劉明峰，陳 琛，程 輝，侯 路，韓然

（國網(wǎng)山東省電力公司青島供電公司，山東青島 266002）

互聯(lián)網(wǎng)的應(yīng)用不僅給人們的生產(chǎn)生活帶來巨大的變化，同時也推動了社會經(jīng)濟、文化、政治、軍事等領(lǐng)域的創(chuàng)新和發(fā)展[1-2]。但由于互聯(lián)網(wǎng)處于復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，再加上網(wǎng)絡(luò)信息系統(tǒng)的脆弱性和開放性，互聯(lián)網(wǎng)在高效率服務(wù)于公眾的同時，其網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)系統(tǒng)也存在著諸多安全隱患[3]。伴隨著不斷升級的網(wǎng)絡(luò)攻擊，新的網(wǎng)絡(luò)安全問題不斷出現(xiàn)，網(wǎng)絡(luò)信息受到了嚴(yán)重的安全威脅，因此，必須運用新技術(shù)，及時發(fā)現(xiàn)和控制網(wǎng)絡(luò)中的異常事件，保證網(wǎng)絡(luò)安全。文獻(xiàn)[4]提出了一種基于網(wǎng)絡(luò)安全圖的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)，該系統(tǒng)集合安全態(tài)勢感知算法，構(gòu)建了一個比較完整的態(tài)勢生成框架；文獻(xiàn)[5]提出了基于多種未知數(shù)據(jù)加權(quán)集合的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)，該系統(tǒng)結(jié)合D-S預(yù)測技術(shù)計算全局網(wǎng)絡(luò)態(tài)勢值。但是上述兩種傳統(tǒng)方法缺乏統(tǒng)一有效的協(xié)作機制，只有當(dāng)黑客入侵后才能發(fā)現(xiàn)很多預(yù)警信息，預(yù)測行為不及時。針對該問題，提出了基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)，該系統(tǒng)通過網(wǎng)絡(luò)運行狀況宏觀反映網(wǎng)絡(luò)當(dāng)前狀態(tài)，并預(yù)測網(wǎng)絡(luò)未來狀態(tài)。

1 系統(tǒng)硬件結(jié)構(gòu)設(shè)計

基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)硬件結(jié)構(gòu)示意圖如圖1 所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

如圖1 所示，系統(tǒng)硬件結(jié)構(gòu)由服務(wù)層、數(shù)據(jù)層、分析層和展示層構(gòu)成。Snort入侵檢測系統(tǒng)與多臺網(wǎng)絡(luò)服務(wù)器相連，主要負(fù)責(zé)收集網(wǎng)絡(luò)攻擊事件信息[6]。將采集到的網(wǎng)絡(luò)攻擊事件信息與數(shù)據(jù)庫歷史事件對比后，通過分析層進(jìn)行網(wǎng)絡(luò)安全態(tài)勢分析，分析完成后可以對網(wǎng)絡(luò)各項指標(biāo)進(jìn)行顯示和預(yù)測[7]。

1.1 服務(wù)層

1.1.1 日志類傳感器

日志類傳感器對采集數(shù)據(jù)篩選、合并和初步分析處理后，生成統(tǒng)一格式的安全事件數(shù)據(jù)，并將該數(shù)據(jù)通過專用接口傳送給上層應(yīng)用，其結(jié)構(gòu)如圖2 所示。

圖2 日志類傳感器結(jié)構(gòu)

圖2 中，日志采集模塊具有定時、自啟動功能，通過設(shè)定傳感器配置參數(shù)，可實現(xiàn)自動采集。在采集參數(shù)過程中，由于日志數(shù)據(jù)易受攻擊和易被修改，因此，設(shè)置了日志預(yù)處理和日志分析模塊，負(fù)責(zé)預(yù)處理和分析輸入日志的完整性，避免日志文件被篡改和損壞[8]。依據(jù)安全規(guī)則，在預(yù)處理和分析過程中還可以在規(guī)定時間范圍內(nèi)刪除大量冗余參數(shù)[9]。通過日志數(shù)據(jù)過濾和合并，直接過濾掉不合適日志，將剩余日志全部存儲到系統(tǒng)中[10]。

1.1.2 Snort入侵檢測系統(tǒng)

Snort 入侵檢測系統(tǒng)可實時檢測多種攻擊方式并實時報警[11]，其結(jié)構(gòu)如圖3 所示。

圖3 Snort入侵檢測系統(tǒng)結(jié)構(gòu)

由圖3 可知，入侵檢測系統(tǒng)由數(shù)據(jù)包嗅探模塊、數(shù)據(jù)庫、解碼器、預(yù)處理器、檢測引擎和報警輸出組成，部分功能如下所示：

1）數(shù)據(jù)包嗅探模塊

該模塊主要負(fù)責(zé)監(jiān)測數(shù)據(jù)包，由此實現(xiàn)對Snort入侵檢測系統(tǒng)的實時分析。

2）預(yù)處理器

預(yù)處理器主要負(fù)責(zé)檢測原始數(shù)據(jù)包（如端口掃描、IP 分片等原始數(shù)據(jù)包），再將這些數(shù)據(jù)發(fā)送給檢測引擎[12]。

