基于DS 證據(jù)理論的多源網(wǎng)絡(luò)安全數(shù)據(jù)融合模型

黃智勇，林仁明，劉 宏，朱舉異，李嘉坤

（1.電子科技大學(xué)信息與軟件工程學(xué)院，四川成都 610054；2.四川省市場(chǎng)監(jiān)督管理局信息中心，四川成都 610017）

0 引 言

市場(chǎng)監(jiān)管領(lǐng)域中業(yè)務(wù)平臺(tái)每天經(jīng)過(guò)的流量大、涉及的域名多，在網(wǎng)絡(luò)安全的防護(hù)過(guò)程中日志系統(tǒng)和警報(bào)系統(tǒng)每天都會(huì)產(chǎn)生大量的數(shù)據(jù)，難以分析和預(yù)處理。同時(shí)，當(dāng)今網(wǎng)絡(luò)活動(dòng)相當(dāng)復(fù)雜，無(wú)論是單個(gè)入侵檢測(cè)系統(tǒng)工作，還是多個(gè)入侵檢測(cè)系統(tǒng)配合都容易出現(xiàn)誤報(bào)、漏報(bào)和重復(fù)報(bào)警的問(wèn)題，對(duì)于市場(chǎng)監(jiān)管系統(tǒng)復(fù)雜的網(wǎng)絡(luò)情況，難以快速準(zhǔn)確地識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為減輕市場(chǎng)監(jiān)管領(lǐng)域網(wǎng)絡(luò)安全防控壓力，本文提出一種基于異構(gòu)日志和警報(bào)源的安全數(shù)據(jù)融合算法，利用DS（Dempster-Shafer）證據(jù)理論對(duì)攻擊數(shù)據(jù)進(jìn)行關(guān)聯(lián)和融合，快速獲取系統(tǒng)最關(guān)鍵的安全態(tài)勢(shì)信息，輔助市場(chǎng)監(jiān)管網(wǎng)絡(luò)安全態(tài)勢(shì)決策。

1 相關(guān)研究

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

由于目前的網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻，并隨著各個(gè)企業(yè)與部門對(duì)網(wǎng)絡(luò)安全的關(guān)注程度不斷提升，對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的相關(guān)研究越來(lái)越多，也有許多研究已經(jīng)構(gòu)建了相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型。文獻(xiàn)[1-2]首次將情景意識(shí)應(yīng)用于網(wǎng)絡(luò)安全中，將多源異構(gòu)網(wǎng)絡(luò)傳感器數(shù)據(jù)進(jìn)行數(shù)據(jù)融合之后再用于網(wǎng)絡(luò)安全態(tài)勢(shì)分析的技術(shù)中是十分重要的，這也引發(fā)了互聯(lián)網(wǎng)安全領(lǐng)域的一場(chǎng)革命。

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架的研究中，文獻(xiàn)[3]提出一種具有多層次架構(gòu)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架，對(duì)該框架中的數(shù)據(jù)進(jìn)行分類，針對(duì)每一個(gè)類分別分配對(duì)應(yīng)的處理引擎，識(shí)別特定因素、特定類別的數(shù)據(jù)。文獻(xiàn)[4]針對(duì)網(wǎng)絡(luò)中的原始數(shù)據(jù)量超載導(dǎo)致的響應(yīng)速度慢，以及網(wǎng)絡(luò)中數(shù)據(jù)尤其是文本情感數(shù)據(jù)缺乏上下文聯(lián)系并不和網(wǎng)絡(luò)上視圖保持統(tǒng)一的問(wèn)題，提出一種分布式數(shù)據(jù)流處理方法，通過(guò)分布式處理減少數(shù)據(jù)處理的時(shí)間，同時(shí)將原始數(shù)據(jù)轉(zhuǎn)換為通用格式的規(guī)范化數(shù)據(jù)來(lái)保證分布式框架的通用性。針對(duì)態(tài)勢(shì)感知中的感知結(jié)果可視化方面，文獻(xiàn)[5]提出一種態(tài)勢(shì)可視化工具，能夠可視化不同級(jí)別上的流量活動(dòng)，并且發(fā)現(xiàn)不同的原始數(shù)據(jù)量可能會(huì)導(dǎo)致態(tài)勢(shì)數(shù)據(jù)關(guān)系和模式的不同，從而為態(tài)勢(shì)感知提供不同的分析能力。文獻(xiàn)[6]提出在同一系統(tǒng)中，不同角色的人希望了解不同業(yè)務(wù)下的網(wǎng)絡(luò)安全狀態(tài)，針對(duì)不同網(wǎng)絡(luò)安全配置文件，將有關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)的信息與由此產(chǎn)生的業(yè)務(wù)影響相關(guān)聯(lián)，從而明確網(wǎng)絡(luò)的哪一部分是角色希望感知的網(wǎng)絡(luò)安全狀態(tài)。文獻(xiàn)[7]提出一種網(wǎng)絡(luò)安全態(tài)勢(shì)模型，該模型對(duì)態(tài)勢(shì)感知中的功能屬性進(jìn)行研究，最后預(yù)測(cè)或模擬可能的場(chǎng)景等。

