第1期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 41· 表1 Netflow基础属性 表4网络连接属性 Table 1 Basic features of Netflow Table 4 Statistical features of network traffic 序号 属性名称 描述 序号 属性名称 描述 开始时间 Sip与Dip相同并且Sport-与 1 Stime is sm ips prots 2 Dur 持续时间 Dport相同为l,否则为0 每100条记录中，Ltime、 3 Ltime 结束时间 ct dst Itm Dip相同的数量 4 Protocol 传输层协议 每100条记录中，Ltime 5 Sip 源ip地址 ct src Itm Sip相同的数量 6 Dip 目的ip地址 每100条记录中，Ltime、 4 ct_src_dport Itm 7 Sport 源端口号 Sip、Dporti相同的数量 每100条记录中，Ltime、 8 Dport 目的端口号 ct_dst sport Itm Dip、Sport相同的数量 9 Pkt 包数 每100条记录中，Ltime 10 Byt 包大小 ct_dst_src_ltm Sip、Dip相同的数量 11 Bps 比特数s 每100条记录中，Sip、 ct_srv_src 12 Serve相同的数量 Pps 包数s 每100条记录中，Dip 13 Bpp 平均包大小 ct srv dst Serve相同的数量 表2 Snort基础属性 Table 2 Basic features of Snort 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练，准确 序号 属性名称 描述 地学习出从各探测器核心属性到攻击类型的模 Sip 源ip地址 型。神经网络是一个优秀的分类模型，学者们常 2 Dip 目的ip地址 用此模型作为决策引擎，0，本文采用BP神经网 Sport 源端口号 络作为决策引擎。 BP神经网络由输入层、隐藏层、输出层构成。 Dport 目的端口号 Robert Hecht Nielson证明，只包含一个隐藏层的 Ip len Ip包长度 网络可以逼近闭合区间内的任一连续函数，因此 6 Attack_num 报警数量 BP神经网络能够实现由属性到攻击类型的映射。 > Attack_type 报警类型 含有1层隐藏层的BP神经网络训练过程如 下，输人层有m个神经元，隐藏层有h个神经元， 表3 Suricata基础属性 Table 3 Basic features of Suricata 输出层有n个神经元，激活函数为x),隐藏层神 经元输出为D(d,d2…,dw),输入层与隐藏层之间 序号 属性名称 描述 的权值为W{w1≤i≤m,1≤j≤h,隐藏层与输出 Stime 开始时间 层之间的权值为Vy1≤k≤n,1≤j≤h,神经网络 Ltime 结束时间 预测值为7=，2，…，)识真实值为Y=0,2,…,) Sip 源ip地址 均方误差为E,如图3所示。 4 Dip 目的ip地址 隐藏层第j个节点的输出值为 J Sport 源端口号 =位小1a (1) 6 Dport 目的端口号 输出层第k个节点的输出值为 > Sever 应用层服务 8 Pkt 包数 (2) 9 Byt 包大小 均方误差为 10 Attack_num 报警数量 11 (3) Attack_type 报警类型 =2-w表 1 Netflow 基础属性 Table 1 Basic features of Netflow 序号 属性名称 描述 1 Stime 开始时间 2 Dur 持续时间 3 Ltime 结束时间 4 Protocol 传输层协议 5 Sip 源ip地址 6 Dip 目的ip地址 7 Sport 源端口号 8 Dport 目的端口号 9 Pkt 包数 10 Byt 包大小 11 Bps 比特数/s 12 Pps 包数/s 13 Bpp 平均包大小 表 2 Snort 基础属性 Table 2 Basic features of Snort 序号 属性名称 描述 1 Sip 源ip地址 2 Dip 目的ip地址 3 Sport 源端口号 4 Dport 目的端口号 5 Ip_len Ip包长度 6 Attack_num 报警数量 7 Attack_type 报警类型 表 3 Suricata 基础属性 Table 3 Basic features of Suricata 序号 属性名称 描述 1 Stime 开始时间 2 Ltime 结束时间 3 Sip 源ip地址 4 Dip 目的ip地址 5 Sport 源端口号 6 Dport 目的端口号 7 Sever 应用层服务 8 Pkt 包数 9 Byt 包大小 10 Attack_num 报警数量 11 Attack_type 报警类型 表 4 网络连接属性 Table 4 Statistical features of network traffic 序号 属性名称 描述 1 is_sm_ips_prots Sip与Dip相同并且Sport与 Dport相同为1，否则为0 2 ct_dst_ltm 每100条记录中，Ltime、 Dip相同的数量 3 ct_src_ltm 每100条记录中，Ltime、 Sip相同的数量 4 ct_src_dport_ltm 每100条记录中，Ltime、 Sip、Dport相同的数量 5 ct_dst_sport_ltm 每100条记录中，Ltime、 Dip、Sport相同的数量 6 ct_dst_src_ltm 每100条记录中，Ltime、 Sip、Dip相同的数量 7 ct_srv_src 每100条记录中，Sip、 Serve相同的数量 8 ct_srv_dst 每100条记录中，Dip、 Serve相同的数量 1.3 决策引擎模块 决策引擎模块的功能是通过有效训练，准确 地学习出从各探测器核心属性到攻击类型的模 型。神经网络是一个优秀的分类模型，学者们常 用此模型作为决策引擎[11, 20] ，本文采用 BP 神经网 络作为决策引擎。 BP 神经网络由输入层、隐藏层、输出层构成。 Robert Hecht Nielson[21] 证明，只包含一个隐藏层的 网络可以逼近闭合区间内的任一连续函数，因此 BP 神经网络能够实现由属性到攻击类型的映射。 W{wji|1 ⩽ i ⩽ m,1 ⩽ j ⩽ h} V{vk j|1 ⩽ k ⩽ n,1 ⩽ j ⩽ h} Yb = (by1,by2,··· ,byn) T Y = (y1, y2,···, yn) T 含有 1 层隐藏层的 BP 神经网络训练过程如 下，输入层有 m 个神经元，隐藏层有 h 个神经元， 输出层有 n 个神经元，激活函数为 f(x)，隐藏层神 经元输出为 D=(d1 ,d2 ,…,dh ) T ，输入层与隐藏层之间 的权值为 ，隐藏层与输出 层之间的权值为 ，神经网络 预测值为 ，真实值为 ， 均方误差为 E，如图 3 所示。 隐藏层第 j 个节点的输出值为 dj = f (∑m i=1 xiwji) ,1 ⩽ j ⩽ h (1) 输出层第 k 个节点的输出值为 byk = f (∑h j=1 djvk j) ,1 ⩽ k ⩽ n (2) 均方误差为 E = 1 2 ∑n k=1 ( byk −yk )2 (3) 第 1 期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·41·