◆李洋

網(wǎng)絡(luò)安全防護(hù)體系中智能報(bào)警融合技術(shù)研究

◆李洋

（佳木斯大學(xué) 現(xiàn)代教育技術(shù)中心 黑龍江 154007）

在如今的網(wǎng)絡(luò)安全防護(hù)體系當(dāng)中，傳統(tǒng)的入侵檢測系統(tǒng)會(huì)在短時(shí)間內(nèi)產(chǎn)生大量相同報(bào)警，如果將報(bào)警直接傳遞給分析模塊，會(huì)使網(wǎng)絡(luò)帶寬劇增，處理速度慢并且可能會(huì)淹沒了真正對(duì)系統(tǒng)產(chǎn)生威脅的少量報(bào)警信息。針對(duì)這些問題，本文設(shè)計(jì)了一種融合了層次分析法與動(dòng)態(tài)時(shí)間窗口劃分法的報(bào)警融合新技術(shù)，通過對(duì)攻擊事件產(chǎn)生大量報(bào)警數(shù)據(jù)中重復(fù)、低級(jí)別的數(shù)據(jù)的屬性進(jìn)行相似度計(jì)算，采用數(shù)據(jù)融合技術(shù)對(duì)其進(jìn)行融合處理。該方法在相似度閾值為0.6、時(shí)間間隔閾值為70s的情況下，具有89%的平均精簡率，較簡單的平均加權(quán)法和層次分析法性能分別提高了58.75%和28.65%，有利于網(wǎng)絡(luò)安全管理員更加全面地了解安全狀況，提升網(wǎng)絡(luò)安全防護(hù)強(qiáng)度。

網(wǎng)絡(luò)安全；報(bào)警融合；屬性相似度；層次分析法；動(dòng)態(tài)時(shí)間窗口

在網(wǎng)絡(luò)安全形勢嚴(yán)峻的背景下，網(wǎng)絡(luò)攻擊愈發(fā)頻繁，手段也越來越復(fù)雜，如何能夠提高網(wǎng)絡(luò)安全防護(hù)的抗攻擊強(qiáng)度，是目前網(wǎng)絡(luò)安全領(lǐng)域的重要研究課題[1]。主要表現(xiàn)在，傳統(tǒng)安全防護(hù)體系對(duì)在大量報(bào)警的處理上效率低下、錯(cuò)誤率高且容易忽略關(guān)鍵報(bào)警信息。而結(jié)合權(quán)重分析和時(shí)間劃分的數(shù)據(jù)融合技術(shù)為切實(shí)的解決辦法，能夠充分利用多元數(shù)據(jù)的互補(bǔ)性和冗余性，融合多元數(shù)據(jù)，能夠?qū)?bào)警屬性進(jìn)行更精確地評(píng)估，進(jìn)而達(dá)到加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的目的。

1 劃分的動(dòng)態(tài)時(shí)間窗口的報(bào)警融合

1.1 動(dòng)態(tài)時(shí)間窗口確定方法

當(dāng)端口遭到DoS攻擊，會(huì)在短時(shí)間內(nèi)產(chǎn)生大量相同或者類似的報(bào)警，一般來說，同一完整持續(xù)攻擊下引發(fā)報(bào)警時(shí)間間隔較短，分布集中，但攻擊引發(fā)報(bào)警的時(shí)間跨度是未知的[2]。相反，在遭受溢出攻擊時(shí)，端口需要一段較長時(shí)間來進(jìn)行響應(yīng)。本文針對(duì)此種報(bào)警規(guī)律，設(shè)計(jì)了一種可以增大相似密集報(bào)警窗口，縮短長響應(yīng)報(bào)警窗口的一種動(dòng)態(tài)時(shí)間窗口劃分方法，目的在于歸類攻擊類型，將同一攻擊事件與不同攻擊事件引發(fā)的報(bào)警進(jìn)行有效劃分，算法實(shí)行過程如圖1所示。

