黃 強 魯學(xué)仲 運 凱 李浩升 趙 梅 康婉晴

(國網(wǎng)新疆電力有限公司信息通信公司 烏魯木齊 830063)(tushi24986341813@163.com)

網(wǎng)絡(luò)攻擊的手段和方法日趨復(fù)雜、多樣化，網(wǎng)絡(luò)安全技防技術(shù)的發(fā)展成為保障其安全性的重要手段[1].現(xiàn)有研究是在網(wǎng)絡(luò)安全技防技術(shù)中通過設(shè)計入侵檢測平臺實現(xiàn)網(wǎng)絡(luò)安全技防.監(jiān)測運行中的網(wǎng)絡(luò)可實時發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊軌跡、攻擊意圖以及攻擊結(jié)果，保證網(wǎng)絡(luò)系統(tǒng)資源的完整性、機密性以及有效性.網(wǎng)絡(luò)安全技防技術(shù)不僅需要檢測外網(wǎng)的入侵，還要對內(nèi)部攻擊和用戶異常操作進行監(jiān)測[2].

沈宏吉[3]總結(jié)了計算機網(wǎng)絡(luò)應(yīng)用安全問題分析與防護措施，為提高計算機網(wǎng)絡(luò)信息安全水平作出了一定貢獻.顧艷婷[4]對計算機信息安全技術(shù)以及存在的問題進行了具體分析，并提出了相應(yīng)的預(yù)防措施.但是BO2K等遠程控制軟件可以實現(xiàn)對遠程計算機網(wǎng)絡(luò)的完全控制.網(wǎng)絡(luò)新技術(shù)的開發(fā)，網(wǎng)絡(luò)容量隨之擴大，雖然方便了用戶的使用，但網(wǎng)絡(luò)流量過大極易造成報警量的激增，進而引起網(wǎng)絡(luò)安全技防出現(xiàn)漏洞，為IDS安全帶來很大的困擾.

多源告警信息關(guān)聯(lián)分析方法可以盡可能減少重復(fù)告警、降低告警誤報率以及告警信息漏報率[5-6].為此本文將網(wǎng)絡(luò)一系列的攻擊活動關(guān)聯(lián)在一起，基于多源告警信息關(guān)聯(lián)分析，還原攻擊意圖和攻擊軌跡，在給定的告警信息數(shù)據(jù)中查找重復(fù)關(guān)系，發(fā)現(xiàn)網(wǎng)絡(luò)安全中大量告警信息數(shù)據(jù)集中項目的關(guān)聯(lián)性，通過挖掘網(wǎng)絡(luò)數(shù)據(jù)相關(guān)性，實現(xiàn)告警信息下的網(wǎng)絡(luò)安全技防數(shù)據(jù)分類、聚合，實現(xiàn)網(wǎng)絡(luò)安全技防技術(shù)研究.

1 網(wǎng)絡(luò)安全技防技術(shù)方法設(shè)計

1.1 分析網(wǎng)絡(luò)安全攻擊意圖

對告警信息預(yù)處理過程中，需要對網(wǎng)絡(luò)安全技防技術(shù)平臺中不同的IDS產(chǎn)生原始告警，并將其統(tǒng)一為IDMEF格式[7].基于多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)預(yù)處理，需要規(guī)范初級告警信息數(shù)據(jù)，包括：檢查相關(guān)告警信息數(shù)據(jù)錯誤，以及告警是否含有明確錯誤信息；標記告警時間、源IP地址、目的IP地址、源端口號、目的端口號以及網(wǎng)絡(luò)安全告警類型，從而提取有效告警信息，構(gòu)建網(wǎng)絡(luò)安全技防被攻擊的意圖、場景.

