叢佩麗

遼寧機電職業(yè)技術(shù)學院信息工程系 遼寧 118009

0 引言

本文在上述安全管理系統(tǒng)的基礎(chǔ)上，對報警信息聚類的方法進行研究。聚類分析常采用的分類器有：平均樣本法優(yōu)點是算法簡單，但是用一點代表一類，過分集中。平均距離法需要計算待識模式與每一個訓(xùn)練樣本的距離，計算量比較大。最近鄰法需存儲和計算訓(xùn)練樣本，容易受噪音的影響。K-近鄰法中的K值取值較大時，雖然減少了噪音的干擾，但是會把原是一類的分成多類，當K值取值較小時，又受了噪音的干擾。改進的最近鄰以每一個類別以幾個子集的平均樣本為代表，采取最近鄰法進行分類，這樣減少了存儲量和計算量，減少噪音的干擾，這是通常采用的分類器。

1 加權(quán)最近鄰聚類報警的設(shè)計

1.1 SOC總體系結(jié)構(gòu)設(shè)計

SOC關(guān)鍵技術(shù)是安全事件的關(guān)聯(lián)信息模型、通用高性能關(guān)聯(lián)引擎、安全事件重要性評估、安全設(shè)備聯(lián)動控制等關(guān)鍵技術(shù)。完成安全事件的信息聚類是上述關(guān)鍵技術(shù)實現(xiàn)的前提。網(wǎng)絡(luò)報警的聚類主要是在SOC的收集代理上實現(xiàn)，而且聚類主要是針對同一類型報警信息的縱向聚類。聚類的主要目的是減少網(wǎng)絡(luò)報警的數(shù)量，將多條重復(fù)的報警信息在規(guī)定的時間閾值和空間閾值內(nèi)合并成一條。

網(wǎng)絡(luò)報警信息的規(guī)范化過程是指將各類安全信息轉(zhuǎn)化為以統(tǒng)一格式描述的信息的過程，從而帶來語義級別的提升。由于網(wǎng)絡(luò)設(shè)備千差萬別，所以它們所發(fā)出的報警的格式也多種多樣，需要進行必要的聚類操作。因此在設(shè)計 SOC體系時，本文側(cè)重于收集代理上的信息聚類方法的研究，建立SOC總體結(jié)構(gòu)如圖1所示。

圖1 SOC總體結(jié)構(gòu)圖

1.2 加權(quán)最近鄰聚類報警模型

定義1 報警信息向量：從報警信息記錄的原始報警信息中提取的有助構(gòu)建進攻場面的特征屬性：設(shè)備類型、攻擊方式、源IP、源端口、目的IP、目的端口、以太網(wǎng)協(xié)儀依次作為一條報警信息的七個分量，構(gòu)建的向量稱為報警信息向量。

定義2 報警信息向量空間：由所有報警信息向量構(gòu)成的7維向量空間稱為報警信息向量空間。

在報警信息的聚類過程中，本系統(tǒng)采用了具有權(quán)值的最近鄰算法進行聚類。海量的報警信息相當于空間點集V，每個點(即報警信息)又可抽象成報警信息向量，相當于點集中的點 P1。如果兩個七元組 P1、P2中所有元素均相同，則其距離為0，也就是P2為P1的最近鄰，即 MN( P1)=P2。根據(jù)報警向量中各元素在攻擊中所扮演的角色不同，為其分配一個惟一的權(quán)值，分別為ω1,ω2,…ω7，P1,P2,…P7為元素比較標志。如果P1、P2的對應(yīng)分量相同，則1F為0，否則1F為1。P1、P2間的距離D(P1、P2)定義為：

如果D(P1，P2)≤t則P1，P2屬于同一類，可合并為一條報警信息，并且將各個報警信息的次數(shù)相加。在丹東水利系統(tǒng)SOC中，報警信息向量的權(quán)值ω，距離閾值t，聚類時間閾值和聚類的空間閾值都可以靈活設(shè)定。