圖1 根據(jù)劃分動(dòng)態(tài)時(shí)間窗口報(bào)警融合圖

方法的實(shí)行分為三個(gè)步驟，首先需要按照描述格式化多個(gè)檢測系統(tǒng)產(chǎn)生的報(bào)警，將處理好的數(shù)據(jù)保存至數(shù)據(jù)庫[3-4]。接下來，設(shè)置報(bào)警隊(duì)列中第一個(gè)報(bào)警時(shí)間為第一時(shí)間窗口的始點(diǎn)，并按照先后順序?qū)?bào)警隊(duì)列中相同格式的報(bào)警進(jìn)行排序。在組成的新序列當(dāng)中，設(shè)置新的報(bào)警時(shí)間窗口劃分條件，將時(shí)間差小于間隔閾值的前一個(gè)報(bào)警劃分到前一個(gè)時(shí)間窗口內(nèi)，如果時(shí)間差大于等于間隔閾值，跳出當(dāng)前報(bào)警窗口劃分，以當(dāng)前報(bào)警時(shí)間為一個(gè)新的始點(diǎn)，再次進(jìn)行時(shí)間窗口劃分。最后將兩種劃分進(jìn)行動(dòng)態(tài)結(jié)合，將不同時(shí)間跨度的報(bào)警進(jìn)行聚類，達(dá)到歸類報(bào)警系統(tǒng)產(chǎn)生的警報(bào)的目的[5]。如圖1所示，在完成報(bào)警的動(dòng)態(tài)時(shí)間窗口劃分之后，生成了多個(gè)由臨近報(bào)警組成的報(bào)警集合（Alerset，ALS），接下來需要做的是對(duì)每個(gè)獨(dú)立ALS集合進(jìn)行進(jìn)一步的報(bào)警融合。

1.2 報(bào)警屬性相似度的計(jì)算

網(wǎng)絡(luò)安全事件之間存在三種邏輯關(guān)系，第一種滿足時(shí)間上事件先后順序的入侵事件的報(bào)警定義為時(shí)序關(guān)系，該關(guān)系還可細(xì)分為三種關(guān)系，分別為因果關(guān)系、間接因果關(guān)系和非因果時(shí)序關(guān)系；第二種為同一檢測系統(tǒng)檢測多種攻擊源產(chǎn)生的報(bào)警之間的關(guān)系，定義為協(xié)同關(guān)系，雖然為異種攻擊，但是之間存在協(xié)同作用；第三種，將相同事件序列內(nèi)攻擊引發(fā)的端口報(bào)警之間的關(guān)系定義為并發(fā)關(guān)系，該關(guān)系由不同的安全檢測系統(tǒng)檢測同一入侵事件生成的報(bào)警組成[6-7]。三種邏輯之間的復(fù)雜關(guān)系如圖2所示。

圖2 報(bào)警事件之間的關(guān)系示意圖

在計(jì)算圖2中屬性相似度時(shí)，由于數(shù)值類型的屬性不同導(dǎo)致其表達(dá)的含義存在較大差異性，所以需要采用多種相似度計(jì)算方法來對(duì)不同的屬性進(jìn)行計(jì)算，被計(jì)算相似度的屬性有四種，分別為IP地址、端口號(hào)、檢測發(fā)生時(shí)間以及攻擊類型[8]。采用無類別路由格式來對(duì)IP地址進(jìn)行分析，由4個(gè)8位數(shù)的二進(jìn)制數(shù)來組成IPv4地址，地址的低位區(qū)域表示主機(jī)地址，相反高位區(qū)域代表了網(wǎng)絡(luò)地址，通過子網(wǎng)掩碼來區(qū)分對(duì)兩個(gè)區(qū)域地址進(jìn)行區(qū)別，計(jì)算公式如公式（1）所示。

相比之下，第二種方法較第一種方法簡單，維護(hù)較易。另外，時(shí)間屬性也是報(bào)警融合過程中的關(guān)鍵因素，一般來說，時(shí)間屬性相似度是判定報(bào)警否為同種類型的決定性因素，如果兩個(gè)報(bào)警時(shí)間滿足上述相似度判定條件，但是不滿足時(shí)間相似最小閾值，那么這兩個(gè)報(bào)警就不能進(jìn)行超報(bào)警融合[11]。通過兩條報(bào)警時(shí)間差TimeInterval = alert1.t ime - alert2.time來進(jìn)行時(shí)間屬性相似度的計(jì)算，計(jì)算公式如公式（4）所示。

1.3 基于層次分析法的報(bào)警融合方法

層次分析法屬于多屬性決策方法，能夠?qū)χ饔^判斷進(jìn)行量化處理，同時(shí)能夠進(jìn)行合理性一直檢驗(yàn)，權(quán)衡了主觀動(dòng)能性和客觀性之間的誤差，具有簡單、高效等優(yōu)勢[12]。由于每個(gè)屬性字段的相對(duì)重要性不同，在計(jì)算兩個(gè)報(bào)警事件的相似度時(shí)，采用層次分析法來對(duì)每個(gè)屬性字段的權(quán)重進(jìn)行計(jì)算，對(duì)權(quán)重進(jìn)行合理分配，以便進(jìn)行融合報(bào)警。對(duì)報(bào)警事件進(jìn)行權(quán)重分析時(shí)，首先需要進(jìn)行層次結(jié)構(gòu)的建立與因素集的確定，報(bào)警事件層次結(jié)構(gòu)建立示意圖如圖3所示。

