◆李洋

網(wǎng)絡安全防護體系中智能報警融合技術研究

◆李洋

（佳木斯大學 現(xiàn)代教育技術中心 黑龍江 154007）

在如今的網(wǎng)絡安全防護體系當中，傳統(tǒng)的入侵檢測系統(tǒng)會在短時間內(nèi)產(chǎn)生大量相同報警，如果將報警直接傳遞給分析模塊，會使網(wǎng)絡帶寬劇增，處理速度慢并且可能會淹沒了真正對系統(tǒng)產(chǎn)生威脅的少量報警信息。針對這些問題，本文設計了一種融合了層次分析法與動態(tài)時間窗口劃分法的報警融合新技術，通過對攻擊事件產(chǎn)生大量報警數(shù)據(jù)中重復、低級別的數(shù)據(jù)的屬性進行相似度計算，采用數(shù)據(jù)融合技術對其進行融合處理。該方法在相似度閾值為0.6、時間間隔閾值為70s的情況下，具有89%的平均精簡率，較簡單的平均加權法和層次分析法性能分別提高了58.75%和28.65%，有利于網(wǎng)絡安全管理員更加全面地了解安全狀況，提升網(wǎng)絡安全防護強度。

網(wǎng)絡安全；報警融合；屬性相似度；層次分析法；動態(tài)時間窗口

在網(wǎng)絡安全形勢嚴峻的背景下，網(wǎng)絡攻擊愈發(fā)頻繁，手段也越來越復雜，如何能夠提高網(wǎng)絡安全防護的抗攻擊強度，是目前網(wǎng)絡安全領域的重要研究課題[1]。主要表現(xiàn)在，傳統(tǒng)安全防護體系對在大量報警的處理上效率低下、錯誤率高且容易忽略關鍵報警信息。而結合權重分析和時間劃分的數(shù)據(jù)融合技術為切實的解決辦法，能夠充分利用多元數(shù)據(jù)的互補性和冗余性，融合多元數(shù)據(jù)，能夠?qū)缶瘜傩赃M行更精確地評估，進而達到加強網(wǎng)絡安全防護的目的。

1 劃分的動態(tài)時間窗口的報警融合

1.1 動態(tài)時間窗口確定方法

當端口遭到DoS攻擊，會在短時間內(nèi)產(chǎn)生大量相同或者類似的報警，一般來說，同一完整持續(xù)攻擊下引發(fā)報警時間間隔較短，分布集中，但攻擊引發(fā)報警的時間跨度是未知的[2]。相反，在遭受溢出攻擊時，端口需要一段較長時間來進行響應。本文針對此種報警規(guī)律，設計了一種可以增大相似密集報警窗口，縮短長響應報警窗口的一種動態(tài)時間窗口劃分方法，目的在于歸類攻擊類型，將同一攻擊事件與不同攻擊事件引發(fā)的報警進行有效劃分，算法實行過程如圖1所示。

圖1 根據(jù)劃分動態(tài)時間窗口報警融合圖

方法的實行分為三個步驟，首先需要按照描述格式化多個檢測系統(tǒng)產(chǎn)生的報警，將處理好的數(shù)據(jù)保存至數(shù)據(jù)庫[3-4]。接下來，設置報警隊列中第一個報警時間為第一時間窗口的始點，并按照先后順序?qū)缶犃兄邢嗤袷降膱缶M行排序。在組成的新序列當中，設置新的報警時間窗口劃分條件，將時間差小于間隔閾值的前一個報警劃分到前一個時間窗口內(nèi)，如果時間差大于等于間隔閾值，跳出當前報警窗口劃分，以當前報警時間為一個新的始點，再次進行時間窗口劃分。最后將兩種劃分進行動態(tài)結合，將不同時間跨度的報警進行聚類，達到歸類報警系統(tǒng)產(chǎn)生的警報的目的[5]。如圖1所示，在完成報警的動態(tài)時間窗口劃分之后，生成了多個由臨近報警組成的報警集合（Alerset，ALS），接下來需要做的是對每個獨立ALS集合進行進一步的報警融合。

1.2 報警屬性相似度的計算

網(wǎng)絡安全事件之間存在三種邏輯關系，第一種滿足時間上事件先后順序的入侵事件的報警定義為時序關系，該關系還可細分為三種關系，分別為因果關系、間接因果關系和非因果時序關系；第二種為同一檢測系統(tǒng)檢測多種攻擊源產(chǎn)生的報警之間的關系，定義為協(xié)同關系，雖然為異種攻擊，但是之間存在協(xié)同作用；第三種，將相同事件序列內(nèi)攻擊引發(fā)的端口報警之間的關系定義為并發(fā)關系，該關系由不同的安全檢測系統(tǒng)檢測同一入侵事件生成的報警組成[6-7]。三種邏輯之間的復雜關系如圖2所示。

