常利偉，田曉雄，張宇青，錢宇華，胡治國

（1. 山西財經大學 信息學院，山西 太原 030006; 2. 山西大學 大數(shù)據(jù)科學與產業(yè)研究院，山西 太原 030006）

沒有網(wǎng)絡安全就沒有國家安全，網(wǎng)絡安全已成為信息時代國家安全的基石。然而隨著網(wǎng)絡規(guī)模的日益擴大以及網(wǎng)絡惡意行為的復雜化與智能化，傳統(tǒng)以入侵檢測系統(tǒng)為核心的單點防御體系暴露出越來越多的弊端。單點檢測方式本質上是通過單個節(jié)點的信息做出判斷，會形成“安全信息孤島”，無法從整個網(wǎng)絡層面做出準確的決策，因此面對復雜的網(wǎng)絡惡意活動時會產生大量的誤報、漏報。

安全態(tài)勢評估通過技術手段從時間和空間維度來感知并獲取安全相關元素，綜合分析安全信息以準確判斷安全狀況。隨后國內外許多研究人員將態(tài)勢評估的思想及方法應用到網(wǎng)絡安全領域，設計和實現(xiàn)了許多高效網(wǎng)絡安全態(tài)勢評估系統(tǒng)。

1995年Endsley[1]將態(tài)勢感知概括為態(tài)勢覺察、態(tài)勢理解、態(tài)勢投射3個過程。1999年Bass[2]首次提出網(wǎng)絡安全態(tài)勢感知，本質上是融合多源入侵檢測系統(tǒng)的結果，識別網(wǎng)絡中的攻擊活動，評估網(wǎng)絡運行狀況。2002年陳繼軍[3]提出權系數(shù)理論原則，用于確定各傳感器的系數(shù)。2005年諸葛建偉等[4]引入D-S證據(jù)理論，構建決策引擎判斷網(wǎng)絡狀況。2006年陳秀真等[5]提出了層次化安全威脅評估模型，通過網(wǎng)絡流量信息及入侵檢測報警信息，對網(wǎng)絡運行狀況進行評估。2008年馬琳茹等[6]通過指數(shù)加權規(guī)則，將不同的傳感器賦予不同的信任以改進D-S證據(jù)理論。2009年韋勇等[7]從節(jié)點脆弱性和攻擊威脅等角度，基于D-S證據(jù)理論算法，構建網(wǎng)絡安全態(tài)勢評估模型。

2016年劉效武等[8]構建了一個融合?感知?決策?控制的態(tài)勢認知融合感控模型，對網(wǎng)絡狀況進行評估。2018年Wang Huan等[9]使用混淆矩陣最大特征值對應的特征向量確定主機態(tài)勢的參數(shù)，對網(wǎng)絡運行狀況進行評估。2018年龔儉等[10]認為網(wǎng)絡安全態(tài)勢感知(network security situation awareness, NSSA)是認知網(wǎng)絡系統(tǒng)安全狀態(tài)的過程，包含原始數(shù)據(jù)測量、語義提取、融合處理、異常識別、態(tài)勢獲取等內容。2018年Zhao Dongmei等[11]通過粗糙集屬性簡約算法提取核心屬性，并使用粒子群優(yōu)化算法優(yōu)化徑向基神經網(wǎng)絡識別網(wǎng)絡攻擊。2018年陳維鵬等[12]將網(wǎng)絡態(tài)勢等級進行劃分，通過模擬退火算法優(yōu)化BP(back propagation)神經網(wǎng)絡參數(shù)，確定網(wǎng)絡空間態(tài)勢感知等級。2019年賈焰等[13]對網(wǎng)絡安全態(tài)勢感知概念、網(wǎng)絡安全態(tài)勢關鍵技術等方面的研究現(xiàn)狀進行深入剖析。2019年Xi Rongrong等[14]從威脅、脆弱性和穩(wěn)定性3個維度評估網(wǎng)絡的安全狀況，并在決策層面將結果進行融合來衡量整個網(wǎng)絡的安全狀況。2020年Zheng Weifa等[15]使用DS證據(jù)理論融合主機防火墻數(shù)據(jù)、web防火墻數(shù)據(jù)和入侵檢測數(shù)據(jù)，對網(wǎng)絡安全性進行評估。