圖3 報(bào)警事件層次結(jié)構(gòu)圖

2 仿真實(shí)驗(yàn)與結(jié)果分析

2.1 報(bào)警融合的相似度閾值分析

在Windows 10實(shí)驗(yàn)環(huán)境下搭建一個(gè)開源輕量級(jí)snort 2.9.9網(wǎng)絡(luò)入侵檢測系統(tǒng)，用來檢測各種攻擊和嗅探。該系統(tǒng)能夠在IP網(wǎng)絡(luò)上進(jìn)行日志和數(shù)據(jù)的智能監(jiān)控，除此之外，該系統(tǒng)還具備內(nèi)容查找匹配、協(xié)議分析等功能，能夠獨(dú)立完成緩沖區(qū)溢出攻擊、隱形端口掃描等威脅的檢測。試驗(yàn)數(shù)據(jù)采用麻省理工學(xué)院林肯實(shí)驗(yàn)室DARPA 1999數(shù)據(jù)集，原始日志存儲(chǔ)、流量重放、數(shù)據(jù)分析工具分別采用MySQL、tcpreplay及Python。首先分析報(bào)警屬性相似度閾值對(duì)報(bào)警融合的影響，實(shí)驗(yàn)中重放第四周的第一天的1401條原始報(bào)警數(shù)據(jù)，報(bào)警融合的結(jié)果如圖4所示。

圖4 多種閾值下的融合效果圖

圖5 報(bào)警融合數(shù)量變化規(guī)律圖

從圖5（a）和圖5（b）中可以看出，在采用層次分析法和屬性相似度的報(bào)警融合方法能夠有效消除冗余報(bào)警，將部分報(bào)警進(jìn)行合并，且具有60.35%的平均精簡率，基本符合條件。但是較真正報(bào)警數(shù)量來說，差距依然較大，分析其原因是系統(tǒng)在處理的持續(xù)時(shí)間相對(duì)較長的報(bào)警時(shí)，發(fā)生錯(cuò)誤率較高極大地降低了融合效果。

2.2 自適應(yīng)擴(kuò)增的時(shí)間間隔的報(bào)警融合性能分析

圖6 不同時(shí)間閾值下的報(bào)警融合效果圖

在圖6（b）中，區(qū)間報(bào)警占比是指在真實(shí)報(bào)警的持續(xù)時(shí)間小于等于當(dāng)前閾值的數(shù)目占比總真實(shí)報(bào)警的數(shù)目，從數(shù)據(jù)可以分析出，報(bào)警融合的精簡率會(huì)隨時(shí)間間隔的增加而增加，在達(dá)到70s之后，精簡率變化曲線趨于平穩(wěn)，同時(shí)，從圖6（a）可以看出當(dāng)時(shí)間間隔閾值為70s時(shí)，報(bào)警融合率較高，達(dá)到90%。這是由于時(shí)間間隔越大，在每一個(gè)時(shí)間窗口發(fā)生的報(bào)警數(shù)量也會(huì)增加，導(dǎo)致精簡率增大，融合率增加。為了避免過大的時(shí)間窗口導(dǎo)致無關(guān)聯(lián)報(bào)警的錯(cuò)誤融合，選擇時(shí)間間隔閾值適中值70s進(jìn)行多系統(tǒng)報(bào)警融合對(duì)比實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如圖7所示。

