基于多源異構數據融合的網絡安全態勢評估體系

常利偉，田曉雄，張宇青，錢宇華，胡治國

（1. 山西財經大學 信息學院，山西 太原 030006; 2. 山西大學 大數據科學與產業研究院，山西 太原 030006）

沒有網絡安全就沒有國家安全，網絡安全已成為信息時代國家安全的基石。然而隨著網絡規模的日益擴大以及網絡惡意行為的復雜化與智能化，傳統以入侵檢測系統為核心的單點防御體系暴露出越來越多的弊端。單點檢測方式本質上是通過單個節點的信息做出判斷，會形成“安全信息孤島”，無法從整個網絡層面做出準確的決策，因此面對復雜的網絡惡意活動時會產生大量的誤報、漏報。

安全態勢評估通過技術手段從時間和空間維度來感知并獲取安全相關元素，綜合分析安全信息以準確判斷安全狀況。隨后國內外許多研究人員將態勢評估的思想及方法應用到網絡安全領域，設計和實現了許多高效網絡安全態勢評估系統。

1995年Endsley[1]將態勢感知概括為態勢覺察、態勢理解、態勢投射3個過程。1999年Bass[2]首次提出網絡安全態勢感知，本質上是融合多源入侵檢測系統的結果，識別網絡中的攻擊活動，評估網絡運行狀況。2002年陳繼軍[3]提出權系數理論原則，用于確定各傳感器的系數。2005年諸葛建偉等[4]引入D-S證據理論，構建決策引擎判斷網絡狀況。2006年陳秀真等[5]提出了層次化安全威脅評估模型，通過網絡流量信息及入侵檢測報警信息，對網絡運行狀況進行評估。2008年馬琳茹等[6]通過指數加權規則，將不同的傳感器賦予不同的信任以改進D-S證據理論。2009年韋勇等[7]從節點脆弱性和攻擊威脅等角度，基于D-S證據理論算法，構建網絡安全態勢評估模型。

2016年劉效武等[8]構建了一個融合?感知?決策?控制的態勢認知融合感控模型，對網絡狀況進行評估。2018年Wang Huan等[9]使用混淆矩陣最大特征值對應的特征向量確定主機態勢的參數，對網絡運行狀況進行評估。2018年龔儉等[10]認為網絡安全態勢感知(network security situation awareness, NSSA)是認知網絡系統安全狀態的過程，包含原始數據測量、語義提取、融合處理、異常識別、態勢獲取等內容。2018年Zhao Dongmei等[11]通過粗糙集屬性簡約算法提取核心屬性，并使用粒子群優化算法優化徑向基神經網絡識別網絡攻擊。2018年陳維鵬等[12]將網絡態勢等級進行劃分，通過模擬退火算法優化BP(back propagation)神經網絡參數，確定網絡空間態勢感知等級。2019年賈焰等[13]對網絡安全態勢感知概念、網絡安全態勢關鍵技術等方面的研究現狀進行深入剖析。2019年Xi Rongrong等[14]從威脅、脆弱性和穩定性3個維度評估網絡的安全狀況，并在決策層面將結果進行融合來衡量整個網絡的安全狀況。2020年Zheng Weifa等[15]使用DS證據理論融合主機防火墻數據、web防火墻數據和入侵檢測數據，對網絡安全性進行評估。

通過對以上學術成果的綜合分析，本文構成出基于多源異構數據融合的網絡安全態勢評估體系，主要工作如下：

1)提出了包含流量探測模塊、屬性提煉模塊、決策引擎模塊、多源融合模塊、態勢評估模塊等5大模塊的網絡安全態勢評估體系。

2)以入侵檢測系統(Snort)報警規則為標尺，提煉網絡威脅等級劃分原則。

3)使用層次化網絡安全威脅評估方法，依次評估服務層、主機層、網絡層態勢。

1 網絡安全態勢評估體系

本文提出的基于多源異構數據融合的網絡安全態勢評估體系包含流量探測模塊、屬性提煉模塊、決策引擎模塊、多源融合模塊和態勢評估模塊等5大模塊。如圖1所示，5個模塊構建時吻合信息安全管理中安全基礎、識別認定、檢測評估、安全防護4個維度，充分考慮可用性、可控性、保密性等信息安全要求。如圖2所示：1) 流量探測模塊是在網絡中部署多個探測器，以全面地獲取網絡信息；2) 屬性提煉模塊是基于惡意活動特征，準確地構造有助于提高識別攻擊類型的核心屬性；3) 決策引擎模塊是利用網絡數據，科學地訓練由核心屬性到攻擊類型的模型；4) 多源融合模塊是巧妙地融合決策引擎的輸出結果，有效提升識別攻擊類型的性能；5) 態勢評估模塊是基于融合結果，直觀地展示網絡運行狀態。