1.2 多源數(shù)據(jù)融合理論

多源數(shù)據(jù)融合理論及其應(yīng)用在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中是重要并且關(guān)鍵的，由于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估正確與否對(duì)于數(shù)據(jù)的要求比較高，所以多源數(shù)據(jù)融合后得到的融合結(jié)果是否準(zhǔn)確直接與網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果的正確性成正比，同時(shí)多源數(shù)據(jù)融合結(jié)果是否合理也直接影響網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果的合理性。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中的數(shù)據(jù)融合一般指的是針對(duì)不同來(lái)源、不同時(shí)間但是具有一定相關(guān)性的安全態(tài)勢(shì)數(shù)據(jù)的融合，目的是解決以往使用單一數(shù)據(jù)源對(duì)網(wǎng)絡(luò)安全進(jìn)行態(tài)勢(shì)評(píng)估導(dǎo)致的不準(zhǔn)確與不合理的問(wèn)題。數(shù)據(jù)融合的概念自1967 年由Dempster 提出以來(lái)，隨著計(jì)算機(jī)技術(shù)的發(fā)展與廣泛應(yīng)用，尤其是在大數(shù)據(jù)、機(jī)器學(xué)習(xí)等極其需要數(shù)據(jù)的技術(shù)出現(xiàn)之后，數(shù)據(jù)融合技術(shù)也變得越發(fā)重要，尤其是在多傳感器領(lǐng)域。多傳感器信息融合技術(shù)通過(guò)選擇合適的信息處理算法來(lái)處理從多個(gè)傳感器獲得的獨(dú)立觀測(cè)數(shù)據(jù)。傳統(tǒng)的多傳感器融合方法有卡爾曼濾波[8]、統(tǒng)計(jì)方法[9]、貝葉斯推理[10]、經(jīng)驗(yàn)推理[11]、模板法等[12-13]。但是實(shí)際應(yīng)用中，由于惡劣天氣、傳感器故障、能量供應(yīng)不足、通信故障等內(nèi)部和外部影響，從多傳感器系統(tǒng)獲得的數(shù)據(jù)可能不完整或不準(zhǔn)確。在網(wǎng)絡(luò)安全態(tài)勢(shì)中應(yīng)用數(shù)據(jù)融合也是如此，自文獻(xiàn)[1-2]將數(shù)據(jù)融合模型應(yīng)用于入侵檢測(cè)系統(tǒng)和威脅感知之后，誕生了許多與此相關(guān)方面的研究，比如文獻(xiàn)[14]改進(jìn)了數(shù)據(jù)融合的方法，使其能在復(fù)雜環(huán)境下保證IDS 系統(tǒng)的目標(biāo)檢測(cè)能力與跟蹤警報(bào)的能力。文獻(xiàn)[15]在前人的研究基礎(chǔ)上構(gòu)建了一個(gè)以多源數(shù)據(jù)融合為基礎(chǔ)的一種入侵檢測(cè)系統(tǒng)框架。

