宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)設(shè)計

摘要：為了發(fā)現(xiàn)宏觀網(wǎng)絡(luò)的正常和異常運行模式，以及對宏觀網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行分析，介紹了一種宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)設(shè)計的范例。該系統(tǒng)利用收集的各種宏觀網(wǎng)絡(luò)安全數(shù)據(jù)來進(jìn)行數(shù)據(jù)挖掘和態(tài)勢評估，并通過圖形用戶界面對結(jié)果進(jìn)行了分析。著重介紹系統(tǒng)設(shè)計所采取的技術(shù)路線、安全數(shù)據(jù)獲取方式、系統(tǒng)組成模塊、實現(xiàn)方法和系統(tǒng)設(shè)計評價。

關(guān)鍵詞：宏觀網(wǎng)絡(luò)；數(shù)據(jù)挖掘；系統(tǒng)設(shè)計

中圖分類號：TP393．08文獻(xiàn)標(biāo)志碼：A

文章編號：1001-3695(2008)05-1534-03

隨著計算機(jī)技術(shù)與通信技術(shù)的結(jié)合，計算機(jī)網(wǎng)絡(luò)發(fā)展進(jìn)入了一個新紀(jì)元。網(wǎng)絡(luò)技術(shù)的飛速發(fā)展給社會生活帶來極大的便利的同時，也帶來巨大的挑戰(zhàn)：a)黑客對網(wǎng)絡(luò)的攻擊手段日趨復(fù)雜，攻擊目標(biāo)擴(kuò)大到宏觀網(wǎng)絡(luò)中的大多數(shù)組件，造成的危害日趨嚴(yán)重，如大規(guī)模蠕蟲爆發(fā)足以造成宏觀網(wǎng)絡(luò)的癱瘓；b)由于宏觀網(wǎng)絡(luò)日趨復(fù)雜，雖然部署在網(wǎng)絡(luò)上的各種安全系統(tǒng)、設(shè)備和平臺（如入侵檢測系統(tǒng)、路由器等）提供大量可用來分析宏觀網(wǎng)絡(luò)事件和流量規(guī)律的安全數(shù)據(jù)，但是數(shù)據(jù)具有廣泛分布、跨多個組織、數(shù)據(jù)格式差異大、海量等特點。這給數(shù)據(jù)收集、傳輸、格式轉(zhuǎn)換和存儲提出了挑戰(zhàn)。

為了從海量的網(wǎng)絡(luò)安全數(shù)據(jù)中發(fā)現(xiàn)宏觀網(wǎng)絡(luò)運行的正常和異常模式，對大規(guī)模網(wǎng)絡(luò)進(jìn)行異常感知并且分析宏觀網(wǎng)絡(luò)的安全態(tài)勢，本文提出了宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)。它首先把收集到的各種網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行過濾，變換成定義好格式的——元信息；然后應(yīng)用多種數(shù)據(jù)挖掘技術(shù)和方法對元信息進(jìn)行數(shù)據(jù)挖掘和安全態(tài)勢計算；最后由分析人員對挖掘和態(tài)勢計算結(jié)果進(jìn)行查詢、分析、確認(rèn)、精化和消減。

1宏觀網(wǎng)絡(luò)安全和數(shù)據(jù)挖掘簡介

1．1系統(tǒng)設(shè)計目標(biāo)

研究宏觀網(wǎng)絡(luò)安全的目的在于發(fā)現(xiàn)宏觀網(wǎng)絡(luò)運行的正常和異常模式、實時監(jiān)視和分析網(wǎng)絡(luò)的態(tài)勢、進(jìn)行大規(guī)模異常感知和報警。宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)設(shè)計的目標(biāo)是：

a)能夠分布地收集各類安全數(shù)據(jù)（安全數(shù)據(jù)來源于各種系統(tǒng)、設(shè)備和平臺，數(shù)據(jù)源廣泛地分布在網(wǎng)絡(luò)上的各個位置）。

b)對收集的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和態(tài)勢計算（數(shù)據(jù)挖掘和態(tài)勢計算能夠分布地執(zhí)行，并通過一個中心數(shù)據(jù)庫匯總計算結(jié)果）。

c)提供圖形化用戶界面，供分析人員對挖掘和態(tài)勢計算結(jié)果進(jìn)行查詢、分析、確認(rèn)、精化和消減。

1．2數(shù)據(jù)來源

入侵檢測系統(tǒng)、路由器和863-917網(wǎng)絡(luò)安全監(jiān)測平臺[1]是宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘主要的數(shù)據(jù)來源。本節(jié)主要對這三種系統(tǒng)、設(shè)備和平臺進(jìn)行介紹。