通過對以上學術成果的綜合分析，本文構成出基于多源異構數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢評估體系，主要工作如下：

1)提出了包含流量探測模塊、屬性提煉模塊、決策引擎模塊、多源融合模塊、態(tài)勢評估模塊等5大模塊的網(wǎng)絡安全態(tài)勢評估體系。

2)以入侵檢測系統(tǒng)(Snort)報警規(guī)則為標尺，提煉網(wǎng)絡威脅等級劃分原則。

3)使用層次化網(wǎng)絡安全威脅評估方法，依次評估服務層、主機層、網(wǎng)絡層態(tài)勢。

1 網(wǎng)絡安全態(tài)勢評估體系

本文提出的基于多源異構數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢評估體系包含流量探測模塊、屬性提煉模塊、決策引擎模塊、多源融合模塊和態(tài)勢評估模塊等5大模塊。如圖1所示，5個模塊構建時吻合信息安全管理中安全基礎、識別認定、檢測評估、安全防護4個維度，充分考慮可用性、可控性、保密性等信息安全要求。如圖2所示：1) 流量探測模塊是在網(wǎng)絡中部署多個探測器，以全面地獲取網(wǎng)絡信息；2) 屬性提煉模塊是基于惡意活動特征，準確地構造有助于提高識別攻擊類型的核心屬性；3) 決策引擎模塊是利用網(wǎng)絡數(shù)據(jù)，科學地訓練由核心屬性到攻擊類型的模型；4) 多源融合模塊是巧妙地融合決策引擎的輸出結果，有效提升識別攻擊類型的性能；5) 態(tài)勢評估模塊是基于融合結果，直觀地展示網(wǎng)絡運行狀態(tài)。

圖1 網(wǎng)絡安全態(tài)勢評估體系Fig. 1 The architecture of network security situation assessment

圖2 模塊組件關系Fig. 2 The relationship of modules

1.1 流量探測模塊

信息在網(wǎng)絡中以流量包為單元，在2臺設備之間進行傳遞，流量包由一臺主機發(fā)出，途徑路由器、交換機、防火墻、網(wǎng)卡等設備，到達另一臺主機。流量探測模塊將在以上設備中部署多個探測器，盡可能全面地獲取網(wǎng)絡數(shù)據(jù)。

常用的探測器分以下2類：1) 網(wǎng)絡流量探測器，這類探測器通常部署在局域網(wǎng)入口路由器上，可以全面地、實時地獲取所有流入、流出局域網(wǎng)的網(wǎng)絡流量，并發(fā)送至數(shù)據(jù)處理中心；2) 入侵檢測系統(tǒng)，入侵檢測系統(tǒng)實時檢測網(wǎng)絡流量信息，并與規(guī)則庫中的報警規(guī)則進行匹配，一旦發(fā)現(xiàn)異常流量，將發(fā)出對應的警告信息。

1.2 屬性提煉模塊

屬性提煉模塊根據(jù)網(wǎng)絡惡意活動的特征，準確地構造有助于提高識別攻擊類型的核心屬性。

Netflow、Snort、Suricata探測器獲得的基礎屬性如表1～3所示。1) 將其中數(shù)值型數(shù)據(jù)進行歸一化處理，避免數(shù)值變化較大的屬性覆蓋數(shù)值較小的屬性，使得數(shù)值變化較小的屬性失去作用；2）將非數(shù)值型屬性編碼成向量，使得計算機能夠處理。

