叢佩麗

遼寧機(jī)電職業(yè)技術(shù)學(xué)院信息工程系 遼寧 118009

0 引言

本文在上述安全管理系統(tǒng)的基礎(chǔ)上，對(duì)報(bào)警信息聚類(lèi)的方法進(jìn)行研究。聚類(lèi)分析常采用的分類(lèi)器有：平均樣本法優(yōu)點(diǎn)是算法簡(jiǎn)單，但是用一點(diǎn)代表一類(lèi)，過(guò)分集中。平均距離法需要計(jì)算待識(shí)模式與每一個(gè)訓(xùn)練樣本的距離，計(jì)算量比較大。最近鄰法需存儲(chǔ)和計(jì)算訓(xùn)練樣本，容易受噪音的影響。K-近鄰法中的K值取值較大時(shí)，雖然減少了噪音的干擾，但是會(huì)把原是一類(lèi)的分成多類(lèi)，當(dāng)K值取值較小時(shí)，又受了噪音的干擾。改進(jìn)的最近鄰以每一個(gè)類(lèi)別以幾個(gè)子集的平均樣本為代表，采取最近鄰法進(jìn)行分類(lèi)，這樣減少了存儲(chǔ)量和計(jì)算量，減少噪音的干擾，這是通常采用的分類(lèi)器。

1 加權(quán)最近鄰聚類(lèi)報(bào)警的設(shè)計(jì)

1.1 SOC總體系結(jié)構(gòu)設(shè)計(jì)

SOC關(guān)鍵技術(shù)是安全事件的關(guān)聯(lián)信息模型、通用高性能關(guān)聯(lián)引擎、安全事件重要性評(píng)估、安全設(shè)備聯(lián)動(dòng)控制等關(guān)鍵技術(shù)。完成安全事件的信息聚類(lèi)是上述關(guān)鍵技術(shù)實(shí)現(xiàn)的前提。網(wǎng)絡(luò)報(bào)警的聚類(lèi)主要是在SOC的收集代理上實(shí)現(xiàn)，而且聚類(lèi)主要是針對(duì)同一類(lèi)型報(bào)警信息的縱向聚類(lèi)。聚類(lèi)的主要目的是減少網(wǎng)絡(luò)報(bào)警的數(shù)量，將多條重復(fù)的報(bào)警信息在規(guī)定的時(shí)間閾值和空間閾值內(nèi)合并成一條。

網(wǎng)絡(luò)報(bào)警信息的規(guī)范化過(guò)程是指將各類(lèi)安全信息轉(zhuǎn)化為以統(tǒng)一格式描述的信息的過(guò)程，從而帶來(lái)語(yǔ)義級(jí)別的提升。由于網(wǎng)絡(luò)設(shè)備千差萬(wàn)別，所以它們所發(fā)出的報(bào)警的格式也多種多樣，需要進(jìn)行必要的聚類(lèi)操作。因此在設(shè)計(jì) SOC體系時(shí)，本文側(cè)重于收集代理上的信息聚類(lèi)方法的研究，建立SOC總體結(jié)構(gòu)如圖1所示。

圖1 SOC總體結(jié)構(gòu)圖

1.2 加權(quán)最近鄰聚類(lèi)報(bào)警模型

定義1 報(bào)警信息向量：從報(bào)警信息記錄的原始報(bào)警信息中提取的有助構(gòu)建進(jìn)攻場(chǎng)面的特征屬性：設(shè)備類(lèi)型、攻擊方式、源IP、源端口、目的IP、目的端口、以太網(wǎng)協(xié)儀依次作為一條報(bào)警信息的七個(gè)分量，構(gòu)建的向量稱(chēng)為報(bào)警信息向量。

定義2 報(bào)警信息向量空間：由所有報(bào)警信息向量構(gòu)成的7維向量空間稱(chēng)為報(bào)警信息向量空間。

在報(bào)警信息的聚類(lèi)過(guò)程中，本系統(tǒng)采用了具有權(quán)值的最近鄰算法進(jìn)行聚類(lèi)。海量的報(bào)警信息相當(dāng)于空間點(diǎn)集V，每個(gè)點(diǎn)(即報(bào)警信息)又可抽象成報(bào)警信息向量，相當(dāng)于點(diǎn)集中的點(diǎn) P1。如果兩個(gè)七元組 P1、P2中所有元素均相同，則其距離為0，也就是P2為P1的最近鄰，即 MN( P1)=P2。根據(jù)報(bào)警向量中各元素在攻擊中所扮演的角色不同，為其分配一個(gè)惟一的權(quán)值，分別為ω1,ω2,…ω7，P1,P2,…P7為元素比較標(biāo)志。如果P1、P2的對(duì)應(yīng)分量相同，則1F為0，否則1F為1。P1、P2間的距離D(P1、P2)定義為：

