陳鍇

摘? 要： 為了滿足大規(guī)模網(wǎng)絡(luò)安全監(jiān)控需要，設(shè)計基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，系統(tǒng)由信息采集層、多源數(shù)據(jù)融合層和態(tài)勢感知層構(gòu)成。其中信息采集層通過日志傳感器對網(wǎng)絡(luò)中主機和設(shè)備日志信息實施收集、預(yù)處理分析，SNMP傳感器以SNMP協(xié)議流程為依據(jù)，對可控設(shè)備MIB庫中網(wǎng)絡(luò)交換設(shè)備和終端設(shè)備等數(shù)據(jù)進(jìn)行采集、分析。多源數(shù)據(jù)融合層利用基于逐步回歸分析的多源檢測數(shù)據(jù)融合方法，融合信息采集層中的多源異構(gòu)傳感器所采集數(shù)據(jù)。態(tài)勢感知層依據(jù)融合數(shù)據(jù)通過安全態(tài)勢評估和安全態(tài)勢預(yù)測，感知網(wǎng)絡(luò)安全態(tài)勢。實驗結(jié)果表明，該系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知符合程度好，對網(wǎng)絡(luò)攻擊性能的檢測率高，可高程度約簡原始報警，大大降低管理員負(fù)擔(dān)。

關(guān)鍵詞： 網(wǎng)絡(luò)安全; 態(tài)勢感知; 系統(tǒng)設(shè)計; 多源異構(gòu)傳感器; 信息獲取; 多源數(shù)據(jù)融合

中圖分類號： TN915.08?34; TP391.9? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼： A? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）20?0074?05

Design of network security situation awareness system based on multi?source heterogeneous sensors

CHEN Kai

（Zhejiang University of Finance & Economics， Hangzhou 310018， China）

Abstract： A network security situation awareness system based on multi?source heterogeneous sensors is designed to meet the needs of large?scale network security monitoring. The system is composed of the information collection layer， multi?source data fusion layer and situation awareness layer. The information collection layer is used to implement collection and preprocessing analysis of the log information of the host and equipment in the network by means of the log sensor， and the SNMP sensor based on SNMP protocol flow is utilized to collect and analyze the data of the network exchange equipment and terminal equipment in the MIB （management information base） of the controllable equipments. The multi?source data fusion layer is used to fuse the data collected by multi?source heterogeneous sensors in the information collection layer by means of the multi?source detection data fusion method based on stepwise regression analysis. The situation awareness layer is used to perceive the network security situation by security situation assessment and security situation prediction according to the fused data. The experiment results show that the network security situation awareness of the system conforms well to the true situation， its detection rate of network attack performance is high， and the system can reduce the original alert to a high degree， which greatly reduces the burden on administrators.

Keywords： network security; situation awareness; system design; multi?source heterogeneous sensor; information acquisition; multi?source data fusion

0? 引? 言

網(wǎng)絡(luò)在當(dāng)今社會發(fā)揮著很大作用，不僅在社會生活中發(fā)揮著極大的作用，在政治、經(jīng)濟、軍事以及其他領(lǐng)域的應(yīng)用也十分廣泛[1]。隨著網(wǎng)絡(luò)應(yīng)用向各個領(lǐng)域大規(guī)模、高度分布式速度發(fā)展，網(wǎng)絡(luò)安全也存在著越來越多的隱患，對網(wǎng)絡(luò)的入侵攻擊以及破壞性逐漸增強[2]。

傳感器可以感知被測量的信息以及感知信息的輸出，通過固有規(guī)則將其變換成電信號或一些其他模式輸出，以此實現(xiàn)信息的輸出傳遞、處理以及存儲等，所以傳感器屬于檢測裝置[3]。傳感器的特點包括：微型和數(shù)字以及智能化等。態(tài)勢感知包括感知、理解和預(yù)測三個層次，它的概念最早在軍事領(lǐng)域中提出，且隨著網(wǎng)絡(luò)的繁榮發(fā)展而晉升為“網(wǎng)絡(luò)態(tài)勢感知”。

