黃智勇，林仁明，劉 宏，朱舉異，李嘉坤

（1.電子科技大學(xué)信息與軟件工程學(xué)院，四川成都 610054；2.四川省市場監(jiān)督管理局信息中心，四川成都 610017）

0 引 言

市場監(jiān)管領(lǐng)域中業(yè)務(wù)平臺每天經(jīng)過的流量大、涉及的域名多，在網(wǎng)絡(luò)安全的防護過程中日志系統(tǒng)和警報系統(tǒng)每天都會產(chǎn)生大量的數(shù)據(jù)，難以分析和預(yù)處理。同時，當今網(wǎng)絡(luò)活動相當復(fù)雜，無論是單個入侵檢測系統(tǒng)工作，還是多個入侵檢測系統(tǒng)配合都容易出現(xiàn)誤報、漏報和重復(fù)報警的問題，對于市場監(jiān)管系統(tǒng)復(fù)雜的網(wǎng)絡(luò)情況，難以快速準確地識別網(wǎng)絡(luò)安全風(fēng)險。為減輕市場監(jiān)管領(lǐng)域網(wǎng)絡(luò)安全防控壓力，本文提出一種基于異構(gòu)日志和警報源的安全數(shù)據(jù)融合算法，利用DS（Dempster-Shafer）證據(jù)理論對攻擊數(shù)據(jù)進行關(guān)聯(lián)和融合，快速獲取系統(tǒng)最關(guān)鍵的安全態(tài)勢信息，輔助市場監(jiān)管網(wǎng)絡(luò)安全態(tài)勢決策。

1 相關(guān)研究

1.1 網(wǎng)絡(luò)安全態(tài)勢預(yù)測

由于目前的網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)安全形勢非常嚴峻，并隨著各個企業(yè)與部門對網(wǎng)絡(luò)安全的關(guān)注程度不斷提升，對于網(wǎng)絡(luò)安全態(tài)勢預(yù)測的相關(guān)研究越來越多，也有許多研究已經(jīng)構(gòu)建了相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。文獻[1-2]首次將情景意識應(yīng)用于網(wǎng)絡(luò)安全中，將多源異構(gòu)網(wǎng)絡(luò)傳感器數(shù)據(jù)進行數(shù)據(jù)融合之后再用于網(wǎng)絡(luò)安全態(tài)勢分析的技術(shù)中是十分重要的，這也引發(fā)了互聯(lián)網(wǎng)安全領(lǐng)域的一場革命。

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知框架的研究中，文獻[3]提出一種具有多層次架構(gòu)的網(wǎng)絡(luò)安全態(tài)勢感知框架，對該框架中的數(shù)據(jù)進行分類，針對每一個類分別分配對應(yīng)的處理引擎，識別特定因素、特定類別的數(shù)據(jù)。文獻[4]針對網(wǎng)絡(luò)中的原始數(shù)據(jù)量超載導(dǎo)致的響應(yīng)速度慢，以及網(wǎng)絡(luò)中數(shù)據(jù)尤其是文本情感數(shù)據(jù)缺乏上下文聯(lián)系并不和網(wǎng)絡(luò)上視圖保持統(tǒng)一的問題，提出一種分布式數(shù)據(jù)流處理方法，通過分布式處理減少數(shù)據(jù)處理的時間，同時將原始數(shù)據(jù)轉(zhuǎn)換為通用格式的規(guī)范化數(shù)據(jù)來保證分布式框架的通用性。針對態(tài)勢感知中的感知結(jié)果可視化方面，文獻[5]提出一種態(tài)勢可視化工具，能夠可視化不同級別上的流量活動，并且發(fā)現(xiàn)不同的原始數(shù)據(jù)量可能會導(dǎo)致態(tài)勢數(shù)據(jù)關(guān)系和模式的不同，從而為態(tài)勢感知提供不同的分析能力。文獻[6]提出在同一系統(tǒng)中，不同角色的人希望了解不同業(yè)務(wù)下的網(wǎng)絡(luò)安全狀態(tài)，針對不同網(wǎng)絡(luò)安全配置文件，將有關(guān)網(wǎng)絡(luò)節(jié)點的信息與由此產(chǎn)生的業(yè)務(wù)影響相關(guān)聯(lián)，從而明確網(wǎng)絡(luò)的哪一部分是角色希望感知的網(wǎng)絡(luò)安全狀態(tài)。文獻[7]提出一種網(wǎng)絡(luò)安全態(tài)勢模型，該模型對態(tài)勢感知中的功能屬性進行研究，最后預(yù)測或模擬可能的場景等。