3）檢測引擎

檢測引擎主要負(fù)責(zé)數(shù)據(jù)包檢測，按照設(shè)定規(guī)則檢測接收的預(yù)處理程序報文，如果報文內(nèi)容符合規(guī)定，則發(fā)送給報警輸出[13]。

4）報警輸出

報警輸出主要負(fù)責(zé)將上述檢測結(jié)果以符合規(guī)定的形式輸出。

1.1.3 SNMP傳感器

在SNMP 協(xié)議的基礎(chǔ)上，SNMP 傳感器用于在MIB 網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)采集與分析。通過網(wǎng)絡(luò)交換控制，終端設(shè)備實時獲取網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)流量、安全事件等信息，并向上層應(yīng)用程序或網(wǎng)絡(luò)管理員提供統(tǒng)一格式的數(shù)據(jù)[14]。數(shù)據(jù)采集模塊SNMP 負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備MIB 庫中的數(shù)據(jù)進(jìn)行實時采集，并將MIF3 設(shè)備的狀態(tài)數(shù)據(jù)傳送給數(shù)據(jù)分析模塊[15]。

1.1.4 NetFlow傳感器

NetFlow 傳感器結(jié)構(gòu)如圖4 所示。

圖4 NetFlow傳感器結(jié)構(gòu)

由圖4 可知，NetFlow 傳感器結(jié)構(gòu)包括流量信息獲取模塊、安全事件信息獲取模塊、控制器、事件集成器等。系統(tǒng)以網(wǎng)絡(luò)安全態(tài)勢感知為基礎(chǔ)，可提供不同層次、不同角度和多粒度的實時信息，或接近實時交換信息[16]。通過對這些信息進(jìn)行有效分析，能夠準(zhǔn)確獲取系統(tǒng)所需的網(wǎng)絡(luò)事件信息。

1.2 數(shù)據(jù)層

數(shù)據(jù)層在主機代理模式下采集CPU、內(nèi)存、磁盤等相關(guān)信息，通過漏洞掃描系統(tǒng)和Snort 入侵檢測系統(tǒng)分別采集服務(wù)器上存在的漏洞和攻擊事件，并將這些采集數(shù)據(jù)存儲在數(shù)據(jù)庫中，方便后續(xù)進(jìn)行詳細(xì)分析。

1.3 分析層

分析層通過計算運行狀態(tài)下各主機的權(quán)值指標(biāo)和總運行指標(biāo)的量化值，分析各主機服務(wù)中是否存在易受攻擊的服務(wù)，從而得到各主機的權(quán)值，再計算各服務(wù)器的權(quán)值，對總體薄弱指數(shù)服務(wù)器進(jìn)行量化處理。對各主機的權(quán)值指標(biāo)量化值、各運行指標(biāo)的量化值和各服務(wù)器的權(quán)值量化值進(jìn)行計算后，需要進(jìn)行場景整合，采用同一量化范圍的三個指標(biāo)，分別加權(quán)各指標(biāo)的權(quán)重，得到網(wǎng)絡(luò)安全狀況的最終得分，并根據(jù)歷史數(shù)據(jù)預(yù)測未來趨勢。

1.4 展示層

通過傳輸設(shè)備將電子文件傳輸?shù)狡聊簧?，采用DVI 接口的顯示器。而Web 窗體為用戶提供了一種系統(tǒng)的、直觀的表現(xiàn)形式，可以顯示各種指標(biāo)的態(tài)勢分?jǐn)?shù)，還可以顯示近期的網(wǎng)絡(luò)安全態(tài)勢曲線和未來時期的態(tài)勢曲線。

2 系統(tǒng)軟件部分設(shè)計

2.1 基于模糊邏輯層的綜合權(quán)重分類

利用模糊邏輯層對權(quán)重進(jìn)行分類，這種方法簡單、靈活、實用，可用于定量和多目標(biāo)決策[17]。根據(jù)無線網(wǎng)絡(luò)的目標(biāo)和功能，將權(quán)重劃分為不同的層次，由此建立相應(yīng)的模糊邏輯層次結(jié)構(gòu)。

基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測與評價方法，旨在獲得無線網(wǎng)絡(luò)安全態(tài)勢風(fēng)險度的最高值[18]。對于無線網(wǎng)絡(luò)，風(fēng)險指數(shù)的比較應(yīng)以風(fēng)險發(fā)生的概率、影響和發(fā)生的可能性為基礎(chǔ)，對這些可能發(fā)生的風(fēng)險因素進(jìn)行綜合評價，并以可控風(fēng)險因素的評價指標(biāo)為權(quán)重。

首先將推薦綜合權(quán)重分為5 個類別，分別是很低、低、正常、高、很高，在論域上對模糊子集進(jìn)行劃分，論域為：

結(jié)合式（1）劃分的模糊子集為w1、w2、w3、w4、w5，由此建立相應(yīng)隸屬度函數(shù)為gw,1(w)、gw,2(w)、gw,3(w)、gw,4(w)、gw,5(w)，對綜合權(quán)重進(jìn)行模糊分類，如圖5所示。

