基于多源融合的網(wǎng)絡(luò)安全態(tài)勢層次感知

張淑雯，劉效武，孫雪巖

(曲阜師范大學(xué) 信息科學(xué)與工程學(xué)院，山東 日照 276826)

基于多源融合的網(wǎng)絡(luò)安全態(tài)勢層次感知

張淑雯，劉效武，孫雪巖

(曲阜師范大學(xué) 信息科學(xué)與工程學(xué)院，山東 日照 276826)

網(wǎng)絡(luò)安全態(tài)勢感知是近年來的一種新型安全技術(shù)，因其可以解決傳統(tǒng)安全技術(shù)難以解決的數(shù)據(jù)源單一、虛警率高等問題，提升對全局安全狀況的動態(tài)理解能力而備受關(guān)注。針對現(xiàn)有的研究，提出一種基于多源融合的網(wǎng)絡(luò)安全態(tài)勢層次感知模型，利用蟻群D-S證據(jù)組合規(guī)則處理多源融合問題，從而減少態(tài)勢參數(shù)賦予主觀性強(qiáng)的問題。同時(shí)，利用神經(jīng)網(wǎng)絡(luò)搜索安全事件的關(guān)鍵特征，降低數(shù)據(jù)維數(shù)，避免維數(shù)爆炸，提高實(shí)時(shí)性。最后采用層次化感知算法，將離散報(bào)警映射為動態(tài)威脅趨勢，提升對網(wǎng)絡(luò)安全的定量分析能力。仿真結(jié)果表明，提出的算法能夠提高檢測率，降低誤警率，可以動態(tài)監(jiān)控網(wǎng)絡(luò)安全威脅的演化狀態(tài)。

網(wǎng)絡(luò)安全態(tài)勢感知；數(shù)據(jù)融合；蟻群算法；神經(jīng)網(wǎng)絡(luò)；特征選擇

1 概 述

態(tài)勢感知(Situation Awareness，SA)起源于自動化領(lǐng)域中人因元素的研究，Bass于1999年提出了計(jì)算機(jī)空間態(tài)勢感知(Cyberspace Situation Awareness，CSA)[1]的概念，使其成為了網(wǎng)絡(luò)安全管理的研究方向，從而得到了越來越多的研究和認(rèn)可。在這種背景下，網(wǎng)絡(luò)安全態(tài)勢感知(Network Security Situation Awareness，NSSA)逐步成為一種新型的安全技術(shù)而備受關(guān)注。它能夠動態(tài)地感知網(wǎng)絡(luò)的全局安全狀況，從而解決數(shù)據(jù)源單一、虛警率高等傳統(tǒng)安全技術(shù)難以解決的問題。

