黃 強(qiáng) 魯學(xué)仲 運(yùn) 凱 李浩升 趙 梅 康婉晴

(國網(wǎng)新疆電力有限公司信息通信公司 烏魯木齊 830063)(tushi24986341813@163.com)

網(wǎng)絡(luò)攻擊的手段和方法日趨復(fù)雜、多樣化，網(wǎng)絡(luò)安全技防技術(shù)的發(fā)展成為保障其安全性的重要手段[1].現(xiàn)有研究是在網(wǎng)絡(luò)安全技防技術(shù)中通過設(shè)計(jì)入侵檢測(cè)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)安全技防.監(jiān)測(cè)運(yùn)行中的網(wǎng)絡(luò)可實(shí)時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊軌跡、攻擊意圖以及攻擊結(jié)果，保證網(wǎng)絡(luò)系統(tǒng)資源的完整性、機(jī)密性以及有效性.網(wǎng)絡(luò)安全技防技術(shù)不僅需要檢測(cè)外網(wǎng)的入侵，還要對(duì)內(nèi)部攻擊和用戶異常操作進(jìn)行監(jiān)測(cè)[2].

沈宏吉[3]總結(jié)了計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題分析與防護(hù)措施，為提高計(jì)算機(jī)網(wǎng)絡(luò)信息安全水平作出了一定貢獻(xiàn).顧艷婷[4]對(duì)計(jì)算機(jī)信息安全技術(shù)以及存在的問題進(jìn)行了具體分析，并提出了相應(yīng)的預(yù)防措施.但是BO2K等遠(yuǎn)程控制軟件可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)的完全控制.網(wǎng)絡(luò)新技術(shù)的開發(fā)，網(wǎng)絡(luò)容量隨之?dāng)U大，雖然方便了用戶的使用，但網(wǎng)絡(luò)流量過大極易造成報(bào)警量的激增，進(jìn)而引起網(wǎng)絡(luò)安全技防出現(xiàn)漏洞，為IDS安全帶來很大的困擾.

多源告警信息關(guān)聯(lián)分析方法可以盡可能減少重復(fù)告警、降低告警誤報(bào)率以及告警信息漏報(bào)率[5-6].為此本文將網(wǎng)絡(luò)一系列的攻擊活動(dòng)關(guān)聯(lián)在一起，基于多源告警信息關(guān)聯(lián)分析，還原攻擊意圖和攻擊軌跡，在給定的告警信息數(shù)據(jù)中查找重復(fù)關(guān)系，發(fā)現(xiàn)網(wǎng)絡(luò)安全中大量告警信息數(shù)據(jù)集中項(xiàng)目的關(guān)聯(lián)性，通過挖掘網(wǎng)絡(luò)數(shù)據(jù)相關(guān)性，實(shí)現(xiàn)告警信息下的網(wǎng)絡(luò)安全技防數(shù)據(jù)分類、聚合，實(shí)現(xiàn)網(wǎng)絡(luò)安全技防技術(shù)研究.

1 網(wǎng)絡(luò)安全技防技術(shù)方法設(shè)計(jì)

1.1 分析網(wǎng)絡(luò)安全攻擊意圖

對(duì)告警信息預(yù)處理過程中，需要對(duì)網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)中不同的IDS產(chǎn)生原始告警，并將其統(tǒng)一為IDMEF格式[7].基于多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)預(yù)處理，需要規(guī)范初級(jí)告警信息數(shù)據(jù)，包括：檢查相關(guān)告警信息數(shù)據(jù)錯(cuò)誤，以及告警是否含有明確錯(cuò)誤信息；標(biāo)記告警時(shí)間、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)以及網(wǎng)絡(luò)安全告警類型，從而提取有效告警信息，構(gòu)建網(wǎng)絡(luò)安全技防被攻擊的意圖、場(chǎng)景.

網(wǎng)絡(luò)安全技防技術(shù)管理人員在基于多源告警信息關(guān)聯(lián)分析算法之前，需要明確網(wǎng)絡(luò)安全攻擊意圖[8].通過相關(guān)攻擊數(shù)據(jù)信息判斷網(wǎng)絡(luò)安全的威脅源性質(zhì)，chairs系統(tǒng)以IP及其相關(guān)特性的形式，自動(dòng)產(chǎn)生威脅源的特定對(duì)象信息并生成追蹤任務(wù).通常情況下，chairs發(fā)送的追蹤任務(wù)包括如表1所示的追蹤任務(wù)頭部和追蹤任務(wù)采集規(guī)則域2部分內(nèi)容.

