基于多源告警信息關聯的網路安全技防技術

黃 強 魯學仲 運 凱 李浩升 趙 梅 康婉晴

(國網新疆電力有限公司信息通信公司 烏魯木齊 830063)(tushi24986341813@163.com)

網絡攻擊的手段和方法日趨復雜、多樣化，網絡安全技防技術的發展成為保障其安全性的重要手段[1].現有研究是在網絡安全技防技術中通過設計入侵檢測平臺實現網絡安全技防.監測運行中的網絡可實時發現各種網絡攻擊軌跡、攻擊意圖以及攻擊結果，保證網絡系統資源的完整性、機密性以及有效性.網絡安全技防技術不僅需要檢測外網的入侵，還要對內部攻擊和用戶異常操作進行監測[2].

沈宏吉[3]總結了計算機網絡應用安全問題分析與防護措施，為提高計算機網絡信息安全水平作出了一定貢獻.顧艷婷[4]對計算機信息安全技術以及存在的問題進行了具體分析，并提出了相應的預防措施.但是BO2K等遠程控制軟件可以實現對遠程計算機網絡的完全控制.網絡新技術的開發，網絡容量隨之擴大，雖然方便了用戶的使用，但網絡流量過大極易造成報警量的激增，進而引起網絡安全技防出現漏洞，為IDS安全帶來很大的困擾.

多源告警信息關聯分析方法可以盡可能減少重復告警、降低告警誤報率以及告警信息漏報率[5-6].為此本文將網絡一系列的攻擊活動關聯在一起，基于多源告警信息關聯分析，還原攻擊意圖和攻擊軌跡，在給定的告警信息數據中查找重復關系，發現網絡安全中大量告警信息數據集中項目的關聯性，通過挖掘網絡數據相關性，實現告警信息下的網絡安全技防數據分類、聚合，實現網絡安全技防技術研究.

1 網絡安全技防技術方法設計

1.1 分析網絡安全攻擊意圖

對告警信息預處理過程中，需要對網絡安全技防技術平臺中不同的IDS產生原始告警，并將其統一為IDMEF格式[7].基于多源告警信息關聯分析的數據預處理，需要規范初級告警信息數據，包括：檢查相關告警信息數據錯誤，以及告警是否含有明確錯誤信息；標記告警時間、源IP地址、目的IP地址、源端口號、目的端口號以及網絡安全告警類型，從而提取有效告警信息，構建網絡安全技防被攻擊的意圖、場景.

網絡安全技防技術管理人員在基于多源告警信息關聯分析算法之前，需要明確網絡安全攻擊意圖[8].通過相關攻擊數據信息判斷網絡安全的威脅源性質，chairs系統以IP及其相關特性的形式，自動產生威脅源的特定對象信息并生成追蹤任務.通常情況下，chairs發送的追蹤任務包括如表1所示的追蹤任務頭部和追蹤任務采集規則域2部分內容.

表1 追蹤任務格式描述

不同的網絡安全攻擊步驟發生次序具有一定規律性.因此基于多源告警信息的關聯分析，通過網絡安全被入侵方案的規律性明確其攻擊意圖，進而實現網絡安全的技防技術研究.基于多源告警信息關聯分析的目的，是通過分析網絡安全技防技術平臺的告警信息獲取攻擊者的攻擊意圖.以多源告警信息中入侵者攻擊意圖為視角，通過對多源告警信息的關聯分析，進一步描述網絡安全技防技術的攻擊場景.

1.2 設置告警信息關聯參數

多源告警信息關聯分析算法允許用戶在網絡安全技防技術數據庫中，發現不同對象之間相互關系的技術[9].在多源告警信息關聯分析算法中，需要查找所有網絡安全中頻繁項目集，在數據庫中生成最小支持度以及最小置信度重要規則.該算法可以減少已生成網絡安全技防規則的數量，避免防護網絡安全的規則無效爆炸，提高網絡安全技防技術的計算效率.

本文選擇ECR-tree等價類規則樹結構實現多源告警信息關聯算法[10].多源告警信息關聯分析樹結構，不僅能夠存儲網絡安全技防項目集，還可以采集網絡安全技防技術項目集的同類信息.一定程度上，不需要花費額外的時間、精力生成多源告警信息的關聯分析規則，有效縮短網絡安全技防的挖掘時間，極大提高了決策效率.因此，在多源告警信息關聯分析樹結構中，每個節點是由多個元素組成，而三元組又組成了各個元素.具體表示為：〈(values){count[x∈X|decision(x)=Ci]?i∈[i,j]}〉.深度優化網絡安全技防策略，以及垂直多源告警信息數據格式，基于此建立多源告警信息關聯分析樹結構，TID_sets會逐行添加網絡安全技防項目集到關聯分析樹中；進而通過合并、添加全部網絡安全技防項目集.MECR-CARM通過采用diffset策略，計算2個網絡安全技防項目集差集的支持度.多源告警信息關聯分析樹的規則:元組是由節點及層指針組成的.具體的表示為〈att,itemset,(obidest1,obidest2,…,obidestk),(o1,o2,…,ok),pos,total〉.

