网络安全防护体系中智能报警融合技术研究

◆李洋

网络安全防护体系中智能报警融合技术研究

◆李洋

（佳木斯大学 现代教育技术中心 黑龙江 154007）

在如今的网络安全防护体系当中，传统的入侵检测系统会在短时间内产生大量相同报警，如果将报警直接传递给分析模块，会使网络带宽剧增，处理速度慢并且可能会淹没了真正对系统产生威胁的少量报警信息。针对这些问题，本文设计了一种融合了层次分析法与动态时间窗口划分法的报警融合新技术，通过对攻击事件产生大量报警数据中重复、低级别的数据的属性进行相似度计算，采用数据融合技术对其进行融合处理。该方法在相似度阈值为0.6、时间间隔阈值为70s的情况下，具有89%的平均精简率，较简单的平均加权法和层次分析法性能分别提高了58.75%和28.65%，有利于网络安全管理员更加全面地了解安全状况，提升网络安全防护强度。

网络安全；报警融合；属性相似度；层次分析法；动态时间窗口

在网络安全形势严峻的背景下，网络攻击愈发频繁，手段也越来越复杂，如何能够提高网络安全防护的抗攻击强度，是目前网络安全领域的重要研究课题[1]。主要表现在，传统安全防护体系对在大量报警的处理上效率低下、错误率高且容易忽略关键报警信息。而结合权重分析和时间划分的数据融合技术为切实的解决办法，能够充分利用多元数据的互补性和冗余性，融合多元数据，能够对报警属性进行更精确地评估，进而达到加强网络安全防护的目的。

1 划分的动态时间窗口的报警融合

1.1 动态时间窗口确定方法

当端口遭到DoS攻击，会在短时间内产生大量相同或者类似的报警，一般来说，同一完整持续攻击下引发报警时间间隔较短，分布集中，但攻击引发报警的时间跨度是未知的[2]。相反，在遭受溢出攻击时，端口需要一段较长时间来进行响应。本文针对此种报警规律，设计了一种可以增大相似密集报警窗口，缩短长响应报警窗口的一种动态时间窗口划分方法，目的在于归类攻击类型，将同一攻击事件与不同攻击事件引发的报警进行有效划分，算法实行过程如图1所示。

图1 根据划分动态时间窗口报警融合图

方法的实行分为三个步骤，首先需要按照描述格式化多个检测系统产生的报警，将处理好的数据保存至数据库[3-4]。接下来，设置报警队列中第一个报警时间为第一时间窗口的始点，并按照先后顺序将报警队列中相同格式的报警进行排序。在组成的新序列当中，设置新的报警时间窗口划分条件，将时间差小于间隔阈值的前一个报警划分到前一个时间窗口内，如果时间差大于等于间隔阈值，跳出当前报警窗口划分，以当前报警时间为一个新的始点，再次进行时间窗口划分。最后将两种划分进行动态结合，将不同时间跨度的报警进行聚类，达到归类报警系统产生的警报的目的[5]。如图1所示，在完成报警的动态时间窗口划分之后，生成了多个由临近报警组成的报警集合（Alerset，ALS），接下来需要做的是对每个独立ALS集合进行进一步的报警融合。

1.2 报警属性相似度的计算

网络安全事件之间存在三种逻辑关系，第一种满足时间上事件先后顺序的入侵事件的报警定义为时序关系，该关系还可细分为三种关系，分别为因果关系、间接因果关系和非因果时序关系；第二种为同一检测系统检测多种攻击源产生的报警之间的关系，定义为协同关系，虽然为异种攻击，但是之间存在协同作用；第三种，将相同事件序列内攻击引发的端口报警之间的关系定义为并发关系，该关系由不同的安全检测系统检测同一入侵事件生成的报警组成[6-7]。三种逻辑之间的复杂关系如图2所示。

图2 报警事件之间的关系示意图

在计算图2中属性相似度时，由于数值类型的属性不同导致其表达的含义存在较大差异性，所以需要采用多种相似度计算方法来对不同的属性进行计算，被计算相似度的属性有四种，分别为IP地址、端口号、检测发生时间以及攻击类型[8]。采用无类别路由格式来对IP地址进行分析，由4个8位数的二进制数来组成IPv4地址，地址的低位区域表示主机地址，相反高位区域代表了网络地址，通过子网掩码来区分对两个区域地址进行区别，计算公式如公式（1）所示。

相比之下，第二种方法较第一种方法简单，维护较易。另外，时间属性也是报警融合过程中的关键因素，一般来说，时间属性相似度是判定报警否为同种类型的决定性因素，如果两个报警时间满足上述相似度判定条件，但是不满足时间相似最小阈值，那么这两个报警就不能进行超报警融合[11]。通过两条报警时间差TimeInterval = alert1.t ime - alert2.time来进行时间属性相似度的计算，计算公式如公式（4）所示。

1.3 基于层次分析法的报警融合方法

层次分析法属于多属性决策方法，能够对主观判断进行量化处理，同时能够进行合理性一直检验，权衡了主观动能性和客观性之间的误差，具有简单、高效等优势[12]。由于每个属性字段的相对重要性不同，在计算两个报警事件的相似度时，采用层次分析法来对每个属性字段的权重进行计算，对权重进行合理分配，以便进行融合报警。对报警事件进行权重分析时，首先需要进行层次结构的建立与因素集的确定，报警事件层次结构建立示意图如图3所示。