1.2 多源數(shù)據(jù)融合理論

多源數(shù)據(jù)融合理論及其應(yīng)用在網(wǎng)絡(luò)安全態(tài)勢評估中是重要并且關(guān)鍵的，由于網(wǎng)絡(luò)安全態(tài)勢評估正確與否對于數(shù)據(jù)的要求比較高，所以多源數(shù)據(jù)融合后得到的融合結(jié)果是否準確直接與網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果的正確性成正比，同時多源數(shù)據(jù)融合結(jié)果是否合理也直接影響網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果的合理性。網(wǎng)絡(luò)安全態(tài)勢評估中的數(shù)據(jù)融合一般指的是針對不同來源、不同時間但是具有一定相關(guān)性的安全態(tài)勢數(shù)據(jù)的融合，目的是解決以往使用單一數(shù)據(jù)源對網(wǎng)絡(luò)安全進行態(tài)勢評估導(dǎo)致的不準確與不合理的問題。數(shù)據(jù)融合的概念自1967 年由Dempster 提出以來，隨著計算機技術(shù)的發(fā)展與廣泛應(yīng)用，尤其是在大數(shù)據(jù)、機器學(xué)習(xí)等極其需要數(shù)據(jù)的技術(shù)出現(xiàn)之后，數(shù)據(jù)融合技術(shù)也變得越發(fā)重要，尤其是在多傳感器領(lǐng)域。多傳感器信息融合技術(shù)通過選擇合適的信息處理算法來處理從多個傳感器獲得的獨立觀測數(shù)據(jù)。傳統(tǒng)的多傳感器融合方法有卡爾曼濾波[8]、統(tǒng)計方法[9]、貝葉斯推理[10]、經(jīng)驗推理[11]、模板法等[12-13]。但是實際應(yīng)用中，由于惡劣天氣、傳感器故障、能量供應(yīng)不足、通信故障等內(nèi)部和外部影響，從多傳感器系統(tǒng)獲得的數(shù)據(jù)可能不完整或不準確。在網(wǎng)絡(luò)安全態(tài)勢中應(yīng)用數(shù)據(jù)融合也是如此，自文獻[1-2]將數(shù)據(jù)融合模型應(yīng)用于入侵檢測系統(tǒng)和威脅感知之后，誕生了許多與此相關(guān)方面的研究，比如文獻[14]改進了數(shù)據(jù)融合的方法，使其能在復(fù)雜環(huán)境下保證IDS 系統(tǒng)的目標檢測能力與跟蹤警報的能力。文獻[15]在前人的研究基礎(chǔ)上構(gòu)建了一個以多源數(shù)據(jù)融合為基礎(chǔ)的一種入侵檢測系統(tǒng)框架。