在這些事務中，k為常數，可以為各個元素中的三元組，包括網絡安全技防項目集，以及與其相匹配的事務和各類事務個數；att為各個節點的屬性；obidest表示在每個分類中網絡安全技術防范的匹配事務；o為每個數據分類的obidest數量；pos為arg maxi∈[1,k]{O.oi}；total則表示為O.oi的和.以此得到一個完整的規則屬性集為〈[PointerstoFathers,PointersChildren,HorizontalPointer]〉.

其中，PointerstoFathers為指針指向父節點；PointersChildren為指針指向子節點；HorizontalPointer為橫線指針連接長度相同的頻繁項目集.為提高多源告警信息關聯分析算法的挖掘效率，每次只能掃描1次網絡安全技防的數據集[11].通過使用父節點之間的obidest差集diffsets，不僅能夠降低存儲數據的成本，還能夠縮短計算節點所需的時間.

1.3 設計告警信息關聯分析流程

基于多源告警信息關聯分析的網絡安全技防技術，包括告警信息預處理層冗余歸納整合層以及告警信息管理界面層.在多源告警信息關聯分析的底層，主要是通過網絡內部技防設備中的防火墻、IDS入侵檢測系統、入侵防御系統，以及其他設備采集告警信息[12].多源告警信息關聯分析數據的冗余歸納，以及整合是網絡安全技防技術的關鍵，因此將采集的告警信息，過濾并格式化處理網絡安全中的告警信息，然后存儲到內存中以備一時之需.

利用C語言，設計基于多源告警信息關聯分析的網絡安全技防技術層次圖，根據多源告警信息關聯分析樹結構，整體聚合以及關聯分析網絡安全技防技術中的告警信息.將告警信息輸出到告警信息管理界面層，并存儲、備份到數據庫，進而通過告警信息的上下層傳輸，還原整個網絡安全的時間攻擊軌跡，進一步識別其意圖[13].基于告警信息預處理模塊采集事件信息，將多源告警信息關聯分析的網絡安全技防技術進行歸類處理，網絡安全技防技術引擎利用此信息，通過分事件聚合進行告警信息的關聯分析，具體分析流程如圖1所示:

圖1 告警信息關聯分析流程圖

實現多源告警信息關聯分析的網絡安全技防技術的研究，是保障網絡安全事件應急響應中極為關鍵的環節[14].網絡攻擊者通過使用modem連接到網絡，這種方式不僅能夠繞過網絡防火墻，還能夠下載網絡代碼引起安全漏洞.以電子郵件的形式整合告警信息中的有效數據，進而生成警報日志以及協議日志，并將處理得到的告警信息作為通信活動信息的威脅源.

多源告警信息預處理層，通過采集云計算網絡安全技防技術管理平臺的告警信息，對多源告警信息進行格式化、歸并以及篩選等處理.生成多源告警信息關聯分析樹，并將告警信息與已經生成的關聯分析樹進行匹配，直至告警信息能夠在網絡安全技防技術平臺中展示，進而通過設定短信，或是以電子郵件的方式傳達給相應的網絡安全管理人員.

1.4 設計網絡安全技防技術平臺

由于攻擊網絡安全相關的威脅源數據分布在不同的節點，或是同一個節點的不同位置，具有數據結構獨立性、單一性的特征，因此基于多源告警信息關聯分析的攻擊意圖，需要進行多維度威脅源數據整合，在告警信息中盡可能多地表達網絡安全被攻擊的過程信息.為此設計網絡安全技防技術平臺如圖2所示，從中提取更為有價值的告警信息.

圖2 網絡安全技防技術平臺

基于多源告警信息關聯分析的網絡安全技防技術的研究，能夠有效識別網絡安全中威脅源的詳細信息，同時還能夠提供威脅源的相關基礎數據信息.與網絡安全威脅源相關的數據源包括：IPCIS提供IP、端口等基礎信息的IP綜合信息平臺，以及有效識別采集子模塊威脅源的MONSTER信息平臺.從時間和空間2個維度，整合網絡安全中告警信息的有效威脅源數據[15].

在網絡安全技防技術平臺中，多源告警信息關聯分析匹配線程，是通過讀取輸入隊列中的事件信息，將其源IP、目的IP、源端口，以及目的端口等關鍵屬性值，與等待匹配的節點預期屬性值進行比較，具體過程如圖3所示.