圖2 報警事件之間的關系示意圖

在計算圖2中屬性相似度時，由于數(shù)值類型的屬性不同導致其表達的含義存在較大差異性，所以需要采用多種相似度計算方法來對不同的屬性進行計算，被計算相似度的屬性有四種，分別為IP地址、端口號、檢測發(fā)生時間以及攻擊類型[8]。采用無類別路由格式來對IP地址進行分析，由4個8位數(shù)的二進制數(shù)來組成IPv4地址，地址的低位區(qū)域表示主機地址，相反高位區(qū)域代表了網(wǎng)絡地址，通過子網(wǎng)掩碼來區(qū)分對兩個區(qū)域地址進行區(qū)別，計算公式如公式（1）所示。

相比之下，第二種方法較第一種方法簡單，維護較易。另外，時間屬性也是報警融合過程中的關鍵因素，一般來說，時間屬性相似度是判定報警否為同種類型的決定性因素，如果兩個報警時間滿足上述相似度判定條件，但是不滿足時間相似最小閾值，那么這兩個報警就不能進行超報警融合[11]。通過兩條報警時間差TimeInterval = alert1.t ime - alert2.time來進行時間屬性相似度的計算，計算公式如公式（4）所示。

1.3 基于層次分析法的報警融合方法

層次分析法屬于多屬性決策方法，能夠?qū)χ饔^判斷進行量化處理，同時能夠進行合理性一直檢驗，權衡了主觀動能性和客觀性之間的誤差，具有簡單、高效等優(yōu)勢[12]。由于每個屬性字段的相對重要性不同，在計算兩個報警事件的相似度時，采用層次分析法來對每個屬性字段的權重進行計算，對權重進行合理分配，以便進行融合報警。對報警事件進行權重分析時，首先需要進行層次結構的建立與因素集的確定，報警事件層次結構建立示意圖如圖3所示。

圖3 報警事件層次結構圖

2 仿真實驗與結果分析

2.1 報警融合的相似度閾值分析

在Windows 10實驗環(huán)境下搭建一個開源輕量級snort 2.9.9網(wǎng)絡入侵檢測系統(tǒng)，用來檢測各種攻擊和嗅探。該系統(tǒng)能夠在IP網(wǎng)絡上進行日志和數(shù)據(jù)的智能監(jiān)控，除此之外，該系統(tǒng)還具備內(nèi)容查找匹配、協(xié)議分析等功能，能夠獨立完成緩沖區(qū)溢出攻擊、隱形端口掃描等威脅的檢測。試驗數(shù)據(jù)采用麻省理工學院林肯實驗室DARPA 1999數(shù)據(jù)集，原始日志存儲、流量重放、數(shù)據(jù)分析工具分別采用MySQL、tcpreplay及Python。首先分析報警屬性相似度閾值對報警融合的影響，實驗中重放第四周的第一天的1401條原始報警數(shù)據(jù)，報警融合的結果如圖4所示。

圖4 多種閾值下的融合效果圖

圖5 報警融合數(shù)量變化規(guī)律圖

從圖5（a）和圖5（b）中可以看出，在采用層次分析法和屬性相似度的報警融合方法能夠有效消除冗余報警，將部分報警進行合并，且具有60.35%的平均精簡率，基本符合條件。但是較真正報警數(shù)量來說，差距依然較大，分析其原因是系統(tǒng)在處理的持續(xù)時間相對較長的報警時，發(fā)生錯誤率較高極大地降低了融合效果。

2.2 自適應擴增的時間間隔的報警融合性能分析

圖6 不同時間閾值下的報警融合效果圖

在圖6（b）中，區(qū)間報警占比是指在真實報警的持續(xù)時間小于等于當前閾值的數(shù)目占比總真實報警的數(shù)目，從數(shù)據(jù)可以分析出，報警融合的精簡率會隨時間間隔的增加而增加，在達到70s之后，精簡率變化曲線趨于平穩(wěn)，同時，從圖6（a）可以看出當時間間隔閾值為70s時，報警融合率較高，達到90%。這是由于時間間隔越大，在每一個時間窗口發(fā)生的報警數(shù)量也會增加，導致精簡率增大，融合率增加。為了避免過大的時間窗口導致無關聯(lián)報警的錯誤融合，選擇時間間隔閾值適中值70s進行多系統(tǒng)報警融合對比實驗，實驗結果如圖7所示。