網(wǎng)絡(luò)安全技防技術(shù)管理人員在基于多源告警信息關(guān)聯(lián)分析算法之前，需要明確網(wǎng)絡(luò)安全攻擊意圖[8].通過相關(guān)攻擊數(shù)據(jù)信息判斷網(wǎng)絡(luò)安全的威脅源性質(zhì)，chairs系統(tǒng)以IP及其相關(guān)特性的形式，自動產(chǎn)生威脅源的特定對象信息并生成追蹤任務(wù).通常情況下，chairs發(fā)送的追蹤任務(wù)包括如表1所示的追蹤任務(wù)頭部和追蹤任務(wù)采集規(guī)則域2部分內(nèi)容.

表1 追蹤任務(wù)格式描述

不同的網(wǎng)絡(luò)安全攻擊步驟發(fā)生次序具有一定規(guī)律性.因此基于多源告警信息的關(guān)聯(lián)分析，通過網(wǎng)絡(luò)安全被入侵方案的規(guī)律性明確其攻擊意圖，進而實現(xiàn)網(wǎng)絡(luò)安全的技防技術(shù)研究.基于多源告警信息關(guān)聯(lián)分析的目的，是通過分析網(wǎng)絡(luò)安全技防技術(shù)平臺的告警信息獲取攻擊者的攻擊意圖.以多源告警信息中入侵者攻擊意圖為視角，通過對多源告警信息的關(guān)聯(lián)分析，進一步描述網(wǎng)絡(luò)安全技防技術(shù)的攻擊場景.

1.2 設(shè)置告警信息關(guān)聯(lián)參數(shù)

多源告警信息關(guān)聯(lián)分析算法允許用戶在網(wǎng)絡(luò)安全技防技術(shù)數(shù)據(jù)庫中，發(fā)現(xiàn)不同對象之間相互關(guān)系的技術(shù)[9].在多源告警信息關(guān)聯(lián)分析算法中，需要查找所有網(wǎng)絡(luò)安全中頻繁項目集，在數(shù)據(jù)庫中生成最小支持度以及最小置信度重要規(guī)則.該算法可以減少已生成網(wǎng)絡(luò)安全技防規(guī)則的數(shù)量，避免防護網(wǎng)絡(luò)安全的規(guī)則無效爆炸，提高網(wǎng)絡(luò)安全技防技術(shù)的計算效率.

本文選擇ECR-tree等價類規(guī)則樹結(jié)構(gòu)實現(xiàn)多源告警信息關(guān)聯(lián)算法[10].多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，不僅能夠存儲網(wǎng)絡(luò)安全技防項目集，還可以采集網(wǎng)絡(luò)安全技防技術(shù)項目集的同類信息.一定程度上，不需要花費額外的時間、精力生成多源告警信息的關(guān)聯(lián)分析規(guī)則，有效縮短網(wǎng)絡(luò)安全技防的挖掘時間，極大提高了決策效率.因此，在多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)中，每個節(jié)點是由多個元素組成，而三元組又組成了各個元素.具體表示為：〈(values){count[x∈X|decision(x)=Ci]?i∈[i,j]}〉.深度優(yōu)化網(wǎng)絡(luò)安全技防策略，以及垂直多源告警信息數(shù)據(jù)格式，基于此建立多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，TID_sets會逐行添加網(wǎng)絡(luò)安全技防項目集到關(guān)聯(lián)分析樹中；進而通過合并、添加全部網(wǎng)絡(luò)安全技防項目集.MECR-CARM通過采用diffset策略，計算2個網(wǎng)絡(luò)安全技防項目集差集的支持度.多源告警信息關(guān)聯(lián)分析樹的規(guī)則:元組是由節(jié)點及層指針組成的.具體的表示為〈att,itemset,(obidest1,obidest2,…,obidestk),(o1,o2,…,ok),pos,total〉.

在這些事務(wù)中，k為常數(shù)，可以為各個元素中的三元組，包括網(wǎng)絡(luò)安全技防項目集，以及與其相匹配的事務(wù)和各類事務(wù)個數(shù)；att為各個節(jié)點的屬性；obidest表示在每個分類中網(wǎng)絡(luò)安全技術(shù)防范的匹配事務(wù)；o為每個數(shù)據(jù)分類的obidest數(shù)量；pos為arg maxi∈[1,k]{O.oi}；total則表示為O.oi的和.以此得到一個完整的規(guī)則屬性集為〈[PointerstoFathers,PointersChildren,HorizontalPointer]〉.

