加權最近鄰聚類在SOC中的應用

叢佩麗

遼寧機電職業技術學院信息工程系 遼寧 118009

0 引言

本文在上述安全管理系統的基礎上，對報警信息聚類的方法進行研究。聚類分析常采用的分類器有：平均樣本法優點是算法簡單，但是用一點代表一類，過分集中。平均距離法需要計算待識模式與每一個訓練樣本的距離，計算量比較大。最近鄰法需存儲和計算訓練樣本，容易受噪音的影響。K-近鄰法中的K值取值較大時，雖然減少了噪音的干擾，但是會把原是一類的分成多類，當K值取值較小時，又受了噪音的干擾。改進的最近鄰以每一個類別以幾個子集的平均樣本為代表，采取最近鄰法進行分類，這樣減少了存儲量和計算量，減少噪音的干擾，這是通常采用的分類器。

1 加權最近鄰聚類報警的設計

1.1 SOC總體系結構設計

SOC關鍵技術是安全事件的關聯信息模型、通用高性能關聯引擎、安全事件重要性評估、安全設備聯動控制等關鍵技術。完成安全事件的信息聚類是上述關鍵技術實現的前提。網絡報警的聚類主要是在SOC的收集代理上實現，而且聚類主要是針對同一類型報警信息的縱向聚類。聚類的主要目的是減少網絡報警的數量，將多條重復的報警信息在規定的時間閾值和空間閾值內合并成一條。

網絡報警信息的規范化過程是指將各類安全信息轉化為以統一格式描述的信息的過程，從而帶來語義級別的提升。由于網絡設備千差萬別，所以它們所發出的報警的格式也多種多樣，需要進行必要的聚類操作。因此在設計 SOC體系時，本文側重于收集代理上的信息聚類方法的研究，建立SOC總體結構如圖1所示。

圖1 SOC總體結構圖

1.2 加權最近鄰聚類報警模型

定義1 報警信息向量：從報警信息記錄的原始報警信息中提取的有助構建進攻場面的特征屬性：設備類型、攻擊方式、源IP、源端口、目的IP、目的端口、以太網協儀依次作為一條報警信息的七個分量，構建的向量稱為報警信息向量。

定義2 報警信息向量空間：由所有報警信息向量構成的7維向量空間稱為報警信息向量空間。

在報警信息的聚類過程中，本系統采用了具有權值的最近鄰算法進行聚類。海量的報警信息相當于空間點集V，每個點(即報警信息)又可抽象成報警信息向量，相當于點集中的點 P1。如果兩個七元組 P1、P2中所有元素均相同，則其距離為0，也就是P2為P1的最近鄰，即 MN( P1)=P2。根據報警向量中各元素在攻擊中所扮演的角色不同，為其分配一個惟一的權值，分別為ω1,ω2,…ω7，P1,P2,…P7為元素比較標志。如果P1、P2的對應分量相同，則1F為0，否則1F為1。P1、P2間的距離D(P1、P2)定義為：

如果D(P1，P2)≤t則P1，P2屬于同一類，可合并為一條報警信息，并且將各個報警信息的次數相加。在丹東水利系統SOC中，報警信息向量的權值ω，距離閾值t，聚類時間閾值和聚類的空間閾值都可以靈活設定。

在聚類過程中為了提高聚類效率，本系統采用了平衡二叉樹算法。如圖2所示。

圖2 SOC 聚類邏輯結構

將每個待聚類的關鍵字作為二叉樹的一個節點，如果新采集的規范化后的網絡報警和在平衡二叉樹中查找到的節點的關鍵字依據公式1計算出它們之間的距離D，如果D≤t就將二叉樹節點的次數字段和新報警信息的次數相加，如果不同就將該新報警信息插入到平衡二叉樹，并調整二叉樹為平衡狀態。

甜玉米品質：成熟期采集甜玉米可鮮食部分，采用水楊酸硝化法測定硝酸鹽含量，采用蒽酮比色法測定可溶性糖含量，采用考馬斯亮藍G250法測定可溶性蛋白含量［16］。

本系統在聚類過程中同時還維護了一個隊列，每在平衡二叉樹中插入一個節點同時也將該節點入隊并記下入隊時間。每隔2秒鐘輪詢隊列。用當前時間減去入隊時間，如果時間差大于聚類閾值，在平衡二叉樹中查找該節點，將該節點提交給網絡報警初步關聯分析模塊，同時將該節點從二叉樹中刪除，將二叉樹調整為平衡狀態。如果平衡二叉樹節點達到最大值，則新來的報警信息將替換平衡二叉樹中時間最久的節點，這樣就會出現丟包現象。