國(guó)內(nèi)對(duì)于數(shù)據(jù)融合以及數(shù)據(jù)融合在網(wǎng)絡(luò)安全領(lǐng)域如何應(yīng)用的研究起步比較晚，并且以高校和研究機(jī)構(gòu)為主，在應(yīng)用方面仍然缺乏相關(guān)的研究。文獻(xiàn)[16]通過(guò)對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)主機(jī)對(duì)外的服務(wù)信息、網(wǎng)絡(luò)的訪問(wèn)信息和系統(tǒng)漏洞數(shù)據(jù)等多種數(shù)據(jù)進(jìn)行分析和評(píng)估，并在對(duì)這些多源數(shù)據(jù)進(jìn)行融合的基礎(chǔ)上，對(duì)目標(biāo)網(wǎng)絡(luò)中實(shí)際的安全狀況進(jìn)行評(píng)價(jià)與分析。文獻(xiàn)[17]主要使用D-S 證據(jù)理論對(duì)多源數(shù)據(jù)進(jìn)行了可信可靠的融合分析，通過(guò)在DS證據(jù)理論中使用相似系數(shù)考察證據(jù)之間的相似性，減小沖突證據(jù)對(duì)于數(shù)據(jù)融合帶來(lái)的影響而導(dǎo)致的數(shù)據(jù)融合結(jié)果的準(zhǔn)確性降低的問(wèn)題。文獻(xiàn)[18]通過(guò)引入卡爾曼濾波結(jié)合數(shù)據(jù)融合框架來(lái)過(guò)濾數(shù)據(jù)，同時(shí)采用迭代的方法進(jìn)行每輪融合，提高了融合的實(shí)時(shí)性。文獻(xiàn)[19]注意到DS 證據(jù)理論中證據(jù)相互沖突的問(wèn)題，提出在DS 證據(jù)理論進(jìn)行數(shù)據(jù)融合時(shí)將證據(jù)的相對(duì)距離和證據(jù)的不確定性作為參數(shù)，減弱證據(jù)之間的沖突性，能夠提高沖突證據(jù)之間融合的可行性。

2 基于DS 證據(jù)理論的數(shù)據(jù)融合模型

2.1 DS 證據(jù)理論

DS 證據(jù)理論基礎(chǔ)嚴(yán)謹(jǐn)，組合規(guī)則簡(jiǎn)單，被廣泛應(yīng)用于決策、目標(biāo)識(shí)別等信息融合領(lǐng)域。DS 證據(jù)理論在某種程度上是概率論和貝葉斯推理的推廣?；谧C據(jù)的累積，其可以使多傳感器系統(tǒng)在不需要先驗(yàn)信息和條件概率的情況下提供有效、準(zhǔn)確的信息融合結(jié)果，所以與傳統(tǒng)的概率論相比，具有更嚴(yán)密的邏輯性，預(yù)測(cè)結(jié)果也有更高的魯棒性，且其所需要的先驗(yàn)數(shù)據(jù)比概率推理理論中更直觀、更容易獲得，滿足比貝葉斯概率理論更弱的條件，即不必滿足概率可加性。同時(shí)，DS 證據(jù)理論是一種將同一證據(jù)體中的多個(gè)證據(jù)組合為一個(gè)抽象證據(jù)的方法。該方法能夠整合大量特定證據(jù)的信息，能夠處理缺乏先驗(yàn)信息的不確定性和不精確性問(wèn)題，建模靈活有效。因此，對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)這樣一個(gè)模糊評(píng)估問(wèn)題，采用DS 證據(jù)推理完成不確定性表達(dá)是非常合適并且準(zhǔn)確的。

2.2 DS 理論框架

DS 證據(jù)理論首先定義了自己的識(shí)別框架，即針對(duì)一個(gè)具體的概率問(wèn)題，假設(shè)所能認(rèn)識(shí)到的所有可能的結(jié)果：

用集合表示，其中R在概率論中被稱為樣本空間也即此處的識(shí)別框架，定義R的冪集為：

而此時(shí)有一個(gè)函數(shù)m能將識(shí)別框架中的所有可能結(jié)果映射為[0,1]中的一個(gè)值，即滿足：

則稱函數(shù)m為此識(shí)別框架下的基本概率分配函數(shù)，即BPA，又稱mass 函數(shù)或證據(jù)函數(shù)，其中經(jīng)函數(shù)m運(yùn)算的非零值子集又稱為焦元。