其中，PointerstoFathers為指針指向父節(jié)點；PointersChildren為指針指向子節(jié)點；HorizontalPointer為橫線指針連接長度相同的頻繁項目集.為提高多源告警信息關(guān)聯(lián)分析算法的挖掘效率，每次只能掃描1次網(wǎng)絡(luò)安全技防的數(shù)據(jù)集[11].通過使用父節(jié)點之間的obidest差集diffsets，不僅能夠降低存儲數(shù)據(jù)的成本，還能夠縮短計算節(jié)點所需的時間.

1.3 設(shè)計告警信息關(guān)聯(lián)分析流程

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)，包括告警信息預(yù)處理層冗余歸納整合層以及告警信息管理界面層.在多源告警信息關(guān)聯(lián)分析的底層，主要是通過網(wǎng)絡(luò)內(nèi)部技防設(shè)備中的防火墻、IDS入侵檢測系統(tǒng)、入侵防御系統(tǒng)，以及其他設(shè)備采集告警信息[12].多源告警信息關(guān)聯(lián)分析數(shù)據(jù)的冗余歸納，以及整合是網(wǎng)絡(luò)安全技防技術(shù)的關(guān)鍵，因此將采集的告警信息，過濾并格式化處理網(wǎng)絡(luò)安全中的告警信息，然后存儲到內(nèi)存中以備一時之需.

利用C語言，設(shè)計基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)層次圖，根據(jù)多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，整體聚合以及關(guān)聯(lián)分析網(wǎng)絡(luò)安全技防技術(shù)中的告警信息.將告警信息輸出到告警信息管理界面層，并存儲、備份到數(shù)據(jù)庫，進而通過告警信息的上下層傳輸，還原整個網(wǎng)絡(luò)安全的時間攻擊軌跡，進一步識別其意圖[13].基于告警信息預(yù)處理模塊采集事件信息，將多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)進行歸類處理，網(wǎng)絡(luò)安全技防技術(shù)引擎利用此信息，通過分事件聚合進行告警信息的關(guān)聯(lián)分析，具體分析流程如圖1所示:

圖1 告警信息關(guān)聯(lián)分析流程圖

實現(xiàn)多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的研究，是保障網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中極為關(guān)鍵的環(huán)節(jié)[14].網(wǎng)絡(luò)攻擊者通過使用modem連接到網(wǎng)絡(luò)，這種方式不僅能夠繞過網(wǎng)絡(luò)防火墻，還能夠下載網(wǎng)絡(luò)代碼引起安全漏洞.以電子郵件的形式整合告警信息中的有效數(shù)據(jù)，進而生成警報日志以及協(xié)議日志，并將處理得到的告警信息作為通信活動信息的威脅源.

多源告警信息預(yù)處理層，通過采集云計算網(wǎng)絡(luò)安全技防技術(shù)管理平臺的告警信息，對多源告警信息進行格式化、歸并以及篩選等處理.生成多源告警信息關(guān)聯(lián)分析樹，并將告警信息與已經(jīng)生成的關(guān)聯(lián)分析樹進行匹配，直至告警信息能夠在網(wǎng)絡(luò)安全技防技術(shù)平臺中展示，進而通過設(shè)定短信，或是以電子郵件的方式傳達給相應(yīng)的網(wǎng)絡(luò)安全管理人員.

1.4 設(shè)計網(wǎng)絡(luò)安全技防技術(shù)平臺

由于攻擊網(wǎng)絡(luò)安全相關(guān)的威脅源數(shù)據(jù)分布在不同的節(jié)點，或是同一個節(jié)點的不同位置，具有數(shù)據(jù)結(jié)構(gòu)獨立性、單一性的特征，因此基于多源告警信息關(guān)聯(lián)分析的攻擊意圖，需要進行多維度威脅源數(shù)據(jù)整合，在告警信息中盡可能多地表達網(wǎng)絡(luò)安全被攻擊的過程信息.為此設(shè)計網(wǎng)絡(luò)安全技防技術(shù)平臺如圖2所示，從中提取更為有價值的告警信息.