陳秀真等[2]依據(jù)其層次化網(wǎng)絡(luò)安全態(tài)勢感知模型，提出利用服務(wù)-主機(jī)-網(wǎng)絡(luò)三層結(jié)構(gòu)處理態(tài)勢感知問題，對NSSA的研究具有重要的借鑒意義，但其研究仍較依賴主觀因素，環(huán)境適變性有限，且局限于安全傳感器的非融合網(wǎng)絡(luò)環(huán)境。Zhang Haoliang等[3]利用歷史戰(zhàn)爭事件介紹了態(tài)勢感知的關(guān)鍵要素，指出了態(tài)勢評估與態(tài)勢感知之間的關(guān)系，提出了態(tài)勢評估方法，但該方法只是定性的描述，未涉及定量的分析表達(dá)，無直觀的網(wǎng)絡(luò)安全狀態(tài)顯示。Chanchal Sharma等[4]提出一個(gè)提高網(wǎng)絡(luò)安全態(tài)勢感知的新型框架，將監(jiān)控器收集到的數(shù)據(jù)進(jìn)行融合處理，用于漏洞檢測和評估機(jī)制的建立，同時(shí)提出改進(jìn)的安全檢測機(jī)制，并及時(shí)進(jìn)行響應(yīng)。但是該框架僅關(guān)注理論研究探討，未涉及實(shí)際應(yīng)用。馮登國等[5]根據(jù)其提出的NSSA信息融合模型，通過改進(jìn)D-S證據(jù)理論的合成公式，解決多檢測設(shè)備的日志融合問題。該模型未考慮到檢測設(shè)備的檢測程度及檢測力度不同，融合時(shí)可能存在的數(shù)據(jù)量大、計(jì)算復(fù)雜度高的問題。Zhang Yan等[6]提出了一種新的基于多異質(zhì)傳感器的網(wǎng)絡(luò)安全態(tài)勢評估模型，利用傳統(tǒng)的D-S證據(jù)融合理論，融合來自多傳感器的安全數(shù)據(jù)，而對于不同傳感器的重要權(quán)重未加以考慮，當(dāng)?shù)椭眯哦雀邲_突時(shí)，易導(dǎo)致悖論現(xiàn)象，影響態(tài)勢感知準(zhǔn)確度。Wang Chundong等[7]提出基于D-S證據(jù)理論的層次化網(wǎng)絡(luò)安全態(tài)勢評估模型，利用D-S理論融合多源數(shù)據(jù)，再結(jié)合脆弱性和威脅信息確定各因素的相對權(quán)重，最后進(jìn)行網(wǎng)絡(luò)安全態(tài)勢評估。該方法融合時(shí)，若存在證據(jù)高度沖突的情況，易出現(xiàn)悖論情況。唐成華等[8]通過建立網(wǎng)絡(luò)安全態(tài)勢指標(biāo)的識別空間和評估準(zhǔn)則，提出基于D-S融合的網(wǎng)絡(luò)安全態(tài)勢評估方法。該方法將D-S融合規(guī)則應(yīng)用于專家知識評估，提高了專家知識評估的準(zhǔn)確性，但評估方式具有主觀性和局限性。現(xiàn)有的研究表明，融合是網(wǎng)絡(luò)安全態(tài)勢感知的必要過程和關(guān)鍵技術(shù)，但目前仍存在態(tài)勢感知的內(nèi)容不完整，未考慮不同數(shù)據(jù)源融合權(quán)重的問題，同時(shí)還存在參數(shù)維度過高及主觀依賴性較強(qiáng)的問題。

對于NSSA而言，研究過程中必須面對的基本問題是多源融合和實(shí)時(shí)性處理。馮學(xué)偉[9]等提出了一種安全態(tài)勢評估模型，對屬于同一類的攻擊事件的危害度進(jìn)行求和，得到當(dāng)前網(wǎng)絡(luò)中該類攻擊對網(wǎng)絡(luò)的危害程度，但未考慮不同攻擊事件對網(wǎng)絡(luò)的攻擊能力及影響權(quán)重問題。Sung W T[10]將BPN應(yīng)用到多源傳感器數(shù)據(jù)融合，利用加權(quán)分類確定證據(jù)特征之間的距離，從而得到證據(jù)之間的支持度，并根據(jù)特征提取大大降低特征維度。但該方法存在BPN訓(xùn)練時(shí)間較長、實(shí)時(shí)性較差的問題。Li Xinde等[11]利用證據(jù)支持貼近度過濾器選擇一致性證據(jù)，減少證據(jù)源的數(shù)目，從而達(dá)到減少信息融合復(fù)雜度的目的。該方法采用DSm理論，可以有效處理低置信度高沖突的問題，而高置信度低沖突的情況下不宜采用DSm理論融合規(guī)則。劉效武等[12]提出了基于粒子群尋優(yōu)方法的D-S證據(jù)融合，通過對不同信度的數(shù)據(jù)源賦予不同融合權(quán)重實(shí)現(xiàn)多源數(shù)據(jù)融合。但粒子群算法易陷入局部最優(yōu)問題，易產(chǎn)生早熟現(xiàn)象，不能有效處理復(fù)雜性數(shù)據(jù)。

在最新研究的基礎(chǔ)上，文中提出了一種基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知模型。首先利用蟻群D-S證據(jù)組合規(guī)則處理多源融合問題，從而減少態(tài)勢參數(shù)賦予主觀性強(qiáng)的問題。然后利用神經(jīng)網(wǎng)絡(luò)搜索關(guān)鍵特征，降低數(shù)據(jù)維數(shù)，避免維數(shù)爆炸，提高實(shí)時(shí)性。最后，利用層次化感知，將離散報(bào)警映射為動態(tài)威脅趨勢，提升對網(wǎng)絡(luò)安全的定量分析能力，為監(jiān)控和管理網(wǎng)絡(luò)提供了新的技術(shù)手段。