在確定識(shí)別框架和基本概率分配之后，就需要用Dempster 合成規(guī)則來(lái)進(jìn)行證據(jù)的合成，通過(guò)D-S 證據(jù)理論合成公式，可以把n個(gè)獨(dú)立的證據(jù)組合起來(lái)得到證據(jù)的結(jié)果。

1）兩個(gè)mass 函數(shù)的Dempster 組合規(guī)則

對(duì)于?A?Θ，設(shè)m1、m2為同一識(shí)別框架Θ上的兩個(gè)不同證據(jù)的基本概率分配函數(shù)，對(duì)它們的正交和m=m1⊕m2可確定為：

式中K為歸一化常數(shù)。

式中，K為歸一化常數(shù)，如果K= 0，則正交和m也是一個(gè)基本概率分配函數(shù)，否則，則不存在正交和m，即沒(méi)有可能存在概率函數(shù)，也就是m1和m2矛盾。

2）n個(gè)mass 函數(shù)的Dempster 組合規(guī)則

對(duì)于?A?Θ，設(shè)m1,m2,…,mn為同一識(shí)別框架Θ上的有限個(gè)不同證據(jù)的基本概率分配函數(shù)，對(duì)它們的正交和m=m1⊕m2⊕,…,⊕mn可確定為：

其中：

由式（6）可以看出，如果兩個(gè)合成對(duì)象不是完全沖突的話，任意兩個(gè)函數(shù)的正交和都是可計(jì)算、成立的，且合成規(guī)則的數(shù)學(xué)性質(zhì)滿足結(jié)合律和交換律，所以無(wú)論合成順序如何，多個(gè)證據(jù)的合成結(jié)果都是一定的，然后再選取恰當(dāng)?shù)臎Q策方法就可以得到基于基本DS 證據(jù)理論的數(shù)據(jù)融合結(jié)果。

2.3 基于DS 證據(jù)理論的網(wǎng)絡(luò)安全數(shù)據(jù)融合模型

本文模型的目標(biāo)是實(shí)現(xiàn)對(duì)于多網(wǎng)絡(luò)傳感器監(jiān)測(cè)到的流量數(shù)據(jù)以及給出的報(bào)警數(shù)據(jù)進(jìn)行數(shù)據(jù)融合。由于在同一個(gè)時(shí)段針對(duì)同一個(gè)攻擊，不同廠家的網(wǎng)絡(luò)傳感器可能會(huì)給出不同的報(bào)警數(shù)據(jù)，此時(shí)就會(huì)導(dǎo)致針對(duì)一個(gè)行為得到的數(shù)據(jù)具有差異性，同時(shí)對(duì)于報(bào)警數(shù)據(jù)，應(yīng)該主要關(guān)注攻擊來(lái)源、攻擊方式、攻擊的危害性和資產(chǎn)組別相關(guān)的信息，對(duì)于其他的信息比如攻擊維度、地理信息以及其他需要人員處理的信息不應(yīng)進(jìn)行關(guān)注?？紤]到本文模型的目標(biāo)是在不損失數(shù)據(jù)意義的基礎(chǔ)上盡可能地減少冗余數(shù)據(jù)以為安全態(tài)勢(shì)感知提供數(shù)據(jù)級(jí)基礎(chǔ)，該模型應(yīng)該主要包含數(shù)據(jù)預(yù)處理模塊、DS 識(shí)別框架、BPA置信函數(shù)分配模塊與證據(jù)決策模塊。

多源數(shù)據(jù)融合流程圖如圖1 所示。

圖1 多源數(shù)據(jù)融合流程圖

2.3.1 數(shù)據(jù)預(yù)處理環(huán)節(jié)

