当前位置:首页 >> 工学 >>

电力研究生大论文2128


专业硕士学位论文
数据融合技术在网络安全设备联动 系统中的应用

The application of data fusion technology in the network security equipment linkage system

冯理达

2014 年 12 月

国内图书分类号: TP393.1 国际图书分类号: 004.78

学校代码: 10079 密级:公开

专业硕士学位论文

数据融合技术在网络安全设备联动 系统中的应用

硕 士 研 究 生 : 冯理达 导 师 : 程晓荣教授

企 业 导 师 : 丁柱卫 申 请 学 位 : 工程硕士 专 业 领 域 : 软件工程 培 养 方 式 : 全日制 所 在 学 院: 控 制 与 计 算 机 工 程 学 院 答 辩 日 期 : 2015 年 3 月 授予学位单位 : 华北电力大学

Classified Index: TP393.1 U.D.C: 004.78

Thesis for the Master Degree The application and research of Internet of Things technology in electric power equipment management

Candidate: Supervisor: School: Date of Defence:

Feng Lida Prof. Cheng Xiaorong School of Control and Engineering March, 2015 Computer

Degree-Conferring-Institution: North China Electric Power University

华北电力大学硕士学位论文原创性声明
本人郑重声明:此处所提交的硕士学位论文《数据融合技术在网络安全设 备联动系统中的应用》,是本人在导师指导下,在华北电力大学攻读硕士学位 期间独立进行研究工作所取得的成果。据本人所知,论文中除已注明部分外不 包含他人已发表或撰写过的研究成果。对本文的研究工作做出重要贡献的个人 和集体,均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名: 日期: 年 月 日

华北电力大学硕士学位论文使用授权书
《数据融合技术在网络安全设备联动系统中的应用》 系本人在华北电力大 学攻读硕士学位期间在导师指导下完成的硕士学位论文。 本论文的研究成果归 华北电力大学所有, 本论文的研究内容不得以其它单位的名义发表。 本人完全 了解华北电力大学关于保存、 使用学位论文的规定, 同意学校保留并向国家有 关部门或机构送交论文的复印件和电子版本, 同意学校将学位论文的全部或部 分内容编入有关数据库进行检索,允许论文被查阅和借阅。 本人授权华北电力 大学,可以采用影印、缩印或扫描等复制手段保存、可以公布论文的全部或部 分内容。 本学位论文属于(请在以下相应方框内打“√”): 保密□,在 不保密□ 作者签名: 导师签名: 日期: 日期: 年 年 月 月 日 日 年解密后适用本授权书

华北电力大学硕士学位论文





随着 Internet 等技术的飞速发展,人们在生活中越来越依赖于网络,但伴随 而来的网络安全问题也日益严重, 层出不穷的网络攻击手段无时无刻不给网络系 统安全带来威胁。在很多情况下,用户都是使用一个网络安全设备,例如防火墙 或者交换机,这些设备单独使用,可能会解决某些网络安全问题,但是完全不能 应付现今复杂的网络攻击。因此,如果将各种不同的安全设备联系在一起,让他 们协同工作,不失为一个很好的办法,这已经成为网络安全领域的研究热点。 本文针对网络安全设备联动系统的特点,将数据融合技术应用到系统中。研 究对象为多信息源并且格式、 内容等不尽相同的异构日志数据。本文研究了数据 融合技术的相关基础理论知识, 设计并实现完成了基于数据融合技术的网络安全 设备联动模型。针对安全设备日志数据,本文解决了三个问题:第一,根据网络 安全以及联动系统的特点, 完成基于数据融合的联动系统模型的设计,日志采集 →日志数据预处理→日志数据融合。第二,设计日志管理平台,对分布散乱、不 易管理的网络安全设备进行统一的日志采集和管理,同时完成了局域网、采集平 台的搭建以及最底层日志数据的采集工作。第三,本论文从三个方面对日志数据 进行了预处理,规定数据属性,过滤错误的数据信息,设计归并规则将重复的数 据归并。第四,选取合适的数据融合算法,实现对各个不同网络安全设备产生的 日志进行融合。 本文将研究的模型应用到网络安全设备联动系统中, 验证了基于数据融合技 术的联动模型的可行性和有效性, 所设计的网络安全设备联动系统日志管理平台 主要包括日志数据的上传、 查看、 预处理和融合分析等功能, 最后得到处理结果, 方便管理人员查看当前网络日志分析结果。 关键词:数据融合;联动系统;日志采集;日志预处理;D-S 证据理论

I

华北电力大学硕士学位论文

ABSTRACT
With the development of Internet and network technology, the network in people's daily lives are becoming more common, with the coming of the growing problem of network security , a variety of network attacks threatening the security network system. Currently, a variety of network security devices alone, to some extent alleviate the problem of network security, but still can not meet user demand for network security. So how would a variety of network security devices, effective linkage up, allowed to work, has become a hot topic in the field of network security. In this paper, Network security devices combine the characteristics of the linkage system, the data fusion technology applied to the system. For multi-source, heterogeneous log data analysis. Study the daily data fusion technology related knowledge, Design data network security equipment linkage model fusion technique. In view of the safety equipment log data, this paper solves the three questions: First, according to the characteristics of network security and linkage systems, complete linkage system data fusion model based design, the log collection → log data preprocessing → log data integration. Second, the design of the log management platform for the distribution of scattered and difficult to manage network security devices for unified log collection and management, while completing the LAN, working to build a platform for collecting and gathering the bottom of the log data. Third, this paper from three aspects log data preprocessing, data attributes specified filter erroneous data, design rules will merge duplicate data merge. Fourth, select the appropriate data fusion algorithm to realize the various network security devices logs generated by fusion. In this paper, Application of the model to the network security device linkage system, The feasibility and effectiveness based on data fusion technology linkage model, Network security devices designed linkage system log management platform includes uploading, viewing, pre-processing and integration of log data analysis and other functions. Finally, the results obtained to facilitate management personnel to view the current web log analysis.

Keywords: data fusion; linkage system; log collection; log pre-treatment;D-S evidence theory

II

华北电力大学硕士学位论文





摘 要............................................................................................................................ I ABSTRACT .................................................................................................................. II 第 1 章 绪论.................................................................................................................. 1 1.1 课题研究背景及意义........................................... 1 1.2 国内外研究现状............................................... 2 1.2.1 联动系统的国内外研究现状 ............................... 2 1.2.2 数据融合技术的国内外研究现状 ........................... 4 1.3 本文的研究内容............................................... 4 1.4 本文的组织结构............................................... 5 第 2 章 网络安全设备联动系统总体结构框架.......................................................... 7 2.1 安全设备联动系统简介......................................... 7 2.2 安全设备联动系统的特点....................................... 7 2.3 安全设备联动系统存在的问题................................... 8 2.4 安全设备联动系统框架......................................... 9 2.4.1 网络安全设备管理层 .................................... 10 2.4.2 安全事件管理层 ........................................ 10 2.4.3 事件决策层 ............................................ 10 2.5 本章小结.................................................... 11 第 3 章 数据融合技术及其应用分析........................................................................ 12 3.1 数据融合的概念.............................................. 12 3.2 数据融合技术的级别.......................................... 12 3.3 数据融合技术的方法.......................................... 14 3.4 数据融合经典功能模型........................................ 16 3.5 数据融合技术在网络安全中的应用.............................. 18 3.5.1 数据融合引入到网络安全中的原因 ........................ 18 3.5.2 数据融合在网络安全中的应用 ............................ 19 3.6 本章小结.................................................... 20 第 4 章 基于数据融合技术的联动系统模型的设计................................................ 21 4.1 基于数据融合的联动系统模型架构.............................. 21 4.1.1 一般的联动模型........................................ 21 4.1.2 基于数据融合的联动模型架构............................ 21 4.2 日志采集模块设计............................................ 22 4.2.1 日志数据来源 .......................................... 22 4.2.2 日志采集方法.......................................... 25 4.3 日志预处理模块设计.......................................... 25
III

华北电力大学硕士学位论文

4.3.1 日志数据属性选取 ...................................... 25 4.3.2 日志数据过滤 .......................................... 26 4.3.3 日志数据归并 .......................................... 26 4.4 日志数据融合处理............................................ 26 4.4.1 融合算法的选取 ........................................ 27 4.4.2 D-S 证据理论在安全设备联动系统中的应用 ................ 27 4.5 本章小结.................................................... 30 第 5 章 基于数据融合技术的联动系统模型的实现................................................ 31 5.1 实验环境搭建................................................ 31 5.2 日志采集平台的实现.......................................... 33 5.3 日志数据管理平台的实现...................................... 36 5.3.1 日志管理平台功能模块图模块图 .......................... 36 5.3.2 各个模块的功能描述 .................................... 37 5.3.3 系统数据库设计 ........................................ 38 5.3.4 日志管理平台运行界面 .................................. 38 5.3 结果分析.................................................... 41 5.4 本章小结.................................................... 41 第 6 章 总结与展望.................................................................................................... 42 6.1 本文工作总结................................................ 42 6.2 未来工作展望................................................ 43 参考文献...................................................................................................................... 44 攻读硕士学位期间发表的论文及其他研究成果...................................................... 46 致 谢.......................................................................................................................... 47