2 網(wǎng)絡(luò)安全態(tài)勢層次感知模型

現(xiàn)有的研究表明，對于NSSA模型的研究尚不完善，存在著模型不統(tǒng)一的問題。基于NSSA的主要研究內(nèi)容包括數(shù)據(jù)采集、數(shù)據(jù)處理及態(tài)勢感知等部分，文中提出了一個(gè)網(wǎng)絡(luò)安全態(tài)勢層次感知模型，見圖1。

圖1 網(wǎng)絡(luò)安全態(tài)勢層次感知模型

模型采取由局部到整體的分析方法，自底向上依次為攻擊、數(shù)據(jù)采集、數(shù)據(jù)融合、特征選擇、服務(wù)態(tài)勢感知、主機(jī)態(tài)勢感知和網(wǎng)絡(luò)態(tài)勢感知。多個(gè)異構(gòu)傳感器采集來自網(wǎng)絡(luò)中的各類攻擊數(shù)據(jù)，并進(jìn)行數(shù)據(jù)融合和特征選擇，根據(jù)特征選擇的攻擊數(shù)據(jù)確定服務(wù)態(tài)勢，再根據(jù)服務(wù)態(tài)勢分析出服務(wù)所在主機(jī)的態(tài)勢，最后根據(jù)主機(jī)態(tài)勢得出主機(jī)所在網(wǎng)絡(luò)的威脅態(tài)勢。同時(shí)，文中將神經(jīng)網(wǎng)絡(luò)和D-S融合規(guī)則引入到模型的層次化分析過程中，后續(xù)部分將對其進(jìn)行詳細(xì)討論。

3 多源數(shù)據(jù)融合

在數(shù)據(jù)融合的方法中，D-S證據(jù)融合方法應(yīng)用較為廣泛，其可以對多個(gè)數(shù)據(jù)源中的相同事件進(jìn)行組合處理，從而得到事件整體的發(fā)生概率。但真實(shí)的網(wǎng)絡(luò)環(huán)境中，不同安全傳感器具有不同的檢測程度和檢測力度，對于相同的安全事件可能會有不同的檢測可信程度，直接對數(shù)據(jù)進(jìn)行D-S證據(jù)融合有悖常理。對此，文中利用蟻群算法與D-S融合規(guī)則結(jié)合的方式處理多源數(shù)據(jù)融合問題，核心是通過蟻群算法的尋優(yōu)能力，確定對不同數(shù)據(jù)的融合可信度權(quán)值。

(1)

數(shù)據(jù)集的選擇具有一次性的約束，不能重復(fù)性使用。為了防止過早死和局部最優(yōu)解的情況，利用式(2)進(jìn)行隨機(jī)選擇。

(2)

每只螞蟻以一定頻率θ隨機(jī)選擇這兩個(gè)概率函數(shù)，即選擇第一個(gè)概率函數(shù)的頻率是θ，選擇第二個(gè)概率函數(shù)的頻率是1-θ。該策略有助于實(shí)現(xiàn)搜索的多樣性，提高算法獲得全局最優(yōu)解的可能性，從而確定數(shù)據(jù)集的選擇次序問題及相應(yīng)的權(quán)值問題。

通過迭代處理，求解出最優(yōu)解，這個(gè)最優(yōu)解中包含了數(shù)據(jù)源的選擇概率，據(jù)此可確定數(shù)據(jù)源的重要程度為表達(dá)式(w1,w2,…,wn)。

根據(jù)上述求解，將D-S證據(jù)組合規(guī)則進(jìn)行改進(jìn):

(3)

4 網(wǎng)絡(luò)安全態(tài)勢感知

利用D-S理論和蟻群算法相結(jié)合的融合規(guī)則進(jìn)行數(shù)據(jù)預(yù)處理，達(dá)到降低不同的數(shù)據(jù)源采集相同的數(shù)據(jù)時(shí)出現(xiàn)悖論的情況。但采集到的數(shù)據(jù)量巨大，還需對融合后的數(shù)據(jù)進(jìn)行特征選擇，以降低特征空間維數(shù)，刪除無用的、冗余的以及最少使用的特征，從而降低數(shù)據(jù)維度，減少計(jì)算復(fù)雜性。

