面向网络态势感知的多源安全信息融合
研究#
纪乃丹，王慧强，郭方方**
基金项目：国家自然科学积极重大研究计划（90718003）；国家863 项目（2007AA01Z401）；国防“十一
五”预研重点项目（513150602）
作者简介：纪乃丹，（1988-），女，硕士研究生，主要研究方向：网络与信息安全。
通信联系人：郭方方，（1974-），男，副教授，主要研究方向：网络与信息安全. E-mail:
guofangfang@hrbeu.edu.cn
5 （哈尔滨工程大学计算机科学与技术学院，哈尔滨 150001）
摘要：网络安全态势感知系统可通过采集并分析多源安全信息，实现对大规模网络的实时监
控。本文基于事件场景关联的方法，设计并实现了针对态势感知中的多源安全信息的关联模
型，实验表明，该关联模型具备大规模网络态势感知能力，能够降低由单一传感器独立工作
所造成的误报率和漏报率，能够更加准确的评估网络安全态势，具有良好的应用前景。
10 关键词：计算机网络；网络态势感知；日志；SNMP；信息融合
 0 引言
网络安全态势感知[1]作为当前网络与信息安全领域的研究热点，越来越受到相关机构与
科研人员的重视。对网络安全态势的感知，往往通过多个方面进行。
30 日志作为系统行为的记录，为监控和维护网络安全提供重要依据，被广泛应用于网络安
全态势感知领域。网络运行中会产生大量多源异构，这些日志以不同的格式存储在不同的地
方。此外，数据量庞大、数据冗余、数据残缺以及数据不一致等问题，成为日志分析的障碍。
与此同时，还经常通过对SNMP 协议[2]采集的流量数据进行分析，从而达到对网络安全
态势进行评估。SNMP 协议体系结构包括三个部分：SNMP 协议，管理信息结构（SMI）和
35 管理信息库 (MIB)。SNMP 的工作的思想是将被管理对象存放在MIB 中，每个代理直接维
护所在节点的MIB，网络管理器通过应用层协议实现对各节点的管理和维护。
网络安全态势感知的不同方面，通常是相对独立的，缺乏关联性，从而造成一定的误报
率和漏报率。在这种情况下，信息融合的概念就自然而然的就列为研究的对象。
信息融合，从20 世纪70 年代末被提出，随后，“融合”一词便被广泛应用到各个领域。
 L linas 和Hal[3 40 ]l，Mangolini 和我国的西北工大的潘泉教授分别从不同方面对其进行了定义[4]。
关于对报警信息的融合，在国外，法国的DICO 项目和Mirador 项目都有相关的子项目[5]，
并在信息融合方向开展了诸多研究，但在方法上尚存在一些问题有待进一步研究。在国内，
一些院校以及研究机构也在该领域展开了相关的研究，但与国外的研究水平尚有一定差距。
现有的信息融合技术，大多单纯的针对日志信息，或者单纯的数据信息，目前，尚没有
45 一种明确的模型能够关联融合网络安全日志以及SNMP 流量数据，在这方面是值得关注的
问题，在本文主要针对网络安全日志以及SNMP 流量数据的融合问题进行研究，力求达到
对网络安全态势更准确的评估。
1 多源安全信息关联方法
攻击事件之间存在着一定的逻辑关系，可根据需要对安全信息（包括日志信息以及
50 SNMP 流量信息等）进行关联融合，从而发现攻击背后的攻击策略，为管理员提供更加直观
的信息。
把引起攻击事件的前提和该攻击事件造成的结果用谓词的形式表示[6]。一个攻击事件想
要成功，有可能需要若干个前提条件，攻击成功之后，也能造成不止一个后果。这时候，为
了表示这种复杂的关系，就需要用到逻辑连词（∧或∨）。
55 定义1 每个攻击可以表示为形式化的三元组E=（pre，event，con），这里称之为形式
化信息，e 是E 的一个实例，每一个三元组都有自己的时间间隔t，用时间戳[begin_t，end_t]
来划分。在这段时间间隔之内，某一个事件event 的前提条件pre 为真，其造成的所有后果
con 的所有谓词项可能为真。
定义2 攻击的前提集合pre，可以用Pre（e）表示，攻击结果集合con，用Con（e）
60 表示，假设，两个攻击的形式化信息分别是e1 和e2，攻击e1 是攻击e2 的前提准备，那么
如果对所有的c∈Con，满足c.end_t＜p.begin_t，存在着p∈Pre（e2）并且c∈Con（e1），
那么可以认为攻击e1 为攻击e2 做准备。
但是这样的定义，在某些情况来下过于灵活，会使得某些时间产生的攻击信息变成孤立
信息，从而影响关联的效果，为改善这种情况对其进行临时的扩展定义。
65 定义3 定义一个时间期限D，满足 D>Max{t.end_time| t∈e}-Min{t.begin_time| t∈e}。
定义4 定义一个时间间隔I，当e 只有唯一的一个三元组，或者在e 中的所有t，都在
e 中存在着另一个t’，且满足t.begin_time<T<t.end_time， t’.begin_time<T’<t’.end_time，且
|T-T’|<I。
对多源安全信息的融合，就是发现安全信息之间的逻辑关系，对于并发和冗余的安全信
70 息进行归并预处理，对存在因果关系的安全信息进行要素提取以及发现攻击背后的策略，从
而达到对安全信息进行约减，为管理员提供更加直观、深入的信息。
2 多源安全信息融合模型
2.1 关联模型体系结构
本文设计一个基于事件场景关联方法，针对多源安全信息（包括Snort 日志，主机日志，
75 交换机日志，SNMP 流量数据）的网络态势感知关联模型。
