吳朝雄，王曉程，王紅艷，石 波

（中國航天科工集團第二研究院706所，北京100854）

0 引 言

在網(wǎng)絡安全態(tài)勢感知［1］的研究方面，主要有算法在網(wǎng)絡態(tài)勢中的應用及算法優(yōu)化，如D－S證據(jù)理論預測［2］、神經(jīng)網(wǎng)絡、灰度理論等，信息融合的網(wǎng)絡安全態(tài)勢評估模型［3，4］、大規(guī)模網(wǎng)絡安全態(tài)勢技術研究［5］、流量態(tài)勢感知的研究［6］、網(wǎng)絡安全態(tài)勢評估方法的分析［7］等。然而，網(wǎng)絡安全態(tài)勢感知方面的研究仍然存在以下一些問題：

（1）態(tài)勢感知定義模糊，沒有統(tǒng)一的理解。態(tài)勢感知的理解和定義目前仍然存在著很大的爭議，不少研究人員對態(tài)勢感知都有自己的見解，但是都未形成標準。

（2）網(wǎng)絡安全態(tài)勢感知缺乏精確的數(shù)學模型。目前所說的網(wǎng)絡安全態(tài)勢感知模型實際上是指網(wǎng)絡安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)和框架，并沒有固定的數(shù)學知識表達模型。

（3）對復雜網(wǎng)絡攻擊缺乏感知的方法、工具。實時精確檢測復雜網(wǎng)絡攻擊是保證度量網(wǎng)絡安全態(tài)勢感知準確的基礎和支撐。因此，提高對復雜網(wǎng)絡攻擊感知是首要解決的問題。

（4）網(wǎng)絡安全態(tài)勢感知缺乏實時性。不管是網(wǎng)絡安全態(tài)勢預測還是評估方面，都缺乏時效性，不能及時的給系統(tǒng)管理員呈現(xiàn)安全態(tài)勢信息。

本文針對上述 （3）、 （4）兩點不足之處，主要從攻擊威脅角度出發(fā)，設計了一種模塊化的實時感知系統(tǒng)結(jié)構(gòu)，并在結(jié)構(gòu)中提出了基于粗糙集 （rough set，RS）和事件流處理 （event stream processing，ESP）相結(jié)合的實時網(wǎng)絡安全威脅態(tài)勢感知方法。該方法和技術在一定程度上提高了對復雜網(wǎng)絡攻擊感知的能力并解決了網(wǎng)絡安全威脅態(tài)勢分析的時效性。

1 系統(tǒng)模塊化結(jié)構(gòu)模型

RS是一門基于分類思想研究不確定性和不精確問題的理論。波蘭科學家Pawlak提出了粗糙集的概念［8］。粗糙集在知識發(fā)現(xiàn)中的應用主要體現(xiàn)在使用等價關系對數(shù)據(jù)進行聚類形成等價集合，對屬性、對象進行約簡計算，提取決策規(guī)則［9］基于粗糙集提取出的規(guī)則能夠更好的客觀描述樣本數(shù)據(jù)屬性之間的本質(zhì)關系。而且粗糙集與證據(jù)理論、概率論、模糊集理論等理論相比，其最大的優(yōu)勢在于粗集理論不需要任何的先驗知識和專家知識，因此推理出的知識是客觀可信的［10］。ESP 是一種從大量持續(xù)性事件流中過濾、分析出有意義的事件，并能夠?qū)崟r取得這些有意義的信息的技術，且其分析引擎具有較高的吞吐量［11］。根據(jù)網(wǎng)絡安全態(tài)勢感知中的數(shù)據(jù)特點，本文將RS以及ESP 引入到網(wǎng)絡安全態(tài)勢感知系統(tǒng)中。系統(tǒng)分為在線和離線感知兩部分。系統(tǒng)主要由數(shù)據(jù)采集、數(shù)據(jù)預處理、知識發(fā)現(xiàn)、實時攻擊感知、安全態(tài)勢分析、態(tài)勢可視化等模塊組成。如圖1所示。