由于其側重點各異，不同探測器將獲取到不同屬性的網(wǎng)絡數(shù)據(jù)。因此本文設計不同的統(tǒng)計算法，以高效地提煉不同探測器的屬性：1)研究發(fā)現(xiàn)如果直接使用Netflow和Suricata中的地址屬性、端口屬性、應用服務屬性和時間屬性進行攻擊識別，效果不明顯，因此借助統(tǒng)計算法融合以上4類屬性生成網(wǎng)絡連接屬性[16-19](如表4)，其他屬性保留；2) Snort和Suricata為入侵檢測系統(tǒng)，其所產生的報警信息是其核心要素，因此針對性地設計統(tǒng)計算法提煉報警數(shù)量與報警類別屬性。

表1 Netflow基礎屬性Table 1 Basic features of Netflow

表2 Snort基礎屬性Table 2 Basic features of Snort

表3 Suricata基礎屬性Table 3 Basic features of Suricata

表4 網(wǎng)絡連接屬性Table 4 Statistical features of network traffic

1.3 決策引擎模塊

決策引擎模塊的功能是通過有效訓練，準確地學習出從各探測器核心屬性到攻擊類型的模型。神經網(wǎng)絡是一個優(yōu)秀的分類模型，學者們常用此模型作為決策引擎[11,20]，本文采用BP神經網(wǎng)絡作為決策引擎。

BP神經網(wǎng)絡由輸入層、隱藏層、輸出層構成。Robert Hecht Nielson[21]證明，只包含一個隱藏層的網(wǎng)絡可以逼近閉合區(qū)間內的任一連續(xù)函數(shù)，因此BP神經網(wǎng)絡能夠實現(xiàn)由屬性到攻擊類型的映射。

含有1層隱藏層的BP神經網(wǎng)絡訓練過程如下，輸入層有m個神經元，隱藏層有h個神經元，輸出層有n個神經元，激活函數(shù)為f(x)，隱藏層神經元輸出為D=(d1,d2,…,dh)T，輸入層與隱藏層之間的權值為W{wji|1≤i≤m,1≤j≤h}，隱藏層與輸出層之間的權值為V{vkj|1≤k≤n,1≤j≤h}，神經網(wǎng)絡預測值為真實值為均方誤差為E，如圖3所示。

隱藏層第j個節(jié)點的輸出值為

輸出層第k個節(jié)點的輸出值為

均方誤差為

圖3 BP神經網(wǎng)絡Fig. 3 BP netural network

輸出層及隱藏層各神經元的權值調整為

1.4 多源融合模塊

多源融合模塊將有機地融合所有決策引擎的輸出結果，進一步提高識別攻擊的性能。融合算法將各個決策引擎的輸出結果作為融合因子，將相同安全事件組合處理得到融合結果。本文使用指數(shù)加權D-S證據(jù)理論融合決策引擎輸出結果，并利用粒子群優(yōu)化算法確定指數(shù)權重(particle swarm optimization-dempster shafer, PSO-DS)。

指數(shù)加權D-S證據(jù)理論為

式中：g為數(shù)據(jù)源個數(shù)；n為攻擊類型個數(shù)；m1(Ai)為第一個證據(jù)源認為是第i類攻擊的概率；w1i為第一個證據(jù)源認為是第i類攻擊的指數(shù)權值；m(Ai)為融合后第i類攻擊的概率。

使用粒子群優(yōu)化算法搜索指數(shù)權值：

式中：d為優(yōu)化空間維度；c1、c2分別為將粒子推向局部最優(yōu)和全局最優(yōu)的權重；c3為慣性權重；r1，r2為隨機數(shù)。yi為真實數(shù)據(jù)中第i種攻擊的概率，粒子群優(yōu)化目標為