本文設(shè)計了基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，通過信息采集層中日志傳感器和SNMP傳感器對網(wǎng)絡(luò)中的日志信息進(jìn)行收集、預(yù)處理分析，并對網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù)進(jìn)行采集及分析。通過多源數(shù)據(jù)融合層對數(shù)據(jù)實施融合。通過態(tài)勢決策對融合數(shù)據(jù)進(jìn)行評估和預(yù)測，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知。

1? 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的功能要求主要分3點：

1） 系統(tǒng)軟件和使用的安全狀態(tài)數(shù)據(jù)以及網(wǎng)絡(luò)和服務(wù)能被有效監(jiān)控和收集，一些安全異常和網(wǎng)絡(luò)攻擊行為能立刻被發(fā)覺[4];

2） 各類安全事件源的大量數(shù)據(jù)，通過網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)將其融合和關(guān)聯(lián)，攻擊行為的性質(zhì)和可能產(chǎn)生的影響，根據(jù)綜合分析判斷其原因，能迅速報警和預(yù)警;

3） 統(tǒng)一視圖合成的實現(xiàn)，需要對系統(tǒng)安全態(tài)勢進(jìn)行整體監(jiān)測及融合，給予不同角度安全態(tài)勢，合成統(tǒng)一視圖。

因此，在了解系統(tǒng)功能要求的前提下，給出基于多源異構(gòu)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)。

1.1? 系統(tǒng)總體結(jié)構(gòu)

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)由3個層次組成：信息采集層、多源數(shù)據(jù)融合層、態(tài)勢感知層。該結(jié)構(gòu)是分布式開放結(jié)構(gòu)，“分布式獲取，分域式處理”是該結(jié)構(gòu)的核心思想，如圖1所示。日志類傳感器、SNMP傳感器是信息采集層的部署分布，通過這幾類傳感器可獲取不同異構(gòu)信息如交換設(shè)備、安全設(shè)備以及網(wǎng)絡(luò)環(huán)境中主機等異構(gòu)信息[5];通過聚合和融合的方式提取主要精簡數(shù)據(jù)和安全事件，這種提取方式是多源數(shù)據(jù)融合層獲取不同異構(gòu)信息的重要手段。多源信息的綜合理解和動態(tài)預(yù)測通過層次評價思想和非線性時間序列預(yù)測方式分別實現(xiàn)，該實現(xiàn)方式屬于態(tài)勢感知層主要實現(xiàn)方式，此方式能提供可靠的安全態(tài)勢圖作為上層的依據(jù)。與對應(yīng)的數(shù)據(jù)庫交互是信息采集層、多源異構(gòu)數(shù)據(jù)融合層以及態(tài)勢感知層完成各自程序的方式。

“監(jiān)控?分析?決策”組成的感知環(huán)構(gòu)成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)安全感知環(huán)。實現(xiàn)整個網(wǎng)絡(luò)的監(jiān)控，分為兩部分：通過多類傳感器實行安全監(jiān)控;每個設(shè)備的安全狀態(tài)數(shù)據(jù)通過每個傳感器實時獲取。通過對數(shù)據(jù)分析完成安全分析[6]，根據(jù)所獲取的信息實行過濾、驗證以及融合三步驟完成數(shù)據(jù)分析。

1.2? 數(shù)據(jù)獲取層

1.2.1? 日志傳感器

網(wǎng)絡(luò)安全態(tài)勢感知的日志傳感器布置在網(wǎng)絡(luò)設(shè)備構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中主要包括主機、IDS、交換機等設(shè)備。網(wǎng)絡(luò)中，主機和設(shè)備的日志信息采集通過布置特定數(shù)量的日志傳感器完成，經(jīng)過簡單的預(yù)處理和分析后，形成安全事件，及時精確地把網(wǎng)絡(luò)信息顯示給網(wǎng)絡(luò)管理者。

日志采集模塊和日志分析模式構(gòu)成日志傳感器。通過簡單的數(shù)據(jù)預(yù)處理后傳遞給日志分析模塊，通過日志采集模塊對IDS、關(guān)鍵主機、安全設(shè)備和其他日志系統(tǒng)實現(xiàn)日志完成數(shù)據(jù)采集。日志分析模塊根據(jù)特定的安全規(guī)則通過預(yù)處理的日志，且形成格式一致的安全事件傳遞上層應(yīng)用[7]。日志傳感器的結(jié)構(gòu)見圖2。