圖1 基于RS－ESP的系統(tǒng)結(jié)構(gòu)模型

數(shù)據(jù)采集收集多源異構(gòu)的安全事件數(shù)據(jù)，數(shù)據(jù)預處理是對各種安全事件的標準化。知識發(fā)現(xiàn)模塊的數(shù)據(jù)源來源于兩部分，一部分是已有的復雜攻擊樣本數(shù)據(jù)庫，另一部分是則來源于采集到的安全事件。實時攻擊感知既接收標準化后的數(shù)據(jù)流，也接受攻擊知識庫中的復雜攻擊規(guī)則。安全態(tài)勢分析接收攻擊感知的結(jié)果對安全態(tài)勢進行分析，并同時進行可視化的展示。

2 基于RS－ESP的態(tài)勢感知方法

2.1 實時態(tài)勢感知思想

大規(guī)模網(wǎng)絡下的安全態(tài)勢感知其處理的數(shù)據(jù)是海量的，通過RS理論能夠很好的從已有的小樣本攻擊態(tài)勢數(shù)據(jù)中發(fā)現(xiàn)真正有意義的復雜攻擊知識，揭示潛在的復雜攻擊規(guī)律。同時通過ESP技術結(jié)合發(fā)現(xiàn)的復雜攻擊規(guī)則能夠?qū)崿F(xiàn)在線對網(wǎng)絡環(huán)境中的安全事件進行動態(tài)分析，從而為實時網(wǎng)絡安全態(tài)勢分析提供基礎。實時態(tài)勢感知的基本思想是通過RS理論從攻擊態(tài)勢樣本數(shù)據(jù)集中建立攻擊態(tài)勢決策表，對攻擊態(tài)勢決策表中的屬性約簡得到精簡的攻擊態(tài)勢決策表，最后通過計算屬性之間的依賴度，提取出復雜的攻擊規(guī)則。ESP將提取的攻擊規(guī)則按照一定的規(guī)定轉(zhuǎn)換成機器所能識別和運行的語言，然后在線對網(wǎng)絡安全事件流進行上下文關聯(lián)分析，并將分析的結(jié)果提供給實時態(tài)勢分析和態(tài)勢可視化。實時態(tài)勢分析根據(jù)攻擊感知的結(jié)果，對整體網(wǎng)絡安全態(tài)勢進行分析，從而得到對網(wǎng)絡安全態(tài)勢的整體把握。實時網(wǎng)絡安全態(tài)勢感知流程如圖2所示。

圖2 基于RS－ESP的實時態(tài)勢感知流程

2.2 構(gòu)建攻擊態(tài)勢決策表

RS將客觀世界抽象為一個信息系統(tǒng)。信息系統(tǒng)由四元組S 表示，S＝＜U，A，V，f＞。U 是對象或者事例的有限集合，稱作論域，A 是屬性的有限集合。V 是屬性值的值域，f 是信息函數(shù)，即f：U×A→V，f（xi，Aj）∈Vj，其中xi∈U，Aj∈A。屬性集A 又常常分為兩個集合C 和D，即C∪D＝A，C∩D＝，C 表示條件屬性集，D 表示決策屬性集，將帶有條件屬性集和決策屬性集的系統(tǒng)稱為決策系統(tǒng)，記為S＝＜U，C∪D，V，f＞。

在網(wǎng)絡安全態(tài)勢感知中，安全告警事件集對應論域U，即簡單攻擊相互組合后所形成的復雜攻擊，各單個簡單攻擊為條件屬性集C，這些一連串的簡單攻擊對系統(tǒng)所造成的威脅程度對應決策屬性集D。建立如表1所示的攻擊態(tài)勢信息決策。

表1 信息決策

2.3 約簡攻擊態(tài)勢屬性

對攻擊態(tài)勢決策表中的條件屬性集進行約簡，刪除對攻擊態(tài)勢決策結(jié)果不產(chǎn)生影響的攻擊條件集。為了理解屬性約簡，做了如下定義。

定義1 對所有的p∈P，xi，xj∈U，稱為P 對U 的等價關系，記為U／eq（P）

定義2 粗糙集是以上近似和下近似來近似定義粗糙集，其中對于集合X U，X 的下近似表示為B＿（X）

定義3 等價關系B 的子集C 和D，定義D 關于C 的正域為POSC（D）

定義4 對任意的Ci∈C，如果刪除屬性Ci使得POSC－Ci（D）＝POSC（D）則稱Ci屬性為無效攻擊態(tài)勢因子。

2.4 提取攻擊規(guī)則

對于約簡后的攻擊決策表，可以得出表中各屬性之間的依賴關系，即提取攻擊規(guī)則。本文提取攻擊規(guī)則的原則是算出組合條件屬性對決策屬性的依賴度，與一般計算置信度有一定的差別。

