實時網絡安全威脅態勢感知

吳朝雄，王曉程，王紅艷，石 波

（中國航天科工集團第二研究院706所，北京100854）

0 引 言

在網絡安全態勢感知［1］的研究方面，主要有算法在網絡態勢中的應用及算法優化，如D－S證據理論預測［2］、神經網絡、灰度理論等，信息融合的網絡安全態勢評估模型［3，4］、大規模網絡安全態勢技術研究［5］、流量態勢感知的研究［6］、網絡安全態勢評估方法的分析［7］等。然而，網絡安全態勢感知方面的研究仍然存在以下一些問題：

（1）態勢感知定義模糊，沒有統一的理解。態勢感知的理解和定義目前仍然存在著很大的爭議，不少研究人員對態勢感知都有自己的見解，但是都未形成標準。

（2）網絡安全態勢感知缺乏精確的數學模型。目前所說的網絡安全態勢感知模型實際上是指網絡安全態勢感知系統結構和框架，并沒有固定的數學知識表達模型。

（3）對復雜網絡攻擊缺乏感知的方法、工具。實時精確檢測復雜網絡攻擊是保證度量網絡安全態勢感知準確的基礎和支撐。因此，提高對復雜網絡攻擊感知是首要解決的問題。

（4）網絡安全態勢感知缺乏實時性。不管是網絡安全態勢預測還是評估方面，都缺乏時效性，不能及時的給系統管理員呈現安全態勢信息。

本文針對上述 （3）、 （4）兩點不足之處，主要從攻擊威脅角度出發，設計了一種模塊化的實時感知系統結構，并在結構中提出了基于粗糙集 （rough set，RS）和事件流處理 （event stream processing，ESP）相結合的實時網絡安全威脅態勢感知方法。該方法和技術在一定程度上提高了對復雜網絡攻擊感知的能力并解決了網絡安全威脅態勢分析的時效性。

1 系統模塊化結構模型

RS是一門基于分類思想研究不確定性和不精確問題的理論。波蘭科學家Pawlak提出了粗糙集的概念［8］。粗糙集在知識發現中的應用主要體現在使用等價關系對數據進行聚類形成等價集合，對屬性、對象進行約簡計算，提取決策規則［9］基于粗糙集提取出的規則能夠更好的客觀描述樣本數據屬性之間的本質關系。而且粗糙集與證據理論、概率論、模糊集理論等理論相比，其最大的優勢在于粗集理論不需要任何的先驗知識和專家知識，因此推理出的知識是客觀可信的［10］。ESP 是一種從大量持續性事件流中過濾、分析出有意義的事件，并能夠實時取得這些有意義的信息的技術，且其分析引擎具有較高的吞吐量［11］。根據網絡安全態勢感知中的數據特點，本文將RS以及ESP 引入到網絡安全態勢感知系統中。系統分為在線和離線感知兩部分。系統主要由數據采集、數據預處理、知識發現、實時攻擊感知、安全態勢分析、態勢可視化等模塊組成。如圖1所示。

圖1 基于RS－ESP的系統結構模型

數據采集收集多源異構的安全事件數據，數據預處理是對各種安全事件的標準化。知識發現模塊的數據源來源于兩部分，一部分是已有的復雜攻擊樣本數據庫，另一部分是則來源于采集到的安全事件。實時攻擊感知既接收標準化后的數據流，也接受攻擊知識庫中的復雜攻擊規則。安全態勢分析接收攻擊感知的結果對安全態勢進行分析，并同時進行可視化的展示。

2 基于RS－ESP的態勢感知方法

2.1 實時態勢感知思想

大規模網絡下的安全態勢感知其處理的數據是海量的，通過RS理論能夠很好的從已有的小樣本攻擊態勢數據中發現真正有意義的復雜攻擊知識，揭示潛在的復雜攻擊規律。同時通過ESP技術結合發現的復雜攻擊規則能夠實現在線對網絡環境中的安全事件進行動態分析，從而為實時網絡安全態勢分析提供基礎。實時態勢感知的基本思想是通過RS理論從攻擊態勢樣本數據集中建立攻擊態勢決策表，對攻擊態勢決策表中的屬性約簡得到精簡的攻擊態勢決策表，最后通過計算屬性之間的依賴度，提取出復雜的攻擊規則。ESP將提取的攻擊規則按照一定的規定轉換成機器所能識別和運行的語言，然后在線對網絡安全事件流進行上下文關聯分析，并將分析的結果提供給實時態勢分析和態勢可視化。實時態勢分析根據攻擊感知的結果，對整體網絡安全態勢進行分析，從而得到對網絡安全態勢的整體把握。實時網絡安全態勢感知流程如圖2所示。