表1 追蹤任務(wù)格式描述

不同的網(wǎng)絡(luò)安全攻擊步驟發(fā)生次序具有一定規(guī)律性.因此基于多源告警信息的關(guān)聯(lián)分析，通過網(wǎng)絡(luò)安全被入侵方案的規(guī)律性明確其攻擊意圖，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全的技防技術(shù)研究.基于多源告警信息關(guān)聯(lián)分析的目的，是通過分析網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)的告警信息獲取攻擊者的攻擊意圖.以多源告警信息中入侵者攻擊意圖為視角，通過對(duì)多源告警信息的關(guān)聯(lián)分析，進(jìn)一步描述網(wǎng)絡(luò)安全技防技術(shù)的攻擊場(chǎng)景.

1.2 設(shè)置告警信息關(guān)聯(lián)參數(shù)

多源告警信息關(guān)聯(lián)分析算法允許用戶在網(wǎng)絡(luò)安全技防技術(shù)數(shù)據(jù)庫中，發(fā)現(xiàn)不同對(duì)象之間相互關(guān)系的技術(shù)[9].在多源告警信息關(guān)聯(lián)分析算法中，需要查找所有網(wǎng)絡(luò)安全中頻繁項(xiàng)目集，在數(shù)據(jù)庫中生成最小支持度以及最小置信度重要規(guī)則.該算法可以減少已生成網(wǎng)絡(luò)安全技防規(guī)則的數(shù)量，避免防護(hù)網(wǎng)絡(luò)安全的規(guī)則無效爆炸，提高網(wǎng)絡(luò)安全技防技術(shù)的計(jì)算效率.

本文選擇ECR-tree等價(jià)類規(guī)則樹結(jié)構(gòu)實(shí)現(xiàn)多源告警信息關(guān)聯(lián)算法[10].多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，不僅能夠存儲(chǔ)網(wǎng)絡(luò)安全技防項(xiàng)目集，還可以采集網(wǎng)絡(luò)安全技防技術(shù)項(xiàng)目集的同類信息.一定程度上，不需要花費(fèi)額外的時(shí)間、精力生成多源告警信息的關(guān)聯(lián)分析規(guī)則，有效縮短網(wǎng)絡(luò)安全技防的挖掘時(shí)間，極大提高了決策效率.因此，在多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)中，每個(gè)節(jié)點(diǎn)是由多個(gè)元素組成，而三元組又組成了各個(gè)元素.具體表示為：〈(values){count[x∈X|decision(x)=Ci]?i∈[i,j]}〉.深度優(yōu)化網(wǎng)絡(luò)安全技防策略，以及垂直多源告警信息數(shù)據(jù)格式，基于此建立多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，TID_sets會(huì)逐行添加網(wǎng)絡(luò)安全技防項(xiàng)目集到關(guān)聯(lián)分析樹中；進(jìn)而通過合并、添加全部網(wǎng)絡(luò)安全技防項(xiàng)目集.MECR-CARM通過采用diffset策略，計(jì)算2個(gè)網(wǎng)絡(luò)安全技防項(xiàng)目集差集的支持度.多源告警信息關(guān)聯(lián)分析樹的規(guī)則:元組是由節(jié)點(diǎn)及層指針組成的.具體的表示為〈att,itemset,(obidest1,obidest2,…,obidestk),(o1,o2,…,ok),pos,total〉.

在這些事務(wù)中，k為常數(shù)，可以為各個(gè)元素中的三元組，包括網(wǎng)絡(luò)安全技防項(xiàng)目集，以及與其相匹配的事務(wù)和各類事務(wù)個(gè)數(shù)；att為各個(gè)節(jié)點(diǎn)的屬性；obidest表示在每個(gè)分類中網(wǎng)絡(luò)安全技術(shù)防范的匹配事務(wù)；o為每個(gè)數(shù)據(jù)分類的obidest數(shù)量；pos為arg maxi∈[1,k]{O.oi}；total則表示為O.oi的和.以此得到一個(gè)完整的規(guī)則屬性集為〈[PointerstoFathers,PointersChildren,HorizontalPointer]〉.