IV

华北电力大学硕士学位论文

第 1 章 绪论
1.1 课题研究背景及意义
随着 Internet 规模的不断扩大、各种应用持续增多,互联网的服务越来越深 得人心,成为日常生活不可或缺的一部分。CNNIC 发布第 24 次关于《中国互联 网络发展状况》的统计报告,目前中国已经有 6.32 亿网民,国内的互联网普遍 率已经达到 46.9%。但是,伴随着计算机技术以及互联网的飞速发展,网络安全 问题变得日益严重, 各种各样的攻击行为严重威胁着网络用户信息的安全性、完 整性、保密性、可操作性等等,进而给用户带来经济、精神、隐私、人身等各方 面的损失,这使得科研人员不得不高度重视互联网的安全问题。 根据CNCERT 互联网安全威胁报告,2014 年 9 月月报,2014 年 9 月互联网 完工情况整体评价为中。详细情况如图 1-1 所示。

图 1-1 2014 年 9 月(总第 45 期)CNCERT 互联网安全威胁报告

为了防护网络安全,网络安全设备厂商已经提供了各种各样的网络安全设 备,例如防火墙(firewall)、入侵检测系统(Intrusion detection system)、虚拟 专用网(Virtual private networks)、漏洞扫描系统、病毒扫描系统等等。这些网 络安全设备以及防护软件的使用,在某种程度上,可以很好的解决某些特定网络 攻击, 例如病毒扫描系统只能发现当前系统的病毒并查杀,但是却无法解决系统 的漏洞问题, 因此, 单独使用某一网络产品就不能很好的应对多样的网络安全问 题,从而给用户网络带来了三个需要解决的问题[1]:
1

华北电力大学硕士学位论文

(1)各个不同的网络安全设备独立工作,它们之间缺乏联系,难以有效的 防御黑客攻击。 计算机网络系统越复杂,出现的网络安全问题种类就会越多,例如漏洞、病 毒、攻击等,安全危害的系数就会越大。将防火墙、IDS、VPN 等安全设备或者 软件简单的组合到一起使用, 已经达不到网络安全防护的目的,各安全产品之间 缺乏必须的联系,难以协同工作,而且对威胁响应迟缓。 (2)各个产品单独的安全问题分析并不是整个网络安全状况的真实写照。 网络中不同的安全设备每时每刻都在产生日志数据, 系统以及网络的安全状 态被详尽的记录在这些数据中,对于网络安全事件的防御、分析,这些数据起着 很重要的作用。随着网络攻击的手段越来越多,攻击方法越来越难以掌控,这些 彼此没有联系的网络安全信息已经无法满足网络安全防护的目标。 (3)各种各样的网络攻击手段趋向于融合,并不只是单一的网络攻击。 防病毒系统、 漏洞扫描系统这类的网络安全设备只能单一的识别一种网络攻 击, 随着攻击手段的慢慢融合, 孤立的网络安全设备已经难以防御各种各样的网 络攻击。 因此,从网络整体和安全设备联动的角度出发[2-3],构建一道以不同的网络 安全设备(防火墙、入侵检测系统、防病毒系统等)为基础,各种网络安全数据 有机整合的网络安全设备联动系统已经成为当前研究的热点。 每一种网络安全设备, 每时每刻都在产生着日志,这些日志数据代表着当前 网络的运行状态, 通过对设备日志数据进行采集、分析能够有效的掌握当前系统 的状态,及时的监测网络攻击,进而进行主动的防御。然而这些多源、异构数据 却是不能直接使用的,数据量大、格式不统一,存在重复或者不完整的信息,以 至于不能检测出安全问题。 网络安全设备联动系统是针对安全设备的日志数据进行关联分析[4],对运行 中的各种网络安全设备的当前网络状态进行预测、分析和联动处理。系统建立在 对日志数据进行处理的基础上,但是来自不同的网络安全设备的日志数据数量 大, 结构以及内容还存在很大的差异,如何对这些数据进行分析和处理是一种挑 战。因此,对网络中不同的安全设备进行整合,采集相关设备的日志数据,对多 源、 异构的日志信息进行融合处理,对于网络安全设备联动系统的后期关联分析 和策略触发等研究具有特别重要的意义。

1.2 国内外研究现状
1.2.1 联动系统的国内外研究现状
在计算机网络防护系统中,处于关键地位的安全设备是防火墙[5],因此,最

2

华北电力大学硕士学位论文

早的联动协议以及联动机制, 基本上都是基于防火墙提出的。最早提出联动思想 的是在防火墙厂商中间, 他们想通过一一组合的方式,将各种不同的网络安全防 御技术和防火墙组合, 意在提高防火墙自身的功能的同时,能够结合其他技术的 优势、特殊功能(防病毒、漏洞扫描等),从而构建一个集成的网络安全环境, 保证用户信息的完整性、保密性等等。 目前网络安全设备联动系统不仅仅局限于防火墙, 在入侵检测系统的应用也 日趋成熟。防火墙和 IDS 在网络安全防御方面都有自身的不足,因此为了克服 彼此的不足, 将两个技术融合在一起,就可以构成主动防御并且能够及时响应的 入侵防御系统。 到目前为止, 国外已经有一些公司提出相应的解决方案或者已经 开发出相应的网络安全产品,比较典型的有 [6] :美国网络联盟的 MCAFEE intrushield 网络入侵防护解决方案,美国的 Top Layer 的 Attack Mitigator IPS 500 系列产品。 目前比较常见的联动方式主要有:①防火墙和 IDS 联动,②防火墙和防病 毒系统联动,③防火墙和日志审计联动,④IDS 功能模块之间的联动,⑤防火墙 与其他一些技术之间的联动。 网络安全设备联动主要是各个不同的设备厂商提供开放的标准接口协议, 其 他的厂商根据标准接口协议开放相应的模块,从而实现不同的设备之间进行通 信。比较典型的两个联动协议是:1997 年,以色列 cheek Point 公司提出建立 OPSEC[7](open Platform for security)联动联盟,它提供了大量的不同的联动方式; 2000 年,国内天融信公司提出的 TOPSEC[8],全称是 Talent open Plat form for security ,它是一个协议的总称,并且是一个开放的安全产品技术连接平台, TOPSEC 联盟的核心模块是 NGFW(天融信网络卫士),基础原则是 TOPSEC 协议, 以此完成一个以防火墙为中心、多种网络安全技术和安全设备协同工作的 安全体系。 在国内,知名的网络安全设备厂商[9],例如联想、启明星辰、天融信等企业, 针对自己的安全设备(防火墙,漏洞扫描产品,入侵检测系统等等),制定了属 于自己的网络安全联动协议。但是,到目前为止,还没有发现国内研发的适用于 多种安全设备类型的网络安全设备联动系统。 联动机制发展到现在, 虽然在一定程度上,防火墙和其他安全设备的联动缓 解了网络安全问题, 但是还存在着不足, 当这些网络安全设备都处于运行状态时, 就会缺乏统一的管理, 缺乏统一的联动策略。 本文针对目前联动系统的这些缺点, 设计出网络安全设备联动系统模型,将多种网络安全设备(防火墙、入侵检测系 统、防病毒系统、漏洞扫描系统等等)联动起来,充分发挥各自设备的优势,以 保证整个计算机网络的安全。

3

华北电力大学硕士学位论文

1.2.2 数据融合技术的国内外研究现状
数据融合(Data Fusion)也称为多源信息融合[10],它是对数据信息进行综合 处理的一个过程,目的是为了估计、预测当前事物的运行状态,从而得出更为全 面、准确和可靠的结论。作为一门新型技术,数据融合技术涉略了多门传统学科 中的技术,例如控制理论、数字信号处理、人工智能以及经典的算法等。 数据融合技术最早是出现在上个世纪 70 年代,最开始出现该技术是为了满 足军事领域 C3I 系统的需求,也被叫做:多传感器数据数据融合,在上个世纪 80 年代建立此技术。1987 年之后,美国公布了在美国国防中,具有深远意义的 20 项关键技术,数据融合技术就在其中,同时也在该技术上投入了巨资。美国在 1998 年成立了国际信息融合学会[11](ISIF),并每年举办一次信息融合国际学术大 会,系列的总结该领域的研究成果。数据融合技术最早起步于美国,而各国研究 的逐渐展开是在以后十几 年时间里,并都获得了一些颇有影响的研究成果。数 据融合的工作原理[12]与人类认识客观世界的过程有着相同的道理。人类对客观 世界的认识,是立足于人的大脑,并结合多个感官共同产生的效应。人类的五感 即视觉、听觉、触觉、味觉及嗅觉,五感其实反映的就是感官从外界获取的大量 信息。这些信息会被传递回融合的中心——大脑,进行一系列处理和操作,比如 特征提取、清除冗余等,最后在一定的先验知识的指导下,得出最终的结果。总 结来说,人自身就是一个数据融合系统,在“融合中心”大脑和“传感器”五感 的完整配备下, 对收集到的数据进行分析检测,从而获得对观测目标完整一致的 认识。 与国外专家研究数据融合技术相比,在此领域的研究中我国起步较晚[13]。在 我国,数据融合技术得到相关专家、部门高度重视是在海湾战争结束之后。战争 结束之后,一些院校和研究所才开始对数据融合技术的理论知识、算法、框架等 内容进行大量研究, 但大部分研究还处于理论研究的阶段, 还没有完美的实现实 用化、可用性,在将技术应用到实际中,还有很多问题需要解决。