1．2．1入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是保護(hù)網(wǎng)絡(luò)和計算機(jī)系統(tǒng)安全的重要工具之一。它通過對網(wǎng)絡(luò)數(shù)據(jù)流和系統(tǒng)日志等進(jìn)行分析、檢測、發(fā)現(xiàn)入侵，并且具有報警功能。其主要技術(shù)指標(biāo)為準(zhǔn)確率（誤報率和漏報率）和速度。自20世紀(jì)80年代起，入侵檢測分別從基于主機(jī)的、基于網(wǎng)絡(luò)的，逐漸發(fā)展到混合的入侵檢測系統(tǒng)[2]。主要的入侵檢測系統(tǒng)的廠商有Cisco、華為3Com和Symantec。此外，國內(nèi)外還有包括Snort[3]在內(nèi)的許多開源或免費的入侵檢測系統(tǒng)。雖然目前的入侵檢測系統(tǒng)種類繁多，但是仍然存在很多問題沒有得到解決。這些問題包括：a)處理時間長，不能達(dá)到實時檢測；b)報警事件過多、層次低，管理人員無法得到高層次信息；c)誤警率過高；d)由于技術(shù)發(fā)展的限制，實時入侵檢測系統(tǒng)往往不能監(jiān)測訓(xùn)練有素的攻擊者制造的復(fù)雜網(wǎng)絡(luò)攻擊。這些問題使得基于傳統(tǒng)方法的入侵檢測系統(tǒng)只能用于保護(hù)局部網(wǎng)絡(luò)或個別主機(jī)，但是各個局部網(wǎng)絡(luò)入口處部署的入侵檢測系統(tǒng)產(chǎn)生的報警卻蘊涵宏觀網(wǎng)絡(luò)安全的重要信息。而數(shù)據(jù)挖掘在這里正扮演重要的角色。為了得到更高層次的信息，目前人們正在研究如何將統(tǒng)計方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、數(shù)據(jù)融合、遺傳算法等技術(shù)應(yīng)用到入侵檢測系統(tǒng)。另外從系統(tǒng)的設(shè)計方面來說，分布式入侵檢測系統(tǒng)也值得參考和借鑒文獻(xiàn)[4]。1．2．2路由器

路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。它是連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，從而構(gòu)成一個更大的網(wǎng)絡(luò)。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接和骨干網(wǎng)之間互聯(lián)互通業(yè)務(wù)的主力軍。主流的路由器廠商有Cisco、Junipe、3Com、華為、中興等。在宏觀網(wǎng)絡(luò)各個節(jié)點上，路由器所產(chǎn)生的安全日志和流量信息蘊涵著宏觀網(wǎng)絡(luò)的正常和異常運行模式和網(wǎng)絡(luò)事件內(nèi)在聯(lián)系規(guī)律，這些都是最直接和最重要的數(shù)據(jù)源。

1．2．3863-917網(wǎng)絡(luò)安全監(jiān)測平臺

863-917網(wǎng)絡(luò)安全監(jiān)測平臺由國家計算機(jī)網(wǎng)絡(luò)應(yīng)急處理技術(shù)協(xié)調(diào)中心(CNCERT／CC)承建的。這個平臺是國家“863”計劃設(shè)立的網(wǎng)絡(luò)安全應(yīng)急項目（917工程）建設(shè)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，它通過對中國的骨干網(wǎng)和主要節(jié)點進(jìn)行監(jiān)測，能對流量和事件異常進(jìn)行快速響應(yīng)[1]。這個平臺將成為國家公共互聯(lián)網(wǎng)應(yīng)急響應(yīng)的一個重要的基礎(chǔ)支撐平臺，該平臺獲得的信息主要包括流量數(shù)據(jù)和事件數(shù)據(jù)。同樣，為了發(fā)現(xiàn)宏觀網(wǎng)絡(luò)高層次的信息、正常和異常運行模式以及事件序列的規(guī)律和特征，需要綜合應(yīng)用多種技術(shù)（主要是數(shù)據(jù)挖掘）來提煉這些信息。