1.5 態(tài)勢評估模塊

態(tài)勢評估模塊的功能是基于多源融合模塊的輸出結果，有效地評估網(wǎng)絡態(tài)勢。可分為攻擊威脅量化和態(tài)勢評估2個內容。

1.5.1 攻擊威脅量化

量化影響態(tài)勢變化的關鍵因子(如：攻擊威脅因子)，是科學評估網(wǎng)絡運行狀態(tài)的基礎。其中攻擊威脅因子量化是目前研究的一個難點，本文使用權系數(shù)理論量化攻擊威脅。經過劃分威脅等級和威脅等級量化2個步驟得到攻擊威脅因子值。

1) 劃分威脅等級

Snort作為一個常用的入侵檢測系統(tǒng)，受到用戶的廣泛認可。根據(jù)危害大小，Snort能夠對攻擊威脅定性分析，表5列出了攻擊威脅等級的核心內容。深入剖析威脅等級劃分機理，本文提出了攻擊威脅等級劃分原則。①威脅等級劃分機理

表5 網(wǎng)絡攻擊威脅程度Table 5 Severity of network attack

如表5所示，攻擊嚴重程度為高的攻擊基本上是獲取計算機控制權限、木馬、執(zhí)行代碼等惡意活動，此類攻擊會威脅主機系統(tǒng)安全；攻擊嚴重程度為中的攻擊以獲取系統(tǒng)內部信息和消耗網(wǎng)絡帶寬為目的，這類攻擊不會對主機系統(tǒng)造成破壞；嚴重程度為低的攻擊以網(wǎng)絡掃描、獲取網(wǎng)絡信息為目的，這類攻擊對網(wǎng)絡造成較輕影響。

②威脅等級劃分原則

通過對Snort劃分攻擊威脅等級機理的深入研究，本文提出了攻擊威脅等級劃分原則，如表6所示。

表6 威脅等級劃分原則Table 6 Classification principles of attack severity

2) 威脅等級量化

本文將權系數(shù)理論[3]與攻擊威脅等級劃分原則有機結合以量化威脅等級。權系數(shù)分布函數(shù)如圖4所示，橫軸是排隊等級(威脅等級)，縱軸是對應的權系數(shù)(威脅值)。

圖4 權系數(shù)函數(shù)分布Fig. 4 Distribution of the weight function

為簡化量化過程，將權系數(shù)函數(shù)離散化處理得到權系數(shù)公式，n為攻擊等級個數(shù)，i為排列順序，權系數(shù)只與決策目標數(shù)和攻擊嚴重等級有關。僅需定義威脅等級，使用權系數(shù)公式就能夠計算出攻擊威脅因子值。在一定程度上減輕了主觀依賴問題。

權系數(shù)為

1.5.2 態(tài)勢評估

本文采用層次化網(wǎng)絡安全威脅評估模型，將網(wǎng)絡自底向上分為服務層、主機層和網(wǎng)絡層。按照層次關系，以攻擊對網(wǎng)絡造成的危害程度為核心評估安全態(tài)勢，如圖5所示。

圖5 層次化網(wǎng)絡安全威脅態(tài)勢評估Fig. 5 Hierarchical threat assessment model for computer networks

1) 服務層態(tài)勢

攻擊威脅因子和攻擊概率等態(tài)勢因子會影響服務態(tài)勢，服務態(tài)勢隨著網(wǎng)絡運行狀況實時發(fā)生變化，在時間窗口 ?t內第k臺主機上第j個服務的態(tài)勢為

式中：g為該時間窗口內的攻擊總數(shù)；m(attacki) 為第i個攻擊對應的攻擊概率；f(attacki) 為第i個攻擊對應的攻擊威脅因子值。

2) 主機層態(tài)勢

主機的態(tài)勢情況由主機上運行的服務態(tài)勢及其在主機上的重要性決定，在時間窗口 ?t內，第k臺主機的態(tài)勢值為

Sk(t)=(sk1(t),sk2(t),···,skn(t))為此時間段內運行在該主機上服務態(tài)勢的向量，其中n為運行的服務數(shù)，Vk(t)=(vk1,vk2,···,vkn) 為該主機上運行服務的權值向量。服務權值計算方法為