圖2 網(wǎng)絡(luò)安全技防技術(shù)平臺

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的研究，能夠有效識別網(wǎng)絡(luò)安全中威脅源的詳細信息，同時還能夠提供威脅源的相關(guān)基礎(chǔ)數(shù)據(jù)信息.與網(wǎng)絡(luò)安全威脅源相關(guān)的數(shù)據(jù)源包括：IPCIS提供IP、端口等基礎(chǔ)信息的IP綜合信息平臺，以及有效識別采集子模塊威脅源的MONSTER信息平臺.從時間和空間2個維度，整合網(wǎng)絡(luò)安全中告警信息的有效威脅源數(shù)據(jù)[15].

在網(wǎng)絡(luò)安全技防技術(shù)平臺中，多源告警信息關(guān)聯(lián)分析匹配線程，是通過讀取輸入隊列中的事件信息，將其源IP、目的IP、源端口，以及目的端口等關(guān)鍵屬性值，與等待匹配的節(jié)點預(yù)期屬性值進行比較，具體過程如圖3所示.

圖3 告警信息管理分析匹配線程

利用XML.文檔存儲基于多源告警信息關(guān)聯(lián)分析樹中的規(guī)則描述信息，在XML.文檔中，根節(jié)點為無效空節(jié)點，而根節(jié)點的子節(jié)點均表示為一個網(wǎng)絡(luò)安全被攻擊場景；在每個被攻擊的場景中，每個子節(jié)點分別對應(yīng)一個多源告警信息關(guān)聯(lián)分析樹規(guī)則，保證網(wǎng)絡(luò)安全技防平臺執(zhí)行相應(yīng)措施的及時性.

2 仿真實驗

2.1 實驗準備

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的平臺，安裝在配置為Inter Celeron 2.4 GHz CPU的服務(wù)器上，其中內(nèi)存為256 MB、硬盤為80 GB、操作系統(tǒng)為Windows 2000 SP4，以及連接到局域網(wǎng)網(wǎng)卡.其中，多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)服務(wù)器負責(zé)提供Web服務(wù)，服務(wù)器的配置與平臺安裝配置相同.此外，多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)服務(wù)器還安裝了SQL Service2000，IIS以及網(wǎng)絡(luò)安全證書服務(wù).模擬入侵的攻擊主機配置，需要利用tcpreplay網(wǎng)絡(luò)流量播放軟件，向所在的網(wǎng)絡(luò)安全技防技術(shù)平臺注入網(wǎng)絡(luò)流量，與此同時，攻擊主機利用DARPA 2000數(shù)據(jù)集對目標網(wǎng)絡(luò)安全技防技術(shù)平臺進行模擬DDOS攻擊.

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實驗平臺，前端操作部分使用的是HTML,CSS，以及Js語言，而后臺控制部分是通過Python編程實現(xiàn).為實現(xiàn)基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實驗平臺的有效模擬，需要設(shè)計一個網(wǎng)絡(luò)安全用戶平臺，不僅可以將收集到的告警信息關(guān)聯(lián)分析導(dǎo)入數(shù)據(jù)庫，還保證了每個告警信息關(guān)聯(lián)分析的數(shù)據(jù)集結(jié)果能夠被上傳數(shù)據(jù)的人員看到.

