陈锴

摘  要： 为了满足大规模网络安全监控需要，设计基于多源异构传感器的网络安全态势感知系统，系统由信息采集层、多源数据融合层和态势感知层构成。其中信息采集层通过日志传感器对网络中主机和设备日志信息实施收集、预处理分析，SNMP传感器以SNMP协议流程为依据，对可控设备MIB库中网络交换设备和终端设备等数据进行采集、分析。多源数据融合层利用基于逐步回归分析的多源检测数据融合方法，融合信息采集层中的多源异构传感器所采集数据。态势感知层依据融合数据通过安全态势评估和安全态势预测，感知网络安全态势。实验结果表明，该系统的网络安全态势感知符合程度好，对网絡攻击性能的检测率高，可高程度约简原始报警，大大降低管理员负担。

关键词： 网络安全; 态势感知; 系统设计; 多源异构传感器; 信息获取; 多源数据融合

中图分类号： TN915.08?34; TP391.9              文献标识码： A                     文章编号： 1004?373X（2020）20?0074?05

Design of network security situation awareness system based on multi?source heterogeneous sensors

CHEN Kai

（Zhejiang University of Finance & Economics， Hangzhou 310018， China）

Abstract： A network security situation awareness system based on multi?source heterogeneous sensors is designed to meet the needs of large?scale network security monitoring. The system is composed of the information collection layer， multi?source data fusion layer and situation awareness layer. The information collection layer is used to implement collection and preprocessing analysis of the log information of the host and equipment in the network by means of the log sensor， and the SNMP sensor based on SNMP protocol flow is utilized to collect and analyze the data of the network exchange equipment and terminal equipment in the MIB （management information base） of the controllable equipments. The multi?source data fusion layer is used to fuse the data collected by multi?source heterogeneous sensors in the information collection layer by means of the multi?source detection data fusion method based on stepwise regression analysis. The situation awareness layer is used to perceive the network security situation by security situation assessment and security situation prediction according to the fused data. The experiment results show that the network security situation awareness of the system conforms well to the true situation， its detection rate of network attack performance is high， and the system can reduce the original alert to a high degree， which greatly reduces the burden on administrators.

Keywords： network security; situation awareness; system design; multi?source heterogeneous sensor; information acquisition; multi?source data fusion

0  引  言

网络在当今社会发挥着很大作用，不仅在社会生活中发挥着极大的作用，在政治、经济、军事以及其他领域的应用也十分广泛[1]。随着网络应用向各个领域大规模、高度分布式速度发展，网络安全也存在着越来越多的隐患，对网络的入侵攻击以及破坏性逐渐增强[2]。

传感器可以感知被测量的信息以及感知信息的输出，通过固有规则将其变换成电信号或一些其他模式输出，以此实现信息的输出传递、处理以及存储等，所以传感器属于检测装置[3]。传感器的特点包括：微型和数字以及智能化等。态势感知包括感知、理解和预测三个层次，它的概念最早在军事领域中提出，且随着网络的繁荣发展而晋升为“网络态势感知”。

本文设计了基于多源异构传感器的网络安全态势感知系统，通过信息采集层中日志传感器和SNMP传感器对网络中的日志信息进行收集、预处理分析，并对网络中的相关数据进行采集及分析。通过多源数据融合层对数据实施融合。通过态势决策对融合數据进行评估和预测，实现网络安全态势感知。

1  网络安全态势感知系统

网络安全态势感知系统的功能要求主要分3点：

1） 系统软件和使用的安全状态数据以及网络和服务能被有效监控和收集，一些安全异常和网络攻击行为能立刻被发觉[4];

2） 各类安全事件源的大量数据，通过网络安全态势感知系统将其融合和关联，攻击行为的性质和可能产生的影响，根据综合分析判断其原因，能迅速报警和预警;

3） 统一视图合成的实现，需要对系统安全态势进行整体监测及融合，给予不同角度安全态势，合成统一视图。

因此，在了解系统功能要求的前提下，给出基于多源异构的网络安全态势感知系统结构。

1.1  系统总体结构

网络安全态势感知系统结构由3个层次组成：信息采集层、多源数据融合层、态势感知层。该结构是分布式开放结构，“分布式获取，分域式处理”是该结构的核心思想，如图1所示。日志类传感器、SNMP传感器是信息采集层的部署分布，通过这几类传感器可获取不同异构信息如交换设备、安全设备以及网络环境中主机等异构信息[5];通过聚合和融合的方式提取主要精简数据和安全事件，这种提取方式是多源数据融合层获取不同异构信息的重要手段。多源信息的综合理解和动态预测通过层次评价思想和非线性时间序列预测方式分别实现，该实现方式属于态势感知层主要实现方式，此方式能提供可靠的安全态势图作为上层的依据。与对应的数据库交互是信息采集层、多源异构数据融合层以及态势感知层完成各自程序的方式。