如果D(P1，P2)≤t則P1，P2屬于同一類(lèi)，可合并為一條報(bào)警信息，并且將各個(gè)報(bào)警信息的次數(shù)相加。在丹東水利系統(tǒng)SOC中，報(bào)警信息向量的權(quán)值ω，距離閾值t，聚類(lèi)時(shí)間閾值和聚類(lèi)的空間閾值都可以靈活設(shè)定。

在聚類(lèi)過(guò)程中為了提高聚類(lèi)效率，本系統(tǒng)采用了平衡二叉樹(shù)算法。如圖2所示。

圖2 SOC 聚類(lèi)邏輯結(jié)構(gòu)

將每個(gè)待聚類(lèi)的關(guān)鍵字作為二叉樹(shù)的一個(gè)節(jié)點(diǎn)，如果新采集的規(guī)范化后的網(wǎng)絡(luò)報(bào)警和在平衡二叉樹(shù)中查找到的節(jié)點(diǎn)的關(guān)鍵字依據(jù)公式1計(jì)算出它們之間的距離D，如果D≤t就將二叉樹(shù)節(jié)點(diǎn)的次數(shù)字段和新報(bào)警信息的次數(shù)相加，如果不同就將該新報(bào)警信息插入到平衡二叉樹(shù)，并調(diào)整二叉樹(shù)為平衡狀態(tài)。

甜玉米品質(zhì)：成熟期采集甜玉米可鮮食部分，采用水楊酸硝化法測(cè)定硝酸鹽含量，采用蒽酮比色法測(cè)定可溶性糖含量，采用考馬斯亮藍(lán)G250法測(cè)定可溶性蛋白含量［16］。

本系統(tǒng)在聚類(lèi)過(guò)程中同時(shí)還維護(hù)了一個(gè)隊(duì)列，每在平衡二叉樹(shù)中插入一個(gè)節(jié)點(diǎn)同時(shí)也將該節(jié)點(diǎn)入隊(duì)并記下入隊(duì)時(shí)間。每隔2秒鐘輪詢(xún)隊(duì)列。用當(dāng)前時(shí)間減去入隊(duì)時(shí)間，如果時(shí)間差大于聚類(lèi)閾值，在平衡二叉樹(shù)中查找該節(jié)點(diǎn)，將該節(jié)點(diǎn)提交給網(wǎng)絡(luò)報(bào)警初步關(guān)聯(lián)分析模塊，同時(shí)將該節(jié)點(diǎn)從二叉樹(shù)中刪除，將二叉樹(shù)調(diào)整為平衡狀態(tài)。如果平衡二叉樹(shù)節(jié)點(diǎn)達(dá)到最大值，則新來(lái)的報(bào)警信息將替換平衡二叉樹(shù)中時(shí)間最久的節(jié)點(diǎn)，這樣就會(huì)出現(xiàn)丟包現(xiàn)象。

2 系統(tǒng)測(cè)試

2.1 測(cè)試環(huán)境

為了滿(mǎn)足本系統(tǒng)的技術(shù)功能測(cè)試要求，搭建了一個(gè)由事件收集代理，SOC服務(wù)器，SOC數(shù)據(jù)庫(kù)服務(wù)器，掃描器，審計(jì)中心，防火墻，入侵檢測(cè)系統(tǒng)，服務(wù)器和兩臺(tái)測(cè)試機(jī)組成的測(cè)試網(wǎng)絡(luò)，并可以接入現(xiàn)有的試驗(yàn)網(wǎng)，滿(mǎn)足對(duì)其網(wǎng)絡(luò)設(shè)備進(jìn)行安全監(jiān)控等要求。具體如圖3所示。

圖3 SOC測(cè)試網(wǎng)絡(luò)拓?fù)鋱D

2.2 測(cè)試工具

(1) SOC Web服務(wù)器一臺(tái)。應(yīng)用服務(wù)器是SOC安全管理平臺(tái)的分析中心，提供對(duì)安全信息的關(guān)聯(lián)分析、安全脆弱性分析、安全事件處理監(jiān)控與管理、安全狀況評(píng)估、安全知識(shí)庫(kù)管理等功能。

(2) SOC數(shù)據(jù)庫(kù)服務(wù)器一臺(tái)。數(shù)據(jù)庫(kù)服務(wù)器主要用來(lái)保存SOC安全管理平臺(tái)的數(shù)據(jù)信息，為SOC安全管理平臺(tái)提供數(shù)據(jù)的存儲(chǔ)、查詢(xún)等功能。IP地址設(shè)置為192.168.71.30。

(3) 收集代理服務(wù)器兩臺(tái)。安全信息收集代理主要完成對(duì)設(shè)備和主機(jī)系統(tǒng)的安全信息的收集、安全域內(nèi)資產(chǎn)的自動(dòng)發(fā)現(xiàn)等功能。IP地址分別設(shè)置為192.168.70.13，210.36.45.13。