在聚類過程中為了提高聚類效率，本系統(tǒng)采用了平衡二叉樹算法。如圖2所示。

圖2 SOC 聚類邏輯結(jié)構(gòu)

將每個待聚類的關(guān)鍵字作為二叉樹的一個節(jié)點，如果新采集的規(guī)范化后的網(wǎng)絡(luò)報警和在平衡二叉樹中查找到的節(jié)點的關(guān)鍵字依據(jù)公式1計算出它們之間的距離D，如果D≤t就將二叉樹節(jié)點的次數(shù)字段和新報警信息的次數(shù)相加，如果不同就將該新報警信息插入到平衡二叉樹，并調(diào)整二叉樹為平衡狀態(tài)。

甜玉米品質(zhì)：成熟期采集甜玉米可鮮食部分，采用水楊酸硝化法測定硝酸鹽含量，采用蒽酮比色法測定可溶性糖含量，采用考馬斯亮藍G250法測定可溶性蛋白含量［16］。

本系統(tǒng)在聚類過程中同時還維護了一個隊列，每在平衡二叉樹中插入一個節(jié)點同時也將該節(jié)點入隊并記下入隊時間。每隔2秒鐘輪詢隊列。用當前時間減去入隊時間，如果時間差大于聚類閾值，在平衡二叉樹中查找該節(jié)點，將該節(jié)點提交給網(wǎng)絡(luò)報警初步關(guān)聯(lián)分析模塊，同時將該節(jié)點從二叉樹中刪除，將二叉樹調(diào)整為平衡狀態(tài)。如果平衡二叉樹節(jié)點達到最大值，則新來的報警信息將替換平衡二叉樹中時間最久的節(jié)點，這樣就會出現(xiàn)丟包現(xiàn)象。

2 系統(tǒng)測試

2.1 測試環(huán)境

為了滿足本系統(tǒng)的技術(shù)功能測試要求，搭建了一個由事件收集代理，SOC服務(wù)器，SOC數(shù)據(jù)庫服務(wù)器，掃描器，審計中心，防火墻，入侵檢測系統(tǒng)，服務(wù)器和兩臺測試機組成的測試網(wǎng)絡(luò)，并可以接入現(xiàn)有的試驗網(wǎng)，滿足對其網(wǎng)絡(luò)設(shè)備進行安全監(jiān)控等要求。具體如圖3所示。

圖3 SOC測試網(wǎng)絡(luò)拓撲圖

2.2 測試工具

(1) SOC Web服務(wù)器一臺。應(yīng)用服務(wù)器是SOC安全管理平臺的分析中心，提供對安全信息的關(guān)聯(lián)分析、安全脆弱性分析、安全事件處理監(jiān)控與管理、安全狀況評估、安全知識庫管理等功能。

(2) SOC數(shù)據(jù)庫服務(wù)器一臺。數(shù)據(jù)庫服務(wù)器主要用來保存SOC安全管理平臺的數(shù)據(jù)信息，為SOC安全管理平臺提供數(shù)據(jù)的存儲、查詢等功能。IP地址設(shè)置為192.168.71.30。

(3) 收集代理服務(wù)器兩臺。安全信息收集代理主要完成對設(shè)備和主機系統(tǒng)的安全信息的收集、安全域內(nèi)資產(chǎn)的自動發(fā)現(xiàn)等功能。IP地址分別設(shè)置為192.168.70.13，210.36.45.13。