除了以上這些系統(tǒng)、設(shè)備和平臺獲得的數(shù)據(jù)以外，對研究宏觀網(wǎng)絡(luò)安全來說，還有大量可供分析的其他系統(tǒng)和設(shè)備獲得的流量和事件數(shù)據(jù)。宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)能夠不斷擴(kuò)充分析數(shù)據(jù)集以及新的分析模塊。

1．3數(shù)據(jù)挖掘

數(shù)據(jù)挖掘的概念是于1989年在第一屆KDD（knowledge discovery in database）會議中提出的。它強(qiáng)調(diào)的是通過數(shù)據(jù)驅(qū)動的發(fā)現(xiàn)方法，獲得知識，即從大量的數(shù)據(jù)中抽取出隱含的、新穎的、有用的信息和知識。提取的信息和知識可以稱之為概念（concepts）、規(guī)則（rules）、規(guī)律（regularities）、模式（patterns）等[5]。

常用的數(shù)據(jù)挖掘方法包括最近相鄰法、案例推理法、規(guī)則學(xué)習(xí)、決策樹、遺傳算法、統(tǒng)計方法和遺傳算法。為了改善和提高數(shù)據(jù)挖掘的性能和效率，其發(fā)展趨勢是綜合采用多種挖掘方法和技術(shù)。數(shù)據(jù)挖掘可以用來進(jìn)行分類、預(yù)測、數(shù)據(jù)總結(jié)、數(shù)據(jù)聚類，也可以用來發(fā)現(xiàn)關(guān)聯(lián)規(guī)則、序列模式、依賴關(guān)系或依賴模型、異常和趨勢等[5]。

由于具體行業(yè)中的歷史數(shù)據(jù)和蘊涵的規(guī)律不盡相同，需要研究在特定行業(yè)數(shù)據(jù)中提取哪些特征，以及使用哪些數(shù)據(jù)挖掘算法才能發(fā)現(xiàn)真正高層次和容易被人們理解的知識。對特定領(lǐng)域，甚至需要設(shè)計與領(lǐng)域知識相關(guān)的數(shù)據(jù)挖掘算法。對宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)來說，首先要從相關(guān)的安全系統(tǒng)、設(shè)備和平臺獲取的數(shù)據(jù)中提取出能夠反映宏觀網(wǎng)絡(luò)運行模式的特征與屬性，歸結(jié)為事件信息和流量信息；其次，對收集的數(shù)據(jù)進(jìn)行事件關(guān)聯(lián)分析、事件聚類分析、流量序貫?zāi)Ｊ椒治龊途W(wǎng)絡(luò)流量周期性規(guī)律發(fā)現(xiàn)等。另外將宏觀網(wǎng)絡(luò)按照服務(wù)、節(jié)點、網(wǎng)絡(luò)進(jìn)行分級，計算各級態(tài)勢[6]。

2宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)設(shè)計

2．1技術(shù)路線

a)定義元信息。元信息包含兩大類，即事件信息和流量信息（如事件信息包含名字、IP地址、發(fā)生時間和優(yōu)先級等屬性）。系統(tǒng)的數(shù)據(jù)來源包括入侵檢測系統(tǒng)、路由器、863-917網(wǎng)絡(luò)安全監(jiān)測平臺以及原始數(shù)據(jù)包分析的輸出（針對主流宏觀網(wǎng)絡(luò)異常，如蠕蟲等）。這些安全數(shù)據(jù)格式層次等都不一樣，需要進(jìn)行相應(yīng)的預(yù)處理，變換成元信息。采用元信息保證了可以隨時加入新的安全數(shù)據(jù)種類，而無須對系統(tǒng)進(jìn)行更改。