4.1 特征選擇

特征選擇是根據(jù)給定的準(zhǔn)則從融合檢測的報(bào)警的多個(gè)特征中挑選出一些最有效的特征以降低特征空間維數(shù)，將輸入空間的高維特征映射到新的低維特征空間中，且不影響對安全事件的檢測效率，從而提升數(shù)據(jù)處理的實(shí)時(shí)性。由于神經(jīng)網(wǎng)絡(luò)具有良好的非線性映射能力和對任意函數(shù)的準(zhǔn)確逼近能力[14]，因此經(jīng)常應(yīng)用到特征選擇領(lǐng)域。基于BP神經(jīng)網(wǎng)絡(luò)的特征選擇方法，通過分析測試集中輸入數(shù)據(jù)的特征對最終輸出結(jié)果的支持度，對各類數(shù)據(jù)特征進(jìn)行相關(guān)性度量，刪除那些冗余的、不重要的特征，從而得到一個(gè)最優(yōu)化的特征子集。

當(dāng)確定了輸入特征數(shù)目和輸入類別時(shí)，BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)主要由隱層的節(jié)點(diǎn)數(shù)目決定。而對隱層的節(jié)點(diǎn)數(shù)目的最優(yōu)化選擇，目前還沒有權(quán)威理論研究，仍是依據(jù)專家知識確定。Robert Hecht Nielson[15]證明了只包含一個(gè)隱含層的BP網(wǎng)絡(luò)可以逼近閉區(qū)間內(nèi)的任一連續(xù)函數(shù)，即一個(gè)三層的BP網(wǎng)絡(luò)能夠?qū)崿F(xiàn)任意的n維到m維的映射。鑒于此，文中選擇三層網(wǎng)絡(luò)結(jié)構(gòu)。

神經(jīng)網(wǎng)絡(luò)中的節(jié)點(diǎn)對于最終結(jié)果的作用是通過與之相連的權(quán)值來表現(xiàn)的。將神經(jīng)網(wǎng)絡(luò)運(yùn)用在特征選擇中，在神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中使得與輸出結(jié)果相關(guān)性大的輸入節(jié)點(diǎn)的權(quán)值保持較大，而那些相關(guān)性小的節(jié)點(diǎn)的權(quán)值較小，根據(jù)權(quán)值變化，刪除冗余的、不重要的節(jié)點(diǎn)，同時(shí)刪除了節(jié)點(diǎn)連接的數(shù)據(jù)特征，降低了數(shù)據(jù)維度，避免維數(shù)爆炸，提高了數(shù)據(jù)處理實(shí)時(shí)性。

BP網(wǎng)絡(luò)算法由數(shù)據(jù)流的前向計(jì)算和誤差的反向傳播兩個(gè)過程構(gòu)成。前向傳播時(shí)，傳播方向?yàn)檩斎雽印[層→輸出層，每層節(jié)點(diǎn)的狀態(tài)只影響下一層節(jié)點(diǎn)。若在輸出層得不到期望的輸出結(jié)果，則轉(zhuǎn)向誤差函數(shù)的反向傳播流程。通過這兩個(gè)過程的交替進(jìn)行，動態(tài)迭代搜索出一組權(quán)向量，使得誤差函數(shù)達(dá)到最小值，從而完成特征提取過程。

設(shè)神經(jīng)網(wǎng)絡(luò)的輸入層有n個(gè)節(jié)點(diǎn)，隱層有q個(gè)節(jié)點(diǎn)，輸出層有m個(gè)節(jié)點(diǎn)，輸入層與隱層之間的權(quán)值為vki，隱層與輸出層之間的權(quán)值wjk，隱層的傳遞函數(shù)為f1()，輸出層的傳遞函數(shù)為f2()。

隱層節(jié)點(diǎn)的輸出為:

(4)

輸出層節(jié)點(diǎn)的輸出為:

(5)

(6)

對于P個(gè)樣本，全局誤差為:

輸出層各神經(jīng)元的權(quán)值調(diào)整公式為：

(9)

其中，kij表示神經(jīng)元i與神經(jīng)元j之間的連接強(qiáng)度，即權(quán)值；xi表示神經(jīng)元i的輸入。

隱層各神經(jīng)元的權(quán)值調(diào)整公式為:

其中，Sk表示節(jié)點(diǎn)j的輸入。

4.2 層次化量化感知

4.2.1 服務(wù)安全態(tài)勢

依據(jù)多源融合和特征選擇，按照模型的感知層次，首先處理服務(wù)安全態(tài)勢的感知問題。服務(wù)安全態(tài)勢感知是由攻擊強(qiáng)度、攻擊權(quán)重、攻擊數(shù)目等因素組成，由此可以將服務(wù)安全態(tài)勢進(jìn)行量化，表示為由攻擊威脅權(quán)重wi和對應(yīng)的攻擊數(shù)目Ni得到，如式(11)所示。

(11)

4.2.2 主機(jī)安全態(tài)勢

主機(jī)安全態(tài)勢是由運(yùn)行在主機(jī)上的各類服務(wù)的態(tài)勢和各類服務(wù)的數(shù)目決定，同時(shí)也要考慮服務(wù)在主機(jī)中占的比重系數(shù)。主機(jī)安全態(tài)勢可用式(12)表示。

(12)

(13)

若SHi值越大，表示主機(jī)正處在威脅狀態(tài)，否則表示主機(jī)的狀態(tài)較為安全。

4.2.3 網(wǎng)絡(luò)安全態(tài)勢

網(wǎng)絡(luò)安全態(tài)勢感知是由網(wǎng)絡(luò)上各類主機(jī)的態(tài)勢感知和各類主機(jī)在網(wǎng)絡(luò)中所占的比重決定。網(wǎng)絡(luò)安全態(tài)勢可以用式(14)表示。

(14)

(15)

根據(jù)上述的分析處理，若SNi的值越大表示網(wǎng)絡(luò)現(xiàn)在正處在威脅的狀態(tài)中，否則，網(wǎng)絡(luò)的狀態(tài)較為安全。

5 仿真實(shí)驗(yàn)

5.1 數(shù)據(jù)融合實(shí)驗(yàn)

為驗(yàn)證文中提出的融合算法和感知方法，設(shè)計(jì)如圖2所示的拓?fù)浣Y(jié)構(gòu)，利用Snort、Suricata、NetFlow等傳感器采集數(shù)據(jù)，并以KDD99數(shù)據(jù)集為測試集和訓(xùn)練集選取關(guān)鍵特征，同時(shí)使用重放工具對采集的數(shù)據(jù)集進(jìn)行重放。數(shù)據(jù)重放工具部署在內(nèi)網(wǎng)入口處。蟻群算法和D-S證據(jù)融合訓(xùn)練的規(guī)模為100，根據(jù)蟻群算法得到數(shù)據(jù)源的選擇順序，然后對該選擇順序進(jìn)行量化處理，結(jié)果即D-S證據(jù)融合中的數(shù)據(jù)源權(quán)重。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

KDD99數(shù)據(jù)集包含DoS(拒絕服務(wù)攻擊)、R2L(遠(yuǎn)程非法訪問攻擊)、U2R(超級用戶特權(quán)非法訪問攻擊)、Probe(探測攻擊)四種攻擊類型，根據(jù)文中所述，采用蟻群算法確定不同數(shù)據(jù)源對事件的檢測可信程度，取值范圍為[0,1]。

(Snort,Suricata,NetFlow)DoS=(0.256,0.219,0.525)

(Snort,Suricata,NetFlow)R2L=(0.414,0.408,0.178)

(Snort,Suricata,NetFlow)U2L=(0.437,0.411,0.152)

(Snort,Suricata,NetFlow)Probe=(0.317,0.337,0.346)

同時(shí)，文中將蟻群D-S的證據(jù)融合規(guī)則與傳統(tǒng)的D-S融合規(guī)則、專家加權(quán)D-S融合規(guī)則在融合率(FusionRate，F(xiàn)R)、檢測率(DetectionRate，DR)和誤警率(FalseDetectionRate，F(xiàn)DR)方面進(jìn)行了比較，如表1所示。其中：

表1 融合能力比較 %

從表1中可以看出，檢測率相對于傳統(tǒng)的D-S和專家加權(quán)D-S有一定幅度的提高，雖然在誤警率上沒有太大改善，但是從環(huán)境適應(yīng)能力和多源融合等方面考慮，蟻群算法結(jié)合D-S的證據(jù)融合仍然具有較大的優(yōu)勢。