1.2.2? SNMP傳感器

SNMP傳感器以SNMP協(xié)議流程為依據(jù)。通過SNMP協(xié)議對可控設(shè)備MIB庫中的網(wǎng)絡(luò)交換設(shè)備和終端設(shè)備等數(shù)據(jù)，實行采集以及數(shù)據(jù)分析，得到系統(tǒng)所需信息如網(wǎng)絡(luò)拓?fù)湫畔ⅰ⒕W(wǎng)絡(luò)流量信息以及安全事件信息等，將所得信息上交給上層應(yīng)用或網(wǎng)絡(luò)管理員且要求信息形式規(guī)范統(tǒng)一。

SNMP協(xié)議不僅可以從網(wǎng)絡(luò)設(shè)備上采集網(wǎng)絡(luò)管理信息，還能反映網(wǎng)絡(luò)設(shè)備的問題及錯誤，組成部分包括由協(xié)議沒有關(guān)聯(lián)性的一系列協(xié)議組以及使用范圍非常普遍的網(wǎng)絡(luò)管理協(xié)議。

通過RFC3411?RFC341D定義SNMPv3，在v2版本的前提下對安全性提高和遠(yuǎn)端配置加強，封包在傳輸時保證信息的完整性、檢驗信息的正確源和封包的加密（防止未授權(quán)的來源窺探）是v3版本的安全性功能。SNMPv3在網(wǎng)絡(luò)安全研究領(lǐng)域上能讓大規(guī)模網(wǎng)絡(luò)管理需要得以實現(xiàn)，并有較強的適應(yīng)性。

通過Administrator?Agent的管理模式實現(xiàn)SNMP協(xié)議，圖3是SNMP協(xié)議的邏輯結(jié)構(gòu)，通過數(shù)據(jù)備份和數(shù)據(jù)融合以及高層次的網(wǎng)絡(luò)安全態(tài)勢感知，經(jīng)由管理站發(fā)出指令實現(xiàn)上述過程[8]，通常情況下該管理站是中間件，是管理者和網(wǎng)絡(luò)管理系統(tǒng)的中間件，并且在網(wǎng)絡(luò)中是一個獨立的主機系統(tǒng);管理站收取的數(shù)據(jù)不僅可以直接用來獲取流量信息還能監(jiān)視網(wǎng)絡(luò)性能，排除故障等[9]。Agent與管理站不同，通過監(jiān)控設(shè)備上的路由器、主機和交換機等設(shè)備駐留。換句話說，管理站和Agent存在信息交互時，通過SNMP協(xié)議實現(xiàn)其交互過程，且SNMP協(xié)議建立在TCP/IP協(xié)議的前提下，使用UDP。管理站和Agent分別用來管理網(wǎng)絡(luò)以及收集網(wǎng)絡(luò)數(shù)據(jù)，MIB和SNMP分別用來規(guī)定設(shè)備相關(guān)對象以及連接二者通信，這4組元素組成SNMP網(wǎng)絡(luò)管理模型，這是從更高角度來理解的層面。

1.3? 多源數(shù)據(jù)融合層

基于逐步回歸分析實現(xiàn)系統(tǒng)多源檢測數(shù)據(jù)融合層，為系統(tǒng)軟件部分。自變量和因變量之間統(tǒng)計關(guān)系的數(shù)學(xué)表達(dá)式的建立，在大量實驗觀測數(shù)據(jù)的前提下，用回歸分析方法找出監(jiān)測變量之間的內(nèi)部相關(guān)性，從而定量建立其數(shù)學(xué)表達(dá)式，組建多源異構(gòu)傳感器監(jiān)測變量與網(wǎng)絡(luò)攻擊變量間的關(guān)系模型。

逐步回歸分析法的步驟為：

1） 從自變量Y作用的顯著程度開始，從小到大按順序逐個引入回歸方程;

2） 后面引入自變量時，當(dāng)之前引入的自變量變得不顯著時，清除該不顯著的自變量;