圖1 網絡安全態勢評估體系Fig. 1 The architecture of network security situation assessment

圖2 模塊組件關系Fig. 2 The relationship of modules

1.1 流量探測模塊

信息在網絡中以流量包為單元，在2臺設備之間進行傳遞，流量包由一臺主機發出，途徑路由器、交換機、防火墻、網卡等設備，到達另一臺主機。流量探測模塊將在以上設備中部署多個探測器，盡可能全面地獲取網絡數據。

常用的探測器分以下2類：1) 網絡流量探測器，這類探測器通常部署在局域網入口路由器上，可以全面地、實時地獲取所有流入、流出局域網的網絡流量，并發送至數據處理中心；2) 入侵檢測系統，入侵檢測系統實時檢測網絡流量信息，并與規則庫中的報警規則進行匹配，一旦發現異常流量，將發出對應的警告信息。

1.2 屬性提煉模塊

屬性提煉模塊根據網絡惡意活動的特征，準確地構造有助于提高識別攻擊類型的核心屬性。

Netflow、Snort、Suricata探測器獲得的基礎屬性如表1～3所示。1) 將其中數值型數據進行歸一化處理，避免數值變化較大的屬性覆蓋數值較小的屬性，使得數值變化較小的屬性失去作用；2）將非數值型屬性編碼成向量，使得計算機能夠處理。

由于其側重點各異，不同探測器將獲取到不同屬性的網絡數據。因此本文設計不同的統計算法，以高效地提煉不同探測器的屬性：1)研究發現如果直接使用Netflow和Suricata中的地址屬性、端口屬性、應用服務屬性和時間屬性進行攻擊識別，效果不明顯，因此借助統計算法融合以上4類屬性生成網絡連接屬性[16-19](如表4)，其他屬性保留；2) Snort和Suricata為入侵檢測系統，其所產生的報警信息是其核心要素，因此針對性地設計統計算法提煉報警數量與報警類別屬性。

表1 Netflow基礎屬性Table 1 Basic features of Netflow

表2 Snort基礎屬性Table 2 Basic features of Snort

表3 Suricata基礎屬性Table 3 Basic features of Suricata

表4 網絡連接屬性Table 4 Statistical features of network traffic

1.3 決策引擎模塊

決策引擎模塊的功能是通過有效訓練，準確地學習出從各探測器核心屬性到攻擊類型的模型。神經網絡是一個優秀的分類模型，學者們常用此模型作為決策引擎[11,20]，本文采用BP神經網絡作為決策引擎。

BP神經網絡由輸入層、隱藏層、輸出層構成。Robert Hecht Nielson[21]證明，只包含一個隱藏層的網絡可以逼近閉合區間內的任一連續函數，因此BP神經網絡能夠實現由屬性到攻擊類型的映射。

含有1層隱藏層的BP神經網絡訓練過程如下，輸入層有m個神經元，隱藏層有h個神經元，輸出層有n個神經元，激活函數為f(x)，隱藏層神經元輸出為D=(d1,d2,…,dh)T，輸入層與隱藏層之間的權值為W{wji|1≤i≤m,1≤j≤h}，隱藏層與輸出層之間的權值為V{vkj|1≤k≤n,1≤j≤h}，神經網絡預測值為真實值為均方誤差為E，如圖3所示。

隱藏層第j個節點的輸出值為

輸出層第k個節點的輸出值為

均方誤差為

圖3 BP神經網絡Fig. 3 BP netural network

輸出層及隱藏層各神經元的權值調整為

1.4 多源融合模塊

多源融合模塊將有機地融合所有決策引擎的輸出結果，進一步提高識別攻擊的性能。融合算法將各個決策引擎的輸出結果作為融合因子，將相同安全事件組合處理得到融合結果。本文使用指數加權D-S證據理論融合決策引擎輸出結果，并利用粒子群優化算法確定指數權重(particle swarm optimization-dempster shafer, PSO-DS)。

指數加權D-S證據理論為

式中：g為數據源個數；n為攻擊類型個數；m1(Ai)為第一個證據源認為是第i類攻擊的概率；w1i為第一個證據源認為是第i類攻擊的指數權值；m(Ai)為融合后第i類攻擊的概率。

使用粒子群優化算法搜索指數權值：

式中：d為優化空間維度；c1、c2分別為將粒子推向局部最優和全局最優的權重；c3為慣性權重；r1，r2為隨機數。yi為真實數據中第i種攻擊的概率，粒子群優化目標為

1.5 態勢評估模塊

態勢評估模塊的功能是基于多源融合模塊的輸出結果，有效地評估網絡態勢。可分為攻擊威脅量化和態勢評估2個內容。

1.5.1 攻擊威脅量化

量化影響態勢變化的關鍵因子(如：攻擊威脅因子)，是科學評估網絡運行狀態的基礎。其中攻擊威脅因子量化是目前研究的一個難點，本文使用權系數理論量化攻擊威脅。經過劃分威脅等級和威脅等級量化2個步驟得到攻擊威脅因子值。