當(dāng)網(wǎng)絡(luò)環(huán)境中攻擊事件發(fā)生的時(shí)候會(huì)引起多個(gè)傳感器產(chǎn)生多個(gè)警報(bào)日志，雖然這些警報(bào)日志引起的報(bào)警類型可能不一樣，但是如果這些警報(bào)日志具有共同的特征比如說(shuō)IP 地址，或者在一段時(shí)間內(nèi)出現(xiàn)的次數(shù)非常頻繁，就可以將這些警報(bào)認(rèn)定為一次攻擊，如果在一段時(shí)間內(nèi)只有很少的一些警報(bào)，就不能判別這是否是一次攻擊。所以在數(shù)據(jù)預(yù)處理階段，應(yīng)對(duì)所需要的屬性進(jìn)行選擇，去除掉無(wú)用的屬性信息，只保留跟網(wǎng)絡(luò)攻擊相關(guān)的信息。

對(duì)于不同的數(shù)據(jù)源，比如說(shuō)系統(tǒng)日志，多個(gè)不同層級(jí)的流量傳感器以及防火墻等應(yīng)該根據(jù)不同的需求進(jìn)行數(shù)據(jù)過(guò)濾，并建立相應(yīng)的規(guī)則庫(kù)。在市場(chǎng)監(jiān)管領(lǐng)域中關(guān)注的是一段時(shí)間內(nèi)網(wǎng)絡(luò)中發(fā)生的攻擊類型以及影響的資產(chǎn)組。所以在經(jīng)過(guò)數(shù)據(jù)預(yù)處理后應(yīng)該保留的關(guān)鍵信息類型和部分?jǐn)?shù)據(jù)如表1 所示。

表1 關(guān)鍵信息留存表

2.3.2 確定基本識(shí)別框架

在市場(chǎng)監(jiān)管領(lǐng)域網(wǎng)絡(luò)安全態(tài)勢(shì)中主要關(guān)注的是攻擊類型的準(zhǔn)確性，本文的識(shí)別框架Θ即為多傳感器以及安全軟件等能夠檢測(cè)到的所有攻擊，在實(shí)際的數(shù)據(jù)集中，根據(jù)關(guān)注點(diǎn)的不同，對(duì)于流量傳感器來(lái)說(shuō)主要包含攻擊利用和惡意軟件兩類攻擊。在攻擊利用中主要包含弱口令、配置不當(dāng)、信息泄露以及其他攻擊利用四種攻擊；而在惡意軟件中主要包含遠(yuǎn)控木馬和流氓推廣兩種攻擊，對(duì)于一些抓包分析工具如PCAP 日志就主要包含具體的攻擊比如端口掃描、SYN 洪泛、拒絕服務(wù)、XSS 跨站腳本攻擊等。針對(duì)不同的信息格式，考慮分別建立對(duì)應(yīng)的識(shí)別框架，即對(duì)于流量傳感器來(lái)說(shuō)所有的可能結(jié)果：

而對(duì)于PCAP 來(lái)說(shuō)，可能結(jié)果就為：

其識(shí)別框架為：

兩者完全不同，得到的結(jié)果也不同。根據(jù)市場(chǎng)監(jiān)管的數(shù)據(jù)來(lái)源，得到對(duì)應(yīng)于不同信息的部分識(shí)別框架如表2 所示。在確定識(shí)別框架之后，需要對(duì)每一種類別進(jìn)行基本概率分配。

表2 部分來(lái)源識(shí)別框架表

2.3.3 基本概率分配函數(shù)

由于市場(chǎng)監(jiān)管領(lǐng)域中網(wǎng)絡(luò)安全數(shù)據(jù)十分復(fù)雜，存在可能誤報(bào)的情況，所以不能直接根據(jù)統(tǒng)計(jì)然后歸一化的方法進(jìn)行基本概率分配，而應(yīng)該采用動(dòng)態(tài)的方法進(jìn)行基本可信度分配。比如針對(duì)一個(gè)具體的攻擊，如果某個(gè)傳感器在一個(gè)周期內(nèi)對(duì)于判斷弱口令攻擊的正確率高，那么就應(yīng)該在下一個(gè)周期中的數(shù)據(jù)融合同樣對(duì)弱口令攻擊的判斷具有較高的信任度。