3） 采用逐步方程將一個自變量引入或清除;

4） 為了保證每次引入新的顯著性變量前回歸方程中只有Y值作用的顯著變量，對Y值的檢測每一步都要實行;

5） 此過程要反復(fù)實行，當(dāng)回歸方程中沒有顯著變量需要清除以及沒有顯著變量可以引入回歸方程時停止實行。

通過實際檢測數(shù)據(jù)樣本，采用逐步回歸分析法尋找“最優(yōu)”回歸方程，實現(xiàn)多源異構(gòu)傳感器數(shù)據(jù)之間的融合處理，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知。

多項式回歸計算方法如下，設(shè)變量X，Y的回歸模型為：

[Y=α0+α1x+α2x2+…+αqxq+β] （1）

式中：[q]是已知的;[αi（i=1，2，…，q）]是未知參數(shù);[β]服從正態(tài)分布[M（0，σ2）]。

回歸多項式為：

[Y=α0+α1x+α2x2+…+αtxt]? （2）

回歸模型是多項式回歸。若[xj=xj，j=1，2，…，t]，則多項回歸模型變成多元線性回歸模型。

1.4? 態(tài)勢感知層

安全態(tài)勢預(yù)測模塊、安全態(tài)勢評價模塊以及事件威脅度評價模塊共同構(gòu)成態(tài)勢感知層。事件威脅度評價的環(huán)節(jié)十分重要[10]，因為事件威脅度評價將高威脅度的安全事件放在首位，其他事件次之[11]，這樣能馬上提醒安全管理人員重視此事件[12]。Snort攻擊威脅分類情況和安全態(tài)勢要素通過設(shè)計的匹配器進(jìn)行提取，并對結(jié)果實行匹配，其匹配結(jié)果的安全事件分為高、中、低三種情況[13]，因此能更清晰地展現(xiàn)給管理人員。

1.4.1? 安全態(tài)勢評價

整個網(wǎng)絡(luò)當(dāng)前安全態(tài)勢評價主要通過安全態(tài)勢評價模塊實現(xiàn)。該模塊的評價流程如圖4所示。

安全事件的威脅度統(tǒng)計分析通過安全威脅統(tǒng)計模塊實現(xiàn)，其實現(xiàn)過程是在特定時間范圍根據(jù)安全事件展開分析，分析得出高、中、低三種威脅程度的安全事件數(shù)量，其不同主機服務(wù)在不同時間間隔內(nèi)所受不同威脅程度的情況下完成分析過程。根據(jù)不同時間間隔的重要性依次算出相應(yīng)的服務(wù)安全態(tài)勢，將其儲藏于態(tài)勢庫，該過程是服務(wù)安全態(tài)勢評價模塊應(yīng)用流程。通過不同主機的安全防御機制與安全屬性的要求相結(jié)合，算出對應(yīng)的防御強度，和主機上的服務(wù)安全態(tài)勢一起提供給主機安全態(tài)勢評價模塊，由此得到主機防御方法配置獲取模塊。

主機安全態(tài)勢評價模塊分三步：

1） 了解主機上運行的服務(wù)情況，在權(quán)值庫中讀取相應(yīng)的服務(wù)權(quán)值;

2） 主機的安全態(tài)勢獲取，通過對比步驟1）和防御強度實現(xiàn);

3） 將安全態(tài)勢儲藏于態(tài)勢庫，輸送態(tài)勢庫至網(wǎng)絡(luò)安全態(tài)勢評價模塊，其工作流程為：算出整個網(wǎng)絡(luò)的安全態(tài)勢情況，通過主機在網(wǎng)絡(luò)中的不同地位（即權(quán)值）實現(xiàn);將算出的結(jié)果傳遞給態(tài)勢呈現(xiàn)模塊;將評價結(jié)果展現(xiàn)給決策者。