1) 劃分威脅等級

Snort作為一個常用的入侵檢測系統，受到用戶的廣泛認可。根據危害大小，Snort能夠對攻擊威脅定性分析，表5列出了攻擊威脅等級的核心內容。深入剖析威脅等級劃分機理，本文提出了攻擊威脅等級劃分原則。①威脅等級劃分機理

表5 網絡攻擊威脅程度Table 5 Severity of network attack

如表5所示，攻擊嚴重程度為高的攻擊基本上是獲取計算機控制權限、木馬、執行代碼等惡意活動，此類攻擊會威脅主機系統安全；攻擊嚴重程度為中的攻擊以獲取系統內部信息和消耗網絡帶寬為目的，這類攻擊不會對主機系統造成破壞；嚴重程度為低的攻擊以網絡掃描、獲取網絡信息為目的，這類攻擊對網絡造成較輕影響。

②威脅等級劃分原則

通過對Snort劃分攻擊威脅等級機理的深入研究，本文提出了攻擊威脅等級劃分原則，如表6所示。

表6 威脅等級劃分原則Table 6 Classification principles of attack severity

2) 威脅等級量化

本文將權系數理論[3]與攻擊威脅等級劃分原則有機結合以量化威脅等級。權系數分布函數如圖4所示，橫軸是排隊等級(威脅等級)，縱軸是對應的權系數(威脅值)。

圖4 權系數函數分布Fig. 4 Distribution of the weight function

為簡化量化過程，將權系數函數離散化處理得到權系數公式，n為攻擊等級個數，i為排列順序，權系數只與決策目標數和攻擊嚴重等級有關。僅需定義威脅等級，使用權系數公式就能夠計算出攻擊威脅因子值。在一定程度上減輕了主觀依賴問題。

權系數為

1.5.2 態勢評估

本文采用層次化網絡安全威脅評估模型，將網絡自底向上分為服務層、主機層和網絡層。按照層次關系，以攻擊對網絡造成的危害程度為核心評估安全態勢，如圖5所示。

圖5 層次化網絡安全威脅態勢評估Fig. 5 Hierarchical threat assessment model for computer networks

1) 服務層態勢

攻擊威脅因子和攻擊概率等態勢因子會影響服務態勢，服務態勢隨著網絡運行狀況實時發生變化，在時間窗口 ?t內第k臺主機上第j個服務的態勢為

式中：g為該時間窗口內的攻擊總數；m(attacki) 為第i個攻擊對應的攻擊概率；f(attacki) 為第i個攻擊對應的攻擊威脅因子值。

2) 主機層態勢

主機的態勢情況由主機上運行的服務態勢及其在主機上的重要性決定，在時間窗口 ?t內，第k臺主機的態勢值為

Sk(t)=(sk1(t),sk2(t),···,skn(t))為此時間段內運行在該主機上服務態勢的向量，其中n為運行的服務數，Vk(t)=(vk1,vk2,···,vkn) 為該主機上運行服務的權值向量。服務權值計算方法為

Suk(t)=(suk1,suk2,···,sukn)表示該主機上使用應用層服務的用戶數量的向量，Sfk(t)=(sfk1,sfk2,···,sfkn)為該主機上各個服務使用頻率向量。

3) 網絡層態勢

網絡層態勢是由網絡中每臺主機的態勢及每臺主機的權值決定的，整個網絡的態勢為

H(t)=(h1(t),h2(t),···,hm(t))為網絡中主機的態勢向量，L(t)=(l1,l2,···,lm) 為主機的權值，網絡中主機數量為m。

式中：m為該網絡中的主機數量，Hu(t)=(hu1,hu2,···,hum)為網絡中各個主機用戶數量的向量；Hf(t)=(hf1,hf2,···,hfm)為網絡中各個主機使用頻率的向量。

通過態勢評估策略，將網絡的安全狀況及其演化狀況準確地計算出來。如若發生威脅，管理員可以根據網絡態勢變化曲線及時地掌握網絡狀況，根據層次圖由上到下依次分析網絡層態勢?主機層態勢?服務層態勢，追根溯源，準確快速的定位問題根源，從而采取有效地措施，保護網絡安全。

2 實驗分析

如圖6所示，根據實驗需求，部署Netflow，以獲取網絡中流量的信息(如端口號、流量包大小、發包速度等)，并部署Snort、Suricata等入侵檢測工具，當發現異常流量則發出警告信息。實驗中BP神經網絡包含2層隱藏層，每層32個神經元。粒子群優化算法群體規模為100，在[0,1]內搜索確定D-S指數權重。