國內(nèi)對于數(shù)據(jù)融合以及數(shù)據(jù)融合在網(wǎng)絡(luò)安全領(lǐng)域如何應(yīng)用的研究起步比較晚，并且以高校和研究機構(gòu)為主，在應(yīng)用方面仍然缺乏相關(guān)的研究。文獻[16]通過對網(wǎng)絡(luò)中節(jié)點主機對外的服務(wù)信息、網(wǎng)絡(luò)的訪問信息和系統(tǒng)漏洞數(shù)據(jù)等多種數(shù)據(jù)進行分析和評估，并在對這些多源數(shù)據(jù)進行融合的基礎(chǔ)上，對目標網(wǎng)絡(luò)中實際的安全狀況進行評價與分析。文獻[17]主要使用D-S 證據(jù)理論對多源數(shù)據(jù)進行了可信可靠的融合分析，通過在DS證據(jù)理論中使用相似系數(shù)考察證據(jù)之間的相似性，減小沖突證據(jù)對于數(shù)據(jù)融合帶來的影響而導(dǎo)致的數(shù)據(jù)融合結(jié)果的準確性降低的問題。文獻[18]通過引入卡爾曼濾波結(jié)合數(shù)據(jù)融合框架來過濾數(shù)據(jù)，同時采用迭代的方法進行每輪融合，提高了融合的實時性。文獻[19]注意到DS 證據(jù)理論中證據(jù)相互沖突的問題，提出在DS 證據(jù)理論進行數(shù)據(jù)融合時將證據(jù)的相對距離和證據(jù)的不確定性作為參數(shù)，減弱證據(jù)之間的沖突性，能夠提高沖突證據(jù)之間融合的可行性。

2 基于DS 證據(jù)理論的數(shù)據(jù)融合模型

2.1 DS 證據(jù)理論

DS 證據(jù)理論基礎(chǔ)嚴謹，組合規(guī)則簡單，被廣泛應(yīng)用于決策、目標識別等信息融合領(lǐng)域。DS 證據(jù)理論在某種程度上是概率論和貝葉斯推理的推廣?；谧C據(jù)的累積，其可以使多傳感器系統(tǒng)在不需要先驗信息和條件概率的情況下提供有效、準確的信息融合結(jié)果，所以與傳統(tǒng)的概率論相比，具有更嚴密的邏輯性，預(yù)測結(jié)果也有更高的魯棒性，且其所需要的先驗數(shù)據(jù)比概率推理理論中更直觀、更容易獲得，滿足比貝葉斯概率理論更弱的條件，即不必滿足概率可加性。同時，DS 證據(jù)理論是一種將同一證據(jù)體中的多個證據(jù)組合為一個抽象證據(jù)的方法。該方法能夠整合大量特定證據(jù)的信息，能夠處理缺乏先驗信息的不確定性和不精確性問題，建模靈活有效。因此，對于網(wǎng)絡(luò)安全態(tài)勢這樣一個模糊評估問題，采用DS 證據(jù)推理完成不確定性表達是非常合適并且準確的。

2.2 DS 理論框架

DS 證據(jù)理論首先定義了自己的識別框架，即針對一個具體的概率問題，假設(shè)所能認識到的所有可能的結(jié)果：

用集合表示，其中R在概率論中被稱為樣本空間也即此處的識別框架，定義R的冪集為：

而此時有一個函數(shù)m能將識別框架中的所有可能結(jié)果映射為[0,1]中的一個值，即滿足：

則稱函數(shù)m為此識別框架下的基本概率分配函數(shù)，即BPA，又稱mass 函數(shù)或證據(jù)函數(shù)，其中經(jīng)函數(shù)m運算的非零值子集又稱為焦元。

在確定識別框架和基本概率分配之后，就需要用Dempster 合成規(guī)則來進行證據(jù)的合成，通過D-S 證據(jù)理論合成公式，可以把n個獨立的證據(jù)組合起來得到證據(jù)的結(jié)果。

1）兩個mass 函數(shù)的Dempster 組合規(guī)則

對于?A?Θ，設(shè)m1、m2為同一識別框架Θ上的兩個不同證據(jù)的基本概率分配函數(shù)，對它們的正交和m=m1⊕m2可確定為：

式中K為歸一化常數(shù)。

式中，K為歸一化常數(shù)，如果K= 0，則正交和m也是一個基本概率分配函數(shù)，否則，則不存在正交和m，即沒有可能存在概率函數(shù)，也就是m1和m2矛盾。