1.3 本文的研究内容
本课题重点研究数据融合技术在网络安全设备联动系统中的应用, 主要是完 成对日志数据的处理, 去除多余数据和错误数据后,统一日志数据格式并进行特 征提取, 从而进行数据融合, 为网络安全设备联动系统的关联分析和联动决策提 供数据基础。 本文的研究内容主要包括以下三个方面: (1)研究现有的数据融合算法。数据融合算法可以分为经典算法和现代方 法两类。经典算法主要包括加权平均法、贝叶斯法、D-S 证据理论算法等等。现
4

华北电力大学硕士学位论文

代算法主要包括神经网络算法、模糊推理算法、聚类分析法等等。根据网络安全 设备联动系统日志数据的特点,选取和改进合适的数据融合算法。 (2)研究现有的数据融合模型。通过比较、验证,根据网络安全设备联动 系统的特点, 对日志数据的融合流程进行深入分析和研究,设计一个层次化的数 据融合模型,该模型主要包括以下几层: ①采集不同网络安全设备日志信息。选择合适的数据源,通过比较不同的日 志采集方式,确定日志采集方法,对网络安全设备的日志信息进行采集,主要针 对防火墙、交换机、终端主机等,对不同的设备日志采用不同的方法进行采集。 ②日志数据的预处理。 对提取出的数据源进行清理过滤、 数据转换以及归并, 去伪存真,确定其可信度,形成统一的日志数据格式,保证数据的质量。 ③日志数据融合处理。 对经过数据预处理的日志数据进行融合处理,通过比 较不同的融合算法, 选取适合网络设备日志数据的融合算法。从而得到对于当前 网络状态更准确判断。 (3)软件开发。在 ASP.net 平台上完成网络安全设备联动系统中日志管理 平台的开发。

1.4 本文的组织结构
本文的论文工作将围绕研究内容展开,共分为 6 章,每章的具体内容如下: 第一章 绪论。本章主要介绍了课题的研究背景与意义,以及联动系统和数 据融合技术的国内外研究现状。 通过分析总结网络安全中现有的问题,以及日志 数据的重要性,确定了本文的研究内容。最后,本章还详细说明了本文的组织结 构; 第二章 网络安全设备联动系统相关内容。本章详细说明了联动系统产生的 原因以及概念,介绍了联动的方式和基本特征,并指出了现在存在的问题。重点 介绍了联动系统的框架; 第三章 数据融合技术及其应用分析。本章详细介绍了协数据融合技术的概 念、级别、方法以及经典功能模型,并指出了为什么将数据融合技术引进到网络 安全中,以及它在网络安全中的应用。 第四章 基于数据融合技术的联动系统模型的设计。本章从一般的联动模 型,引出基于数据融合的联动模型的设计,详细介绍了联动模型的架构,主要包 括日志采集模块、 日志数据预处理模块以及日志数据融合模块。并针对每个模块 进行了详细的解释。本章确定了日志数据源的选取、采集的方法,日志数据预处 理时需要做的工作,并且通过比较数据融合的层次级别以及数据融合的技术方 法,从而得到本文采用的数据融合算法,并对融合算法进行了详细的研究。 第五章 基于数据融合技术的联动系统模型的实现。本章主要是介绍实验环
5

华北电力大学硕士学位论文

境搭建以及配置,介绍 windows 日志、防火墙日志以及交换机日志的采集过程, 并针对得到的日志数据, 设计了日志管理平台,得到对日志数据的处理结果并进 行分析。 第六章 总结与展望。本章总结了本文所完成的工作,并指出了其中存在的 不足。针对论文的研究状况做出展望。

6

华北电力大学硕士学位论文

第 2 章 网络安全设备联动系统总体结构框架
本文主要是研究数据融合技术在网络安全设备联动系统中的应用,基于此, 应该首先介绍一下网络安全设备联动系统的相关内容。

2.1 安全设备联动系统简介
随着计算机网络技术的发展以及网络攻击手段的多样化, 网络安全问题已经 越来越严重,病毒、黑客攻击、漏洞等攻击行为随时威胁着用户系统。目前,各 大安全设备厂商已经研发了各种安全产品[14],例如防病毒系统、漏洞扫描系统、 入侵检测系统、日志审计系统以及最常见的防火墙,这些安全设备,在一定程度 上解决了网络安全问题, 但是由于单独产品工作的局限性,对于提高网络的安全 性还有待提高。 因此,为了克服各种安全设备“孤军奋斗”的局面,网络安全设备联动系统 应运而生。 目前,对于联动还没有一个统一的定义,简单来说,联动系统 [15]就是各种 不同的网络安全设备共同合作的一个系统,它利用各种技术的优势,强强联手, 以达到保护网络安全的目的。 联动一般有两种方式,即技术之间的联动和产品之 间的联动。联动系统的工作原理是将从各个安全设备采集到的日志数据进行处 理,进而进行关联规则分析,最后根据策略库进行配置,从而达到网络防护的目 的。

2.2 安全设备联动系统的特点
为了达到网络免受攻击的目的,安全设备联动系统应具备以下三个特点[16]: (1)系统要足够安全 安全性是系统最基本的特性。 网络安全设备联动系统不再是简单的将各个安 全产品进行叠加使用,而是取长补短,消除“木桶原理”,有效的协同工作,从 而达到 1+1>2 的效果。 (2)对攻击的响应要及时 联动系统设计之初的目的就是能够对各种网络攻击手段做出及时的响应, 检 测时间要短,防御要快,从而有效的降低系统受到的威胁系数。 (3)有效的阻止攻击 面对各种各样的网络攻击行为,例如病毒、漏洞、篡改网站等,可以采取有 效的应对措施,使系统免受攻击,降低损失。联动系统的策略库中存有各种各样 的网络安全事件应对措施,可以有效的阻止网络攻击。
7

华北电力大学硕士学位论文

2.3 安全设备联动系统存在的问题
现在的联动大部分都是以防火墙为中心的,其边缘就是各种网络安全设备, 它们之间通过联动协议进行通信,图 2-1 所示就是以防火墙为中心的联动。

图 2-1 以防火墙为中心的联动

从图 2-1 可以看出,这种联动方式只是简单的各个设备和防火墙联动,并没 有达到所有的安全设备协同工作的目的,这其中主要存在以下几个问题[17]: (1)兼容性不够强大 目前所知的联动系统基本上都是以防火墙为中心的,例如防火墙与 IDS 联 动,防火墙与防病毒系统联动。防火墙厂商提供开放的标准协议,其他设备厂商 根据协议开发自己的产品, 他们都是根据自己对产品的理解以及应用开发通信模 块,在一定程度上有局限性,从而影响联动体系的兼容性。因此,针对各种网络 安全设备,开发一套开放的、标准的、可扩展的协议接口是很有必要的。 (2)实用性较低 通过目前的测试来看, 不同产品之间需要较复杂的联动配置,而且也不一定 能够达到预期的效果。要想联动系统能够及时的做出响应,完成设备配置工作, 这还需要设备厂商不断的学习技术, 不断的努力, 从而实现联动系统的广泛应用。 (3)正确性、准确性有待提高 目前,防火墙和 IDS 的联动是目前最常见的联动方式,但是由于 IDS 本身 的错误率较高、 漏报率也较高, 这使得联动系统本身的正确性都存在质疑。 因此, 在将设备进行联动之前,最好能将各个设备的正确性、准确性都达到最优,这样 就可以达到联动的效果。

8

华北电力大学硕士学位论文

2.4 安全设备联动系统框架
基于 2.3 小结提出的联动系统现在存在的问题,本文提出网络安全设备联动 系统框架[18]。联动系统不是从协议接口出发,而主要是在对日志数据进行处理 的基础上,通过关联分析,找到安全事件之间的联系,进而通知决策层,及时作 出响应, 从而对网络中存在的异常作出监测和报警。网络安全设备联动系统框架 图如图 2-2 所示。
数据流 控制流 策略流 事件控制端 策略库 决策层 策略判决点

事件管理层

事件管理器 事件数据库

日志数据处理

代理 设备管理层 防火 墙

代理

代理

代理

代理

安全 审计

IDS

防病 毒系 统

??