Suk(t)=(suk1,suk2,···,sukn)表示該主機上使用應用層服務的用戶數(shù)量的向量，Sfk(t)=(sfk1,sfk2,···,sfkn)為該主機上各個服務使用頻率向量。

3) 網(wǎng)絡層態(tài)勢

網(wǎng)絡層態(tài)勢是由網(wǎng)絡中每臺主機的態(tài)勢及每臺主機的權值決定的，整個網(wǎng)絡的態(tài)勢為

H(t)=(h1(t),h2(t),···,hm(t))為網(wǎng)絡中主機的態(tài)勢向量，L(t)=(l1,l2,···,lm) 為主機的權值，網(wǎng)絡中主機數(shù)量為m。

式中：m為該網(wǎng)絡中的主機數(shù)量，Hu(t)=(hu1,hu2,···,hum)為網(wǎng)絡中各個主機用戶數(shù)量的向量；Hf(t)=(hf1,hf2,···,hfm)為網(wǎng)絡中各個主機使用頻率的向量。

通過態(tài)勢評估策略，將網(wǎng)絡的安全狀況及其演化狀況準確地計算出來。如若發(fā)生威脅，管理員可以根據(jù)網(wǎng)絡態(tài)勢變化曲線及時地掌握網(wǎng)絡狀況，根據(jù)層次圖由上到下依次分析網(wǎng)絡層態(tài)勢?主機層態(tài)勢?服務層態(tài)勢，追根溯源，準確快速的定位問題根源，從而采取有效地措施，保護網(wǎng)絡安全。

2 實驗分析

如圖6所示，根據(jù)實驗需求，部署Netflow，以獲取網(wǎng)絡中流量的信息(如端口號、流量包大小、發(fā)包速度等)，并部署Snort、Suricata等入侵檢測工具，當發(fā)現(xiàn)異常流量則發(fā)出警告信息。實驗中BP神經網(wǎng)絡包含2層隱藏層，每層32個神經元。粒子群優(yōu)化算法群體規(guī)模為100，在[0,1]內搜索確定D-S指數(shù)權重。

圖6 網(wǎng)絡拓撲Fig. 6 network topology

流量數(shù)據(jù)使用澳大利亞新南威爾遜大學安全實驗室的UNSW-NB15流量包的5%用作本實驗的數(shù)據(jù)，此流量包包含2天的流量包和攻擊信息，混合了正常網(wǎng)絡流量和綜合性攻擊流量，更符合現(xiàn)代真實的流量場景，而且網(wǎng)絡規(guī)模更大，主機數(shù)量更多，攻擊類型更加豐富，如表7所示。

表7 攻擊類型及威脅因子Table 7 Attack types and risk factors

2.1 決策引擎結果與融合性能分析

圖7～12展示了決策引擎和融合算法的實驗結果。分析可知來自不同探測器數(shù)據(jù)對于識別各類攻擊各有優(yōu)勢，Netflow數(shù)據(jù)源對于識別Analysis、Normal準確率較高；Snort數(shù)據(jù)源對于區(qū)分Backdoor、Worm攻擊效果很好；Suricata可以很好地識別Dos。融合算法集成了各數(shù)據(jù)源識別攻擊的優(yōu)勢，提高了決策效果。

圖7 Netflow 數(shù)據(jù)源預測結果Fig. 7 Results of Netflow data source

圖8 Snort 數(shù)據(jù)源預測結果Fig. 8 Results of Snort data source

圖9 Suricata 數(shù)據(jù)源預測結果Fig. 9 Results of Suricata data source

圖10 D-S證據(jù)融合預測結果Fig. 10 Attack prediction of D-S

圖11 PSO-DS證據(jù)融合預測結果Fig. 11 Attack prediction of PSO-DS

如表8所示，與其他結果相比，本文選用的PSO-DS融合算法準確率高，并且誤警率降低，充分證明了多點融合體系有效集成各單點檢測的優(yōu)勢，顯著提高識別各攻擊類型的能力；針對誤警率較高的問題，本文查閱了使用此數(shù)據(jù)集的研究成果，如表9所示，均存在誤警率較高問題。