圖5 綜合權(quán)重模糊分類

根據(jù)建立的綜合權(quán)重邏輯原則，獲取信任值綜合權(quán)重w。

2.2 無線網(wǎng)絡(luò)安全態(tài)勢風(fēng)險度計算

基于模糊邏輯層的綜合權(quán)重計算結(jié)果，使用風(fēng)險度作為無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測指標(biāo)。無線網(wǎng)絡(luò)中出現(xiàn)的每一個風(fēng)險因子都會對系統(tǒng)造成一定影響，包括風(fēng)險發(fā)生概率P、風(fēng)險所造成的影響R、風(fēng)險可控性U，風(fēng)險度取值范圍為[0,1]。分別用a、b表示發(fā)生和不發(fā)生無線網(wǎng)絡(luò)安全事件，由此得到無線網(wǎng)絡(luò)安全事件發(fā)生和不發(fā)生的概率表達(dá)式分別為：

根據(jù)無線網(wǎng)絡(luò)安全態(tài)勢風(fēng)險度計算結(jié)果，可以靈活實施網(wǎng)絡(luò)保護操作，確保無線網(wǎng)絡(luò)安全。

2.3 無線網(wǎng)絡(luò)安全態(tài)勢動態(tài)預(yù)測流程設(shè)計

根據(jù)整個無線網(wǎng)絡(luò)安全態(tài)勢檢測的需求，設(shè)計了安全態(tài)勢動態(tài)預(yù)測流程，如圖6 所示。

圖6 無線網(wǎng)絡(luò)安全態(tài)勢動態(tài)預(yù)測流程

由圖6 可知，其預(yù)測流程主要包括對安全態(tài)勢的顯示、預(yù)測和評價，依據(jù)提交的歷史數(shù)據(jù)進(jìn)行安全態(tài)勢預(yù)測。評估優(yōu)化模塊利用上述模糊邏輯風(fēng)險計算方法優(yōu)化預(yù)測模型，直到模型能夠滿足訓(xùn)練要求為止。最后，根據(jù)態(tài)勢預(yù)測模塊所顯示的預(yù)測結(jié)果，由安全管理員進(jìn)行決策分析。

3 試驗

為了驗證基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)設(shè)計的合理性，進(jìn)行試驗驗證分析。

3.1 試驗平臺

搭建試驗平臺對系統(tǒng)進(jìn)行驗證分析，平臺結(jié)構(gòu)如圖7 所示。

圖7 試驗平臺結(jié)構(gòu)

選取校園網(wǎng)的實際網(wǎng)站為試驗環(huán)境真實數(shù)據(jù)來源，將平臺結(jié)構(gòu)中的一臺計算機作為管理系統(tǒng)的客戶端，其余計算機負(fù)責(zé)執(zhí)行其他操作。

3.2 系統(tǒng)性能測試

選取100 組態(tài)勢數(shù)據(jù)作為樣本，其中前95 組為訓(xùn)練樣本，后5 組為對比樣本，選取的100 組態(tài)勢數(shù)據(jù)時序圖如圖8 所示。

圖8 100組態(tài)勢數(shù)據(jù)時序圖

將態(tài)勢數(shù)據(jù)視為信號，由圖8 可知，該信號是一個不平穩(wěn)信號，說明無線網(wǎng)絡(luò)不安全。

基于上述信號，分別使用基于網(wǎng)絡(luò)安全圖的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)、基于多種未知數(shù)據(jù)加權(quán)集合的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)和基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)進(jìn)行信號預(yù)測，預(yù)測結(jié)果如圖9 所示。

圖9 三種系統(tǒng)信號預(yù)測結(jié)果分析

由圖9 可知，使用基于網(wǎng)絡(luò)安全圖的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)最高輸入信號頻譜為22 mV，最低輸入信號頻譜為-25 mV；使用基于多種未知數(shù)據(jù)加權(quán)集合的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)最高輸入信號頻譜為20 mV，最低輸入信號頻譜為-24.5 mV，因此對比方法的曲線與實際選取的100 組態(tài)勢數(shù)據(jù)時序圖不一致；使用基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)最高輸入信號頻譜為20 mV，最低輸入信號頻譜為-17 mV，且在38～60 組樣本下的輸入信號波動幅度較小，基本保持不變，與選取的100 組態(tài)勢數(shù)據(jù)時序圖一致。

4 結(jié)束語

為了滿足分析系統(tǒng)功能要求，提出了一種基于模糊邏輯的無線網(wǎng)絡(luò)安全態(tài)勢預(yù)測系統(tǒng)。在系統(tǒng)結(jié)構(gòu)和功能實體設(shè)計上，采用分布式采集技術(shù)和開放式可擴展環(huán)形結(jié)構(gòu)，利用域內(nèi)域間的協(xié)同工作，提高了系統(tǒng)實現(xiàn)的簡單性和精確性，有效地解決了單點失效問題。但此次研究過程中，由于通用數(shù)據(jù)集是基于對底層可能發(fā)生的報警事件的統(tǒng)計分析，數(shù)據(jù)較為單一，未來需要進(jìn)一步研究與探討。