其中，PointerstoFathers為指針指向父節(jié)點(diǎn)；PointersChildren為指針指向子節(jié)點(diǎn)；HorizontalPointer為橫線指針連接長度相同的頻繁項(xiàng)目集.為提高多源告警信息關(guān)聯(lián)分析算法的挖掘效率，每次只能掃描1次網(wǎng)絡(luò)安全技防的數(shù)據(jù)集[11].通過使用父節(jié)點(diǎn)之間的obidest差集diffsets，不僅能夠降低存儲(chǔ)數(shù)據(jù)的成本，還能夠縮短計(jì)算節(jié)點(diǎn)所需的時(shí)間.

1.3 設(shè)計(jì)告警信息關(guān)聯(lián)分析流程

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)，包括告警信息預(yù)處理層冗余歸納整合層以及告警信息管理界面層.在多源告警信息關(guān)聯(lián)分析的底層，主要是通過網(wǎng)絡(luò)內(nèi)部技防設(shè)備中的防火墻、IDS入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)，以及其他設(shè)備采集告警信息[12].多源告警信息關(guān)聯(lián)分析數(shù)據(jù)的冗余歸納，以及整合是網(wǎng)絡(luò)安全技防技術(shù)的關(guān)鍵，因此將采集的告警信息，過濾并格式化處理網(wǎng)絡(luò)安全中的告警信息，然后存儲(chǔ)到內(nèi)存中以備一時(shí)之需.

利用C語言，設(shè)計(jì)基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)層次圖，根據(jù)多源告警信息關(guān)聯(lián)分析樹結(jié)構(gòu)，整體聚合以及關(guān)聯(lián)分析網(wǎng)絡(luò)安全技防技術(shù)中的告警信息.將告警信息輸出到告警信息管理界面層，并存儲(chǔ)、備份到數(shù)據(jù)庫，進(jìn)而通過告警信息的上下層傳輸，還原整個(gè)網(wǎng)絡(luò)安全的時(shí)間攻擊軌跡，進(jìn)一步識(shí)別其意圖[13].基于告警信息預(yù)處理模塊采集事件信息，將多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)進(jìn)行歸類處理，網(wǎng)絡(luò)安全技防技術(shù)引擎利用此信息，通過分事件聚合進(jìn)行告警信息的關(guān)聯(lián)分析，具體分析流程如圖1所示:

圖1 告警信息關(guān)聯(lián)分析流程圖

實(shí)現(xiàn)多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的研究，是保障網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中極為關(guān)鍵的環(huán)節(jié)[14].網(wǎng)絡(luò)攻擊者通過使用modem連接到網(wǎng)絡(luò)，這種方式不僅能夠繞過網(wǎng)絡(luò)防火墻，還能夠下載網(wǎng)絡(luò)代碼引起安全漏洞.以電子郵件的形式整合告警信息中的有效數(shù)據(jù)，進(jìn)而生成警報(bào)日志以及協(xié)議日志，并將處理得到的告警信息作為通信活動(dòng)信息的威脅源.

多源告警信息預(yù)處理層，通過采集云計(jì)算網(wǎng)絡(luò)安全技防技術(shù)管理平臺(tái)的告警信息，對(duì)多源告警信息進(jìn)行格式化、歸并以及篩選等處理.生成多源告警信息關(guān)聯(lián)分析樹，并將告警信息與已經(jīng)生成的關(guān)聯(lián)分析樹進(jìn)行匹配，直至告警信息能夠在網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)中展示，進(jìn)而通過設(shè)定短信，或是以電子郵件的方式傳達(dá)給相應(yīng)的網(wǎng)絡(luò)安全管理人員.

1.4 設(shè)計(jì)網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)

由于攻擊網(wǎng)絡(luò)安全相關(guān)的威脅源數(shù)據(jù)分布在不同的節(jié)點(diǎn)，或是同一個(gè)節(jié)點(diǎn)的不同位置，具有數(shù)據(jù)結(jié)構(gòu)獨(dú)立性、單一性的特征，因此基于多源告警信息關(guān)聯(lián)分析的攻擊意圖，需要進(jìn)行多維度威脅源數(shù)據(jù)整合，在告警信息中盡可能多地表達(dá)網(wǎng)絡(luò)安全被攻擊的過程信息.為此設(shè)計(jì)網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)如圖2所示，從中提取更為有價(jià)值的告警信息.