1.4.2? 安全態(tài)勢預(yù)測

前向預(yù)測功能是網(wǎng)絡(luò)安全態(tài)勢的特點之一，其功能通過態(tài)勢感知層預(yù)測模塊實現(xiàn)。網(wǎng)絡(luò)安全態(tài)勢預(yù)測流程如圖5所示。歷史和目前網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)通過獲取模塊從態(tài)勢庫中分別讀取[14];模型的訓(xùn)練和測試結(jié)果分別通過歷史數(shù)據(jù)提供給態(tài)勢預(yù)測訓(xùn)練模塊以及當(dāng)前數(shù)據(jù)提供給態(tài)勢預(yù)測測試模塊[15]。為實現(xiàn)小波神經(jīng)網(wǎng)絡(luò)預(yù)測模型優(yōu)化，評價優(yōu)化模塊通過改進(jìn)遺傳算法并在訓(xùn)練和測試評價結(jié)果基礎(chǔ)上完成，當(dāng)訓(xùn)練結(jié)果符合誤差設(shè)定標(biāo)準(zhǔn)時，明確態(tài)勢預(yù)測模型，用于感知安全態(tài)勢。

2? 實驗分析

為了驗證本文所設(shè)計系統(tǒng)的有效性，搭建如下網(wǎng)絡(luò)環(huán)境平臺進(jìn)行實驗：實驗環(huán)境為區(qū)網(wǎng)中的一個網(wǎng)段。其設(shè)備包括1臺PC機，作為網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的接收機，1個Cisco路由器，1臺高性能千兆交換機，以及8臺PC機作為實驗機。

為了驗證本文系統(tǒng)性能，采用Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)作為對比系統(tǒng)，進(jìn)行實驗驗證。

四種系統(tǒng)面對網(wǎng)絡(luò)攻擊時的檢測性能Dos（拒絕服務(wù)攻擊），Probe（掃描與探測），U2R（對本地超級用戶的非法訪問）和R2L（未經(jīng)授權(quán)的遠(yuǎn)程訪問）的對比結(jié)果如表1所示。

由表1可知，Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)對Dos，Probe，U2R和R2L的檢測率均低于本文系統(tǒng)，其中U2R和R2L的檢測率顯著小于本文系統(tǒng)。結(jié)果表明本文系統(tǒng)針對網(wǎng)絡(luò)攻擊具備較高檢測率。

圖6為網(wǎng)絡(luò)安全態(tài)勢演化圖，通過圖6融合生成之后的感知與真實態(tài)勢之間的符合程度見圖7。由圖7可知，本文系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知符合程度高達(dá)80%，遠(yuǎn)遠(yuǎn)高于Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)在網(wǎng)絡(luò)安全態(tài)勢感知符合程度，說明本文系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知的符合程度好。

為了驗證本文系統(tǒng)的態(tài)勢預(yù)報警程度，將四種系統(tǒng)進(jìn)行實驗對比。圖8為態(tài)勢感知的SAR圖，用于表示安全態(tài)勢感知技術(shù)對原始報警的簡約程度。由圖8可知，本文系統(tǒng)在對原始報警的簡約程度上高于Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、A?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)，說明本文系統(tǒng)的安全態(tài)勢感知技術(shù)對原始報警的簡約程度高，能大大降低管理員的負(fù)擔(dān)。

3? 結(jié)? 論

本文設(shè)計的系統(tǒng)結(jié)構(gòu)包括信息采集層、多源異構(gòu)數(shù)據(jù)融合層以及態(tài)勢感知層。通過各層之間的相互合作和融合，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知。通過仿真對比實驗發(fā)現(xiàn)，本文設(shè)計面對網(wǎng)絡(luò)攻擊時的檢測性能均高于95%，要優(yōu)于其他三種方法，網(wǎng)絡(luò)安全態(tài)勢感知的符合程度及安全態(tài)勢感知技術(shù)對原始報警的約簡程度均要優(yōu)于其他三種方法，對實現(xiàn)大規(guī)模網(wǎng)絡(luò)安全監(jiān)控具有重要意義。但本文系統(tǒng)還存在一些不足之處，如局部網(wǎng)絡(luò)在產(chǎn)生攻擊行為時，會影響其他部分網(wǎng)絡(luò)的感知效果，因此還需對網(wǎng)絡(luò)態(tài)勢感知區(qū)域?qū)嵭羞M(jìn)一步探討。