定義5 規(guī)定提取的攻擊規(guī)則C→D，規(guī)則的可信度由表示cf也就是說有條件屬性C 可以以cf 的可信度來確定D。cf 越高，表明條件組合C 對D 的影響程度越大。

2.5 ESP實時分析

ESP實時分析實際上是對網(wǎng)絡攻擊的實時感知，其將由RS獲取到的復雜攻擊規(guī)則集轉(zhuǎn)換成ESP 分析引擎所能識別的語句，從而實現(xiàn)對流經(jīng)其引擎的安全事件流進行上下文關聯(lián)分析，及時發(fā)現(xiàn)惡意的、潛在的復雜網(wǎng)絡攻擊行為。本文引入了Esper作為ESP 的分析引擎，對復雜網(wǎng)絡攻擊進行分析處理。

Esper處理的事件一般是實時或者近實時的事件。其核心模塊包括事件處理語言 （event process languange，EPL）語法解析引擎、事件處理、事件監(jiān)聽機制等。Esper主要應用在實時性要求比較高的行業(yè)，如股票、金融方面。因此其處理實時性方面的特點與本文的實時性要求很吻合。ESP實時分析引擎 （Esper）表面看和IDS相似，但是他們之間有著巨大的差別：

（1）處理對象不同。前者處理的對象包括數(shù)據(jù)流、事件流，處理對象更為高層和抽象。而后者處理對象為數(shù)據(jù)包。

（2）處理速度不同。前者具有很高的吞吐率和較快的處理速度，面對大數(shù)據(jù)量時不出現(xiàn)速度瓶頸，具有較高的吞吐率。同時還支持協(xié)同分布式部署和處理。后者面對大數(shù)據(jù)量時容易出現(xiàn)處理速度瓶頸，且后者不支持協(xié)同分布式處理。

（3）處理復雜度不同。前者能夠處理復雜的對象和事件，因為其具有強大的存儲記憶力，能夠在線關聯(lián)上下文，支持多級處理模式。而后者則不具備存儲記憶力，IDS 屬于即時處理，不具備關聯(lián)能力，因此IDS只能檢測簡單的單步攻擊。

一次簡單攻擊可以用十元組AttackR＝＜rulename，sip，dip，sport，dport，psign，timestamp，timeout，reality，pri＞來表示，其中rulename為規(guī)則名稱，sip 表示源IP，dip 表示目的IP，dport表示目的端口，psign 表示信息的類型，pro表示協(xié)議類型，timestamp 表示攻擊發(fā)生的時間，timeout表示攻擊之間的時間窗口，reality 表示攻擊成功度，reality 值越大也說明攻擊成功的可能性越高，取值范圍為1～5，pri代表該攻擊的重要程度，取值范圍為1～5。復雜攻擊是由一個或者多個像這樣的十元組形成的一條攻擊鏈路，形如AttackR1→…→AttackRi→…→AttackRn。ESP對通過逐級模式匹配完成對復雜網(wǎng)絡攻擊的感知和分析。其復雜攻擊分析模型如圖3所示。

圖3 復雜攻擊分析模型

復雜攻擊分析模型由過濾器，觸發(fā)器，關聯(lián)器，評估攻擊值4個基本模塊組成，過濾器主要負責除雜和分流的任務，觸發(fā)器根據(jù)上一級關聯(lián)分析結(jié)果判斷是否需要觸發(fā)下一級的關聯(lián)分析執(zhí)行。關聯(lián)器按照復雜攻擊規(guī)則對接收到的事件流進行關聯(lián)計算，評估攻擊值模塊根據(jù)當前的資產(chǎn)信息、攻擊規(guī)則以及當前攻擊評估當前攻擊的攻擊威脅值attvalue。ESP分析引擎對安全事件流的整個分析過程都是通過EPL語句進行模式匹配分析完成。

同時，通過復雜攻擊分析模型可以看出該模型結(jié)構(gòu)是一個級聯(lián)結(jié)構(gòu)，能夠支持多級擴展，因此對于變長的復雜鏈路攻擊具有較好的適應性和擴展性。