圖7 三種方法性能對比圖

圖7（a）數(shù)據(jù)證明，平均加權法、層次分析法和時間劃分法在都能起到報警融合的作用，由于報警中真實報警平均只占到報警0.9%，其余的都是冗余報警，所以簡單的平均加權法也能在一定程度上將一部分冗余報警進行融合。層次分析法對重復報警的融合效果較平均加權法效果更優(yōu)，這是由于層次分析法加入了專家評價標準、運用較多專業(yè)知識來對不同權重占比屬性的相似度進行計算，相較之下更為有效?？偟膩碚f，經(jīng)過時間動態(tài)窗口劃分的方法最優(yōu)，從圖7（b）數(shù)據(jù)計算得出，在一個周期內(nèi)，平均加權法的平均精簡率僅有30.25%，分析法的平均精簡率為60.35%，時間動態(tài)劃分法的平均精簡率為89%。從具體層面分析，攻擊產(chǎn)生報警時，同一個步驟具有相似的操作方式，產(chǎn)生的報警具有連續(xù)性，而不同步驟操作方式差異較大，產(chǎn)生的報警在時間上往往存在斷裂關系，并非連續(xù)，所以通過這種自適應的時間窗口劃分方法，將時間上相互靠近的報警劃分到一起，能夠有效融合重復報警且能夠避免不同報警間的錯誤融合。

3 結束語

數(shù)據(jù)融合技術是網(wǎng)絡安全系統(tǒng)進行勢態(tài)感知的核心技術，融合后的數(shù)據(jù)質(zhì)量將直接影響到后續(xù)態(tài)勢評估的效果，目前常規(guī)的方法有平均加權法、支持向量機等方法，雖然種類繁多，但是依然沒有一套實用性能強大且實用性高的通用方法。針對網(wǎng)絡安全防護的不足，本文研究提出了一套深度結合了層次分析和動態(tài)時間劃分方法的報警融合技術，該技術能夠?qū)Υ罅繄缶畔⑦M行篩選，融合冗余報警，提高安全系統(tǒng)響應速度。實驗結果證明，該方法在相似度閾值為0.6、時間間隔閾值為70s的情況下，具有89%的平均精簡率，較簡單的平均加權法和層次分析法性能分別提高了58.75%和28.65%，糾正了傳統(tǒng)報警融合系統(tǒng)響應速度慢、錯誤率高、融合率低等問題，為網(wǎng)絡安全建設開辟出一條新的道路。但是本次實驗采用的層次分析法對專家知識有一定依賴，具有一定局限性，接下來的研究方向是通過監(jiān)督學習的方式，減少對專家知識的依賴。

[1]陶曉玲，趙培超，陳隆生. 基于模糊聚類的報警數(shù)據(jù)并行融合方法[J]. 桂林電子科技大學學報，2020，40（4）：310-315.

[2]戴祥華，張?zhí)K炯. 大數(shù)據(jù)網(wǎng)絡安全態(tài)勢感知中數(shù)據(jù)融合技術的研究[J]. 中國信息化，2020（4）：81-82.

[3]蹇詩婕，盧志剛，杜丹，等. 網(wǎng)絡入侵檢測技術綜述[J]. 信息安全學報，2020，5（4）：96-122.

[4]張娜. 可信物聯(lián)網(wǎng)虛擬化數(shù)據(jù)中心數(shù)據(jù)融合結果檢測技術研究[J]. 內(nèi)蒙古農(nóng)業(yè)大學學報（自然科學版），2020，41（4）：70-75.

[5]平國樓，葉曉俊. 網(wǎng)絡攻擊模型研究綜述[J]. 信息安全研究，2020，6（12）：1058-1067.

[6]劉喆. 淺析網(wǎng)絡安全態(tài)勢感知技術[J]. 保密科學技術，2020（09）：41-45.

[7]相銀堂，祁駿，許錦程，等. 基于ElasticSearch的重復報警識別系統(tǒng)設計與實現(xiàn)[J]. 工業(yè)控制計算機，2021，34（1）：90-92+95.

[8]董超，劉雷. 大數(shù)據(jù)網(wǎng)絡安全態(tài)勢感知中數(shù)據(jù)融合技術研究[J]. 網(wǎng)絡安全技術與應用，2019（7）：60-62.

[9]陶曉玲，龔昱鳴，趙峰. 基于類別劃分的OSSEC報警數(shù)據(jù)聚合方法[J]. 計算機工程與設計，2020，41（04）：908-914.

[10]李琪. 次數(shù)據(jù)集的網(wǎng)絡安全態(tài)勢感知技術研究[J]. 電子技術與軟件工程，2020（13）：223-225.

[11]劉冬蘭，劉新，張昊，等. 基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知及主動防御技術研究與應用[J]. 計算機測量與控制，2019，27（10）：229-233.

[12]楊洋. 網(wǎng)絡安全事件關聯(lián)分析技術分析[J]. 網(wǎng)絡安全技術與應用，2017（08）：14+30.