2 系統測試

2.1 測試環境

為了滿足本系統的技術功能測試要求，搭建了一個由事件收集代理，SOC服務器，SOC數據庫服務器，掃描器，審計中心，防火墻，入侵檢測系統，服務器和兩臺測試機組成的測試網絡，并可以接入現有的試驗網，滿足對其網絡設備進行安全監控等要求。具體如圖3所示。

圖3 SOC測試網絡拓撲圖

2.2 測試工具

(1) SOC Web服務器一臺。應用服務器是SOC安全管理平臺的分析中心，提供對安全信息的關聯分析、安全脆弱性分析、安全事件處理監控與管理、安全狀況評估、安全知識庫管理等功能。

(2) SOC數據庫服務器一臺。數據庫服務器主要用來保存SOC安全管理平臺的數據信息，為SOC安全管理平臺提供數據的存儲、查詢等功能。IP地址設置為192.168.71.30。

(3) 收集代理服務器兩臺。安全信息收集代理主要完成對設備和主機系統的安全信息的收集、安全域內資產的自動發現等功能。IP地址分別設置為192.168.70.13，210.36.45.13。

(4) 掃描器一臺。掃描系統存在的漏洞。

(5) 測試PC兩臺，模擬發送本系統所支持的其它設備的報警信息。

(6) 防火墻一臺。對攻擊事件發出網絡報警。

(7) 審計中心一臺。

(8) IDS一臺。對攻擊事件發出網絡報警。

2.3 測試流程

本系統的主要工作流程如下：

(1) 管理員通過Web瀏覽器打開Web管理中心界面，通過用戶認證后，正式登錄Web管理中心。

(2) 配置應用服務器，設置報警聚類的相關參數。

(3) 配置收集代理服務器，設置收集代理的相關參數，確定收集代理收集的目標設備。

(4) 利用測試PC1和PC2發動攻擊。

(5) 應用服務器利用數據庫中的規則庫進行關聯分析，并給出告警信息。

2.4 相關測試結果

通過測試，得出了如下結果：

(1) 支持網絡報警設備

本系統支持的網絡報警設備有：Cisco 系列路由器、Cisco系列交換機、天融信防火墻、東軟防火墻、東軟IDS、啟明IDS、啟明掃描器、Nessus掃描器、Nmap掃描器、北電幀中繼設備、Linux主機、Window主機、Symantec 防病毒軟件。對其它廠家設備實現了可擴展支持。

(2) 支持網絡報警格式

本系統支持的網絡報警格式有：SNMPTRAP、SYSLOG、文本格式、ODBC格式。對其它協議可擴展支持。

(3) 報警信息收集能力

本系統的報警信息收集能力大于30萬條/分鐘，關聯分析規則庫內置了四百余條規則。

(4) 聚類前后報警數量對比如圖4所示。

圖4 SOC聚類結果對比圖

由圖4可以看出，聚類前報警數量約為12000多條聚類后僅有4000余條。報警數量減少了約2/3。

3 結論

本文所應用的基于有權值的最近鄰聚類技術有效的減少了報警數量，降低了誤報率，為進一步進行關聯分析奠定了基礎，使SOC系統更好發揮作用，確保網絡信息安全。

[1]McHugh J. Intrusion and intrusion detection, International Journal of Information Security. 2001.

[2]溫輝,徐開勇.網絡安全事件關聯分析及主動響應機制的研究.計算機應用與軟件.2010.

[3]賈丙靜,王傳安.Web日志挖掘中模糊C均值聚類研究[J].遼東學院學報(自然科學版).2011.

[4]楊德志.基于QPSO參數優化的LS-SVM智能標定[J].遼東學院學報(自然科學版).2011.

[5]吳正楨,陳秀真,李建華.基于聚類和報警先決條件的網絡入侵關聯分析[J].計算機工程.2007.

[6]胡永麗,龔沛曾.基于模糊C均值和改進的LSA的文檔聚類研究.計算機技術與發展.2010.

[7]趙彬,王亞弟等.網絡安全運營中心關鍵技術研究[J].信息安全技術.2009.

[8]嚴會超,陳聯城等.采用綜合加權聚類方法的農產品安全監測點規劃[J].應用生態學報.2009.

[9]叢佩麗.SOC中報警聚類及關聯分析技術的設計與實現[D].大連理工大學.2008.