“监控?分析?决策”组成的感知环构成网络安全态势感知系统框架结构安全感知环。实现整个网络的监控，分为两部分：通过多类传感器实行安全监控;每个设备的安全状态数据通过每个传感器实时获取。通过对数据分析完成安全分析[6]，根据所获取的信息实行过滤、验证以及融合三步骤完成数据分析。

1.2  数据获取层

1.2.1  日志传感器

网络安全态势感知的日志传感器布置在网络设备构成的网络系统中主要包括主机、IDS、交换机等设备。网络中，主机和设备的日志信息采集通过布置特定数量的日志传感器完成，经过简单的预处理和分析后，形成安全事件，及时精确地把网络信息显示给网络管理者。

日志采集模块和日志分析模式构成日志传感器。通过简单的数据预处理后传递给日志分析模块，通过日志采集模块对IDS、关键主机、安全设备和其他日志系统实现日志完成数据采集。日志分析模块根据特定的安全规则通过预处理的日志，且形成格式一致的安全事件传递上层应用[7]。日志传感器的结构见图2。

1.2.2  SNMP传感器

SNMP传感器以SNMP协议流程为依据。通过SNMP协议对可控设备MIB库中的网络交换设备和终端设备等数据，实行采集以及数据分析，得到系统所需信息如网络拓扑信息、网络流量信息以及安全事件信息等，将所得信息上交给上层应用或网络管理员且要求信息形式规范统一。

SNMP协议不仅可以从网络设备上采集网络管理信息，还能反映网络设备的问题及错误，组成部分包括由协议没有关联性的一系列协议组以及使用范围非常普遍的网络管理协议。

通过RFC3411?RFC341D定义SNMPv3，在v2版本的前提下对安全性提高和远端配置加强，封包在传输时保证信息的完整性、检验信息的正确源和封包的加密（防止未授权的来源窥探）是v3版本的安全性功能。SNMPv3在网络安全研究领域上能让大规模网络管理需要得以实现，并有较强的适应性。

通过Administrator?Agent的管理模式实现SNMP协议，图3是SNMP协议的逻辑结构，通过数据备份和数据融合以及高层次的网络安全态势感知，经由管理站发出指令实现上述过程[8]，通常情况下该管理站是中间件，是管理者和网络管理系统的中间件，并且在网络中是一个独立的主机系统;管理站收取的数据不仅可以直接用来获取流量信息还能监视网络性能，排除故障等[9]。Agent与管理站不同，通过监控设备上的路由器、主机和交换机等设备驻留。换句话说，管理站和Agent存在信息交互时，通过SNMP协议实现其交互过程，且SNMP协议建立在TCP/IP协议的前提下，使用UDP。管理站和Agent分别用来管理网络以及收集网络数据，MIB和SNMP分别用来规定设备相关对象以及连接二者通信，这4组元素组成SNMP网络管理模型，这是从更高角度来理解的层面。

1.3  多源数据融合层

基于逐步回归分析实现系统多源检测数据融合层，为系统软件部分。自变量和因变量之间统计关系的数学表达式的建立，在大量实验观测数据的前提下，用回归分析方法找出监测变量之间的内部相关性，从而定量建立其数学表达式，组建多源异构传感器监测变量与网络攻击变量间的关系模型。

逐步回归分析法的步骤为：

1） 从自变量Y作用的显著程度开始，从小到大按顺序逐个引入回归方程;

2） 后面引入自变量时，当之前引入的自变量变得不显著时，清除该不显著的自变量;

3） 采用逐步方程将一个自变量引入或清除;

4） 为了保证每次引入新的显著性变量前回归方程中只有Y值作用的显著变量，对Y值的检测每一步都要实行;

5） 此过程要反复实行，当回归方程中没有显著变量需要清除以及没有显著变量可以引入回归方程时停止实行。

通过实际检测数据样本，采用逐步回归分析法寻找“最优”回归方程，实现多源异构传感器数据之间的融合处理，实现网络安全态势感知。

多项式回归计算方法如下，设变量X，Y的回归模型为：

[Y=α0+α1x+α2x2+…+αqxq+β] （1）

式中：[q]是已知的;[αi（i=1，2，…，q）]是未知参数;[β]服从正态分布[M（0，σ2）]。

回归多项式为：

[Y=α0+α1x+α2x2+…+αtxt]  （2）

回归模型是多项式回归。若[xj=xj，j=1，2，…，t]，则多项回归模型变成多元线性回归模型。

1.4  态势感知层

安全态势预测模块、安全态势评价模块以及事件威胁度评价模块共同构成态势感知层。事件威胁度评价的环节十分重要[10]，因为事件威胁度评价将高威胁度的安全事件放在首位，其他事件次之[11]，这样能马上提醒安全管理人员重视此事件[12]。Snort攻击威胁分类情况和安全态势要素通过设计的匹配器进行提取，并对结果实行匹配，其匹配结果的安全事件分为高、中、低三种情况[13]，因此能更清晰地展现给管理人员。