2）n個mass 函數(shù)的Dempster 組合規(guī)則

對于?A?Θ，設(shè)m1,m2,…,mn為同一識別框架Θ上的有限個不同證據(jù)的基本概率分配函數(shù)，對它們的正交和m=m1⊕m2⊕,…,⊕mn可確定為：

其中：

由式（6）可以看出，如果兩個合成對象不是完全沖突的話，任意兩個函數(shù)的正交和都是可計算、成立的，且合成規(guī)則的數(shù)學(xué)性質(zhì)滿足結(jié)合律和交換律，所以無論合成順序如何，多個證據(jù)的合成結(jié)果都是一定的，然后再選取恰當?shù)臎Q策方法就可以得到基于基本DS 證據(jù)理論的數(shù)據(jù)融合結(jié)果。

2.3 基于DS 證據(jù)理論的網(wǎng)絡(luò)安全數(shù)據(jù)融合模型

本文模型的目標是實現(xiàn)對于多網(wǎng)絡(luò)傳感器監(jiān)測到的流量數(shù)據(jù)以及給出的報警數(shù)據(jù)進行數(shù)據(jù)融合。由于在同一個時段針對同一個攻擊，不同廠家的網(wǎng)絡(luò)傳感器可能會給出不同的報警數(shù)據(jù)，此時就會導(dǎo)致針對一個行為得到的數(shù)據(jù)具有差異性，同時對于報警數(shù)據(jù)，應(yīng)該主要關(guān)注攻擊來源、攻擊方式、攻擊的危害性和資產(chǎn)組別相關(guān)的信息，對于其他的信息比如攻擊維度、地理信息以及其他需要人員處理的信息不應(yīng)進行關(guān)注?？紤]到本文模型的目標是在不損失數(shù)據(jù)意義的基礎(chǔ)上盡可能地減少冗余數(shù)據(jù)以為安全態(tài)勢感知提供數(shù)據(jù)級基礎(chǔ)，該模型應(yīng)該主要包含數(shù)據(jù)預(yù)處理模塊、DS 識別框架、BPA置信函數(shù)分配模塊與證據(jù)決策模塊。

多源數(shù)據(jù)融合流程圖如圖1 所示。

圖1 多源數(shù)據(jù)融合流程圖

2.3.1 數(shù)據(jù)預(yù)處理環(huán)節(jié)

當網(wǎng)絡(luò)環(huán)境中攻擊事件發(fā)生的時候會引起多個傳感器產(chǎn)生多個警報日志，雖然這些警報日志引起的報警類型可能不一樣，但是如果這些警報日志具有共同的特征比如說IP 地址，或者在一段時間內(nèi)出現(xiàn)的次數(shù)非常頻繁，就可以將這些警報認定為一次攻擊，如果在一段時間內(nèi)只有很少的一些警報，就不能判別這是否是一次攻擊。所以在數(shù)據(jù)預(yù)處理階段，應(yīng)對所需要的屬性進行選擇，去除掉無用的屬性信息，只保留跟網(wǎng)絡(luò)攻擊相關(guān)的信息。

對于不同的數(shù)據(jù)源，比如說系統(tǒng)日志，多個不同層級的流量傳感器以及防火墻等應(yīng)該根據(jù)不同的需求進行數(shù)據(jù)過濾，并建立相應(yīng)的規(guī)則庫。在市場監(jiān)管領(lǐng)域中關(guān)注的是一段時間內(nèi)網(wǎng)絡(luò)中發(fā)生的攻擊類型以及影響的資產(chǎn)組。所以在經(jīng)過數(shù)據(jù)預(yù)處理后應(yīng)該保留的關(guān)鍵信息類型和部分數(shù)據(jù)如表1 所示。