漏洞 扫描 系统

图 2-2 网络安全设备联动系统框架图

网络安全设备联动系统主要分为三层,每层分别负责不同的功能,从底层到 应用层分别是:设备管理层、事件管理层以及最高级的决策层。该系统的工作流 程是: 首先通过不同的日志采集方法采集到各个安全设备的日志信息,并对这些 数据进行处理,统一格式;然后将处理后的数据提交给事件管理器,通过关联分 析, 获取全面的系统存在的潜在的威胁并将结果存到事件数据库;最后根据事件 数据库提交的数据提出相应的联动策略,同时向管理员发出相应的风险警告,进 而有效的处理网络安全问题。下面分别对这三层的主要功能进行详细的介绍。
9

华北电力大学硕士学位论文

2.4.1 网络安全设备管理层
设备管理层主要负责监控安全设备,通过不同的日志采集方法,采用软件代 理方式[19],实现对各种安全设备(防火墙、入侵检测系统(IDS)、防病毒系统、 安全准入系统、漏洞扫描系统、桌面终端管理系统等)日志信息的采集,在实际 中我们需要采集的数据主要包括设备的配置信息、运行状态信息、网络流量监控 信息以及系统的日志信息等。 我们得到的数据都是格式、内容各不相同的日志数 据。下一步将得到的数据存入事件管理库,以便进行关联分析。在存储数据之前 要先进行数据处理,其中包括数据清理、数据过滤、统一格式等,为以后联动系 统提供统一的数据接口,确保在关联分析和决策支持阶段数据的准确性。

2.4.2 安全事件管理层
对事件管理器中存放的设备信息数据进行关联分析 [20],去除冗余,选择经 典的数据挖掘算法挖掘当前系统存在的潜在的威胁。已经得到的日志数据,表面 看似孤立,毫无联系,但实际上可能存在逻辑联系。将各种不同的安全事件(产 生的设备不同、时间不同、地址不同),经过关联分,得到一个比较明确的安全 告警,并将该警报传递给决策层,供管理人员监控。与此同时,还应该将发生的 事件存于事件数据库中,方便管理人员使用(查询、取证等等)。 综上所述,得到事件管理层的工作原理:以安全事件库为基础,经过归并、 关联分析、数据挖掘,预测当前系统中可能存在的安全威胁并产生安全警报,同 时将警报发送给决策层,进而使系统产生相应的防护措施。

2.4.3 事件决策层
决策层的任务主要是对安全事件管理层传递过来的警报, 通过策略判决点[21] 进行分析、判断,进而启动联动策略,将指令传递给设备管理层,安全设备进行 相应的联动反应, 从而有效的防护网络安全。策略判决点在进行判决时的主要依 据是策略库,在策略库[22]中,存有各种安全事件的应对措施,当警报送达时, 策略决策判决点只要查询策略库就可以查到应对的措施。在判决过程中,要是遇 到无法判读或者说该事件没有相应的策略时,网络安全管理员可以根据常识、自 己的专业知识以及相关经验来手动触发策略,完成设备联动。同时要将这次安全 事件生成策略,并更新策略库。 联动策略实际上是管理员应对安全事件时判决联动系统如何响应的描述,它 包括一一对应的条件和响应,当条件发生时,响应就会被启动。不同的联动系统 中的策略触发是由安全管理员配置和维护的。

10

华北电力大学硕士学位论文

2.5 本章小结
本章首先介绍了联动系统产生的原因,从而给出了联动系统的定义,根据联 动系统的特点,指出了现在联动系统存在的问题。针对存在的问题,提出了网络 安全设备联动系统的框架, 并对自己所研究的内容进行了剖析。网络安全问题不 容小觑, 对网络安全问题的研究更是当前的一个热点。而网络设备日志问题又是 重中之重,对其研究有深远的现实意义。

11

华北电力大学硕士学位论文

第 3 章 数据融合技术及其应用分析
网络安全设备联动系统追其根本,是对各个安全设备的日志数据进行处理。 本文主要研究的就是数据融合技术在日志处理方面的应用, 因此我们需要首先掌 握数据融合技术相关内容。

3.1 数据融合的概念
数据融合技术又称信息融合技术、多源信息融合技术 [23],作为一门新兴的 边缘交叉学科,它所涉及的内容不仅广泛,而且多样,因此各行各业并没有形成 统一的定义,他们都有其自身的理解。 (1)美国三军组织——实验室理事联合会(Joint Directors and Technology Organization,JDL)从军事角度给出定义:信息融合技术是一个数据或者信息综 合处理的过程, 它对单源或者多源的数据信息进行关联分析、 相关以及融合处理, 完整、及时、准确的评估战场的态势和潜在的危险。 (2)从文献[24]可以得出 Hall 关于信息融合的定义:信息融合是将来自多 个传感器的数据以及相关信息进行组合,从而得到比单独的传感器更正确、精确 的数据,便于推理。 本文中的数据融合技术,是将来自各个不同的网络安全设备(防火墙、IDS、 防病毒系统等)的日志数据进行处理,统一日志格式、特征提取、融合处理,预 期得到比单一的安全设备更强、更快的应对网络攻击措施。

3.2 数据融合技术的级别
按照融合系统中数据抽象的层次,数据融合技术可以分为三个级别,从低到 高依次为[25]:数据级融合、特征级融合以及决策层融合。各个级别融合处理的 结构分布如图 3-1,图 3-2,图 3-3 所示。

传感 器1 传感 器2
… … 关 联 分 析 像 素 级 融 合 特 征 提 取 身 份 识 别

融 合 的 身 份 识 别 结 果

传感 器N
12

华北电力大学硕士学位论文

图 3-1 像素级融合

传感 器1 传感 器2
… … 特 征 提 取 关 联 分 析 特 征 层 融 合 身 份 识 别

融 合 的 身 份 识 别 结 果

传感 器N
图 3-2 特征级融合

传感 器1 传感 器2
… … 特 征 提 取

身份识别 决 策 层 融 合 融 合 的 身 份 识 别 结 果

身份识别

关 联 分 析

传感 器N
(1)数据级融合

身份识别

图 3-3 决策级融合

数据级融合又称像素级融合——最低层次的融合,直接对传感器(在本文中 指各个安全设备)传来的数据进行融合,不加任何处理。这种融合的优点是:数 据损失少,覆盖的信息最全面,精度最高。但是数据级融合作为最低级的融合, 存在很大的局限性: ① 处理的数据量太大,因此需要的处理代价很高,处理时间过长,导致时 性较差。 ② 在融合时需要较高的纠错能力,因为在数据级融合之前,没有对数据进 行任何处理,信息存在不完整性、不确定性和不稳定性。 ③抗干扰能力较差,由于数据量大,一旦有错误或者不准确的数据出现,就
13

华北电力大学硕士学位论文

可能影响整个处理结果。 (2)特征级融合 特征级融合——中间层次的融合。 融合中心处理的数据是经过特征向量提取 过的数据[26],特征提取提取的特征信息应该能够惟一识别该信息并能充分的表 示、代表该信息。特征级融合的优点是有效的缩减了数据量,降低了对通信宽带 的需求,有利于实时处理,但是,终究是损失了一部分信息,这一部分信息如果 是对结果有影响的话就降低了融合的性能。 (3)决策级融合 决策级融合——最高层次的融合。在对多传感器的数据进行融合之前,每个 传感器先对自己的数据信息进行独立的处理,做出决策,进而再在融合中心 [27] 对之前得到的数据进行融合,从而得到整个系统的融合处理结果,做出决策。决 策层融合的缺点是:数据量损失大,系统精度最低;优点是:融合中心数据计算 量比较小、对传感器的性质也没有要求、抗干扰的能力较强等。 表 3-1 是从几个方对三个级别的数据融合技术的优缺点进行比较。
表 3-1 三个数据融合级别的优缺点的比较 像素级 需要处理的信息量 数据损失量 融合算法难度 融合前的处理量 容错性 抗干扰性 对传感器的依赖程度 融合性能 数据预处理 最多 最少 最困难 最少 最差 最差 最大 最好 最少 特征级 中等 中等 中等 中等 中等 中等 中等 中等 中等 决策级 最少 最多 最容易 最多 最好 最好 最小 最差 最多

3.3 数据融合技术的方法
数据融合技术的根本目的是对来自多源、异构的数据进行融合处理,从而得 到对监测目标的态势评估。 核心问题是针对不同的数据环境选择不同的数据融合 算法。由于数据的精度不同、格式不容、正确性不同、采集方法不同,所以选择 哪种融合方法对融合的结果起到至关重要的作用。因此,数据融合技术的方法便 是本文的研究重点。 目前,数据融合的方法有很多,图 3-4 是一些常用的数据融合算法[28]。下面 简要介绍几种数据融合算法。

14

华北电力大学硕士学位论文

图 3-4 常用的数据融合算法

(1)加权平均法 加权平均算法[29]是直接对得到的多源、异构数据进行加权平均,得出的结 果即为融合值,这种办法是最简单、最直接、最直观的实时处理办法。处理过程 如下:设监测某一物理量的传感器有 n 个, X i 为第 i 个传感器得到的数据,其 中 i ? 1,2,...,n ,加权系数为 w i ,对每个传感器的输出值进行加权平均,得到的结 果为 X ? ? wi X i 。在使用加权平均法之前一定要先对系统进行分析,从而得到
i ?1 n

准确的权值。 (2)主观 Bayes 方法 在数据融合时,要是采用贝叶斯方法[30],这就要求系统可能的决策相互独 立。因此,我们就可以得到一个关于决策的样本空间,使用贝叶斯公式解决系统 现存的决策问题。贝叶斯条件概率公式如下: 设 A1,A2 ..., An 是给定证据 B 下的相互独立的一个样本空间的划分,则有

p( Ai | B) ?

p( Ai B) ? p( B)

p( B | Ai ) p( Ai )

? p( B | A ) p( A )
j?1 j j

n

其中 p( Ai | B) 表示 A i 为真的后验概率, p ( Ai ) 表示 Ai 为真的先验概率,

15

华北电力大学硕士学位论文

p( B | Aj ) 表示 Ai 为真时观测证据 Ai 的概率,显然有 ? p( A j ) ? 1 成立。
j?1

n

作为最早的不确定性推理方法,Bayes 方法可以对来自不同数据源的信息进 行融合,从而得出每个不同假设的后验概率。 (3)D-S 证据理论 D-S 证据理论[31-32]方法是 1967 年,由 Dempster 提出的,后由 Shafer 加以扩 充和发展的。它不同于贝叶斯算法,不是采用的概率值作为度量,而是采用似然 函数,通过对一系列事件的概率加以约束以得到似然函数,D-S 证据不需要知道 先验概率。本文将在第四章对 D-S 证据理论做深入的研究。 (4)神经网络 神经网络是模仿人大脑处理信息的一种技术 [33]。神经网络是采用大量的简 单处理单元(即神经元)处理信息,按层次结构的形式组织,以加权的方式与其 他层上的神经元连接。 在处理信息时只需要知道神经网络的训练样本,也就是一 些输入输出数据,通过网络的自学习性、自组织以及自适应能力来调整权值,神 经网络的这些特性能够模拟非常复杂的非线性映射, 恰好满足了数据融合技术的 要求,用神经网络来处理数据融合问题有很好的发展前途。