5.2 特征選擇實(shí)驗(yàn)

實(shí)驗(yàn)中，需要對KDD99數(shù)據(jù)集進(jìn)行特征選擇預(yù)處理，利用神經(jīng)網(wǎng)絡(luò)搜索出關(guān)鍵特征，從而降低數(shù)據(jù)維數(shù)，避免維數(shù)爆炸，提高實(shí)時(shí)性。KDD99數(shù)據(jù)集中的每條記錄包含34個(gè)數(shù)值型字段和7個(gè)非數(shù)值型字段，并帶有DoS、Probe、R2L、U2R及Normal類型五類標(biāo)簽。將每條記錄的41個(gè)字段設(shè)置為神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)，輸出數(shù)據(jù)設(shè)置為五類標(biāo)簽，同時(shí)在訓(xùn)練過程中，判斷字段的權(quán)值大小，從而確定哪些字段特征為關(guān)鍵特征。

根據(jù)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)及輸入數(shù)據(jù)、輸出數(shù)據(jù)，選擇KDD99數(shù)據(jù)集中的8個(gè)主要特征(src_bytes，dst_host_rerror_rate，dst_byte，dst_host_srv_serror_rate，hot，num_compromised， srv_count，count)作為關(guān)鍵特征，對于數(shù)據(jù)的其他字段特征屬性進(jìn)行刪除處理。

使用特征選擇之前和之后，在維數(shù)和實(shí)時(shí)處理方面有一定的差距。使用特征選擇之前，輸入維數(shù)為41，每維數(shù)據(jù)實(shí)時(shí)處理時(shí)間為4.86 s；使用之后，輸入維數(shù)為8，每維數(shù)據(jù)實(shí)時(shí)處理時(shí)間為3.09 s。由此可得出特征選擇減少了輸入維數(shù)，同時(shí)減少了數(shù)據(jù)處理時(shí)間，提高了神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)性。

5.3 層次化量化感知實(shí)驗(yàn)

(1)服務(wù)安全態(tài)勢。

由上文敘述可知，服務(wù)安全態(tài)勢感知的獲取是根據(jù)威脅權(quán)重和威脅數(shù)量確定的。威脅權(quán)重是通過蟻群D-S證據(jù)融合規(guī)則得到，再在根據(jù)單位時(shí)間內(nèi)發(fā)生的威脅數(shù)量，最終確定SNMP、WWW和FTP三個(gè)服務(wù)的安全態(tài)勢，如圖3所示。這里選取訓(xùn)練時(shí)間為24小時(shí)，時(shí)間窗口為1小時(shí)。

圖3 服務(wù)安全態(tài)勢

從上述三個(gè)服務(wù)的安全態(tài)勢可以得出，SNMP服務(wù)在2、6、23這三個(gè)時(shí)間點(diǎn)時(shí)，安全態(tài)勢值較高，出現(xiàn)異常，應(yīng)該提高警惕處理；FTP服務(wù)在1、9、11、23這四個(gè)時(shí)間點(diǎn)時(shí)，安全態(tài)勢值較高，應(yīng)該提高警惕處理；WWW服務(wù)在0、11、15、23這四個(gè)時(shí)間點(diǎn)時(shí)，安全態(tài)勢值較高，應(yīng)該提高警惕處理。同時(shí)，從這三個(gè)趨勢中可以看出，出現(xiàn)較高安全態(tài)勢值之前的時(shí)間點(diǎn)的態(tài)勢值大致是上升趨勢，因此當(dāng)出現(xiàn)態(tài)勢值急劇上升趨勢時(shí)，應(yīng)提高安全警惕。

(2)主機(jī)安全態(tài)勢。

由于主機(jī)中的威脅是由服務(wù)中的漏洞造成的，因此主機(jī)安全態(tài)勢值是由服務(wù)安全態(tài)勢及其服務(wù)權(quán)重得到，服務(wù)權(quán)重的確定可以分為高、中、低三個(gè)層次，然后量化層次。由專家知識和歷史經(jīng)驗(yàn)得出，SNMP、FTP與WWW三個(gè)服務(wù)在主機(jī)中占的權(quán)重分別為0.15、0.01、0.84，最后根據(jù)對應(yīng)的服務(wù)安全態(tài)勢得出主機(jī)的安全態(tài)勢值。此處選取Host1、Host2、Host3三臺主機(jī)，求解不同時(shí)間點(diǎn)主機(jī)的安全態(tài)勢值，如圖4所示。