圖2 網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的研究，能夠有效識(shí)別網(wǎng)絡(luò)安全中威脅源的詳細(xì)信息，同時(shí)還能夠提供威脅源的相關(guān)基礎(chǔ)數(shù)據(jù)信息.與網(wǎng)絡(luò)安全威脅源相關(guān)的數(shù)據(jù)源包括：IPCIS提供IP、端口等基礎(chǔ)信息的IP綜合信息平臺(tái)，以及有效識(shí)別采集子模塊威脅源的MONSTER信息平臺(tái).從時(shí)間和空間2個(gè)維度，整合網(wǎng)絡(luò)安全中告警信息的有效威脅源數(shù)據(jù)[15].

在網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)中，多源告警信息關(guān)聯(lián)分析匹配線程，是通過讀取輸入隊(duì)列中的事件信息，將其源IP、目的IP、源端口，以及目的端口等關(guān)鍵屬性值，與等待匹配的節(jié)點(diǎn)預(yù)期屬性值進(jìn)行比較，具體過程如圖3所示.

圖3 告警信息管理分析匹配線程

利用XML.文檔存儲(chǔ)基于多源告警信息關(guān)聯(lián)分析樹中的規(guī)則描述信息，在XML.文檔中，根節(jié)點(diǎn)為無效空節(jié)點(diǎn)，而根節(jié)點(diǎn)的子節(jié)點(diǎn)均表示為一個(gè)網(wǎng)絡(luò)安全被攻擊場(chǎng)景；在每個(gè)被攻擊的場(chǎng)景中，每個(gè)子節(jié)點(diǎn)分別對(duì)應(yīng)一個(gè)多源告警信息關(guān)聯(lián)分析樹規(guī)則，保證網(wǎng)絡(luò)安全技防平臺(tái)執(zhí)行相應(yīng)措施的及時(shí)性.

2 仿真實(shí)驗(yàn)

2.1 實(shí)驗(yàn)準(zhǔn)備

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的平臺(tái)，安裝在配置為Inter Celeron 2.4 GHz CPU的服務(wù)器上，其中內(nèi)存為256 MB、硬盤為80 GB、操作系統(tǒng)為Windows 2000 SP4，以及連接到局域網(wǎng)網(wǎng)卡.其中，多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)服務(wù)器負(fù)責(zé)提供Web服務(wù)，服務(wù)器的配置與平臺(tái)安裝配置相同.此外，多源告警信息關(guān)聯(lián)分析的數(shù)據(jù)服務(wù)器還安裝了SQL Service2000，IIS以及網(wǎng)絡(luò)安全證書服務(wù).模擬入侵的攻擊主機(jī)配置，需要利用tcpreplay網(wǎng)絡(luò)流量播放軟件，向所在的網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)注入網(wǎng)絡(luò)流量，與此同時(shí)，攻擊主機(jī)利用DARPA 2000數(shù)據(jù)集對(duì)目標(biāo)網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)進(jìn)行模擬DDOS攻擊.

基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實(shí)驗(yàn)平臺(tái)，前端操作部分使用的是HTML,CSS，以及Js語言，而后臺(tái)控制部分是通過Python編程實(shí)現(xiàn).為實(shí)現(xiàn)基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實(shí)驗(yàn)平臺(tái)的有效模擬，需要設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全用戶平臺(tái)，不僅可以將收集到的告警信息關(guān)聯(lián)分析導(dǎo)入數(shù)據(jù)庫，還保證了每個(gè)告警信息關(guān)聯(lián)分析的數(shù)據(jù)集結(jié)果能夠被上傳數(shù)據(jù)的人員看到.

2.2 實(shí)驗(yàn)過程

通過對(duì)輸入的告警信息關(guān)聯(lián)分析結(jié)果進(jìn)行聚合，將告警信息的處理結(jié)果存儲(chǔ)到網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)的數(shù)據(jù)庫，并利用可視化的形式將告警信息傳輸至前端管理人員.為了驗(yàn)證基于多源告警信息關(guān)聯(lián)分析的網(wǎng)絡(luò)安全技防技術(shù)的實(shí)驗(yàn)平臺(tái)有效性，必須接收安全告警信息數(shù)據(jù)源.通過Snort網(wǎng)絡(luò)入侵檢測(cè)平臺(tái)查找、歸并網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)所需的告警信息安全事件，并提供有效且安全的告警信息數(shù)據(jù).為了檢測(cè)在網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)中告警信息的減少數(shù)量以及減少率，可以通過式(1)計(jì)算：

(1)

其中，R為告警信息減少率；N為告警信息關(guān)聯(lián)分析后安全事件的數(shù)量；Sum為原始已有的告警信息安全事件總數(shù).