3.4 数据融合经典功能模型
功能模型描述的是数据融合的过程,包括系统的基本功能,系统使用的数据 库,以及系统内各部分之间的联系和相互作用。 (1)JDL 模型 1984 年,美国国防部成立数据融合脸红指挥实验室,提出了 JDL 模型[35], 该模型在数据融合的发展过程中,占据着十分重要的地位,是目前数据融合领域 使用最广泛、认可度最高的一类经典功能模型。 JDL 经典数据融合模型如图 3-5 所示。
数据信息预处理 第1级 目标估计 第2级 态势评估 环 境 数 据 源 第3级 威胁评估 第 5 级 优 化 用 户

第4级 过程优化

数据库管理系统 支持 融合 数据库 数据库

人机交互

16

华北电力大学硕士学位论文

图 3-5JDL 经典功能模型

从外界环境获取数据源, 此时需要关注数据源来自哪种类型的传感器、数据 的类型、位置参数等。在进行融合处理前需要对数据信息进行预处理,过滤归并 得到统一的数据格式。融合过程主要分为 5 级[36],第 1 级目标估计,估计目标 的状态,例如速度、空间位置等;第 2 级态势评估,根据第 1 级提供的信息对战 场环境进行评估,例如兵力目的、总的态势等;第 3 级威胁评估,考虑各种可能 威胁行为;第 4 级过程优化,根据实际需要以及任务的优先级,进行资源分配调 度。第 5 级优化用户,根据自己的需要,更新和查询用户的信息、数据等,从而 达到支持制定的决策的目的。 (2)情报环模型(IC:intelligence cycle-based model) 情报环模型[37]是宏观数据处理的模型,主要由 4 部分组成,如图 3-6 所示。
分发 采集 信息 整理 数据

评估 处理

图 3-6 情报环模型

在采集信息阶段, 通过人工采集方法或者传感器采集, 采取原始的情报信息。 在整理数据阶段,对所获取的情报信息进行关联分析。在评估处理阶段,对整理 后的数据进行融合处理。 最后将得到的融合处理结果分发给用户, 提供决策支持。 (3)瀑布模型(MW:modified waterfall fusion model) 瀑布模型关注的是比较低层次的融合处理。瀑布模型[38]如图 3-7 所示。该模 型和 JDL 经典功能模型是相对应的,例如制定决策对应于 JDL 模型的第 3 级处 理,态势评估对应于 JDL 模型的第 2 级处理,以此类推。瀑布模型的不足之处 是没有反馈机制。
制定决策 态势评估 模式处理 特征提取 信息预处理 数据信息获取

图 3-7 瀑布模型
17

华北电力大学硕士学位论文

(4)Boyd 循环回路模型 又称 OODA 控制回路模型[39],分为观测(Observe)、定向(Orientation)、 决策(Decision)和执行(Action)四个阶段。模型如下图 3-8 所示。
观测(O) 定向(O) 决策(D)

执行(A)

图 3-8 Boyd 循环回路模型

融合处理过程为: 在观测阶段获取传感器数据,在定向阶段对数据进行融合 处理、 关联分析等, 在决策阶段制定相应的决策计划, 最后在执行阶段执行决策。 (5)混合模型(OB:Omnibus model) 混合模型也叫多功能模型 [40],它克服了以上功能模型的缺点,综合了其他 模型的优点。 混合模型注重的是反馈机制, 制定处理中的循环特性, 延续了 Boyd 循环回路模型的控制回路结构,模型中四个阶段的主要任务得到了更精确的体 现,模型图如图 3-9 所示。
数据信息融合 决策制定 相关分析 模式处理 特征提取 定 向 观测 采集数据 传感器设备管理 传感器 硬决策融合 决策 执 行 调控 资源分配 软决策融合

图 3-9 混合模型

3.5 数据融合技术在网络安全中的应用
3.5.1 数据融合引入到网络安全中的原因
数据融合技术的发展之初是用于军事领域,到目前为止,数据融合在电力系 统、智能交通、图像融合、态势评估等方面都有比较广泛的应用。本文主要研究 的是数据融合技术在网络安全方面的应用, 具体为什么将数据融合技术引入到网 络安全方面,具体原因有以下几点[41-42]: (1)随着网络技术的发展,网络的攻击手段越来越多样化,越来越复杂, 这使得单一的网络安全设备根本不能有效的防护网络完全, 例如只添加防火墙的 网络系统,不能有效的阻止内部网络的攻击;一旦有新的蠕虫病毒出现时,现有
18

华北电力大学硕士学位论文

的基于病毒码的防病毒软件就不能及时地、有效的响应;现有的 IDS 易产生漏 报、误报,易受拒绝服务攻击。因此,管理员只能单独的对每一个完全设备产生 的警报进行分析、处理,而无法对整个网络的安全状况进行实时的掌控。 (2)各种网络安全设备在运行过程中,会产生海量的、格式不统一的、带 有不确定性的日志信息, 这些大量的日志信息会使网络管理人员无法对网络现行 的状况进行有效的分析。在网络运行过程中,产生的误报漏报太多,各种网络安 全设备的管理和配置也比较复杂, 这就使得如何使各个不同的网络安全设备协同 工作、保证网络的安全成为一个难点。 (3)网络安全设备的联动源自于各种各样的网络攻击手段的融合,只有将 网络安全事件进行融合分析, 才能有效的提高网络安全设备对各种安全事件的综 合分析处理能力,从而有效的防护网络安全。 数据融合技术是对多源、异构数据进行相关性分析、综合处理的一个过程, 这对于我们将数据融合技术引入并应用到网络安全设备联动系统中是一个很大 的启发。

3.5.2 数据融合在网络安全中的应用
在网络安全中应用数据融合技术,主要有两种应用方法:一是直接应用在单 个的网络安全设备上,提高单个网络安全设备的报警率,减少误报、漏报情况; 一是将数据融合技术应用在多个网络安全设备上,使多种设备协同工作,从而有 效地防护整个系统的网络安全。 在本章 3.2 中提到,数据融合技术从低到高,主要有三个融合级别,分别是 像素级融合、特征级融合以及决策级融合。在网络安全设备联动系统中,三个层 次融合代表不同的含义[43]。 (1)像素级融合——处理的是从各个安全设备中得到的最原始的日志数 据,这些日志数据记录着当前网络的运行信息已经攻击信息等。 (2)特征级融合——先将原始数据进行特征提取,然后再将这些特征信息 进行相关分析、融合处理,属于中间层次的分析。 (3)决策级融合——处理的是经过特征融合的数据,直接针对具体的安全 策略,属于最高级别的融合。 目前, 在网络安全中应用数据融合技术,主要应用的是像素级融合以及特征 级融合,比较典型的有智能入侵检测系统的研究 [44]。但是在网络安全设备联动 系统中强调的是决策级的融合, 将经过特征融合的数据进行综合分析,得到最后 的网络现状。如 3-10 是网络安全中通用的数据融合模型。

19

华北电力大学硕士学位论文

入侵检测

防火墙检测 系 统 环 境 信 息 采 集 信 息 融 合

融合判断

输出结果

漏洞扫描

??

网络安全 联动平台

其他检测手段

3-1 网络安全中通用的数据融合模型

3.6 本章小结
本章着重介绍了数据融合技术以及其在网络安全中的应用, 主要包括以下几 个方面: 介绍了数据融合的相关概念,数据融合技术的级别以及数据融合技术的 方法和经典的功能模型;阐述了将数据融合引入到网络安全中的原因以及应用。 通过以上工作,为后续的模型设计设计与实现做好了铺垫。

20

华北电力大学硕士学位论文

第 4 章 基于数据融合技术的联动系统模型的设计
本章在第 3 章数据融合技术的理论知识上, 结合网络安全设备联动系统中日 志数据的特点, 设计了基于数据融合技术的网络安全设备联动系统模型。该模型 主要完成的工作是完成对各种网络安全设备日志数据的采集、 对日志数据进行预 处理(其中包括属性选取、日志归并、统一格式等)、对经过预处理的数据进行 融合处理, 从而可以直观的观测出当前网络的运行状态。下面将介绍模型的总体 架构以及各个模块的功能。

4.1 基于数据融合的联动系统模型架构
4.1.1 一般的联动模型
目前最常用的的联动方式是防火墙—入侵检测系统(IDS)联动,这也是出 现最早的联动方式。联动的实现过程:IDS 检测到攻击——通知网络安全管理中 心——防火墙阻断。 一般的联动模型包括三个基本模块日志数据采集、日志数据 分析和联动控制模块,如图 4-1 所示:
软件代理 安全设备 联动控制 日志数据 分析 日志数据 采集 软件代理 安全设备
图 4-1 一般的联动模型

日志数据采集:通过软件代理方式采集各种网络安全设备的日志信息。 日志数据分析: 对数据采集模块收集到的网络安全信息进行预处理、关联分 析等。 联动控制:对安全事件进行分类,根据关联规则和安全评估报告生成。