圖4 主機(jī)安全態(tài)勢

從圖中可以看出，三臺主機(jī)同時(shí)在2、6、11、23這四個(gè)時(shí)間點(diǎn)的態(tài)勢值較高，應(yīng)該加以調(diào)控。

(3)網(wǎng)絡(luò)安全態(tài)勢。

網(wǎng)絡(luò)中包含的主機(jī)的安全漏洞造成了整個(gè)網(wǎng)絡(luò)安全威脅，而主機(jī)在網(wǎng)絡(luò)中所占的權(quán)重可以用服務(wù)數(shù)和服務(wù)權(quán)重決定，如式(16)所示。求解網(wǎng)絡(luò)中所有主機(jī)的權(quán)重，再根據(jù)式(15)進(jìn)行歸一化處理。圖5表示一天之內(nèi)的網(wǎng)絡(luò)的安全態(tài)勢值。圖中表示網(wǎng)絡(luò)在2、6、11、23這四個(gè)時(shí)間點(diǎn)時(shí)，安全態(tài)勢值較高，遭受了較為嚴(yán)重的攻擊。

(16)

圖5 網(wǎng)絡(luò)安全態(tài)勢

文中利用層次化感知算法，將離散報(bào)警映射為動態(tài)威脅趨勢，并且從不同層次進(jìn)行定量分析，提升對網(wǎng)絡(luò)安全的定量分析能力。

6 結(jié)束語

文中在對國內(nèi)外融合感知模型和方法分析的基礎(chǔ)上，提出基于多源融合的網(wǎng)絡(luò)安全態(tài)勢層次感知模型，使用蟻群D-S算法進(jìn)行多源數(shù)據(jù)融合，同時(shí)使用神經(jīng)網(wǎng)絡(luò)進(jìn)行了特征選擇，最后采用層次化量化方法進(jìn)行態(tài)勢感知，對網(wǎng)絡(luò)的安全態(tài)勢值進(jìn)行分析。蟻群算法結(jié)合D-S的融合方法能夠融合具有不同權(quán)重的多源數(shù)據(jù)，并且融合實(shí)時(shí)性好，適應(yīng)環(huán)境能力較強(qiáng)。利用神經(jīng)網(wǎng)絡(luò)搜索關(guān)鍵特征，降低了數(shù)據(jù)維數(shù)，避免維數(shù)爆炸，提高了實(shí)時(shí)性。最后結(jié)合層次化分析方法，得出層次化的安全態(tài)勢值，動態(tài)顯示網(wǎng)絡(luò)攻擊狀態(tài)。

文中有效分析了網(wǎng)絡(luò)安全態(tài)勢的變化趨勢，但仍存在諸多需要完善的研究內(nèi)容。使用蟻群算法結(jié)合D-S進(jìn)行數(shù)據(jù)融合，雖然可以有效解決態(tài)勢參數(shù)賦予主觀性強(qiáng)的問題，但還需要考慮蟻群算法的收斂速度慢，并且當(dāng)參數(shù)選取不恰當(dāng)時(shí)，尋找最優(yōu)值花費(fèi)時(shí)間過長且易出現(xiàn)局部最優(yōu)的情況。對于感知方法，層次量化感知屬于態(tài)勢感知研究方法中的一種，多粒度、多維度的態(tài)勢感知機(jī)制仍有待研究。

[1]TimB.Intrusiondetectionsystemsandmultisensordatafu-sion:creatingcyberspacesituationalawareness[J].CommunicationsoftheACM,2000,43(4):99-105.

[2] 陳秀真，鄭慶華，管曉宏,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報(bào)，2006，17(4):885-897.

[3]ZhangHaoliang，ShiJinqiao，ChenXiaojun.Amulti-levelanalysisframeworkinnetworksecuritysituationawareness[J].ProcediaComputerScience，2013,17:530-536.