2.6 實時安全威脅態(tài)勢分析

為了簡化網(wǎng)絡結(jié)構(gòu)，本文從服務、主機、網(wǎng)絡系統(tǒng)3個層面分析網(wǎng)絡安全威脅態(tài)勢。

服務層威脅：針對服務層的攻擊對服務的威脅程度，用TS 表示

num 發(fā)生的次數(shù)。attvalue由式 （3）計算得出

式中：asset——資產(chǎn)值，其取值范圍為1～3，nl——一條復雜攻擊規(guī)則鏈路的長度，rl——當前復雜攻擊鏈路的長度。通過式 （3）計算攻擊值能夠較為真實的反映出復雜攻擊給服務帶來的影響。

主機層威脅：所有主機上開放的服務受到攻擊后對主機的威脅程度，用TH 表示

式中：SP——該服務在所有主機開通的服務中所占的比重。

系統(tǒng)層威脅：所有受攻擊的主機對體統(tǒng)的威脅程度，用TN 表示

式中：HP——主機所占重要度的權重，用資產(chǎn)來進行衡量

3 實驗仿真與分析

3.1 實驗環(huán)境

為了測試和驗證本文的提出的態(tài)勢感知方法的時效性，搭建了實驗環(huán)境如圖4所示，實驗中有多臺PC機，且每個PC機上所開服務和所存信息也不盡相同。利用外部攻擊軟件對所搭建的實驗網(wǎng)絡不定時的發(fā)動攻擊。

圖4 實驗環(huán)境

3.2 安全威脅態(tài)勢建模

為了簡化安全態(tài)勢建模，選取一個樣本中的數(shù)據(jù)進行說明。選取的攻擊樣本包含6 個條件屬性，即C＝ ｛C1，C2，C3，C4，C5，C6｝＝ ｛ping，SNMP，teardrop，F(xiàn)inger，電子郵件釣魚攻擊，鍵盤記錄木馬｝，決策屬性D 為攻擊對系統(tǒng)的影響程度，值域為1～5。

攻擊態(tài)勢決策見表2。

通過2.3節(jié)中的定義，計算出各個屬性的有效性，如POSC＝ ｛1，2，3，4，5，6，7，8，9｝，說明屬性C2屬于無效屬性，同理可以計算出屬性C1，C3，C5，C6屬于有效屬性，屬性C2，C4無效屬性，得到如表3所示的攻擊態(tài)勢約簡。

表2 攻擊態(tài)勢決策

表3 攻擊態(tài)勢約簡

對表3中的數(shù)據(jù)進行復雜攻擊規(guī)則提取，選取不同的攻擊屬性組合，得到不同的規(guī)則，如將C5，C6作為一個組合，即可得到C5C6→D 的可信度為0.67，同理可以計算出表中所有可能合理的規(guī)則。將得到的規(guī)則轉(zhuǎn)換為EPL 語句用來對安全事件流進行關聯(lián)分析檢測，如圖5所示。

圖5 C5C6→D 關聯(lián)分析語句

3.3 實驗仿真與分析

首先對模型中涉及的指標進行量化，測試環(huán)境中開放了Telnet，DNS，Http，F(xiàn)TP、SMTP、POP3 服務，各服務所占的比重SP＝ ｛0.05，0.1，0.3，0.15，0.2，0.2｝，主機資產(chǎn)的度量按照機器上存儲數(shù)據(jù)的數(shù)量和重要性度量，asset＝ ｛2，3，3，…，1，2，1｝。HP ＝ ｛0.167，0.5，0.5，…0.167，0.333，0.167｝。將樣本中所有數(shù)據(jù)按照3.2節(jié)的方式建模，部署在實驗環(huán)境中，采集某一天上午11∶00－11∶30的網(wǎng)絡安全事件，每隔兩分鐘分析一次安全態(tài)，利用式 （5）得到表4所示的分析數(shù)據(jù)。