圖3 告警信息管理分析匹配線程

利用XML.文檔存儲基于多源告警信息關聯分析樹中的規則描述信息，在XML.文檔中，根節點為無效空節點，而根節點的子節點均表示為一個網絡安全被攻擊場景；在每個被攻擊的場景中，每個子節點分別對應一個多源告警信息關聯分析樹規則，保證網絡安全技防平臺執行相應措施的及時性.

2 仿真實驗

2.1 實驗準備

基于多源告警信息關聯分析的網絡安全技防技術的平臺，安裝在配置為Inter Celeron 2.4 GHz CPU的服務器上，其中內存為256 MB、硬盤為80 GB、操作系統為Windows 2000 SP4，以及連接到局域網網卡.其中，多源告警信息關聯分析的數據服務器負責提供Web服務，服務器的配置與平臺安裝配置相同.此外，多源告警信息關聯分析的數據服務器還安裝了SQL Service2000，IIS以及網絡安全證書服務.模擬入侵的攻擊主機配置，需要利用tcpreplay網絡流量播放軟件，向所在的網絡安全技防技術平臺注入網絡流量，與此同時，攻擊主機利用DARPA 2000數據集對目標網絡安全技防技術平臺進行模擬DDOS攻擊.

基于多源告警信息關聯分析的網絡安全技防技術的實驗平臺，前端操作部分使用的是HTML,CSS，以及Js語言，而后臺控制部分是通過Python編程實現.為實現基于多源告警信息關聯分析的網絡安全技防技術的實驗平臺的有效模擬，需要設計一個網絡安全用戶平臺，不僅可以將收集到的告警信息關聯分析導入數據庫，還保證了每個告警信息關聯分析的數據集結果能夠被上傳數據的人員看到.

2.2 實驗過程

通過對輸入的告警信息關聯分析結果進行聚合，將告警信息的處理結果存儲到網絡安全技防技術平臺的數據庫，并利用可視化的形式將告警信息傳輸至前端管理人員.為了驗證基于多源告警信息關聯分析的網絡安全技防技術的實驗平臺有效性，必須接收安全告警信息數據源.通過Snort網絡入侵檢測平臺查找、歸并網絡安全技防技術平臺所需的告警信息安全事件，并提供有效且安全的告警信息數據.為了檢測在網絡安全技防技術平臺中告警信息的減少數量以及減少率，可以通過式(1)計算：

(1)

其中，R為告警信息減少率；N為告警信息關聯分析后安全事件的數量；Sum為原始已有的告警信息安全事件總數.

2.3 實驗結果

對多源告警信息關聯分析的有效聚合進行融合比的計算，得到基于多源告警信息關聯分析的實驗指標:

(2)

其中，K為多源告警信息關聯融合比，M為在某一時間段內原始告警信息的數量，由此得到告警信息關聯分析實驗結果如表2所示:

表2 告警信息關聯分析實驗結果

根據表2的結果可以看出，網絡安全技防技術平臺的告警信息的數量基數較大；經過多源告警信息關聯分析的聚合其數量基數明顯減少，總融合比高達0.985 5.由此可以證明，以多源告警信息關聯分析結果為基礎研究的網絡安全技防技術具有更好的聚合效果，為進一步測試告警信息處理量以及實現網絡技防預警提供了數據參考.

為了驗證關聯分析法在網絡安全技防技術中告警信息挖掘有效性，分別利用文獻[6]基于告警語義分析的物聯網攻擊行為研究方法、文獻[7]基于大數據分析的云資源池告警信息關聯方案以及本文方法在同一運行時間內，測試告警信息處理量為1 800時的運行時間，得到實驗結果如圖4所示:

圖4 3種方法運行時間對比

由圖4的運行時間對比結果可知，文獻[6]和文獻[7]分別在1 600和1 200時停止運行，對于剩余告警信息未進行處理，相較而言本文方法沒有遺漏網絡安全技防技術平臺中主要的告警信息.從運行時間來看，本文方法的運行時間相較于對比方法更低，在告警信息數量為1 400時運行時間急劇增加，其主要原因是信息量增多，關聯分析需要經過較多次運算，導致運行時間過長.但是相對而言，經過關聯分析算法的告警信息數量結果，保證了告警信息的及時性，提高了告警信息的報警效率.

3 結束語

根據典型的多源告警信息關聯分析算法，并結合網絡安全技防技術的管理需求，進而通過不斷分析在網絡安全中多源告警信息的關聯，了解實際需求，提出相應的信息關聯分析策略.告警信息的預處理、聚合、關聯分析，以及分析結果的反饋評估，能夠實現網絡安全技防技術大量數據去冗余、聚合以及關聯的目的.此外，多源告警信息關聯分析是利用時間窗口參數值進行聚合，并根據源端口、目的端口、源IP地址、目的IP地址，以及關聯分析規則，判斷網絡安全攻擊類型.