4.1.2 基于数据融合的联动模型架构
在本文 3.4 小节中介绍了数据融合技术的经典功能模型,通过比较各个模型 的特点, 本文选择瀑布模型, 主要完成的工作是得到对当前网络状态的日志分析 报告。本节提出基于数据融合技术的网络安全设备联动系统模型架构,如图 4-2 所示,模型主要包括三大方面:日志数据采集模块、日志预处理模块以及日志数 据融合模块,最后将得到的结果进行分析。

21

华北电力大学硕士学位论文

日志数据采集 交换机 日志

日志数据预处理

日志数据融合中心

主机日志

属性选 取 数据清 理 生成分 类数据 库

信息 关联 目标识 别特征 提取

融合 分析 日志处理 结果

防火墙 日志

数据归 并

其他操作信息

图 4-2 基于数据融合的网络安全设备联动系统模型

4.2 日志采集模块设计
本模块主要完成的工作是选取合适的数据源, 并针对不同的数据源选取不同 的采集方法,实现实时采集,并记录日志数据。

4.2.1 日志数据来源
在信息系统的网络安全中, 分析日志数据对防护网络安全是很有必要的,但 是由于日志数据的数量大、格式各不一样,并没有引起人们足够的重视。很多情 况下,系统管理员一般都是在解决问题,而没有时间和精力去注意、分析系统日 志。然而系统日志却是很重要的,它记录着当前系统的用户行为、程序运行状态 以及网络中出现的异常事件,可以监控用户对系统的应用情况。 在系统运行中,产生的日志数据量大,如果对全部的数据进行分析处理,会 有很大的难度,还会造成延迟,从而增加系统的负担。因此选取合适的数据源是 很重要的。选取的数据源要具有代表性,它足够反应当前系统的状态;要具有可 靠性,不能是虚假信息;要具有实时性,及时准确的记录当前系统运行情况。 基于选取的数据源的要求,本文选择的是 windows 日志、防火墙日志以及 交换机日志。 (1)windows 日志 Windows 日志记录着系统及各种软硬件运行的详细信息, 系统用户可以通过 分析 windows 日志,检查错误发生的原因,也可以发现系统受到攻击时留下的 痕迹。
22

华北电力大学硕士学位论文

windows 系统日志主要包括两种类型,分别是管理的和操作。管理的日志类 型主要包括三种日志:应用程序日志、安全日志和系统日志。操作日志类型主要 包括两种日志:设置日志和已转发事件日志。如图 4-3 所示。

图 4-3 windows 日志

①应用程序日志 顾名思义, 应用程序的日志就是记录不同的应用程序从启动到结束,产生的 日志信息。应用程序日志记录的事件类型主要有 3 类,具体说明描述如表 4-1 所 示。
表 4-1 应用程序日志的事件类型 事件类型 信息 警告 错误 说明 描述成功操作的事件(例如,SQL Server 数据库服务的启动时间) 指出潜在问题的事件(如磁盘空间不足) 描述重要问题的事件(如服务未能启动)

②安全日志 安全日志的任务类别主要有 9 种,分别是:登录、特殊登录、注销、用户账 号管理、策略更改、安全状态更改、安全组管理、服务关闭、其他系统事件。日 志的属性主要有:来源、记录时间、事件 ID、任务类别、级别、关键字、用户、 计算机、操作代码。关键字代表该事件审核的状态,有两种类型:审核成功、审 核失败。我们可以根据审核的状态选取日志信息。 ③系统日志 系统日志主要记录的是与操作系统有关的事件信息,包括对磁盘、打印机、 服务、外壳、设备、网络、系统 7 种类型事件的记录。它记录的级别有三种,分 别是信息、警告、错误。 ④设置日志 设置日志记录的是当前系统有关配置的更改,例如系统更新、填补漏洞等。 级别有两种,分别是信息和警告。 ⑤已转发事件日志 已转发事件日志记录的是系统已经转发的事件的信息,属性包括:来源、记 录时间、事件 ID、任务类别、级别、关键字、用户、计算机、操作代码。 (2)防火墙日志
23

华北电力大学硕士学位论文

防火墙在网络中起连接性的作用, 它是主机系统内网络和外部网络的相互通 信的关口。防火墙通过对外来数据的过滤,可以有效的避免系统遭到恶意攻击。 因此防火墙在网络中起着非常重要的作用。我们在使用防火墙时,在配置阶段, 可以只允许安全的数据进入系统网络内,将不安全的或者不明数据挡在系统外。 防火墙日志数据记录着是否有不明数据试图进入网络, 这对分析当前网络的安全 性是十分关键的。 防火墙日志类型主要包括以下几种:管理日志、系统日志、连接日志、访问 控制、VPN 日志、防病毒日志、阻断日志等。 (3)交换机日志 交换机工作于数据链路层, 用于进行多个端口之间的数据通信。交换机日志 记录着当前网络节点运行的状态信息、网络节点与主机之间的连接信息。当网络 受到各种攻击时,例如 ARP 攻击、生成树攻击等,交换机就会记录下该攻击信 息。因此,通过分析交换机日志,可以有效的得到该系统是否受到攻击。表 4-2 为部分交换机日志的含义和其产生的原因。
表 4-2 交换机日志范例 模块 802.1x/3/DOTIX_LOG CFAX/4/PROCINFO CFAX/4/SENDFAIL CFAX/4/TIMEOUT CFAX/4/WREVFAIL CFM/3/CFM_LOG SSH/5/auth_retryt_out SSH/5/err_dissconnect SSH/5/passwd_err SSH/5/unexpected_msg USERLOG/5/EXCEPTION VLAN/4/Malloc Failed 日志含义 802.1x 用户认证失败 CFAX 接收并处理消息 CFAX 发送消息失败 CFAX 发送消息失败 CFAX 写事件失败 CFM_IPC_Send()失败 认证失败 连接失败 口令错误 消息错误 处理出现异常 系统内存不足 产生原因 用户或密码不匹配 CFAX 接收消息 CFAX 发送消息失败 超时造成 CFAX 发送消息失败 CFAX 写事件失败 调用 CFM_IPC_Send()失败 认证重复次数过多 连接失败 口令错误 消息错误 NAT 处理出现异常 系统内存

通过分析 windows 日志、防火墙日志以及交换机日志,我们可以得到:每 一类日志都记录着不同设备、不同层次的特征,因此,可以通过分析日志,得到 不同的网络事件。表 4-3 显示的是不同日志不同层次的行为记录。
表 4-3 日志与行为记录的对应关系 日志 行为 Windows 日志 防火墙日志 交换机日志 √ √ √ √ √ 用户行为 系统行为 应用程序行为 网络行为

24

华北电力大学硕士学位论文

从上表可以看出,分析 windows 日志、防火墙日志以及交换机日志,就可 以得到当前系统的主机已经网络的运行状态。

4.2.2 日志采集方法
通过查阅文献,不难发现,现有的日志采集方法主要有:基于文本方式的日 志采集、基于 SNMP Trap 的日志采集、基于 syslog 协议的日志采集、基于数据 库的日志采集以及基于 HTTP 协议的日志采集等等。通过比较各种方法,结合选 取的日志数据的特点,本文采用的是基于 syslog 的日志采集方式。 作为一项标准协议,系统日志(system log)协议是在加里佛尼亚大学伯克 立软件分布研究中心开发并实现的,可用它记录设备的日志。目前,常用的路由 器、交换机等多种网络安全设备,都采用 syslog 协议记录安全事件,它记录着系 统中的任何事件。 在本课题的研究中,windows 日志、防火墙日志、交换机日志都是采用基于 syslog 的日志采集方式采集的, 选用 syslog 方式采集日志数据非常方便具有独特 的原因: ①广泛的应用型。 目前在编程开发中,许多的处理日志的函数都已经采用许 syslog 协议,可以通过它记录任何事件。 ②普遍性。syslog 协议适用于我们日常所见的大部分网络安全设备 ③简单可操作性。syslog 协议的接收者和发送者,两者之间,可以不要求严 格的相互协调性。

4.3 日志预处理模块设计
日志预处理模块主要是针对采集上来的大量的、异构的数据进行处理,该模 块的功能包括:选取数据的属性、数据过滤以及数据归并三部分。

4.3.1 日志数据属性选取
不同的设备的日志属性是不一样的,在融合过程中,并不是所有的数据都是 有用的,因此,在进行融合之前,对数据的属性进行筛选、精简,是很有必要的。 windows 日志的属性:类型、时间日期、主机 IP、事件 ID、来源、描述。 防火墙日志:记录时间、该条日志产生的事件、防火墙的 ip 地址、主机名, 事件的详细描述(时间、事件)。 交换机日志:记录时间、该条日志产生的事件、交换机的 ip 地址、主机名, 事件的详细描述(时间、事件)。
25

华北电力大学硕士学位论文

4.3.2 日志数据过滤
日志数据过滤的目的是根据日志信息的优先级, 将明显错误的日志信息过滤 掉,同时,去掉记录系统正常运行信息、不会导致安全事故的日志信息。因此我 们需要知道日志信息过滤原则。 (1)windows 日志记录的主要是用户的使用情况,反应的是用户对于系统、 程序的操作情况,所以需要重点关注用户的非法行为。所以,系统日志中的错误 事件、审核失败事件、警告事件、用户越权使用等都需要重点关注。而审核成功 事件就不太具有分析价值。 (2) 防火墙日志与交换机日志事件,有特定反映安全事件严重等级的属性, 其严重等级主要分为 8 级:emergencies 致命错误;alerts 紧急错误;critical 关键 错误;error 需要关注但是不关键的错误;warnings 警告;notifications 需注意的 信息;informational 一般提示信息;debugging 调试信息。本文选取是是 warning 以上级别的数据。