圖7 三種方法性能對(duì)比圖

圖7（a）數(shù)據(jù)證明，平均加權(quán)法、層次分析法和時(shí)間劃分法在都能起到報(bào)警融合的作用，由于報(bào)警中真實(shí)報(bào)警平均只占到報(bào)警0.9%，其余的都是冗余報(bào)警，所以簡單的平均加權(quán)法也能在一定程度上將一部分冗余報(bào)警進(jìn)行融合。層次分析法對(duì)重復(fù)報(bào)警的融合效果較平均加權(quán)法效果更優(yōu)，這是由于層次分析法加入了專家評(píng)價(jià)標(biāo)準(zhǔn)、運(yùn)用較多專業(yè)知識(shí)來對(duì)不同權(quán)重占比屬性的相似度進(jìn)行計(jì)算，相較之下更為有效?？偟膩碚f，經(jīng)過時(shí)間動(dòng)態(tài)窗口劃分的方法最優(yōu)，從圖7（b）數(shù)據(jù)計(jì)算得出，在一個(gè)周期內(nèi)，平均加權(quán)法的平均精簡率僅有30.25%，分析法的平均精簡率為60.35%，時(shí)間動(dòng)態(tài)劃分法的平均精簡率為89%。從具體層面分析，攻擊產(chǎn)生報(bào)警時(shí)，同一個(gè)步驟具有相似的操作方式，產(chǎn)生的報(bào)警具有連續(xù)性，而不同步驟操作方式差異較大，產(chǎn)生的報(bào)警在時(shí)間上往往存在斷裂關(guān)系，并非連續(xù)，所以通過這種自適應(yīng)的時(shí)間窗口劃分方法，將時(shí)間上相互靠近的報(bào)警劃分到一起，能夠有效融合重復(fù)報(bào)警且能夠避免不同報(bào)警間的錯(cuò)誤融合。

3 結(jié)束語

數(shù)據(jù)融合技術(shù)是網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行勢態(tài)感知的核心技術(shù)，融合后的數(shù)據(jù)質(zhì)量將直接影響到后續(xù)態(tài)勢評(píng)估的效果，目前常規(guī)的方法有平均加權(quán)法、支持向量機(jī)等方法，雖然種類繁多，但是依然沒有一套實(shí)用性能強(qiáng)大且實(shí)用性高的通用方法。針對(duì)網(wǎng)絡(luò)安全防護(hù)的不足，本文研究提出了一套深度結(jié)合了層次分析和動(dòng)態(tài)時(shí)間劃分方法的報(bào)警融合技術(shù)，該技術(shù)能夠?qū)Υ罅繄?bào)警信息進(jìn)行篩選，融合冗余報(bào)警，提高安全系統(tǒng)響應(yīng)速度。實(shí)驗(yàn)結(jié)果證明，該方法在相似度閾值為0.6、時(shí)間間隔閾值為70s的情況下，具有89%的平均精簡率，較簡單的平均加權(quán)法和層次分析法性能分別提高了58.75%和28.65%，糾正了傳統(tǒng)報(bào)警融合系統(tǒng)響應(yīng)速度慢、錯(cuò)誤率高、融合率低等問題，為網(wǎng)絡(luò)安全建設(shè)開辟出一條新的道路。但是本次實(shí)驗(yàn)采用的層次分析法對(duì)專家知識(shí)有一定依賴，具有一定局限性，接下來的研究方向是通過監(jiān)督學(xué)習(xí)的方式，減少對(duì)專家知識(shí)的依賴。

[1]陶曉玲，趙培超，陳隆生. 基于模糊聚類的報(bào)警數(shù)據(jù)并行融合方法[J]. 桂林電子科技大學(xué)學(xué)報(bào)，2020，40（4）：310-315.

[2]戴祥華，張?zhí)K炯. 大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)的研究[J]. 中國信息化，2020（4）：81-82.

[3]蹇詩婕，盧志剛，杜丹，等. 網(wǎng)絡(luò)入侵檢測技術(shù)綜述[J]. 信息安全學(xué)報(bào)，2020，5（4）：96-122.

[4]張娜. 可信物聯(lián)網(wǎng)虛擬化數(shù)據(jù)中心數(shù)據(jù)融合結(jié)果檢測技術(shù)研究[J]. 內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2020，41（4）：70-75.

[5]平國樓，葉曉俊. 網(wǎng)絡(luò)攻擊模型研究綜述[J]. 信息安全研究，2020，6（12）：1058-1067.

[6]劉喆. 淺析網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)[J]. 保密科學(xué)技術(shù)，2020（09）：41-45.

[7]相銀堂，祁駿，許錦程，等. 基于ElasticSearch的重復(fù)報(bào)警識(shí)別系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 工業(yè)控制計(jì)算機(jī)，2021，34（1）：90-92+95.

[8]董超，劉雷. 大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：60-62.

[9]陶曉玲，龔昱鳴，趙峰. 基于類別劃分的OSSEC報(bào)警數(shù)據(jù)聚合方法[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2020，41（04）：908-914.

[10]李琪. 次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[J]. 電子技術(shù)與軟件工程，2020（13）：223-225.

[11]劉冬蘭，劉新，張昊，等. 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知及主動(dòng)防御技術(shù)研究與應(yīng)用[J]. 計(jì)算機(jī)測量與控制，2019，27（10）：229-233.

[12]楊洋. 網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（08）：14+30.