态势感知关联模型的主体包括如下几部分：信息预处理部分、知识库部分、信息关联部
分、可视化拓扑部分。除了可视化拓扑部分，其他部件都是以数据库相联系，用以存储关联
 过程中产生的临时数据、关联前的原始数据以及关联后的数据。由日志采集代理和SNMP
采集代理采集上来的数据，经过预处理通过XML 文件的方式进行传输，当态势感知关联模
80 型被初始化后，系统自动读XML 文件，对数据进行归档并存储到相应的数据库中。
模型把采集代理采集到的数据存入到数据库中，一方面运用XML 文件，传输到关联代
理上，信息预处理部分利用知识库中的信息生成预处理后的形式化信息。然后，利用信息关
联部分进行真正的关联，最后，把关联后的信息存库，并用可视化拓扑部分显示。系统的结
构模型图如图2 所示。
85
图2 态势感知关联模型结构图
2.2 关联模型设计
（1）信息采集部分
90 多源异构日志和SNMP 数据的采集，分别通过各自的采集代理实现。日志采集代理安
装在网络环境中被监控对象上，负责信息的采集和转发。不同的日志采集代理，经过不同的
配置，根据不同的方法来读取原始日志文件，收集多源日志记录。
开启采集代理后，读取采集配置文件，采集配置文件中对传感器，时间粒度，存储路径，
服务器的地址等进行了要求，根据这些规定开始进行实时的采集信息。采集后的信息，将被
95 转化成统一的格式（Id，Sip，Dip，Sport，Dport，Begin_time，End_time）。其中各参数代
表的内容分别为：Id 为事件编号；Sip 为源IP 地址；Dip 为目的IP 地址；Sport 为源端口；
Dport 为目的端口；Begin_time 为事件开始时间；End_time 为时间结束时间。
（2）信息预处理部分
预处理部分和关联部分是整个模型的核心。在数据库中存放的信息有两种形式：经过处
100 理规范后的形式化信息和谓词之间的关系。原始信息经采集代理采集并通过XML 的形式传
递到关联模型的预处理部分，预处理部分对XML 文件进行解析，把原始数据源进行入库，
把不必要的一些字段属性进行约减，并把其整理为满足前提/结果的形式化信息，为后续的
信息关联做准备。
例如有安全信息E1（Id1，Sip1，Dip1，Sport1，Dport1，Begin_time1，End_time1）和
105 E2（Id2，Sip2，Dip2，Sport2，Dport2，Begin_time2，End_time2），如果其他属性完全相
同，Begin_time 和End_time 两项不同，并且两者之差小于设定的阈值，那么可以认为这两
个事件重复；如果除了这两项之外，Id 也不同，则可以认为这两个事件并发。
 可以把安全信息约减成一下形式：
E（Sip1，Dip1，Sport1，Dport1，Min（Begin_time1,Begin_time2），Max（End_time 1，
110 End_time2））。
（3）知识库部分
知识库中包括两种形式的信息：形式化信息和表示谓词之间关系的信息，存储在数据库
中。例如Pre（Bufferflow）={Host(IP) ∧Sadmind(IP)},Con(Bufferflow )={Rootgained(IP)}，
那么Bufferflow 的超类型可以定义为（{IP}，{ Host(IP) ∧Sadmind(IP)}，{ Rootgained(IP)}）。
115 在这里，Host(IP)代表IP 地址为指定值的主机；Sadmind(IP)为存在Sadmind 漏洞的主机；
Rootgained(IP)是指被获取根权限的主机IP 地址。
利用知识库中的信息，预处理部分根据原始报警信息生成形式化信息和一些辅助信息，
为后续的关联做准备。
（4）信息关联部分
120 信息关联部分读取形式化信息类型，根据知识库中的信息，并为每一个形式化信息生成
其前提和结果信息。其中，得到的每一个形式化信息的结果信息包含了其对应结果集中的所
有谓词关系。把谓词进行字符串化，按照前提/结果的关联方法，进行改进提炼出算法，用
字符串匹配的方式关联融合出满足攻击策略的攻击序列。
例如在某一台服务器受到的攻击，可能首先受到Sadmind Ping 攻击，黑客通过该攻击
125 扫描服务器上的Sadmind 漏洞，如果存在漏洞，便可以利用这个漏洞继续发动缓冲区溢出攻
击，进而获得Root 权限等[7]。当一台主机受到缓冲区溢出攻击后，采集代理会产生一个
Bufferflow 的超类型实例，如果被攻击的主机IP 地址为172.38.65.49，则该攻击的前提条件
可以形式化的表示为pre={Host(172.38.65.49) ∧ Sadmind(172.38.65.49)} ， 后果
con={Rootgained(172.38.65.49)}。如果这个时候，该主机又发生DDOS 攻击，那么其前提条
130 件pre={Rootgained(172.38.65.49)}。则我们可以认为Bufferflow 攻击可能是DDOS 攻击的前
提条件，可能是攻击的一个策略，所以在这里需要把两者关联起来分析。
进行安全信息关联的目的，就是为了让管理员更深入的了解攻击背后隐藏的攻击策略，
从而对网络安全态势达到更准确的评估。
（5）可视化拓扑部分
135 针对场景关联的复杂性，提出一种形式化信息关联图的概念，力求提供便于管理人员理
解的更为人性化的关联结果可视化效果。
3 实现与实验分析
学术论文网Tag：代写论文 代写代发论文 代发论文 职称论文发表