4.3.3 日志数据归并
网络安全设备联动系统中,采集了 windows 日志、防火墙日志以及交换机 日志,这些日志的结构、性质不大相同,不同的安全设备对同一种攻击时间的描 述页不太相同, 这就可能出现对同一事件重复的记录。数据归并的目的就是减少 甚至去除记录中存在的重复数据,降低冗余度。因此,根据三种不同设备日志的 属性,本文制定了以下归并规则: (1)主机、交换机日志 首先定义一个时间间隔,在这个时间间隔内,若得到的日志信息中,有些数 据除去时间属性外,其他属性完全相同,则可以将这些记录归并为一条记录,时 间取其平均值即可。 (2)防火墙日志 防火墙日志, 每一条记录, 对应的都是一个比较完整的安全事件, 从记录中, 我们就可以得到系统受到的攻击类型是什么,因此,不需要归并。时间属性值取 其平均值作为记录。

4.4 日志数据融合处理
本模块的目的是使用数据融合算法,完成对多源、异构的日志数据的关联分 析处理,并得到融合结果,以供系统管理员进行查看、分析。

26

华北电力大学硕士学位论文

4.4.1 融合算法的选取
结合本文 3.3 小结:数据融合技术的方法介绍,可以得出如表 4-4 所示,对 数据融合技术的不同方法的比较。
表 4-4 数据融合技术的方法比较 方法 加权平均法 主观 Bayes 法 D-S 证据理论法 神经网络 运行环境 动态 静态 静态 动、静 信息类型 冗余 冗余 冗余互补 冗余互补 信息表示 方法 原始数值 概率分布 命题 神经元输 入 融合技术 加权平均 贝叶斯估计 逻辑推理 神经网络 适用范围 低层次融合 高层次融合 高层次融合 高/低层融合

D-S 证据理论是目前比较常用的一种数据融合算法, 相对于其他的方法主要 有以下几点优势: (1)可以有效的融合多源、异构数据,证据积累的越多,判决就会更准确、 更清晰,适用于大量的信息处理。 (2)证据理论不需要先验概率和条件概率。众所周知,网络攻击行为都是 不确定的、随机的,它的先验概率是不可知的,因此 D-S 证据理论有其特殊的 优势。 (3)具有很好的扩展性。当需要采集数据的安全设备数量增多时,D-S 证 据理论可以很方便的加入新的数据源,而无需改变已有的算法。

4.4.2 D-S 证据理论在安全设备联动系统中的应用
证据理论,全称为 Dempster-Shafer 信度函数理论。基本原理是,以量化命 题的可靠性为目的, 通过先验概率分布函数求得后验的证据区间,证据区间即为 所求。 假设或命题可以看作是被分配的证据,这种分配的过程就会产生一定程度 的不确定性, 而一个命题的证据可以是两个或多个相互排斥的、重叠的或非互相 排斥的命题。 (1)识别框架(Frame of Discernment) 针对一个判决问题, 所能够认识到的所有可能的结果的集合, 是一个完备集, 通常用数学符号 ? 来表示识别框架,? 是变量 X 所有可能取值的集合, 于是关于 此判决问题的任一命题 X 都对应于 ? 的一个子集。框架内的任一元素 X 要互相 排斥,当元素个数为 n 时,其所代表的空间的大小为 2 n ,所有子集的集合表示 为 2? 。
27

华北电力大学硕士学位论文

(2)基本可信度函数 假设 ? 为一识别框架,A 为识别框架中的一个子集,也就是有 A ? ? ,如果 集函数 m : 2? ? ?0,1? 满足以下条件:
m(? ) ? 0 ; m( A) ? 0 ; ?A ? ? ;
H ??

? m( A) ? 1 (公式 4-1)

则称函数集 m 为识别框架 ? 上的基本可信度函数。 (3)信度函数 设 A、 B 均为辨识框架 ? 的某一子集, 且 B ? A ? ?, 若函数 Bel : m : 2? ? ?0,1? 满足

Bel( A) ? ? M ( B)
B? A

(?A ? ?) (公式 4-2)

则称 Bel 为识别框架 ? 上的信度函数。 (4)合成规则 D-S 的核心思想是如何将证据进行合成,下面将介绍 D-S 合成规则。如果将 命题 A 看作识别框架 ? 的元素,对于 ?m( H ) ? 0 ,称 H 为信度函数 Bel 的焦元。

Bel1 和 Bel2 是同一识别框架 ? 上的两个信度函数, m1 、 m 2 分别是 Bel1 、 Bel2 的
基本可信度分配函数,设 Ai 和 B j 分别为 Bel1 和 Bel2 的焦元,它们的其正交和为
m ? m1 ? m2 , m 为合成后新的基本可信度分配函数。

m( A) ? m1 ( Ai ) ? m2 ( B j ) ?

Ai ? B j ? A

? m ( A )m ( B )
1 i 2 j

1? K 其中 K ? ? m1 ( Ai )m2 ( B j )
Ai ?B j ??

(公式 4-3)

其中 K 为冲突率,表示两个证据体矛盾的程度,如果 K ? 1 ,表示证据可以 合成;如果 K ? 1,则表示几个证据体之间是完全矛盾的,无法利用合成规则进 行相应的合成。 对于多个信度,合成规则如下:

m( A) ?

? AI ? A i ?1

? ?m (A )
i i

n

1? K

(公式 4-4)

28

华北电力大学硕士学位论文

其中 K ? (5)融合算法

? AI ?? i ?1

? ?m (A )
i i

n

使用 D-S 证据理论算法的数据融合技术,其工作流程为:确定实际应用中 的理论框架, 并且要将所有的可能的结果都考虑到,进一步列出我们需要的所有 的命题。根据融合算法提供的证据,给证据分配命题的基本可信度,然后使用合 成算法计算得到我们所需要的目标的可信度值。 将 D-S 证据理论算法应用于网络安全中,算法需要融合的数据是来自多个 网络安全设备对同一个主机的攻击数据,并且该数据是经过数据预处理的。上面 提到的攻击数据就构成了算法中需要的证据, 然后在这些证据上构造相应的基本 可信度分配函数,最后使用公式 4-4 对这些证据数据进行融合,从而得到某个目 标的可信度值,在本课题中这个可信度值是指某个主机上的攻击概率 A(h),它 反映了该主机受到外部攻击的程度。该算法涉及两个数据集合,一个是攻击知识 库集合, 它是专家根据相关的网络安全知识把常见攻击事件进行总结分类并加以 描述的集合; 另一个是经过上面预处理后得到的攻击数据集合,这个集合上的数 据是对同一主机节点的所有攻击数据的描述。 基于 D-S 证据理论数据融合算法的融合过程为:1、首先把网络设备日志数 据逐个取出,2、与知识库中的攻击事件进行匹配;3、为匹配成功的攻击事件分 配相应的权值 ha,这个权值就是对攻击事件的基本可信度分配。在本课题中, 用 a 表示攻击发生, a 表示攻击没有发生,P(a)表示攻击事件的攻击发生概率, 则 P(a)=ha,其中 p(a) ? [0,1] 且 p(a) ? 1 ? p(a) 。依此分配计算下去,直到日志数 据集合的所有的事件都分析完,再然后利用 D-S 证据理论合成公式对这些攻击 数据的攻击发生概率进行融合。数据融合算法如下所示。 算法:求局域网中对某个主机的攻击发生的概率 A(h)。 输入:主机上的所有攻击事件集合; 输出:攻击发生率 A(h)。 假设:一个攻击知识库集合,该集合是根据先验知识获得 现有网络中存在的所有攻击事件。 L:A(h)=0; 2:对于主机上的每个攻击事件 3:if(攻击事件不为空) continue; e1se Return 0; 4:if(攻击事件与攻击知识库中的事件匹配)
29

华北电力大学硕士学位论文

根据攻击事件的威胁程度赋予攻击事件相应的权值, 即进行基本可信度分配 m1(a),m2(a),??, goto3 5:if(匹配成功只有一个,可信度为 m1(a)) Return. m1(a); Else 利用合成公式把 m1(a),m2(a),??,进行融合得出 A(h); 6:return A(h)。

4.5 本章小结
本章详细介绍了基于数据融合技术的网络安全设备联动系统模型, 指出该模 型主要包括三部分,即日志采集模块、日志预处理模块以及数据融合模块。日志 采集模块主要包括选取数据源和采集方法,预处理主要功能是选取数据属性、数 据过滤以及归并,最后,总重要的是选取合适的数据融合算法,并对算法进行研 究。

30

华北电力大学硕士学位论文

第 5 章 基于数据融合技术的联动系统模型的实现
本文主要研究的是数据融合技术在网络安全中的应用,在研究过程中,主要 完成了平台的搭建,日志采集,以及根据数据融合技术完成对日志数据的处理, 形成日志管理平台。