(4) 掃描器一臺(tái)。掃描系統(tǒng)存在的漏洞。

(5) 測(cè)試PC兩臺(tái)，模擬發(fā)送本系統(tǒng)所支持的其它設(shè)備的報(bào)警信息。

(6) 防火墻一臺(tái)。對(duì)攻擊事件發(fā)出網(wǎng)絡(luò)報(bào)警。

(7) 審計(jì)中心一臺(tái)。

(8) IDS一臺(tái)。對(duì)攻擊事件發(fā)出網(wǎng)絡(luò)報(bào)警。

2.3 測(cè)試流程

本系統(tǒng)的主要工作流程如下：

(1) 管理員通過(guò)Web瀏覽器打開(kāi)Web管理中心界面，通過(guò)用戶(hù)認(rèn)證后，正式登錄Web管理中心。

(2) 配置應(yīng)用服務(wù)器，設(shè)置報(bào)警聚類(lèi)的相關(guān)參數(shù)。

(3) 配置收集代理服務(wù)器，設(shè)置收集代理的相關(guān)參數(shù)，確定收集代理收集的目標(biāo)設(shè)備。

(4) 利用測(cè)試PC1和PC2發(fā)動(dòng)攻擊。

(5) 應(yīng)用服務(wù)器利用數(shù)據(jù)庫(kù)中的規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析，并給出告警信息。

2.4 相關(guān)測(cè)試結(jié)果

通過(guò)測(cè)試，得出了如下結(jié)果：

(1) 支持網(wǎng)絡(luò)報(bào)警設(shè)備

本系統(tǒng)支持的網(wǎng)絡(luò)報(bào)警設(shè)備有：Cisco 系列路由器、Cisco系列交換機(jī)、天融信防火墻、東軟防火墻、東軟IDS、啟明IDS、啟明掃描器、Nessus掃描器、Nmap掃描器、北電幀中繼設(shè)備、Linux主機(jī)、Window主機(jī)、Symantec 防病毒軟件。對(duì)其它廠(chǎng)家設(shè)備實(shí)現(xiàn)了可擴(kuò)展支持。

(2) 支持網(wǎng)絡(luò)報(bào)警格式

本系統(tǒng)支持的網(wǎng)絡(luò)報(bào)警格式有：SNMPTRAP、SYSLOG、文本格式、ODBC格式。對(duì)其它協(xié)議可擴(kuò)展支持。

(3) 報(bào)警信息收集能力

本系統(tǒng)的報(bào)警信息收集能力大于30萬(wàn)條/分鐘，關(guān)聯(lián)分析規(guī)則庫(kù)內(nèi)置了四百余條規(guī)則。

(4) 聚類(lèi)前后報(bào)警數(shù)量對(duì)比如圖4所示。

圖4 SOC聚類(lèi)結(jié)果對(duì)比圖

由圖4可以看出，聚類(lèi)前報(bào)警數(shù)量約為12000多條聚類(lèi)后僅有4000余條。報(bào)警數(shù)量減少了約2/3。

3 結(jié)論

本文所應(yīng)用的基于有權(quán)值的最近鄰聚類(lèi)技術(shù)有效的減少了報(bào)警數(shù)量，降低了誤報(bào)率，為進(jìn)一步進(jìn)行關(guān)聯(lián)分析奠定了基礎(chǔ)，使SOC系統(tǒng)更好發(fā)揮作用，確保網(wǎng)絡(luò)信息安全。

[1]McHugh J. Intrusion and intrusion detection, International Journal of Information Security. 2001.

[2]溫輝,徐開(kāi)勇.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析及主動(dòng)響應(yīng)機(jī)制的研究.計(jì)算機(jī)應(yīng)用與軟件.2010.

[3]賈丙靜,王傳安.Web日志挖掘中模糊C均值聚類(lèi)研究[J].遼東學(xué)院學(xué)報(bào)(自然科學(xué)版).2011.

[4]楊德志.基于QPSO參數(shù)優(yōu)化的LS-SVM智能標(biāo)定[J].遼東學(xué)院學(xué)報(bào)(自然科學(xué)版).2011.

[5]吳正楨,陳秀真,李建華.基于聚類(lèi)和報(bào)警先決條件的網(wǎng)絡(luò)入侵關(guān)聯(lián)分析[J].計(jì)算機(jī)工程.2007.

[6]胡永麗,龔沛曾.基于模糊C均值和改進(jìn)的LSA的文檔聚類(lèi)研究.計(jì)算機(jī)技術(shù)與發(fā)展.2010.

[7]趙彬,王亞弟等.網(wǎng)絡(luò)安全運(yùn)營(yíng)中心關(guān)鍵技術(shù)研究[J].信息安全技術(shù).2009.

[8]嚴(yán)會(huì)超,陳聯(lián)城等.采用綜合加權(quán)聚類(lèi)方法的農(nóng)產(chǎn)品安全監(jiān)測(cè)點(diǎn)規(guī)劃[J].應(yīng)用生態(tài)學(xué)報(bào).2009.

[9]叢佩麗.SOC中報(bào)警聚類(lèi)及關(guān)聯(lián)分析技術(shù)的設(shè)計(jì)與實(shí)現(xiàn)[D].大連理工大學(xué).2008.