表4 網(wǎng)絡安全威脅態(tài)勢值

根據(jù)表4所測得安全態(tài)勢值的MATLAB 曲線如圖6所示。

圖6 實驗結(jié)果

從圖6中可以看出在測試的半小時內(nèi)實驗網(wǎng)絡的安全狀況以及趨勢。在第5次到第9次的安全態(tài)勢分析中發(fā)生了較為密集的攻擊行為。同時，關于ESP 分析引擎對攻擊分析的速度也做了統(tǒng)計分析，單個ESP 分析引擎在實驗中能達到5000 條／秒，為實時安全威脅態(tài)勢的分析提供了保障。

4 結(jié)束語

本文設計了模塊化的實時感知系統(tǒng)結(jié)構(gòu)，并結(jié)合RS理論和ESP技術，實現(xiàn)了對復雜網(wǎng)絡攻擊的實時分析檢測以及以分鐘為單位的網(wǎng)絡安全威脅態(tài)勢的實時分析。本文雖然在一定成都上解決了時效性問題，但是仍然有其它問題需要深入研究，如，對RS算法的高效優(yōu)化，優(yōu)化ESP 分析引擎的資源占用、樣本數(shù)據(jù)集的擴大等。有關這些方面的問題還有待更進一步的研究。

［1］Bass T.Intrusion systems and multisensor data fusion ［J］.Communications of the ACM，2000，43 （4）：99－105.

［2］SHI Bo，XIE Xiaoquan.Research on network security situation forecast method based on DS evidence theory ［J］.Computer Engineering and Design，2013，34 （3）：821－825 （in Chinese）.［石波，謝小權.基于D－S證據(jù)理論的網(wǎng)絡安全態(tài)勢預測方法研究［J］.計算機工程與設計，2013，34（3）：821－825.］

［3］WEI Yong，LIAN Yifeng，F(xiàn)ENG Dengguo.A network security situational awareness model based on information fusion ［J］.Journal of Computer Research and Development，2009，46（3）：353－362 （in Chinese）. ［韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型 ［J］.計算機研究與發(fā)展，2009，46 （3）：353－362.］

［4］LAI Jibao，WANG Ying，WANG Huiqiang，et al.Research on network security situation awareness system architecture based on multi－source heterogeneous sensors ［J］.Computer Science，2011，38 （3）：144－149 （in Chinese）.［賴積保，王穎，王慧強，等.基于多源異構(gòu)傳感器的網(wǎng)絡安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研 ［J］.計算機科學，2011，38 （3）：144－149.］

［5］WANG Juan.Research on key technology in large－scale network security situation awareness ［D］.Chengdu：University of Electronic Science and Technology of China，2010：3－6 （in Chinese）. ［王娟.大規(guī)模網(wǎng)絡安全態(tài)勢感知關鍵技術研究［D］.成都：電子科技大學，2010：3－6.］

［6］ZUO Ying.Research on cyberspace sitnational awareness technology based on topology and traffic mining ［D］.Beijing：National University of Defense Technology，2010：101－104 （in Chinese）.［卓瑩.基于拓撲＿流量挖掘的網(wǎng)絡態(tài)勢感知技術研究 ［D］.北京：國防科技大學研究生院，2010：101－104.］

［7］GONG Zhenghu，ZHUO Ying.Research on cyberspace situational awareness ［J］.Journal of Software，2010，21 （7）：1605－1609 （in Chinese）.［龔正虎，卓瑩.網(wǎng)絡態(tài)勢感知研究［J］.軟件學報，2010，21 （7）：1605－1609.］

［8］Pawlak Z.Rough sets ［J］.International Journal of Information and Computer Science，1982，11 （5）：311－356

［9］Pawlak Z，Gzymala Busse J，Slowinski R.Rough sets ［J］.Communications of the ACM，1995，38 （11）：88－95.

［10］WANG Guoyin，YAO Yiyu，YU Yihong.A survey on rough set theory and applications ［J］.Chinese Journal of Computers，2009，32 （7）：1229－1246 （in Chinese）.［王國胤，姚一豫，于一洪.粗糙集理論與應用研究綜述 ［J］.計算機學報，2009，32 （7）：1229－1246.］

［11］CHENG Suju， WANG Yongjian， MENG You，et al.PMTree：An efficient pattern matching method for event stream processing ［J］.Journal of Computer Research and Development，2012，49 （11）：2481－2484 （in Chinese）.［程蘇琚，王永劍，孟由，等.PMTree：一種高效的事件流模式匹配方法［J］.計算機研究與發(fā)展，2012，49（11）：2481－2484.］