b)把一個獨立的數(shù)據(jù)挖掘或態(tài)勢計算過程定義為元挖掘算法（如事件序列關(guān)聯(lián)），把元挖掘算法包裝成動態(tài)鏈接庫，對外提供統(tǒng)一的接口。利用元挖掘算法進(jìn)行計算時，需要在數(shù)據(jù)庫中選擇元信息，然后根據(jù)算法需求進(jìn)行相應(yīng)的變換。使用元挖掘算法策略的目的是使系統(tǒng)具有可擴(kuò)充性，能動態(tài)地更新和升級高效算法。

c)分析人員通過圖形用戶界面，對數(shù)據(jù)挖掘和態(tài)勢計算結(jié)果進(jìn)行查詢、分析、確認(rèn)、精化和消減。圖形用戶界面反映出來的是宏觀異常的匯總信息、直觀的網(wǎng)絡(luò)態(tài)勢和實時報警信息。對于宏觀異常，系統(tǒng)給出異常的起源、位置、異常的等級，以便輔助安全人員進(jìn)行決策。同時系統(tǒng)直觀地給出網(wǎng)絡(luò)態(tài)勢圖（主要以線圖），供分析人員查看歷史以及當(dāng)前的網(wǎng)絡(luò)態(tài)勢情況。對于實時報警，當(dāng)系統(tǒng)從實時數(shù)據(jù)中挖掘出異常的模式時，按照優(yōu)先級順序進(jìn)行相應(yīng)的報警提示。

數(shù)據(jù)庫存放元信息、數(shù)據(jù)挖掘和態(tài)勢計算結(jié)果、中間結(jié)果等。元信息存儲、元挖掘算法計算過程和最后的分析都直接對數(shù)據(jù)庫進(jìn)行訪問。

2．2安全數(shù)據(jù)獲取方式

在進(jìn)行系統(tǒng)設(shè)計時，把每種網(wǎng)絡(luò)安全數(shù)據(jù)獲取過程定義為元獲取算法（如Cisco路由器日志的獲取）把元獲取算法包裝成動態(tài)鏈接庫。

針對以下幾類網(wǎng)絡(luò)安全數(shù)據(jù)，為每種網(wǎng)絡(luò)安全數(shù)據(jù)提供了一種或多種數(shù)據(jù)獲取的方式。

1)主流宏觀網(wǎng)絡(luò)異常報警該模塊使用Libpcap提供的函數(shù)庫獲取網(wǎng)絡(luò)數(shù)據(jù)包[2]，應(yīng)用相應(yīng)的檢測算法來檢測是否發(fā)生主流宏觀網(wǎng)絡(luò)異常（拒絕服務(wù)攻擊、蠕蟲病毒和攻擊型掃描）。

2)Snort入侵檢測系統(tǒng)的報警Snort提供了通過socket輸出的功能[3]，還可以通過修改Snort的報警輸出方式（修改Snort的源碼）或直接對Snort的數(shù)據(jù)庫進(jìn)行訪問來獲取報警信息。

3)Cisco路由器的安全日志和流量信息按照指定的格式直接從設(shè)備上獲取安全日志和流量信息[7]。

4)863-917網(wǎng)絡(luò)安全監(jiān)測平臺導(dǎo)出的監(jiān)測數(shù)據(jù)（項目方提供）。該平臺產(chǎn)生的安全數(shù)據(jù)存放在自身的數(shù)據(jù)庫中，可以直接訪問數(shù)據(jù)庫導(dǎo)入，訪問該平臺導(dǎo)出的檢測數(shù)據(jù)文件[1]。

宏觀網(wǎng)絡(luò)異常報警和Snort入侵檢測系統(tǒng)報警屬于事件信息（元信息包含兩大類，即事件信息和流量信息），路由器的安全日志和流量信息分別歸結(jié)為事件信息和流量信息，863-917網(wǎng)絡(luò)安全監(jiān)測平臺導(dǎo)入的監(jiān)測數(shù)據(jù)既有事件信息，也有流量信息。