1.4.1  安全態势评价

整个网络当前安全态势评价主要通过安全态势评价模块实现。该模块的评价流程如图4所示。

安全事件的威胁度统计分析通过安全威胁统计模块实现，其实现过程是在特定时间范围根据安全事件展开分析，分析得出高、中、低三种威胁程度的安全事件数量，其不同主机服务在不同时间间隔内所受不同威胁程度的情况下完成分析过程。根据不同时间间隔的重要性依次算出相应的服务安全态势，将其储藏于态势库，该过程是服务安全态势评价模块应用流程。通过不同主机的安全防御机制与安全属性的要求相结合，算出对应的防御强度，和主机上的服务安全态势一起提供给主机安全态势评价模块，由此得到主机防御方法配置获取模块。

主机安全态势评价模块分三步：

1） 了解主机上运行的服务情况，在权值库中读取相应的服务权值;

2） 主机的安全态势获取，通过对比步骤1）和防御强度实现;

3） 将安全态势储藏于态势库，输送态势库至网络安全态势评价模块，其工作流程为：算出整个网络的安全态势情况，通过主机在网络中的不同地位（即权值）实现;将算出的结果传递给态势呈现模块;将评价结果展现给决策者。

1.4.2  安全态势预测

前向预测功能是网络安全态势的特点之一，其功能通过态势感知层预测模块实现。网络安全态势预测流程如图5所示。历史和目前网络安全态势数据通过获取模块从态势库中分别读取[14];模型的训练和测试结果分别通过历史数据提供给态势预测训练模块以及当前数据提供给态势预测测试模块[15]。为实现小波神经网络预测模型优化，评价优化模块通过改进遗传算法并在训练和测试评价结果基础上完成，当训练结果符合误差设定标准时，明确态势预测模型，用于感知安全态势。

2  实验分析

为了验证本文所设计系统的有效性，搭建如下网络环境平台进行实验：实验环境为区网中的一个网段。其设备包括1台PC机，作为网络安全态势数据的接收机，1个Cisco路由器，1台高性能千兆交换机，以及8台PC机作为实验机。

为了验证本文系统性能，采用Z?Stack网络感知系统、GA?PRF网络感知系统以及大数据网络感知系统作为对比系统，进行实验验证。

四种系统面对网络攻击时的检测性能Dos（拒绝服务攻击），Probe（扫描与探测），U2R（对本地超级用户的非法访问）和R2L（未经授权的远程访问）的对比结果如表1所示。

由表1可知，Z?Stack网络感知系统、GA?PRF网络感知系统以及大数据网络感知系统对Dos，Probe，U2R和R2L的检测率均低于本文系统，其中U2R和R2L的检测率显著小于本文系统。结果表明本文系统针对网络攻击具备较高检测率。

图6为网络安全态势演化图，通过图6融合生成之后的感知与真实态势之间的符合程度见图7。由图7可知，本文系统的网络安全态势感知符合程度高达80%，远远高于Z?Stack网络感知系统、GA?PRF网络感知系统以及大数据网络感知系统在网络安全态势感知符合程度，说明本文系统的网络安全态势感知的符合程度好。

为了验证本文系统的态势预报警程度，将四种系统进行实验对比。图8为态势感知的SAR图，用于表示安全态势感知技术对原始报警的简约程度。由图8可知，本文系统在对原始报警的简约程度上高于Z?Stack网络感知系统、A?PRF网络感知系统以及大数据网络感知系统，说明本文系统的安全态势感知技术对原始报警的简约程度高，能大大降低管理员的负担。

3  结  论

本文设计的系统结构包括信息采集层、多源异构数据融合层以及态势感知层。通过各层之间的相互合作和融合，实现网络安全态势感知。通过仿真对比实验发现，本文设计面对网络攻击时的检测性能均高于95%，要优于其他三种方法，网络安全态势感知的符合程度及安全态势感知技术对原始报警的约简程度均要优于其他三种方法，对实现大规模网络安全监控具有重要意义。但本文系统还存在一些不足之处，如局部网络在产生攻击行为时，会影响其他部分网络的感知效果，因此还需对网络态势感知区域实行进一步探讨。