2.2 實驗過程

通過對輸入的告警信息關(guān)聯(lián)分析結(jié)果進行聚合，將告警信息的處理結(jié)果存儲到網(wǎng)絡(luò)安全技防技術(shù)平臺的數(shù)據(jù)庫，并利用可視化的形式將告警信息傳輸至前端管理人員.為了驗證基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實驗平臺有效性，必須接收安全告警信息數(shù)據(jù)源.通過Snort網(wǎng)絡(luò)入侵檢測平臺查找、歸并網(wǎng)絡(luò)安全技防技術(shù)平臺所需的告警信息安全事件，并提供有效且安全的告警信息數(shù)據(jù).為了檢測在網(wǎng)絡(luò)安全技防技術(shù)平臺中告警信息的減少數(shù)量以及減少率，可以通過式(1)計算：

(1)

其中，R為告警信息減少率；N為告警信息關(guān)聯(lián)分析后安全事件的數(shù)量；Sum為原始已有的告警信息安全事件總數(shù).

2.3 實驗結(jié)果

對多源告警信息關(guān)聯(lián)分析的有效聚合進行融合比的計算，得到基于多源告警信息關(guān)聯(lián)分析的實驗指標:

(2)

其中，K為多源告警信息關(guān)聯(lián)融合比，M為在某一時間段內(nèi)原始告警信息的數(shù)量，由此得到告警信息關(guān)聯(lián)分析實驗結(jié)果如表2所示:

表2 告警信息關(guān)聯(lián)分析實驗結(jié)果

根據(jù)表2的結(jié)果可以看出，網(wǎng)絡(luò)安全技防技術(shù)平臺的告警信息的數(shù)量基數(shù)較大；經(jīng)過多源告警信息關(guān)聯(lián)分析的聚合其數(shù)量基數(shù)明顯減少，總?cè)诤媳雀哌_0.985 5.由此可以證明，以多源告警信息關(guān)聯(lián)分析結(jié)果為基礎(chǔ)研究的網(wǎng)絡(luò)安全技防技術(shù)具有更好的聚合效果，為進一步測試告警信息處理量以及實現(xiàn)網(wǎng)絡(luò)技防預(yù)警提供了數(shù)據(jù)參考.

為了驗證關(guān)聯(lián)分析法在網(wǎng)絡(luò)安全技防技術(shù)中告警信息挖掘有效性，分別利用文獻[6]基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法、文獻[7]基于大數(shù)據(jù)分析的云資源池告警信息關(guān)聯(lián)方案以及本文方法在同一運行時間內(nèi)，測試告警信息處理量為1 800時的運行時間，得到實驗結(jié)果如圖4所示:

圖4 3種方法運行時間對比

由圖4的運行時間對比結(jié)果可知，文獻[6]和文獻[7]分別在1 600和1 200時停止運行，對于剩余告警信息未進行處理，相較而言本文方法沒有遺漏網(wǎng)絡(luò)安全技防技術(shù)平臺中主要的告警信息.從運行時間來看，本文方法的運行時間相較于對比方法更低，在告警信息數(shù)量為1 400時運行時間急劇增加，其主要原因是信息量增多，關(guān)聯(lián)分析需要經(jīng)過較多次運算，導(dǎo)致運行時間過長.但是相對而言，經(jīng)過關(guān)聯(lián)分析算法的告警信息數(shù)量結(jié)果，保證了告警信息的及時性，提高了告警信息的報警效率.

3 結(jié)束語

根據(jù)典型的多源告警信息關(guān)聯(lián)分析算法，并結(jié)合網(wǎng)絡(luò)安全技防技術(shù)的管理需求，進而通過不斷分析在網(wǎng)絡(luò)安全中多源告警信息的關(guān)聯(lián)，了解實際需求，提出相應(yīng)的信息關(guān)聯(lián)分析策略.告警信息的預(yù)處理、聚合、關(guān)聯(lián)分析，以及分析結(jié)果的反饋評估，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全技防技術(shù)大量數(shù)據(jù)去冗余、聚合以及關(guān)聯(lián)的目的.此外，多源告警信息關(guān)聯(lián)分析是利用時間窗口參數(shù)值進行聚合，并根據(jù)源端口、目的端口、源IP地址、目的IP地址，以及關(guān)聯(lián)分析規(guī)則，判斷網(wǎng)絡(luò)安全攻擊類型.