2.3 實(shí)驗(yàn)結(jié)果

對(duì)多源告警信息關(guān)聯(lián)分析的有效聚合進(jìn)行融合比的計(jì)算，得到基于多源告警信息關(guān)聯(lián)分析的實(shí)驗(yàn)指標(biāo):

(2)

其中，K為多源告警信息關(guān)聯(lián)融合比，M為在某一時(shí)間段內(nèi)原始告警信息的數(shù)量，由此得到告警信息關(guān)聯(lián)分析實(shí)驗(yàn)結(jié)果如表2所示:

表2 告警信息關(guān)聯(lián)分析實(shí)驗(yàn)結(jié)果

根據(jù)表2的結(jié)果可以看出，網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)的告警信息的數(shù)量基數(shù)較大；經(jīng)過多源告警信息關(guān)聯(lián)分析的聚合其數(shù)量基數(shù)明顯減少，總?cè)诤媳雀哌_(dá)0.985 5.由此可以證明，以多源告警信息關(guān)聯(lián)分析結(jié)果為基礎(chǔ)研究的網(wǎng)絡(luò)安全技防技術(shù)具有更好的聚合效果，為進(jìn)一步測(cè)試告警信息處理量以及實(shí)現(xiàn)網(wǎng)絡(luò)技防預(yù)警提供了數(shù)據(jù)參考.

為了驗(yàn)證關(guān)聯(lián)分析法在網(wǎng)絡(luò)安全技防技術(shù)中告警信息挖掘有效性，分別利用文獻(xiàn)[6]基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法、文獻(xiàn)[7]基于大數(shù)據(jù)分析的云資源池告警信息關(guān)聯(lián)方案以及本文方法在同一運(yùn)行時(shí)間內(nèi)，測(cè)試告警信息處理量為1 800時(shí)的運(yùn)行時(shí)間，得到實(shí)驗(yàn)結(jié)果如圖4所示:

圖4 3種方法運(yùn)行時(shí)間對(duì)比

由圖4的運(yùn)行時(shí)間對(duì)比結(jié)果可知，文獻(xiàn)[6]和文獻(xiàn)[7]分別在1 600和1 200時(shí)停止運(yùn)行，對(duì)于剩余告警信息未進(jìn)行處理，相較而言本文方法沒有遺漏網(wǎng)絡(luò)安全技防技術(shù)平臺(tái)中主要的告警信息.從運(yùn)行時(shí)間來看，本文方法的運(yùn)行時(shí)間相較于對(duì)比方法更低，在告警信息數(shù)量為1 400時(shí)運(yùn)行時(shí)間急劇增加，其主要原因是信息量增多，關(guān)聯(lián)分析需要經(jīng)過較多次運(yùn)算，導(dǎo)致運(yùn)行時(shí)間過長.但是相對(duì)而言，經(jīng)過關(guān)聯(lián)分析算法的告警信息數(shù)量結(jié)果，保證了告警信息的及時(shí)性，提高了告警信息的報(bào)警效率.

3 結(jié)束語

根據(jù)典型的多源告警信息關(guān)聯(lián)分析算法，并結(jié)合網(wǎng)絡(luò)安全技防技術(shù)的管理需求，進(jìn)而通過不斷分析在網(wǎng)絡(luò)安全中多源告警信息的關(guān)聯(lián)，了解實(shí)際需求，提出相應(yīng)的信息關(guān)聯(lián)分析策略.告警信息的預(yù)處理、聚合、關(guān)聯(lián)分析，以及分析結(jié)果的反饋評(píng)估，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全技防技術(shù)大量數(shù)據(jù)去冗余、聚合以及關(guān)聯(lián)的目的.此外，多源告警信息關(guān)聯(lián)分析是利用時(shí)間窗口參數(shù)值進(jìn)行聚合，并根據(jù)源端口、目的端口、源IP地址、目的IP地址，以及關(guān)聯(lián)分析規(guī)則，判斷網(wǎng)絡(luò)安全攻擊類型.