有關網絡安全的態勢感知系統研究

肖瀾嵐

摘要：文章通過總結網絡安全態勢感知的現存問題，提出了一種基于知識發現的網絡安全態勢建模與生成框架，在該框架的基礎上設計并實現了網絡安全態勢感知系統。該系統主要由安全態勢建模和安全態勢生成兩部分組成。

關鍵詞：網絡安全 安全態勢建模 安全態勢生成 知識發現

網絡安全態勢感知在安全告警事件的基礎上提供統一的網絡安全高層視圖，使安全管理員能夠快速準確地把握網絡當前的安全狀態，并以此為依據采取相應的措施。實現網絡安全態勢感知，需要在廣域網環境中部署大量的、多種類型的安全傳感器，來監測目標網絡系統的安全狀態。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規模、速度、危害性等，準確地描述網絡的安全狀態，并通過可視化手段顯示給安全管理員，從而支持對安全態勢的全局理解和及時做出正確的響應。

1.網絡安全態勢建模

安全態勢建模的主要目的是構建適應于度量網絡安全態勢的數據模型，以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態勢建模的數據源主要是分布式異構傳感器采集的各種安全告警事件。網絡安全態勢建模過程是由多個階段組成的。在初始的預處理階段，通過告警事件的規格化，將收到的所有安全事件轉化為能夠被數據處理模塊理解的標準格式。這些告警事件可能來自不同的傳感器，并且告警事件的格式各異，例如IDS的事件、防火墻日志、主機系統日志等。規格化的作用是將傳感器事件的相關屬性轉換為一個統一的格式。我們針對不同的傳感器提供不同的預處理組件，將特定傳感器的信息轉換為預定義的態勢信息模型屬性值。根據該模型，針對每個原始告警事件進行預處理，將其轉換為標準的格式，各個屬性域被賦予適當的值。在態勢數據處理階段，將規格化的傳感器告警事件作為輸入，并進行告警事件的精簡、過濾和融合處理。其中，事件精簡的目標是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中，IDS可能對各端口的每個掃描包產生檢測事件，通過維護一定時間窗口內的事件流，對同一來源、同一目標主機的同類事件進行合并，以大大減少事件數量。事件過濾的目標是刪除不滿足約束要求的事件，這些約束要求是根據安全態勢感知的需要以屬性或者規則的形式存儲在知識庫中。例如，將關鍵屬性空缺或不滿足要求范圍的事件除去，因為這些事件不具備態勢分析的意義。另外，通過對事件進行簡單的確認，可以區分成功攻擊和無效攻擊企圖。在事件的過濾處理時，無效攻擊企圖并不被簡單地丟棄，而是標記為無關事件，因為即使是無效攻擊也代表著惡意企圖，對最終的全局安全狀態會產生某種影響。通過精簡和過濾，重復的安全事件被合并，事件數量大大減少而抽象程度增加，同時其中蘊含的態勢信息得到了保留。事件融合功能是基于D-S證據理論提供的，其通過將來自不同傳感器的、經過預處理、精簡和過濾的事件引入不同等級的置信度，融合多個屬性對網絡告警事件進行量化評判，從而有效降低安全告警事件的誤報率和漏報率，并且可以為網絡安全態勢的分析、推理和生成提供支持。

2.網絡安全態勢生成

2.1知識發現的關聯規則提取

用于知識發現的數據來源主要有兩個：模擬攻擊產生的安全告警事件集和歷史安全告警事件集。知識發現就是在這樣的告警事件集上發現和抽取出態勢關聯所需要的知識。由于安全報警事件的復雜性，這個過程難以完全依賴于人工來完成。可以通過知識發現的方法，針對安全告警事件集進行模式挖掘、模式分析和學習，以實現安全態勢關聯規則的提取。

2.2安全告警事件精簡和過濾

通過實驗觀察發現，安全傳感器的原始告警事件集中存在大量無意義的頻繁模式，而且這些頻繁模式大多是與系統正常訪問或者配置問題相關的。如果直接在這樣的原始入侵事件集上進行知識發現，必然產生很多無意義的知識。因此，需要以D-S證據理論為基礎建立告警事件篩選機制，根據告警事件的置信度進行程序的統計分析。首先，利用程序自動統計各類安全事件的分布情況。然后，利用D-S證據理論，通過精簡和過濾規則評判各類告警事件的重要性，來刪除無意義的事件。

2.3安全態勢關聯規則提取

在知識發現過程中發現的知識，通過加入關聯動作轉化為安全態勢的關聯規則，用于網絡安全態勢的在線關聯分析。首先，分析FP-Tree算法所挖掘的安全告警事件屬性間的強關聯規則，如果該規則所揭示的規律與某種正常訪問相關，則將其加入刪除動作，并轉化成安全告警事件的過濾規則。接著，分析Winepi算法所挖掘的安全告警事件間的序列關系。如果這種序列關系與某種類型的攻擊相關，形成攻擊事件的組合規則，則增加新的安全攻擊事件。最后，將形成的關聯規則轉化成形式化的規則編碼，加入在線關聯知識庫。

3.網絡安全態勢生成算法

網絡安全態勢就是被監察的網絡區域在一定時間窗口內遭受攻擊的分布情況及其對安全目標的影響程度。網絡安全態勢信息與時間變化、空間分布均有關系，對于單個節點主要表現為攻擊指數和資源影響度隨時間的變化，對于整個網絡區域則還表現為攻擊焦點的分布變化。對于某一時刻網絡安全態勢的計算，必須考慮一個特定的評估時間窗口T，針對落在時間窗口內的所有事件進行風險值的計算和累加。隨著時間的推移，一些告警事件逐漸移出窗口，而新的告警事件則進入窗口。告警事件發生的頻度反映了安全威脅的程度。告警事件頻發時，網絡系統的風險值迅速地累積增加；而當告警事件不再頻發時，風險值則逐漸地降低。首先，需要根據融合后的告警事件計算網絡節點的風險等級。主要考慮以下因素：告警置信度c、告警嚴重等級s、資源影響度m。其中，告警可信度通過初始定義和融合計算后產生；告警嚴重等級被預先指定，包含在告警信息中；資源影響度則是指攻擊事件對其目標的具體影響程度，不同攻擊類別對不同資源造成的影響程度不同，與具體配置、承擔的業務等有關。此外，還應考慮節點的安全防護等級Pn、告警恢復系數Rn等因素。

4.結束語

本文提出了一個基于知識發現的網絡安全態勢建模和生成框架。在該框架的基礎上設計并實現了網絡安全態勢感知系統，系統支持網絡安全態勢的準確建模和高效生成。實驗表明本系統具有統一的網絡安全態勢建模和生成框架；準確構建網絡安全態勢度量的形式模型；通過知識發現方法，有效簡化告警事件庫，挖掘頻繁模式和序列模式并轉化為態勢關聯規則。

參考文獻：

[1]葛詠.圖像線狀模式的有限混合模型及其EM算法[N].計算機學報，2011.

[2]向日華.一種基于高斯混合模型的距離圖像分割算法[N].軟件學報，2013.