圖12 攻擊預測Fig. 12 Attack prediction

表8 性能指標對比分析Table 8 Performance index contrastive analysis %

表9 UNSW-NB15已有成果實驗結果[17]Table 9 Other experimental results of UNSW-NB15[17]%

2.2 網(wǎng)絡安全態(tài)勢評估

2.2.1 服務層態(tài)勢

在網(wǎng)絡中重放了UNSW-NB15中2015-2-17日的部分流量數(shù)據(jù)，該段時間持續(xù)33 000 s，每5 min為一個時間窗口，共110個時間窗口，如橫坐標10對應第10個時間窗口的態(tài)勢值。使用本文提出的網(wǎng)絡攻擊威脅劃分原則及權系數(shù)理論得到攻擊因子，按照評估體系進行評估。某一主機上DNS、HTTP、SMTP 3種服務的態(tài)勢情況如圖13所示。

圖13 服務層安全態(tài)勢Fig. 13 Security situation of service

該日此主機上HTTP服務遭受到了2次強烈的攻擊、4次中度攻擊、多次輕度攻擊，管理員應該注意該主機HTTP服務的使用情況、該主機是否在訪問非法網(wǎng)站、是否受到web攻擊，并采取相應對策。

2.2.2 主機層態(tài)勢

主機層態(tài)勢與運行在主機上服務態(tài)勢及各個服務重要度相關，根據(jù)服務的用戶數(shù)量和使用頻率確定服務的權值。由圖14可知，主機1受到了2次強烈的攻擊，并受到了多次小規(guī)模攻擊；主機2受到了2次強烈的攻擊；主機3受到了5次強烈的網(wǎng)絡攻擊；網(wǎng)絡管理員應該特別注意此兩臺主機的運行狀況。

圖14 主機層安全態(tài)勢Fig. 14 Security situation of host

2.2.3 網(wǎng)絡層態(tài)勢

根據(jù)主機的用戶數(shù)量與頻率，確定主機的權值。根據(jù)主機的權值和主機的態(tài)勢情況，計算得到整個網(wǎng)絡的運行態(tài)勢。由圖15所示，該網(wǎng)絡一天內持續(xù)受到攻擊，產生4次較大波動，網(wǎng)絡管理員應該查看這幾個時間段內主機的運行情況，找到異常主機。此流量包一天內一直遭受到大量攻擊，網(wǎng)絡態(tài)勢圖符合流量包攻擊情況，準確地展示出當天網(wǎng)絡的運行狀況。

圖15 網(wǎng)絡層安全態(tài)勢Fig. 15 Security situation of network

3 結束語

本文借鑒多源融合策略，充分利用層次化網(wǎng)絡評估方法，提出了一個網(wǎng)絡安全態(tài)勢評估體系。1) 在網(wǎng)絡中部署Netflow、Snort、Suricata探測器全面地獲取網(wǎng)絡數(shù)據(jù)；2) 基于惡意活動的特點，提煉有助于提高區(qū)別攻擊類型的核心屬性；3)使用BP神經網(wǎng)絡分別對數(shù)據(jù)進行決策；4) 利用PSO-DS方法對各BP神經網(wǎng)絡分類結果進行有機融合；5) 使用層次化網(wǎng)絡評估方法，直觀展現(xiàn)網(wǎng)絡態(tài)勢。實驗結果證明，不同探測器獲得的網(wǎng)絡信息對于識別不同攻擊的優(yōu)勢不同， 多點檢測體系有機融合各單點檢測的優(yōu)勢，顯著提高識別各攻擊類型的能力。

今后的研究將拓展到態(tài)勢預測，通過態(tài)勢曲線的變化趨勢，對態(tài)勢曲線的未來走向進行預測，以達到提前防護的目標。