所以本文對(duì)基本可信度分配采用建立動(dòng)態(tài)的遞推公式，方法如下：

式中：JT表示在第T個(gè)周期判斷此類警報(bào)的信任度；JT-1表示該傳感器上一個(gè)周期計(jì)算出的此類警報(bào)的信任度；為所有傳感器在第T個(gè)周期獲取到的此類警報(bào)的總數(shù)；UT-1表示在上一個(gè)周期的判斷中得到的警報(bào)正誤判斷的比率，UT-1= 0 表示報(bào)警正確率＞50%，UT-1= 1表示誤報(bào)率＞50%，是由前一輪周期融合結(jié)果與實(shí)際情況相比較確定的；Ni表示第i個(gè)傳感器在第T個(gè)周期獲取到的此類警報(bào)的總數(shù)；N0為常數(shù)，用于控制收斂速度。

于是可以通過(guò)式（11）計(jì)算出不同設(shè)備在同一個(gè)周期中對(duì)不同的攻擊類別判斷能力的信任度。此公式的計(jì)算結(jié)果體現(xiàn)了同一類設(shè)備對(duì)于不同攻擊類別警報(bào)正確告警的能力。通過(guò)證據(jù)理論的合成計(jì)算能夠綜合評(píng)估在某一段時(shí)間周期內(nèi)網(wǎng)絡(luò)中主要出現(xiàn)的入侵行為。

在經(jīng)過(guò)計(jì)算之后得到第T個(gè)周期針對(duì)流量傳感器部分識(shí)別框架的部分警報(bào)的基本BPA 概率分配，如表3所示。其中r1為弱口令，r2為XSS，r3為網(wǎng)絡(luò)蠕蟲(chóng)，r4為代碼執(zhí)行，r5為遠(yuǎn)控木馬。從運(yùn)算得到的結(jié)果發(fā)現(xiàn)，其實(shí)各個(gè)傳感器對(duì)于具體的攻擊手段的判別能力都還是比較低下的，其中出現(xiàn)很多誤報(bào)和不能夠判清報(bào)警的具體種類的情況，所以此時(shí)更需要對(duì)其進(jìn)行數(shù)據(jù)融合，綜合評(píng)判在一段時(shí)間內(nèi)得到的信息進(jìn)行攻擊的類型判斷。

表3 BPA 概率分配結(jié)果

運(yùn)用Dempster 融合規(guī)則進(jìn)行數(shù)據(jù)融合，對(duì)于多個(gè)具有相同識(shí)別框架的數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行合成，運(yùn)用式（12）：

對(duì)其進(jìn)行合成，合成得到的結(jié)果如表4 所示。

由于在識(shí)別框架下的命題都是互斥的，所以置信函數(shù)和似然函數(shù)都等于合成后的信度函數(shù)分配。于是可直接利用合成后的信度值進(jìn)行網(wǎng)絡(luò)安全情況分析。由表4 可知，在周期T中對(duì)于攻擊r5遠(yuǎn)控木馬給出的警報(bào)是最可信的，即在周期T中最有可能出現(xiàn)的攻擊為r5遠(yuǎn)控木馬攻擊，由此就可以分析每個(gè)周期可能出現(xiàn)的攻擊情況。

2.3.4 相似性分析

由于攻擊者攻擊的維度不同，可能同時(shí)對(duì)市場(chǎng)監(jiān)管系統(tǒng)進(jìn)行著多方位的攻擊，并且不同數(shù)據(jù)源之間的識(shí)別框架并不沖突，所以針對(duì)具有不同識(shí)別框架的數(shù)據(jù)來(lái)源得到的網(wǎng)絡(luò)安全情況進(jìn)行分析，需要進(jìn)行攻擊的相似性分析。

要考慮兩條報(bào)警的相似度，首先要考慮的是這兩條報(bào)警的共有屬性，包括時(shí)間信息、攻擊源地址、目標(biāo)地址、攻擊類型等。對(duì)每一種屬性需要定義一個(gè)相似度函數(shù)來(lái)判別屬性之間是否具有相似性，如果屬性具有相似性，則可以從多方位為報(bào)警信息的正確性提供支撐（網(wǎng)絡(luò)攻擊在一段時(shí)間內(nèi)被多個(gè)設(shè)備檢測(cè)到，則可以證明該攻擊是目前網(wǎng)絡(luò)中正在發(fā)生的）。