图3 报警事件层次结构图

2 仿真实验与结果分析

2.1 报警融合的相似度阈值分析

在Windows 10实验环境下搭建一个开源轻量级snort 2.9.9网络入侵检测系统，用来检测各种攻击和嗅探。该系统能够在IP网络上进行日志和数据的智能监控，除此之外，该系统还具备内容查找匹配、协议分析等功能，能够独立完成缓冲区溢出攻击、隐形端口扫描等威胁的检测。试验数据采用麻省理工学院林肯实验室DARPA 1999数据集，原始日志存储、流量重放、数据分析工具分别采用MySQL、tcpreplay及Python。首先分析报警属性相似度阈值对报警融合的影响，实验中重放第四周的第一天的1401条原始报警数据，报警融合的结果如图4所示。

图4 多种阈值下的融合效果图

图5 报警融合数量变化规律图

从图5（a）和图5（b）中可以看出，在采用层次分析法和属性相似度的报警融合方法能够有效消除冗余报警，将部分报警进行合并，且具有60.35%的平均精简率，基本符合条件。但是较真正报警数量来说，差距依然较大，分析其原因是系统在处理的持续时间相对较长的报警时，发生错误率较高极大地降低了融合效果。

2.2 自适应扩增的时间间隔的报警融合性能分析

图6 不同时间阈值下的报警融合效果图

在图6（b）中，区间报警占比是指在真实报警的持续时间小于等于当前阈值的数目占比总真实报警的数目，从数据可以分析出，报警融合的精简率会随时间间隔的增加而增加，在达到70s之后，精简率变化曲线趋于平稳，同时，从图6（a）可以看出当时间间隔阈值为70s时，报警融合率较高，达到90%。这是由于时间间隔越大，在每一个时间窗口发生的报警数量也会增加，导致精简率增大，融合率增加。为了避免过大的时间窗口导致无关联报警的错误融合，选择时间间隔阈值适中值70s进行多系统报警融合对比实验，实验结果如图7所示。

图7 三种方法性能对比图

图7（a）数据证明，平均加权法、层次分析法和时间划分法在都能起到报警融合的作用，由于报警中真实报警平均只占到报警0.9%，其余的都是冗余报警，所以简单的平均加权法也能在一定程度上将一部分冗余报警进行融合。层次分析法对重复报警的融合效果较平均加权法效果更优，这是由于层次分析法加入了专家评价标准、运用较多专业知识来对不同权重占比属性的相似度进行计算，相较之下更为有效。总的来说，经过时间动态窗口划分的方法最优，从图7（b）数据计算得出，在一个周期内，平均加权法的平均精简率仅有30.25%，分析法的平均精简率为60.35%，时间动态划分法的平均精简率为89%。从具体层面分析，攻击产生报警时，同一个步骤具有相似的操作方式，产生的报警具有连续性，而不同步骤操作方式差异较大，产生的报警在时间上往往存在断裂关系，并非连续，所以通过这种自适应的时间窗口划分方法，将时间上相互靠近的报警划分到一起，能够有效融合重复报警且能够避免不同报警间的错误融合。

3 结束语

数据融合技术是网络安全系统进行势态感知的核心技术，融合后的数据质量将直接影响到后续态势评估的效果，目前常规的方法有平均加权法、支持向量机等方法，虽然种类繁多，但是依然没有一套实用性能强大且实用性高的通用方法。针对网络安全防护的不足，本文研究提出了一套深度结合了层次分析和动态时间划分方法的报警融合技术，该技术能够对大量报警信息进行筛选，融合冗余报警，提高安全系统响应速度。实验结果证明，该方法在相似度阈值为0.6、时间间隔阈值为70s的情况下，具有89%的平均精简率，较简单的平均加权法和层次分析法性能分别提高了58.75%和28.65%，纠正了传统报警融合系统响应速度慢、错误率高、融合率低等问题，为网络安全建设开辟出一条新的道路。但是本次实验采用的层次分析法对专家知识有一定依赖，具有一定局限性，接下来的研究方向是通过监督学习的方式，减少对专家知识的依赖。

[1]陶晓玲，赵培超，陈隆生. 基于模糊聚类的报警数据并行融合方法[J]. 桂林电子科技大学学报，2020，40（4）：310-315.

[2]戴祥华，张苏炯. 大数据网络安全态势感知中数据融合技术的研究[J]. 中国信息化，2020（4）：81-82.

[3]蹇诗婕，卢志刚，杜丹，等. 网络入侵检测技术综述[J]. 信息安全学报，2020，5（4）：96-122.

[4]张娜. 可信物联网虚拟化数据中心数据融合结果检测技术研究[J]. 内蒙古农业大学学报（自然科学版），2020，41（4）：70-75.

[5]平国楼，叶晓俊. 网络攻击模型研究综述[J]. 信息安全研究，2020，6（12）：1058-1067.

[6]刘喆. 浅析网络安全态势感知技术[J]. 保密科学技术，2020（09）：41-45.

[7]相银堂，祁骏，许锦程，等. 基于ElasticSearch的重复报警识别系统设计与实现[J]. 工业控制计算机，2021，34（1）：90-92+95.

[8]董超，刘雷. 大数据网络安全态势感知中数据融合技术研究[J]. 网络安全技术与应用，2019（7）：60-62.

[9]陶晓玲，龚昱鸣，赵峰. 基于类别划分的OSSEC报警数据聚合方法[J]. 计算机工程与设计，2020，41（04）：908-914.

[10]李琪. 次数据集的网络安全态势感知技术研究[J]. 电子技术与软件工程，2020（13）：223-225.

[11]刘冬兰，刘新，张昊，等. 基于大数据的网络安全态势感知及主动防御技术研究与应用[J]. 计算机测量与控制，2019，27（10）：229-233.

[12]杨洋. 网络安全事件关联分析技术分析[J]. 网络安全技术与应用，2017（08）：14+30.