圖2 基于RS－ESP的實時態勢感知流程

2.2 構建攻擊態勢決策表

RS將客觀世界抽象為一個信息系統。信息系統由四元組S 表示，S＝＜U，A，V，f＞。U 是對象或者事例的有限集合，稱作論域，A 是屬性的有限集合。V 是屬性值的值域，f 是信息函數，即f：U×A→V，f（xi，Aj）∈Vj，其中xi∈U，Aj∈A。屬性集A 又常常分為兩個集合C 和D，即C∪D＝A，C∩D＝，C 表示條件屬性集，D 表示決策屬性集，將帶有條件屬性集和決策屬性集的系統稱為決策系統，記為S＝＜U，C∪D，V，f＞。

在網絡安全態勢感知中，安全告警事件集對應論域U，即簡單攻擊相互組合后所形成的復雜攻擊，各單個簡單攻擊為條件屬性集C，這些一連串的簡單攻擊對系統所造成的威脅程度對應決策屬性集D。建立如表1所示的攻擊態勢信息決策。

表1 信息決策

2.3 約簡攻擊態勢屬性

對攻擊態勢決策表中的條件屬性集進行約簡，刪除對攻擊態勢決策結果不產生影響的攻擊條件集。為了理解屬性約簡，做了如下定義。

定義1 對所有的p∈P，xi，xj∈U，稱為P 對U 的等價關系，記為U／eq（P）

定義2 粗糙集是以上近似和下近似來近似定義粗糙集，其中對于集合X U，X 的下近似表示為B＿（X）

定義3 等價關系B 的子集C 和D，定義D 關于C 的正域為POSC（D）

定義4 對任意的Ci∈C，如果刪除屬性Ci使得POSC－Ci（D）＝POSC（D）則稱Ci屬性為無效攻擊態勢因子。

2.4 提取攻擊規則

對于約簡后的攻擊決策表，可以得出表中各屬性之間的依賴關系，即提取攻擊規則。本文提取攻擊規則的原則是算出組合條件屬性對決策屬性的依賴度，與一般計算置信度有一定的差別。

定義5 規定提取的攻擊規則C→D，規則的可信度由表示cf也就是說有條件屬性C 可以以cf 的可信度來確定D。cf 越高，表明條件組合C 對D 的影響程度越大。

2.5 ESP實時分析

ESP實時分析實際上是對網絡攻擊的實時感知，其將由RS獲取到的復雜攻擊規則集轉換成ESP 分析引擎所能識別的語句，從而實現對流經其引擎的安全事件流進行上下文關聯分析，及時發現惡意的、潛在的復雜網絡攻擊行為。本文引入了Esper作為ESP 的分析引擎，對復雜網絡攻擊進行分析處理。

Esper處理的事件一般是實時或者近實時的事件。其核心模塊包括事件處理語言 （event process languange，EPL）語法解析引擎、事件處理、事件監聽機制等。Esper主要應用在實時性要求比較高的行業，如股票、金融方面。因此其處理實時性方面的特點與本文的實時性要求很吻合。ESP實時分析引擎 （Esper）表面看和IDS相似，但是他們之間有著巨大的差別：

（1）處理對象不同。前者處理的對象包括數據流、事件流，處理對象更為高層和抽象。而后者處理對象為數據包。

（2）處理速度不同。前者具有很高的吞吐率和較快的處理速度，面對大數據量時不出現速度瓶頸，具有較高的吞吐率。同時還支持協同分布式部署和處理。后者面對大數據量時容易出現處理速度瓶頸，且后者不支持協同分布式處理。

（3）處理復雜度不同。前者能夠處理復雜的對象和事件，因為其具有強大的存儲記憶力，能夠在線關聯上下文，支持多級處理模式。而后者則不具備存儲記憶力，IDS 屬于即時處理，不具備關聯能力，因此IDS只能檢測簡單的單步攻擊。

