Worm攻击效果很好；Suricata可以很好 地识别Dos。融合算法集成了各数据源识别攻击 2实验分析 的优势，提高了决策效果。 如图6所示，根据实验需求，部署Netflow,以 ■预测正确的数量 ☐预测错误的数量 获取网络中流量的信息（如端口号、流量包大小、 9 发包速度等)，并部署Snort、Suricata等入侵检测 工具，当发现异常流量则发出警告信息。实验中 BP神经网络包含2层隐藏层，每层32个神经 ￥ 元。粒子群优化算法群体规模为100，在[0,1]内 搜索确定D-S指数权重。 0 s Analy Normal 攻击类别 Internet 工f 子网 图7 Netflow数据源预测结果 Fig.7 Results of Netflow data source 机房子网 Attack I 预测正确的数量 ☐预测错误的数量 9r Attack 2 8 7 Netflow Snort Suricata 数据中心 6 图6网络拓扑 Fig.6 network topology 3 流量数据使用澳大利亚新南威尔逊大学安全 实验室的UNSW-NB15流量包的5%用作本实验 的数据，此流量包包含2天的流量包和攻击信息， Analysis 混合了正常网络流量和综合性攻击流量，更符合 攻击类别 现代真实的流量场景，而且网络规模更大，主机 图8 Snort数据源预测结果 数量更多，攻击类型更加丰富，如表7所示。 Fig.8 Results of Snort data sourceN(t) = f(H(t), L(t)) = H(t)L(t) (15) H(t) = (h1(t),h2(t),··· ,hm(t)) L(t) = (l1,l2,··· ,lm) 为网络中主机的态 势向量， 为主机的权值，网络中 主机数量为 m。 lk = hukh fk ∑m k=1 hukh fk (16) Hu(t) = (hu1, hu2,··· ,hum) H f(t) = (h f1,h f2,··· ,h fm) 式中： m 为该网络中的主机数量， 为网络中各个主机用户数量的向量； 为网络中各个主机使用频 率的向量。 通过态势评估策略，将网络的安全状况及其 演化状况准确地计算出来。如若发生威胁，管理 员可以根据网络态势变化曲线及时地掌握网络状 况，根据层次图由上到下依次分析网络层态势 −主机层态势−服务层态势，追根溯源，准确快速 的定位问题根源，从而采取有效地措施，保护网络 安全。 2 实验分析 如图 6 所示，根据实验需求，部署 Netflow，以 获取网络中流量的信息 (如端口号、流量包大小、 发包速度等)，并部署 Snort、Suricata 等入侵检测 工具，当发现异常流量则发出警告信息。实验中 BP 神经网络包含 2 层隐藏层，每层 32 个神经 元。粒子群优化算法群体规模为 100，在 [0,1] 内 搜索确定 D-S 指数权重。 工作子网 机房子网 Internet Snort Suricata Attack 1 ... Attack 2 Netflow 数据中心 图 6 网络拓扑 Fig. 6 network topology 流量数据使用澳大利亚新南威尔逊大学安全 实验室的 UNSW-NB15 流量包的 5% 用作本实验 的数据，此流量包包含 2 天的流量包和攻击信息， 混合了正常网络流量和综合性攻击流量，更符合 现代真实的流量场景，而且网络规模更大，主机 数量更多，攻击类型更加丰富，如表 7所示。 表 7 攻击类型及威胁因子 Table 7 Attack types and risk factors 序号 攻击名称 威胁程度 威胁因子 1 Analysis 中 0.611 2 Backdoor 高 0.726 3 Dos 中 0.611 4 Exploit 高 0.726 5 Fuzzers 高 0.726 6 Generic 中 0.611 7 Reconnaissance 低 0.389 8 Shellcode 高 0.726 9 Worm 高 0.726 10 Normal — 0 2.1 决策引擎结果与融合性能分析 图 7~12 展示了决策引擎和融合算法的实验 结果。分析可知来自不同探测器数据对于识别各 类攻击各有优势，Netflow 数据源对于识别 Ana￾lysis、Normal 准确率较高；Snort 数据源对于区分 Backdoor、Worm 攻击效果很好；Suricata 可以很好 地识别 Dos。融合算法集成了各数据源识别攻击 的优势，提高了决策效果。 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 7 Netflow 数据源预测结果 Fig. 7 Results of Netflow data source 9 8 7 6 5 4 3 2 1 0 Analysis Backdoor Dos Exploits Fuzzers Generic Reconn Shell Worm Normal 预测正确的数量 预测错误的数量 攻击类别 攻击数量/10 3 图 8 Snort 数据源预测结果 Fig. 8 Results of Snort data source ·44· 智 能 系 统 学 报 第 16 卷