1）攻擊源地址與目標(biāo)地址相似度計(jì)算

對(duì)于攻擊源IP 地址與攻擊目標(biāo)IP 地址的相似度計(jì)算，本文考慮對(duì)于源IP 地址或目標(biāo)IP 的某一個(gè)子網(wǎng)，如果在一定時(shí)間內(nèi)存在大量的源IP 地址屬于同一個(gè)子網(wǎng)或者目標(biāo)IP 地址屬于同一個(gè)子網(wǎng)的情況下，都定義為相似的攻擊。

設(shè)有兩個(gè)IP 地址A和B，如果有：

則判定A與B屬于同一網(wǎng)段，即具有相似性，其中Mask表示子網(wǎng)掩碼，“&”表示與運(yùn)算。

2）時(shí)間相似性判斷

由于時(shí)間具有連續(xù)性，所以可以直接使用歐氏距離度量時(shí)間屬性的相似度，在市場(chǎng)監(jiān)管網(wǎng)絡(luò)安全數(shù)據(jù)中，警報(bào)的時(shí)間向量主要為（年，月，日，時(shí)，分，秒），可以假設(shè)兩條警報(bào)的時(shí)間向量分別為a= (ay,am,ad,ah,am,as)和b= (by,bm,bd,bh,bm,bs)，則兩條警報(bào)的時(shí)間相似度可以定義為：

式中wi,i∈(y,m,d,h,m,s)為每一項(xiàng)對(duì)應(yīng)的權(quán)重值，在大多數(shù)情況下兩條警報(bào)的數(shù)據(jù)都只會(huì)在分鐘和秒數(shù)上有差異，所以可以將wi，i∈(y,m,d,h)四項(xiàng)都設(shè)置為0，如果出現(xiàn)跨長(zhǎng)時(shí)間段的攻擊再添加對(duì)應(yīng)的權(quán)重值。在確定每項(xiàng)屬性的相似度之后需要進(jìn)行綜合相似度的評(píng)判。

在進(jìn)行相似性分析后得到最終融合后的部分?jǐn)?shù)據(jù)，如表5 所示。

表5 融合后得到的數(shù)據(jù)列表

3 融合數(shù)據(jù)有效性分析

本文實(shí)驗(yàn)中，在一段時(shí)間內(nèi)共采集了來(lái)自4 個(gè)流量傳感器的網(wǎng)絡(luò)安全數(shù)據(jù)，并且根據(jù)該段時(shí)間不同傳感器給出的不同警報(bào)進(jìn)行了統(tǒng)計(jì)，得到如圖2所示的統(tǒng)計(jì)圖。

圖2 多源數(shù)據(jù)警報(bào)數(shù)量統(tǒng)計(jì)圖

將從流量傳感器采集數(shù)據(jù)的這一段時(shí)間一共劃分為3 個(gè)周期，將每一個(gè)周期內(nèi)得到的網(wǎng)絡(luò)安全警報(bào)數(shù)據(jù)進(jìn)行數(shù)據(jù)融合操作，然后得到對(duì)應(yīng)的融合概率，再得到對(duì)每個(gè)警報(bào)的可信度，每一個(gè)周期得到的可信度合成結(jié)果如圖3 所示。

圖3 各周期可信度合成結(jié)果

由圖3 的數(shù)據(jù)融合結(jié)果可以得到以下結(jié)論：

1）命題為“遠(yuǎn)控木馬”的可信度明顯要大于其他命題，顯然在周期T1中“遠(yuǎn)控木馬”的警報(bào)數(shù)量也是最多的，因此可以判斷，網(wǎng)絡(luò)中存在同一攻擊者正在進(jìn)行有關(guān)“遠(yuǎn)控木馬”的入侵行為。