2．3系統(tǒng)組成模塊

宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)由前端系統(tǒng)、服務(wù)器系統(tǒng)、安全數(shù)據(jù)獲取系統(tǒng)和數(shù)據(jù)庫系統(tǒng)組成(圖2)。安全數(shù)據(jù)獲取系統(tǒng)負(fù)責(zé)調(diào)度各種元獲取算法獲取數(shù)據(jù)，對數(shù)據(jù)進(jìn)行預(yù)處理變換為元信息存放在數(shù)據(jù)庫。服務(wù)器系統(tǒng)負(fù)責(zé)調(diào)度元挖掘算法進(jìn)行相關(guān)的數(shù)據(jù)挖掘和態(tài)勢計算。前端系統(tǒng)負(fù)責(zé)對數(shù)據(jù)挖掘和態(tài)勢計算的結(jié)果進(jìn)行分析。服務(wù)器系統(tǒng)、安全數(shù)據(jù)獲取系統(tǒng)和數(shù)據(jù)庫系統(tǒng)可以有多個，部署在宏觀網(wǎng)絡(luò)各個節(jié)點上。前端系統(tǒng)（也就是控制臺）只有一個，它通過網(wǎng)絡(luò)控制宏觀網(wǎng)絡(luò)各個節(jié)點上的服務(wù)器系統(tǒng)和安全數(shù)據(jù)獲取系統(tǒng)。其中有一個中心數(shù)據(jù)庫，該數(shù)據(jù)庫實時地更新各個節(jié)點上的數(shù)據(jù)挖掘和態(tài)勢計算的結(jié)果，前端系統(tǒng)通過訪問中心數(shù)據(jù)庫來對網(wǎng)絡(luò)級的數(shù)據(jù)挖掘和態(tài)勢計算結(jié)果進(jìn)行分析。

按功能，系統(tǒng)分為四個大模塊：a)安全數(shù)據(jù)獲取和預(yù)處理；b)數(shù)據(jù)挖掘和態(tài)勢計算；c)挖掘和態(tài)勢計算結(jié)果分析；d)通信。以下詳細(xì)介紹這四大模塊。首先，安全數(shù)據(jù)獲取和預(yù)處理包含以下四個小模塊：

（a)宏觀網(wǎng)絡(luò)異常的獲取、預(yù)處理模塊。預(yù)處理階段對異常報警進(jìn)行規(guī)范化，增加缺失屬性，賦予異常度等。

（b)入侵檢測系統(tǒng)報警獲取、預(yù)處理模塊。該模塊獲取入侵檢測系統(tǒng)的報警數(shù)據(jù)，進(jìn)行規(guī)范化處理、融合、關(guān)聯(lián)[8]等。

（c)路由器安全日志和流量信息獲取、預(yù)處理模塊。獲取的信息經(jīng)過過濾、篩選、規(guī)范化、合并等操作。

（d)863-917網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)獲取、預(yù)處理模塊。預(yù)處理模塊對獲取的數(shù)據(jù)進(jìn)行過濾、篩選和規(guī)范化。 把以上四個模塊將獲取的數(shù)據(jù)存放在數(shù)據(jù)庫系統(tǒng)和文件系統(tǒng)中。挖掘服務(wù)器對預(yù)處理過的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和態(tài)勢計算：

a)數(shù)據(jù)挖掘模塊。該模塊對預(yù)處理過的數(shù)據(jù)進(jìn)行選擇、轉(zhuǎn)換、挖掘。主要包括宏觀網(wǎng)絡(luò)事件序列關(guān)聯(lián)挖掘、宏觀網(wǎng)絡(luò)流量異常挖掘、宏觀網(wǎng)絡(luò)流量序貫?zāi)Ｊ綌?shù)據(jù)挖掘等。

b)安全態(tài)勢計算模塊。該模塊對預(yù)處理過的數(shù)據(jù)進(jìn)行統(tǒng)計，建立態(tài)勢模型，然后計算態(tài)勢。主要包括基于事件序列的宏觀網(wǎng)絡(luò)態(tài)勢計算、基于流量的宏觀網(wǎng)絡(luò)態(tài)勢計算。

