正在加载图片...
·40· 智能系统学报 第16卷 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 探测器1日志 选择 训练 数值归一化 非数值向量化 属性提取 探测器1 分析 预测 探测器2日志 属性提取 选择 训练 属性构造 多模型 数值归一化 探测器2 非数值向量化 信息 属性提取 分析 预测 融合 探测器3日志 数值归一化 选择 训练 非数值向量化 属性提取 探测器3 分析 预测 由底层到高层计算网络态势 服务层 主机层 网络层 SusSfs huhf 局 12m, m(attack) huhi 后1 h,(t=fS(),0) N((1),) 由高层到底层分析攻击目标 态势评估模块 图2模块组件关系 Fig.2 The relationship of modules 1.1流量探测模块 Netflow、Snort、Suricata探测器获得的基础属 信息在网络中以流量包为单元,在2台设备 性如表1~3所示。1)将其中数值型数据进行归 之间进行传递,流量包由一台主机发出,途径路 化处理,避免数值变化较大的属性覆盖数值较小 由器、交换机、防火墙、网卡等设备,到达另一台 的属性,使得数值变化较小的属性失去作用; 主机。流量探测模块将在以上设备中部署多个探 2)将非数值型属性编码成向量,使得计算机能够 测器,尽可能全面地获取网络数据。 处理。 常用的探测器分以下2类:1)网络流量探测 由于其侧重点各异,不同探测器将获取到不 器,这类探测器通常部署在局域网入口路由器 同属性的网络数据。因此本文设计不同的统计算 上,可以全面地、实时地获取所有流入、流出局域 法,以高效地提炼不同探测器的属性:1)研究发 网的网络流量,并发送至数据处理中心:2)入侵 现如果直接使用Netflow和Suricata中的地址属 检测系统,入侵检测系统实时检测网络流量信 性、端口属性、应用服务属性和时间属性进行攻 息,并与规则库中的报警规则进行匹配,一旦发 击识别,效果不明显,因此借助统计算法融合以 现异常流量,将发出对应的警告信息。 上4类属性生成网络连接属性6-1(如表4),其他 1.2属性提炼模块 属性保留;2)Snort和Suricata为入侵检测系统,其 属性提炼模块根据网络恶意活动的特征,准 所产生的报警信息是其核心要素,因此针对性地 确地构造有助于提高识别攻击类型的核心属性。 设计统计算法提炼报警数量与报警类别属性。数值归一化 非数值向量化 属性提取 ... 数值归一化 非数值向量化 属性提取 ... 属性提取 属性构造 数值归一化 非数值向量化 属性提取... 服务层 由底层到高层计算网络态势 由高层到底层分析攻击目标 流量探测模块 属性提炼模块 决策引擎模块 多源融合模块 态势评估模块 主机层 网络层 探测器 1 探测器 2 探测器 3 探测器 1 日志 探测器 2 日志 探测器 3 日志 选择 训练 选择 训练 选择 训练 分析 预测 分析 预测 分析 预测 多模型 信息 融合 ∑ g i=1 m(attacki )10f(attacki) vkj= sukjsfkj sukjsf ∑ kj n j=1 hukhfk hukhf ∑ k m k=1 lk= hk (t)=f(Sk (t), V(t)) N(t)=f(H(t), L(t)) 图 2 模块组件关系 Fig. 2 The relationship of modules 1.1 流量探测模块 信息在网络中以流量包为单元,在 2 台设备 之间进行传递,流量包由一台主机发出,途径路 由器、交换机、防火墙、网卡等设备,到达另一台 主机。流量探测模块将在以上设备中部署多个探 测器,尽可能全面地获取网络数据。 常用的探测器分以下 2 类:1) 网络流量探测 器,这类探测器通常部署在局域网入口路由器 上,可以全面地、实时地获取所有流入、流出局域 网的网络流量,并发送至数据处理中心;2) 入侵 检测系统,入侵检测系统实时检测网络流量信 息,并与规则库中的报警规则进行匹配,一旦发 现异常流量,将发出对应的警告信息。 1.2 属性提炼模块 属性提炼模块根据网络恶意活动的特征,准 确地构造有助于提高识别攻击类型的核心属性。 Netflow、Snort、Suricata 探测器获得的基础属 性如表 1~3 所示。1) 将其中数值型数据进行归一 化处理,避免数值变化较大的属性覆盖数值较小 的属性,使得数值变化较小的属性失去作用; 2)将非数值型属性编码成向量,使得计算机能够 处理。 由于其侧重点各异,不同探测器将获取到不 同属性的网络数据。因此本文设计不同的统计算 法,以高效地提炼不同探测器的属性:1) 研究发 现如果直接使用 Netflow 和 Suricata 中的地址属 性、端口属性、应用服务属性和时间属性进行攻 击识别,效果不明显,因此借助统计算法融合以 上 4 类属性生成网络连接属性[16-19] (如表 4),其他 属性保留;2) Snort 和 Suricata 为入侵检测系统,其 所产生的报警信息是其核心要素,因此针对性地 设计统计算法提炼报警数量与报警类别属性。 ·40· 智 能 系 统 学 报 第 16 卷