[4]SharmaC，KateV.ICARFAD:anovelframeworkforimprovednetworksecuritysituationawareness[J].InternationalJournalofComputerApplications,2014,87(19):26-31.

[5] 韋 勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計(jì)算機(jī)研究與發(fā)展，2009,46(3):353-362.

[6]ZhangYan，HuangShuguang.Multi-sensordatafusionforcybersecuritysituationawareness[J].ProcediaEnvironmentalSciences，2011，10:1029-1034.

[7]WangChundong，YuZhang.SituationevaluateonhierarchicalnetworksecuritybasedonDSevidencetheory[J].InternationalJournalofCommunicationNetworksandDistributedSystems，2014，13(3):245-256.

[8] 唐成華，湯申生，強(qiáng)保華.DS融合知識的網(wǎng)絡(luò)安全態(tài)勢評估及驗(yàn)證[J].計(jì)算機(jī)科學(xué)，2014,41(4):107-110.

[9] 馮學(xué)偉，王東霞，馬國慶，等.網(wǎng)絡(luò)安全態(tài)勢感知中態(tài)勢評估關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2011，47(19):88-92.

[10]SungWT.Multi-sensorsdatafusionsystemforwirelesssensorsnetworksoffactorymonitoringviaBPNtechnology[J].ExpertSystemswithApplications，2010，37(3):2124-2131.

[11]LiXinde，DezertJ，SmarandacheF，etal.Evidencesupportingmeasureofsimilarityforreducingthecomplexityininformationfusion[J].InformationSciences，2011，181(10):1818-1835.

[12] 劉效武，王慧強(qiáng),呂宏武,等.基于融合的網(wǎng)絡(luò)安全態(tài)勢量化感知[J].吉林大學(xué)學(xué)報(bào):工學(xué)版，2013，43(6):1650-1657.

[13]FardES，MonfarediK，NadimiMH.Applicationmethodsofantcolonyalgorithm[J].AmericanJournalofSoftwareEngineeringandApplications，2014,3(2):12-20.

[14]DuCuifeng，XuQiang，LiJihua.Assessmentandmonitoringqualityofcommunicationsnetworkbasedonfeatureselectionandprobabilisticneuralnetwork[J].AdvancedMaterialsResearch，2014，846:836-839.

[15]NielsenRH.Theoryofthebackpropagationneuralnetwork[C]//Procofinternationaljointconferenceonneuralnetworks.[s.l.]:IEEE,1989:593-605.

Hierarchical Awareness of Network Security Situation Based on Multi-source Fusion

ZHANG Shu-wen，LIU Xiao-wu，SUN Xue-yan

(School of Information Science and Engineering,Qufu Normal University, Rizhao 276826,China)

In recent year,network security situation awareness is an emerging security technology and garners widespread attentions because it can solve the issues that the traditional security technology difficult to deal with,such as a single data source and the high false alarm rate,and enhance the dynamic understanding abilities for the overall security situation.For the current research,a network security situation awareness model is proposed based on multi-source fusion which utilizes ant colony D-S evidence combination rule to deal with the multi-source data fusion problem with aim of reducing the subjective dependence of situation parameters.Meanwhile,the neural network is applied for searching key characteristics of security events to reduce data dimension,avoid dimension explosion and improve the real-time performance.It also discusses a hierarchical awareness algorithm and can map the discrete alarms to the dynamic threats tendency in order to improve the capacity of quantitative analysis for network security.The simulation shows that the proposed model and algorithm can improve the detection rate and decrease false alarm rate,and dynamically monitor the evolution of the network security threats.

network security situation awareness;data fusion;ant colony optimization;neural network;feature selection

2015-12-21

2016-04-05

時(shí)間：2016-09-19

山東省高校科技計(jì)劃項(xiàng)目(J11LG09)

張淑雯(1991-)，女，碩士生，CCF會員，研究方向?yàn)榫W(wǎng)絡(luò)安全、數(shù)據(jù)融合；劉效武，博士，副教授，CCF會員，研究方向?yàn)榫W(wǎng)絡(luò)安全、數(shù)據(jù)融合、認(rèn)知計(jì)算。

http://www.cnki.net/kcms/detail/61.1450.TP.20160919.0839.006.html

TP393

A

1673-629X(2016)10-0077-06

10.3969/j.issn.1673-629X.2016.10.017