(4) 掃描器一臺。掃描系統(tǒng)存在的漏洞。

(5) 測試PC兩臺，模擬發(fā)送本系統(tǒng)所支持的其它設(shè)備的報警信息。

(6) 防火墻一臺。對攻擊事件發(fā)出網(wǎng)絡(luò)報警。

(7) 審計中心一臺。

(8) IDS一臺。對攻擊事件發(fā)出網(wǎng)絡(luò)報警。

2.3 測試流程

本系統(tǒng)的主要工作流程如下：

(1) 管理員通過Web瀏覽器打開Web管理中心界面，通過用戶認證后，正式登錄Web管理中心。

(2) 配置應(yīng)用服務(wù)器，設(shè)置報警聚類的相關(guān)參數(shù)。

(3) 配置收集代理服務(wù)器，設(shè)置收集代理的相關(guān)參數(shù)，確定收集代理收集的目標設(shè)備。

(4) 利用測試PC1和PC2發(fā)動攻擊。

(5) 應(yīng)用服務(wù)器利用數(shù)據(jù)庫中的規(guī)則庫進行關(guān)聯(lián)分析，并給出告警信息。

2.4 相關(guān)測試結(jié)果

通過測試，得出了如下結(jié)果：

(1) 支持網(wǎng)絡(luò)報警設(shè)備

本系統(tǒng)支持的網(wǎng)絡(luò)報警設(shè)備有：Cisco 系列路由器、Cisco系列交換機、天融信防火墻、東軟防火墻、東軟IDS、啟明IDS、啟明掃描器、Nessus掃描器、Nmap掃描器、北電幀中繼設(shè)備、Linux主機、Window主機、Symantec 防病毒軟件。對其它廠家設(shè)備實現(xiàn)了可擴展支持。

(2) 支持網(wǎng)絡(luò)報警格式

本系統(tǒng)支持的網(wǎng)絡(luò)報警格式有：SNMPTRAP、SYSLOG、文本格式、ODBC格式。對其它協(xié)議可擴展支持。

(3) 報警信息收集能力

本系統(tǒng)的報警信息收集能力大于30萬條/分鐘，關(guān)聯(lián)分析規(guī)則庫內(nèi)置了四百余條規(guī)則。

(4) 聚類前后報警數(shù)量對比如圖4所示。

圖4 SOC聚類結(jié)果對比圖

由圖4可以看出，聚類前報警數(shù)量約為12000多條聚類后僅有4000余條。報警數(shù)量減少了約2/3。

3 結(jié)論

本文所應(yīng)用的基于有權(quán)值的最近鄰聚類技術(shù)有效的減少了報警數(shù)量，降低了誤報率，為進一步進行關(guān)聯(lián)分析奠定了基礎(chǔ)，使SOC系統(tǒng)更好發(fā)揮作用，確保網(wǎng)絡(luò)信息安全。

[1]McHugh J. Intrusion and intrusion detection, International Journal of Information Security. 2001.

[2]溫輝,徐開勇.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析及主動響應(yīng)機制的研究.計算機應(yīng)用與軟件.2010.

[3]賈丙靜,王傳安.Web日志挖掘中模糊C均值聚類研究[J].遼東學院學報(自然科學版).2011.

[4]楊德志.基于QPSO參數(shù)優(yōu)化的LS-SVM智能標定[J].遼東學院學報(自然科學版).2011.

[5]吳正楨,陳秀真,李建華.基于聚類和報警先決條件的網(wǎng)絡(luò)入侵關(guān)聯(lián)分析[J].計算機工程.2007.

[6]胡永麗,龔沛曾.基于模糊C均值和改進的LSA的文檔聚類研究.計算機技術(shù)與發(fā)展.2010.

[7]趙彬,王亞弟等.網(wǎng)絡(luò)安全運營中心關(guān)鍵技術(shù)研究[J].信息安全技術(shù).2009.

[8]嚴會超,陳聯(lián)城等.采用綜合加權(quán)聚類方法的農(nóng)產(chǎn)品安全監(jiān)測點規(guī)劃[J].應(yīng)用生態(tài)學報.2009.

[9]叢佩麗.SOC中報警聚類及關(guān)聯(lián)分析技術(shù)的設(shè)計與實現(xiàn)[D].大連理工大學.2008.