表1 關(guān)鍵信息留存表

2.3.2 確定基本識別框架

在市場監(jiān)管領(lǐng)域網(wǎng)絡(luò)安全態(tài)勢中主要關(guān)注的是攻擊類型的準確性，本文的識別框架Θ即為多傳感器以及安全軟件等能夠檢測到的所有攻擊，在實際的數(shù)據(jù)集中，根據(jù)關(guān)注點的不同，對于流量傳感器來說主要包含攻擊利用和惡意軟件兩類攻擊。在攻擊利用中主要包含弱口令、配置不當、信息泄露以及其他攻擊利用四種攻擊；而在惡意軟件中主要包含遠控木馬和流氓推廣兩種攻擊，對于一些抓包分析工具如PCAP 日志就主要包含具體的攻擊比如端口掃描、SYN 洪泛、拒絕服務(wù)、XSS 跨站腳本攻擊等。針對不同的信息格式，考慮分別建立對應(yīng)的識別框架，即對于流量傳感器來說所有的可能結(jié)果：

而對于PCAP 來說，可能結(jié)果就為：

其識別框架為：

兩者完全不同，得到的結(jié)果也不同。根據(jù)市場監(jiān)管的數(shù)據(jù)來源，得到對應(yīng)于不同信息的部分識別框架如表2 所示。在確定識別框架之后，需要對每一種類別進行基本概率分配。

表2 部分來源識別框架表

2.3.3 基本概率分配函數(shù)

由于市場監(jiān)管領(lǐng)域中網(wǎng)絡(luò)安全數(shù)據(jù)十分復(fù)雜，存在可能誤報的情況，所以不能直接根據(jù)統(tǒng)計然后歸一化的方法進行基本概率分配，而應(yīng)該采用動態(tài)的方法進行基本可信度分配。比如針對一個具體的攻擊，如果某個傳感器在一個周期內(nèi)對于判斷弱口令攻擊的正確率高，那么就應(yīng)該在下一個周期中的數(shù)據(jù)融合同樣對弱口令攻擊的判斷具有較高的信任度。

所以本文對基本可信度分配采用建立動態(tài)的遞推公式，方法如下：

式中：JT表示在第T個周期判斷此類警報的信任度；JT-1表示該傳感器上一個周期計算出的此類警報的信任度；為所有傳感器在第T個周期獲取到的此類警報的總數(shù)；UT-1表示在上一個周期的判斷中得到的警報正誤判斷的比率，UT-1= 0 表示報警正確率＞50%，UT-1= 1表示誤報率＞50%，是由前一輪周期融合結(jié)果與實際情況相比較確定的；Ni表示第i個傳感器在第T個周期獲取到的此類警報的總數(shù)；N0為常數(shù)，用于控制收斂速度。

于是可以通過式（11）計算出不同設(shè)備在同一個周期中對不同的攻擊類別判斷能力的信任度。此公式的計算結(jié)果體現(xiàn)了同一類設(shè)備對于不同攻擊類別警報正確告警的能力。通過證據(jù)理論的合成計算能夠綜合評估在某一段時間周期內(nèi)網(wǎng)絡(luò)中主要出現(xiàn)的入侵行為。

在經(jīng)過計算之后得到第T個周期針對流量傳感器部分識別框架的部分警報的基本BPA 概率分配，如表3所示。其中r1為弱口令，r2為XSS，r3為網(wǎng)絡(luò)蠕蟲，r4為代碼執(zhí)行，r5為遠控木馬。從運算得到的結(jié)果發(fā)現(xiàn)，其實各個傳感器對于具體的攻擊手段的判別能力都還是比較低下的，其中出現(xiàn)很多誤報和不能夠判清報警的具體種類的情況，所以此時更需要對其進行數(shù)據(jù)融合，綜合評判在一段時間內(nèi)得到的信息進行攻擊的類型判斷。

表3 BPA 概率分配結(jié)果

運用Dempster 融合規(guī)則進行數(shù)據(jù)融合，對于多個具有相同識別框架的數(shù)據(jù)源中的數(shù)據(jù)進行合成，運用式（12）：