2）命題“代碼執(zhí)行”的可信度相對(duì)較大，但只根據(jù)某種攻擊事件所對(duì)應(yīng)的可信度來(lái)判斷所遭受到的攻擊，有時(shí)候可能是不準(zhǔn)確的，雖然“代碼執(zhí)行”的可信度大，攻擊者可能同時(shí)也在進(jìn)行“代碼執(zhí)行”的相關(guān)攻擊，但也有可能是誤報(bào)。所以在具體評(píng)判網(wǎng)絡(luò)環(huán)境正在遭受怎樣的攻擊時(shí)，需要考慮多方面的因素來(lái)共同判斷。

3）命題“弱口令”的可信度相對(duì)較小，但是“弱口令”的警報(bào)數(shù)量卻是相對(duì)較多的，但是由于上一個(gè)周期的誤報(bào)較多，導(dǎo)致這一個(gè)周期對(duì)于“弱口令”的警報(bào)的可信度相對(duì)較小。

4）命題“XSS”攻擊和“網(wǎng)絡(luò)蠕蟲(chóng)”的可信度非常小，這是因?yàn)槠渚瘓?bào)的相對(duì)數(shù)量非常少，并且提供證據(jù)的數(shù)據(jù)源相對(duì)單一，所以對(duì)于網(wǎng)絡(luò)中有攻擊者正在進(jìn)行“XSS”攻擊和“網(wǎng)絡(luò)蠕蟲(chóng)”的入侵行為的信任度就會(huì)很小，由結(jié)果可以推斷當(dāng)前網(wǎng)絡(luò)中大概率正在遭受“遠(yuǎn)控木馬”攻擊。

據(jù)統(tǒng)計(jì)可知，在目前的大多數(shù)系統(tǒng)中，對(duì)于大部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，其反饋的報(bào)警信息中僅有10%是有用的，剩余的報(bào)警信息中大部分都是誤報(bào)、漏報(bào)。所以，在報(bào)警信息大量都是漏報(bào)和誤報(bào)的情況下，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)包含的信息將給網(wǎng)絡(luò)和管理員帶來(lái)如下困擾：

1）網(wǎng)絡(luò)管理員很難從大量的報(bào)警信息中發(fā)現(xiàn)真實(shí)的入侵事件；

2）容易引起網(wǎng)絡(luò)的入侵和信息泄漏；

3）網(wǎng)絡(luò)傳輸負(fù)載變大的同時(shí)使日志存儲(chǔ)系統(tǒng)空間占滿，導(dǎo)致真實(shí)的入侵事件無(wú)法進(jìn)行審計(jì)。

本文提出的方法在進(jìn)行BPA 分配時(shí)考慮了誤報(bào)與漏報(bào)的情況，同時(shí)實(shí)驗(yàn)也是在真實(shí)數(shù)據(jù)下運(yùn)行得到的結(jié)果，所以本文提出的方法能夠?qū)φ`報(bào)和漏報(bào)具有一定的解決能力。

4 結(jié) 論

本文通過(guò)研究DS 證據(jù)理論，提出了基于DS 證據(jù)理論的多源數(shù)據(jù)融合方法，驗(yàn)證了多源日志安全信息融合系統(tǒng)模型中通過(guò)數(shù)據(jù)預(yù)處理、融合框架構(gòu)建、BPA 分配、證據(jù)融合過(guò)程對(duì)多源日志融合分析的有效性；運(yùn)用融合系統(tǒng)模型對(duì)目前網(wǎng)絡(luò)安全態(tài)勢(shì)的簡(jiǎn)單評(píng)估驗(yàn)證了融合模型在具有誤報(bào)、漏報(bào)的不良影響下能夠減少無(wú)效報(bào)警并保證數(shù)據(jù)的有效性。

實(shí)驗(yàn)結(jié)果表明：本文方法可有效降低數(shù)據(jù)庫(kù)中多源日志記錄的冗余度；同時(shí)通過(guò)事件關(guān)聯(lián)和相似性判別對(duì)具有高相似度、相對(duì)準(zhǔn)確的判定警報(bào)進(jìn)行聚合，在數(shù)據(jù)預(yù)處理的基礎(chǔ)上更大程度地降低了警報(bào)日志的處理數(shù)量。

注：本文通訊作者為朱舉異。