服務(wù)器系統(tǒng)把數(shù)據(jù)挖掘和態(tài)勢計算的結(jié)果存放到部署在各個宏觀網(wǎng)絡(luò)節(jié)點上的數(shù)據(jù)庫中（非中心數(shù)據(jù)庫，這些數(shù)據(jù)庫分布在宏觀網(wǎng)絡(luò)上的各個節(jié)點上），中心數(shù)據(jù)庫實時更新各個節(jié)點的計算結(jié)果。前端系統(tǒng)從中心數(shù)據(jù)庫中獲取數(shù)據(jù)挖掘和態(tài)勢計算的結(jié)果，進(jìn)行分析。前端系統(tǒng)的挖掘和態(tài)勢分析模塊包括： 基于事件序列的宏觀網(wǎng)絡(luò)態(tài)勢分析、

宏觀網(wǎng)絡(luò)事件序列關(guān)聯(lián)分析、基于流量的宏觀網(wǎng)絡(luò)態(tài)勢分析、宏觀網(wǎng)絡(luò)流量異常分析、宏觀網(wǎng)絡(luò)流量序貫?zāi)Ｊ疆惓７治觥⒒诹髁康暮暧^網(wǎng)絡(luò)實時態(tài)勢分析、事件和流量統(tǒng)計分析。

另外，前端系統(tǒng)和服務(wù)器系統(tǒng)、前端系統(tǒng)和安全數(shù)據(jù)獲取系統(tǒng)之間通信的模塊負(fù)責(zé)控制和消息傳遞等。

a)服務(wù)器系統(tǒng)和前端系統(tǒng)通信模塊。前端系統(tǒng)控制各個服務(wù)器系統(tǒng)的運行，各個服務(wù)器把運行狀態(tài)和計算結(jié)果返回給前端系統(tǒng)。通信內(nèi)容包括啟動數(shù)據(jù)挖掘、啟動態(tài)勢計算、調(diào)整挖掘參數(shù)和態(tài)勢模型、服務(wù)器狀態(tài)報告等。

b)前端系統(tǒng)和安全數(shù)據(jù)獲取系統(tǒng)通信模塊。前端系統(tǒng)啟動、停止各個安全數(shù)據(jù)獲取和預(yù)處理模塊。各個安全數(shù)據(jù)獲取和預(yù)處理模塊把處理進(jìn)度返回給前端系統(tǒng)。

2．4實現(xiàn)方法

a)使用VC開發(fā)前端系統(tǒng)，使用MSChart控件實現(xiàn)報表呈現(xiàn)功能。前端系統(tǒng)運行在Windows XP系統(tǒng)下。

b)使用C++開發(fā)服務(wù)器系統(tǒng)，服務(wù)器系統(tǒng)負(fù)責(zé)調(diào)度數(shù)據(jù)挖掘、態(tài)勢計算等元挖掘算法模塊并發(fā)（多進(jìn)程）執(zhí)行。服務(wù)器系統(tǒng)運行在Linux或Solaris系統(tǒng)下。

c)使用C/C++開發(fā)安全數(shù)據(jù)獲取系統(tǒng)，安全數(shù)據(jù)獲取系統(tǒng)負(fù)責(zé)調(diào)度各個安全數(shù)據(jù)獲取、預(yù)處理模塊并發(fā)執(zhí)行。安全數(shù)據(jù)獲取系統(tǒng)部署在各種操作系統(tǒng)下。

d)使用C++開發(fā)數(shù)據(jù)挖掘、態(tài)勢計算、各種安全數(shù)據(jù)獲取和預(yù)處理模塊，并封裝成動態(tài)鏈接庫。服務(wù)器系統(tǒng)和安全數(shù)據(jù)獲取系統(tǒng)可以動態(tài)加載這些模塊、執(zhí)行操作。