一次簡單攻擊可以用十元組AttackR＝＜rulename，sip，dip，sport，dport，psign，timestamp，timeout，reality，pri＞來表示，其中rulename為規則名稱，sip 表示源IP，dip 表示目的IP，dport表示目的端口，psign 表示信息的類型，pro表示協議類型，timestamp 表示攻擊發生的時間，timeout表示攻擊之間的時間窗口，reality 表示攻擊成功度，reality 值越大也說明攻擊成功的可能性越高，取值范圍為1～5，pri代表該攻擊的重要程度，取值范圍為1～5。復雜攻擊是由一個或者多個像這樣的十元組形成的一條攻擊鏈路，形如AttackR1→…→AttackRi→…→AttackRn。ESP對通過逐級模式匹配完成對復雜網絡攻擊的感知和分析。其復雜攻擊分析模型如圖3所示。

圖3 復雜攻擊分析模型

復雜攻擊分析模型由過濾器，觸發器，關聯器，評估攻擊值4個基本模塊組成，過濾器主要負責除雜和分流的任務，觸發器根據上一級關聯分析結果判斷是否需要觸發下一級的關聯分析執行。關聯器按照復雜攻擊規則對接收到的事件流進行關聯計算，評估攻擊值模塊根據當前的資產信息、攻擊規則以及當前攻擊評估當前攻擊的攻擊威脅值attvalue。ESP分析引擎對安全事件流的整個分析過程都是通過EPL語句進行模式匹配分析完成。

同時，通過復雜攻擊分析模型可以看出該模型結構是一個級聯結構，能夠支持多級擴展，因此對于變長的復雜鏈路攻擊具有較好的適應性和擴展性。

2.6 實時安全威脅態勢分析

為了簡化網絡結構，本文從服務、主機、網絡系統3個層面分析網絡安全威脅態勢。

服務層威脅：針對服務層的攻擊對服務的威脅程度，用TS 表示

num 發生的次數。attvalue由式 （3）計算得出

式中：asset——資產值，其取值范圍為1～3，nl——一條復雜攻擊規則鏈路的長度，rl——當前復雜攻擊鏈路的長度。通過式 （3）計算攻擊值能夠較為真實的反映出復雜攻擊給服務帶來的影響。

主機層威脅：所有主機上開放的服務受到攻擊后對主機的威脅程度，用TH 表示

式中：SP——該服務在所有主機開通的服務中所占的比重。

系統層威脅：所有受攻擊的主機對體統的威脅程度，用TN 表示

式中：HP——主機所占重要度的權重，用資產來進行衡量

3 實驗仿真與分析

3.1 實驗環境

為了測試和驗證本文的提出的態勢感知方法的時效性，搭建了實驗環境如圖4所示，實驗中有多臺PC機，且每個PC機上所開服務和所存信息也不盡相同。利用外部攻擊軟件對所搭建的實驗網絡不定時的發動攻擊。

圖4 實驗環境

3.2 安全威脅態勢建模

為了簡化安全態勢建模，選取一個樣本中的數據進行說明。選取的攻擊樣本包含6 個條件屬性，即C＝ ｛C1，C2，C3，C4，C5，C6｝＝ ｛ping，SNMP，teardrop，Finger，電子郵件釣魚攻擊，鍵盤記錄木馬｝，決策屬性D 為攻擊對系統的影響程度，值域為1～5。

攻擊態勢決策見表2。

通過2.3節中的定義，計算出各個屬性的有效性，如POSC＝ ｛1，2，3，4，5，6，7，8，9｝，說明屬性C2屬于無效屬性，同理可以計算出屬性C1，C3，C5，C6屬于有效屬性，屬性C2，C4無效屬性，得到如表3所示的攻擊態勢約簡。

表2 攻擊態勢決策

表3 攻擊態勢約簡

對表3中的數據進行復雜攻擊規則提取，選取不同的攻擊屬性組合，得到不同的規則，如將C5，C6作為一個組合，即可得到C5C6→D 的可信度為0.67，同理可以計算出表中所有可能合理的規則。將得到的規則轉換為EPL 語句用來對安全事件流進行關聯分析檢測，如圖5所示。

圖5 C5C6→D 關聯分析語句

3.3 實驗仿真與分析

首先對模型中涉及的指標進行量化，測試環境中開放了Telnet，DNS，Http，FTP、SMTP、POP3 服務，各服務所占的比重SP＝ ｛0.05，0.1，0.3，0.15，0.2，0.2｝，主機資產的度量按照機器上存儲數據的數量和重要性度量，asset＝ ｛2，3，3，…，1，2，1｝。HP ＝ ｛0.167，0.5，0.5，…0.167，0.333，0.167｝。將樣本中所有數據按照3.2節的方式建模，部署在實驗環境中，采集某一天上午11∶00－11∶30的網絡安全事件，每隔兩分鐘分析一次安全態，利用式 （5）得到表4所示的分析數據。