對其進行合成，合成得到的結(jié)果如表4 所示。

由于在識別框架下的命題都是互斥的，所以置信函數(shù)和似然函數(shù)都等于合成后的信度函數(shù)分配。于是可直接利用合成后的信度值進行網(wǎng)絡(luò)安全情況分析。由表4 可知，在周期T中對于攻擊r5遠控木馬給出的警報是最可信的，即在周期T中最有可能出現(xiàn)的攻擊為r5遠控木馬攻擊，由此就可以分析每個周期可能出現(xiàn)的攻擊情況。

2.3.4 相似性分析

由于攻擊者攻擊的維度不同，可能同時對市場監(jiān)管系統(tǒng)進行著多方位的攻擊，并且不同數(shù)據(jù)源之間的識別框架并不沖突，所以針對具有不同識別框架的數(shù)據(jù)來源得到的網(wǎng)絡(luò)安全情況進行分析，需要進行攻擊的相似性分析。

要考慮兩條報警的相似度，首先要考慮的是這兩條報警的共有屬性，包括時間信息、攻擊源地址、目標地址、攻擊類型等。對每一種屬性需要定義一個相似度函數(shù)來判別屬性之間是否具有相似性，如果屬性具有相似性，則可以從多方位為報警信息的正確性提供支撐（網(wǎng)絡(luò)攻擊在一段時間內(nèi)被多個設(shè)備檢測到，則可以證明該攻擊是目前網(wǎng)絡(luò)中正在發(fā)生的）。

1）攻擊源地址與目標地址相似度計算

對于攻擊源IP 地址與攻擊目標IP 地址的相似度計算，本文考慮對于源IP 地址或目標IP 的某一個子網(wǎng)，如果在一定時間內(nèi)存在大量的源IP 地址屬于同一個子網(wǎng)或者目標IP 地址屬于同一個子網(wǎng)的情況下，都定義為相似的攻擊。

設(shè)有兩個IP 地址A和B，如果有：

則判定A與B屬于同一網(wǎng)段，即具有相似性，其中Mask表示子網(wǎng)掩碼，“&”表示與運算。

2）時間相似性判斷

由于時間具有連續(xù)性，所以可以直接使用歐氏距離度量時間屬性的相似度，在市場監(jiān)管網(wǎng)絡(luò)安全數(shù)據(jù)中，警報的時間向量主要為（年，月，日，時，分，秒），可以假設(shè)兩條警報的時間向量分別為a= (ay,am,ad,ah,am,as)和b= (by,bm,bd,bh,bm,bs)，則兩條警報的時間相似度可以定義為：

式中wi,i∈(y,m,d,h,m,s)為每一項對應(yīng)的權(quán)重值，在大多數(shù)情況下兩條警報的數(shù)據(jù)都只會在分鐘和秒數(shù)上有差異，所以可以將wi，i∈(y,m,d,h)四項都設(shè)置為0，如果出現(xiàn)跨長時間段的攻擊再添加對應(yīng)的權(quán)重值。在確定每項屬性的相似度之后需要進行綜合相似度的評判。

在進行相似性分析后得到最終融合后的部分數(shù)據(jù)，如表5 所示。

表5 融合后得到的數(shù)據(jù)列表

3 融合數(shù)據(jù)有效性分析

本文實驗中，在一段時間內(nèi)共采集了來自4 個流量傳感器的網(wǎng)絡(luò)安全數(shù)據(jù)，并且根據(jù)該段時間不同傳感器給出的不同警報進行了統(tǒng)計，得到如圖2所示的統(tǒng)計圖。

圖2 多源數(shù)據(jù)警報數(shù)量統(tǒng)計圖

將從流量傳感器采集數(shù)據(jù)的這一段時間一共劃分為3 個周期，將每一個周期內(nèi)得到的網(wǎng)絡(luò)安全警報數(shù)據(jù)進行數(shù)據(jù)融合操作，然后得到對應(yīng)的融合概率，再得到對每個警報的可信度，每一個周期得到的可信度合成結(jié)果如圖3 所示。