e)前端系統(tǒng)和服務(wù)器、前端系統(tǒng)和安全數(shù)據(jù)系統(tǒng)獲取系統(tǒng)之間采用socket通信。

f)數(shù)據(jù)庫系統(tǒng)規(guī)范化到三階范式，并使用MySQL實現(xiàn)。

2．5系統(tǒng)設(shè)計評價

a)實現(xiàn)了安全數(shù)據(jù)來源的多樣性，同時元獲取算法策略使得安全數(shù)據(jù)的獲取可動態(tài)擴(kuò)充和升級。

b)元信息的定義保證了可以隨時加入新的安全數(shù)據(jù)種類，而無須對系統(tǒng)進(jìn)行更改。

c)實現(xiàn)數(shù)據(jù)挖掘和態(tài)勢計算的多樣性，同時元挖掘算法策略使得系統(tǒng)可擴(kuò)充新算法，升級舊算法。

d)采用分布挖掘的方案，提高整體運行的效率。

e)提供友好的人機(jī)界面，方便用戶理解和使用。

f)不同功能模塊之間耦合度小。模塊的可復(fù)用性高。整體系統(tǒng)具有良好的擴(kuò)展性。

3結(jié)束語

宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘系統(tǒng)的設(shè)計達(dá)到了預(yù)期的目標(biāo)。系統(tǒng)能夠收集來自原始網(wǎng)絡(luò)數(shù)據(jù)流分析輸出、Snort入侵檢測系統(tǒng)、路由器和863-917網(wǎng)絡(luò)安全監(jiān)測平臺的安全數(shù)據(jù)，同時元獲取算法和元信息的策略使得安全數(shù)據(jù)的獲取具有可擴(kuò)充性，且不需要對原系統(tǒng)設(shè)計進(jìn)行更改；系統(tǒng)能夠分布地對收集的信息進(jìn)行數(shù)據(jù)挖掘和態(tài)勢計算（宏觀網(wǎng)絡(luò)事件序列關(guān)聯(lián)挖掘、宏觀網(wǎng)絡(luò)流量異常挖掘、基于事件序列的宏觀網(wǎng)絡(luò)態(tài)勢計算和基于流量的宏觀網(wǎng)絡(luò)態(tài)勢計算等），元挖掘算法的設(shè)計使系統(tǒng)具有良好的可擴(kuò)充性；系統(tǒng)提供良好的人機(jī)交互界面，供決策分析人員直觀地對數(shù)據(jù)挖掘和態(tài)勢計算結(jié)果進(jìn)行分析。

目前在國內(nèi)外，對宏觀網(wǎng)絡(luò)安全的研究還處在探索性階段，需要綜合多種網(wǎng)絡(luò)安全數(shù)據(jù)，以及結(jié)合多種數(shù)據(jù)挖掘方法和分析技術(shù)。宏觀網(wǎng)絡(luò)安全數(shù)據(jù)挖掘綜合分析系統(tǒng)的設(shè)計為這個領(lǐng)域的研究、實際應(yīng)用與開發(fā)指明了方向。同時系統(tǒng)的設(shè)計涉及到入侵檢測系統(tǒng)、數(shù)據(jù)挖掘、數(shù)據(jù)庫、分布式計算和程序設(shè)計等多個領(lǐng)域的知識和技術(shù)，能夠給相關(guān)領(lǐng)域的研究和系統(tǒng)設(shè)計提供重要的參考。

參考文獻(xiàn)：

［1］國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.CNCERT/CC網(wǎng)絡(luò)安全工作報告[EB/OL].[2007-01-01].http://www.itsec.gov.cn/webportal/download/2004－CERT－CC%20Report.pdf.

[2]劉文濤.Linux網(wǎng)絡(luò)入侵檢測系統(tǒng)[M].北京:電子工業(yè)出版社，2004:1-272.

[3]The Snort Project.Snort users manual 2.6.1[EB/OL].[2007-01-01].http://www.snort.org/docs/snort_manual/2.6.1/snort_manual.pdf.

[4]連一峰.分布式入侵檢測系統(tǒng)研究[D].合肥:中國科學(xué)技術(shù)大學(xué)，2002.

[5]WITTEN I H，F(xiàn)RANK E.數(shù)據(jù)挖掘[M].北京:機(jī)械工業(yè)出版社，2003:1－118.

[6]陳秀真，鄭慶華，管曉宏，等.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評估的研究[J].西安交通大學(xué)學(xué)報，2004，38(4):404-408.

[7]Cisco公司.Cisco IOS system error[EB/OL].[2007-01-01].http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122sup/122sems/.

[8]VALEUR F，VIGNA G，KRUEGEL C，et al.A comprehensive approach to intrusion detection alert correlation[J].IEEE Transactions on Dependable and Secure Computing，2004，1(3):146－169.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”