表4 網絡安全威脅態勢值

根據表4所測得安全態勢值的MATLAB 曲線如圖6所示。

圖6 實驗結果

從圖6中可以看出在測試的半小時內實驗網絡的安全狀況以及趨勢。在第5次到第9次的安全態勢分析中發生了較為密集的攻擊行為。同時，關于ESP 分析引擎對攻擊分析的速度也做了統計分析，單個ESP 分析引擎在實驗中能達到5000 條／秒，為實時安全威脅態勢的分析提供了保障。

4 結束語

本文設計了模塊化的實時感知系統結構，并結合RS理論和ESP技術，實現了對復雜網絡攻擊的實時分析檢測以及以分鐘為單位的網絡安全威脅態勢的實時分析。本文雖然在一定成都上解決了時效性問題，但是仍然有其它問題需要深入研究，如，對RS算法的高效優化，優化ESP 分析引擎的資源占用、樣本數據集的擴大等。有關這些方面的問題還有待更進一步的研究。

［1］Bass T.Intrusion systems and multisensor data fusion ［J］.Communications of the ACM，2000，43 （4）：99－105.

［2］SHI Bo，XIE Xiaoquan.Research on network security situation forecast method based on DS evidence theory ［J］.Computer Engineering and Design，2013，34 （3）：821－825 （in Chinese）.［石波，謝小權.基于D－S證據理論的網絡安全態勢預測方法研究［J］.計算機工程與設計，2013，34（3）：821－825.］

［3］WEI Yong，LIAN Yifeng，FENG Dengguo.A network security situational awareness model based on information fusion ［J］.Journal of Computer Research and Development，2009，46（3）：353－362 （in Chinese）. ［韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型 ［J］.計算機研究與發展，2009，46 （3）：353－362.］

［4］LAI Jibao，WANG Ying，WANG Huiqiang，et al.Research on network security situation awareness system architecture based on multi－source heterogeneous sensors ［J］.Computer Science，2011，38 （3）：144－149 （in Chinese）.［賴積保，王穎，王慧強，等.基于多源異構傳感器的網絡安全態勢感知系統結構研 ［J］.計算機科學，2011，38 （3）：144－149.］

［5］WANG Juan.Research on key technology in large－scale network security situation awareness ［D］.Chengdu：University of Electronic Science and Technology of China，2010：3－6 （in Chinese）. ［王娟.大規模網絡安全態勢感知關鍵技術研究［D］.成都：電子科技大學，2010：3－6.］

［6］ZUO Ying.Research on cyberspace sitnational awareness technology based on topology and traffic mining ［D］.Beijing：National University of Defense Technology，2010：101－104 （in Chinese）.［卓瑩.基于拓撲＿流量挖掘的網絡態勢感知技術研究 ［D］.北京：國防科技大學研究生院，2010：101－104.］

［7］GONG Zhenghu，ZHUO Ying.Research on cyberspace situational awareness ［J］.Journal of Software，2010，21 （7）：1605－1609 （in Chinese）.［龔正虎，卓瑩.網絡態勢感知研究［J］.軟件學報，2010，21 （7）：1605－1609.］

［8］Pawlak Z.Rough sets ［J］.International Journal of Information and Computer Science，1982，11 （5）：311－356

［9］Pawlak Z，Gzymala Busse J，Slowinski R.Rough sets ［J］.Communications of the ACM，1995，38 （11）：88－95.

［10］WANG Guoyin，YAO Yiyu，YU Yihong.A survey on rough set theory and applications ［J］.Chinese Journal of Computers，2009，32 （7）：1229－1246 （in Chinese）.［王國胤，姚一豫，于一洪.粗糙集理論與應用研究綜述 ［J］.計算機學報，2009，32 （7）：1229－1246.］

［11］CHENG Suju， WANG Yongjian， MENG You，et al.PMTree：An efficient pattern matching method for event stream processing ［J］.Journal of Computer Research and Development，2012，49 （11）：2481－2484 （in Chinese）.［程蘇琚，王永劍，孟由，等.PMTree：一種高效的事件流模式匹配方法［J］.計算機研究與發展，2012，49（11）：2481－2484.］