圖3 各周期可信度合成結(jié)果

由圖3 的數(shù)據(jù)融合結(jié)果可以得到以下結(jié)論：

1）命題為“遠控木馬”的可信度明顯要大于其他命題，顯然在周期T1中“遠控木馬”的警報數(shù)量也是最多的，因此可以判斷，網(wǎng)絡(luò)中存在同一攻擊者正在進行有關(guān)“遠控木馬”的入侵行為。

2）命題“代碼執(zhí)行”的可信度相對較大，但只根據(jù)某種攻擊事件所對應(yīng)的可信度來判斷所遭受到的攻擊，有時候可能是不準確的，雖然“代碼執(zhí)行”的可信度大，攻擊者可能同時也在進行“代碼執(zhí)行”的相關(guān)攻擊，但也有可能是誤報。所以在具體評判網(wǎng)絡(luò)環(huán)境正在遭受怎樣的攻擊時，需要考慮多方面的因素來共同判斷。

3）命題“弱口令”的可信度相對較小，但是“弱口令”的警報數(shù)量卻是相對較多的，但是由于上一個周期的誤報較多，導(dǎo)致這一個周期對于“弱口令”的警報的可信度相對較小。

4）命題“XSS”攻擊和“網(wǎng)絡(luò)蠕蟲”的可信度非常小，這是因為其警報的相對數(shù)量非常少，并且提供證據(jù)的數(shù)據(jù)源相對單一，所以對于網(wǎng)絡(luò)中有攻擊者正在進行“XSS”攻擊和“網(wǎng)絡(luò)蠕蟲”的入侵行為的信任度就會很小，由結(jié)果可以推斷當前網(wǎng)絡(luò)中大概率正在遭受“遠控木馬”攻擊。

據(jù)統(tǒng)計可知，在目前的大多數(shù)系統(tǒng)中，對于大部分網(wǎng)絡(luò)入侵檢測系統(tǒng)，其反饋的報警信息中僅有10%是有用的，剩余的報警信息中大部分都是誤報、漏報。所以，在報警信息大量都是漏報和誤報的情況下，網(wǎng)絡(luò)入侵檢測系統(tǒng)包含的信息將給網(wǎng)絡(luò)和管理員帶來如下困擾：

1）網(wǎng)絡(luò)管理員很難從大量的報警信息中發(fā)現(xiàn)真實的入侵事件；

2）容易引起網(wǎng)絡(luò)的入侵和信息泄漏；

3）網(wǎng)絡(luò)傳輸負載變大的同時使日志存儲系統(tǒng)空間占滿，導(dǎo)致真實的入侵事件無法進行審計。

本文提出的方法在進行BPA 分配時考慮了誤報與漏報的情況，同時實驗也是在真實數(shù)據(jù)下運行得到的結(jié)果，所以本文提出的方法能夠?qū)φ`報和漏報具有一定的解決能力。

4 結(jié) 論

本文通過研究DS 證據(jù)理論，提出了基于DS 證據(jù)理論的多源數(shù)據(jù)融合方法，驗證了多源日志安全信息融合系統(tǒng)模型中通過數(shù)據(jù)預(yù)處理、融合框架構(gòu)建、BPA 分配、證據(jù)融合過程對多源日志融合分析的有效性；運用融合系統(tǒng)模型對目前網(wǎng)絡(luò)安全態(tài)勢的簡單評估驗證了融合模型在具有誤報、漏報的不良影響下能夠減少無效報警并保證數(shù)據(jù)的有效性。

實驗結(jié)果表明：本文方法可有效降低數(shù)據(jù)庫中多源日志記錄的冗余度；同時通過事件關(guān)聯(lián)和相似性判別對具有高相似度、相對準確的判定警報進行聚合，在數(shù)據(jù)預(yù)處理的基礎(chǔ)上更大程度地降低了警報日志的處理數(shù)量。

注：本文通訊作者為朱舉異。