圖6 網絡拓撲Fig. 6 network topology

流量數據使用澳大利亞新南威爾遜大學安全實驗室的UNSW-NB15流量包的5%用作本實驗的數據，此流量包包含2天的流量包和攻擊信息，混合了正常網絡流量和綜合性攻擊流量，更符合現代真實的流量場景，而且網絡規模更大，主機數量更多，攻擊類型更加豐富，如表7所示。

表7 攻擊類型及威脅因子Table 7 Attack types and risk factors

2.1 決策引擎結果與融合性能分析

圖7～12展示了決策引擎和融合算法的實驗結果。分析可知來自不同探測器數據對于識別各類攻擊各有優勢，Netflow數據源對于識別Analysis、Normal準確率較高；Snort數據源對于區分Backdoor、Worm攻擊效果很好；Suricata可以很好地識別Dos。融合算法集成了各數據源識別攻擊的優勢，提高了決策效果。

圖7 Netflow 數據源預測結果Fig. 7 Results of Netflow data source

圖8 Snort 數據源預測結果Fig. 8 Results of Snort data source

圖9 Suricata 數據源預測結果Fig. 9 Results of Suricata data source

圖10 D-S證據融合預測結果Fig. 10 Attack prediction of D-S

圖11 PSO-DS證據融合預測結果Fig. 11 Attack prediction of PSO-DS

如表8所示，與其他結果相比，本文選用的PSO-DS融合算法準確率高，并且誤警率降低，充分證明了多點融合體系有效集成各單點檢測的優勢，顯著提高識別各攻擊類型的能力；針對誤警率較高的問題，本文查閱了使用此數據集的研究成果，如表9所示，均存在誤警率較高問題。

圖12 攻擊預測Fig. 12 Attack prediction

表8 性能指標對比分析Table 8 Performance index contrastive analysis %

表9 UNSW-NB15已有成果實驗結果[17]Table 9 Other experimental results of UNSW-NB15[17]%

2.2 網絡安全態勢評估

2.2.1 服務層態勢

在網絡中重放了UNSW-NB15中2015-2-17日的部分流量數據，該段時間持續33 000 s，每5 min為一個時間窗口，共110個時間窗口，如橫坐標10對應第10個時間窗口的態勢值。使用本文提出的網絡攻擊威脅劃分原則及權系數理論得到攻擊因子，按照評估體系進行評估。某一主機上DNS、HTTP、SMTP 3種服務的態勢情況如圖13所示。

圖13 服務層安全態勢Fig. 13 Security situation of service

該日此主機上HTTP服務遭受到了2次強烈的攻擊、4次中度攻擊、多次輕度攻擊，管理員應該注意該主機HTTP服務的使用情況、該主機是否在訪問非法網站、是否受到web攻擊，并采取相應對策。

2.2.2 主機層態勢

主機層態勢與運行在主機上服務態勢及各個服務重要度相關，根據服務的用戶數量和使用頻率確定服務的權值。由圖14可知，主機1受到了2次強烈的攻擊，并受到了多次小規模攻擊；主機2受到了2次強烈的攻擊；主機3受到了5次強烈的網絡攻擊；網絡管理員應該特別注意此兩臺主機的運行狀況。

圖14 主機層安全態勢Fig. 14 Security situation of host

2.2.3 網絡層態勢

根據主機的用戶數量與頻率，確定主機的權值。根據主機的權值和主機的態勢情況，計算得到整個網絡的運行態勢。由圖15所示，該網絡一天內持續受到攻擊，產生4次較大波動，網絡管理員應該查看這幾個時間段內主機的運行情況，找到異常主機。此流量包一天內一直遭受到大量攻擊，網絡態勢圖符合流量包攻擊情況，準確地展示出當天網絡的運行狀況。

圖15 網絡層安全態勢Fig. 15 Security situation of network

3 結束語

本文借鑒多源融合策略，充分利用層次化網絡評估方法，提出了一個網絡安全態勢評估體系。1) 在網絡中部署Netflow、Snort、Suricata探測器全面地獲取網絡數據；2) 基于惡意活動的特點，提煉有助于提高區別攻擊類型的核心屬性；3)使用BP神經網絡分別對數據進行決策；4) 利用PSO-DS方法對各BP神經網絡分類結果進行有機融合；5) 使用層次化網絡評估方法，直觀展現網絡態勢。實驗結果證明，不同探測器獲得的網絡信息對于識別不同攻擊的優勢不同， 多點檢測體系有機融合各單點檢測的優勢，顯著提高識別各攻擊類型的能力。

今后的研究將拓展到態勢預測，通過態勢曲線的變化趨勢，對態勢曲線的未來走向進行預測，以達到提前防護的目標。