5.1 实验环境搭建
搭建实验环境的拓扑图如图 5-1 所示,所涉及的设备主要防火墙、交换机、 三台主机。在搭建的实验平台中,采用,思科 PIX-506E 防火墙作为内网和外网 的安全设备, 思科 WS-C2960 交换机作为汇聚层的数据传输设备,在交换机的网 段内连接三台主机。
Internet

防火墙

中心交换机

主机A

主机B

主机C

图 5-1 局域网拓扑图

在连接电脑网卡接口和交换机 LAN 口时,我们选择使用网线。确保所有的 LAN 接口与电脑网卡相连是成功组建局域网的前提。如图 5-2 所示

Hub

Modern

图 5-2 LAN 口与电脑连接图
31

华北电力大学硕士学位论文

同时,我们也要保证电脑的网卡驱动能够正常使用。测试方法:开始——运 行,输入命令“ping 127.0.0.1 -t”,如下出现如图 5-3 所示,表明安装正常。否 则需要下载最新的相应的网卡驱动程序并正确安装。

图 5-3 测试是否安装正常

设置局域网中各个主机的 IP 地址,一般来说,对于局域网用户,IP 地址推 荐的范围是“192.168.1.1”至“192.168.1.254”,对于每台电脑,都应该指定在 该范围内且唯一的 IP,子网掩码:“255.255.255.0”,其它各项按默认处理。如 图 5-4 所示,IP 地址的设置方法:右击“本地连接”,进入“本地连接 属性” 对话框,双击“Internet 协议版本 4(Tcp/IP)”,打开设置对话框 ,输入 IP 地 址和子网掩码。

图 5-4 设置 IP

在局域网中各个主机的 IP 设置完成后,就需要进行互通性测试,以保证各 电脑相互连通。测试方法:点击“开始”按钮,选择“运行”,选择任意一台电
32

华北电力大学硕士学位论文

脑,在它上面输入命令“ping 192.168.1.X”(X 代表任意一台计算机制 IP 最后 一组数字)来测试,如果出现如图 5-5 所示情况,说明局域网中各个主机之间已 经连接,网络已互通。到这一步,局域网就搭建成功了。

图 5-5 局域网已搭建好

5.2 日志采集平台的实现
UNIX 类主机产生的日志,其协议、软件和日志数据格式等内容,虽然有所 不同, 但大部分是一样的, 区别不是很大, 要记录此日志数据相对而言比较简单。 但是 windows 日志不同,它们的协议、格式、软件等都不相同,实现起来比较 困难。因此,我们需要第三方的软件来将 windows 的日志转换成 syslog 类型的 日志后,转发给 syslog 服务器。第三方软件 evtsys (全称是 evntlog to syslog)。 Evtsys 是一直服务方式, 将得到 Windows 日志传送给 syslog 服务器, 是用 C 语言编写的。它支持 Windows Vista 和 Server 2008,并且编译后支持 32 和 64 位 环境。 经常被用于负载较高的服务器,Evtsys 的特点是速度快、量轻、效率较高。 并可以作为 Windows 服务存在。 (1)主机的配置过程 ①解压 evtsys,解压后得到 evtsys.dll 和 evtsys.exe,然后把解压后得到的两 个文件拷贝到 c:\windows\system32 目录下; ②打开 Windows 命令提示符,点击“开始”,选择运行,然后输入 CMD, 回车运行 CMD; ③输入 C:\>evtsys -i -h 59.67.243.28; -i 表示安装成系统服务 -h 指定 log 服务器的 IP 地址 如果要卸载 evtsys,则: net stop evtsys evtsys -u

33

华北电力大学硕士学位论文

④启动该服务: C:\>net start evtsys ⑤打开 windows 组策略编辑器(点击“开始”开始,运行,输入 gpedit.msc) 操作步骤为:windows 设置,安全设置,本地策略,审核策略,选择我们需 要的 windows 日志类型。 在审核策略中共 9 项 windows 日志类型, 如图 5-6 所示, 其中,可选择要采集的日志类型,分为成功和失败两种,如图 5-7 所示。

图 5-6windows 日志类型

图 5-7 选择日志类型

在使用 evtsys 时,可以实时的得到系统产生 windows 日志,进而将得到的 新日志数据转换格式,这个格式是可以被 syslog 识别的,syslog 服务器再通过 UDP 3072 端口得到转换格式后的日志数据。 (2)防火墙设置 (config)# logging on //开启日志系统 (config)# info-center loghost X.X.X.X //日志服务器的 IP 地址 (3)交换机设置 cisco#conf t
34

华北电力大学硕士学位论文

cisco(config)#logging on cisco(config)#logging a.b.c.d //日志服务器的 IP 地址 cisco(config)#logging facility local1 //facility 标识, RFC3164 规定的本地设备 标识为 local0 - local7 cisco(config)#logging trap errors //日志记录级别,可用"?"查看详细内容。日 志记录级别共有八个级别, 是 0,1,2,3,4,5,6,7, 其中 0 的级别最高, 7 的级别最低。 采集到的日志数据如下: Windows 日志属性:时间日期、主机 IP、事件 ID、来源、描述。采集到的 日志数据如图 5-8 所示。

图 5-8 Windows 日志数据

防火墙日志属性:时间日期、优先级、主机 IP、描述。采集到的防火墙日 志数据如下图 5-9 所示。

图 5-9 防火墙日志数据

交换机日志属性:时间戳,事件发生的时间;交换机的 IP 地址;交换机的 主机名;事件的详细描述。如图 5-3 所示

图 5-9 交换机的日志数据

将 TXT 文本(如图 5-10)转入数据库中存放,下图为系统主机日志转换后 存入数据库后的界面截图,如图 5-11。

35

华北电力大学硕士学位论文

图 5-10 txt 形式

图 5-11 存入数据库的形式

5.3 日志数据管理平台的实现
在做完日志采集的工作之后,我们需要做的是使用数据融合技术,完成对日 志数据进行处理,从而形成日志管理平台,得到日志分析结果。

5.3.1 日志管理平台功能模块图模块图
网络安全设备联动系统日志管理平台主要包括两个模块: 管理员模块和用户 模块,管理员拥有较多的权限。管理员可以先将系统日志上传至数据库,之后可 以查看查看数据库中日志文件列表,进而对日志文件进行预处理,通过文件分析 网络安全行为并根据结果将 log 条目划分为红黄蓝三类 (红色代表高危级别行为, 黄色代表警告级别行为,绿色代表正常行为),最终得到在一定时间范围内安全 事件的统计图表。 用户仅拥有查看系统使用说明,查看系统中所有日志的分析处 理结果图表的权限。 日志管理平台功能模块图如下:
36

华北电力大学硕士学位论文

管理员模块如图 5-12 所示:

图 5-12 管理员模块图

普通用户模块如图 5-13 所示:

图 5-13 普通用户模块图

5.3.2 各个模块的功能描述
日志文件上传模块:管理员可以在本地选择事先获取好的并且以 txt 格式存 储的日志文件, 给出命名, 再点击上传。 系统首先会为该日志文件做格式的处理, 将 log 的不同字段之间用空格符号隔开,之后检索出字段总数,并根据字段总数 在数据库中新建一个表格, 在将文件中的所有数据加载到表格中, 加载成功之后, 会在一个名为 list 的汇总表中添加刚刚新建表格的详细信息。该模块支持连续加 入多个日志文件。 查看日志文件列表文件模块:点击进入时,系统会根据 list 数据表,把其中 的所有条目加载进来,再列表显示在网页上,通过查看列表,可以查看到每个日 志文件的状态。新上传的日志文件的状态是 0,意思是刚刚上传、未经过任何处 理;处理中的日志文件的状态是 1;经过处理之后的日志文件的状态是 2。如此, 管理员可以清晰地看出系统中所有日志文件的状态。 日志文件预处理模块:根据 list 中的日志文件列表信息,实现对系统中每一 个日志文件的预处理, 主要是检查有没有重复数据和不完整数据。其中重复数据 是指除了 ID 其他字段均相同的数据,而不完整数据是指有两个及以上字段为空

37

华北电力大学硕士学位论文

的记录。为了减少数据量,首先要进行此步骤处理。 安全行为分析、分类模块:是对 list 中所有表格中的 log 记录进行融合分析, 采用 D-S 证据理论算法,得到后验概率,再通过判断概率的范围来确定日志是 红、黄、绿哪个等级,并且写入到数据库。 查看图片结果模块:在某一时间段内,统计红、绿、黄 log 出现的测试,通 过比例运算得到结果,并且显示到图表中,给用户一个更加直观的接口。

5.3.3 系统数据库设计
本系统使用 MYSQL 数据库实现,数据库中包括 userinf、list 以及用户自定 义的一些用于存储日志文件的表格。数据表之间联系如图 5-14 所示。

外码 外码 外码

图 5-14 数据表之间关联

5.3.4 日志管理平台运行界面
(1)登陆页面 登陆界面如图 5-15 所示,用户可以根据自己的用户名和密码自行登录。

38

华北电力大学硕士学位论文

图 5-15 登陆界面图

(2)日志管理平台主界面 日志管理平台主界面如图 5-16 所示,包括系使用说明、日志上传、查看日 志列表、 处理分析日志、 图表显示以及返回主页等。 普通用户只能查看分析结果。 管理员可以以管理员身份登录,进行日志管理。

图 5-16 日志管理平台主界面

(3)日志上传页面 日志上传界面如图 5-17 所示,管理员点击选择文件,将已经采集到的日志 txt 文件上传到数据库中,并进行提交,以便处理分析。

图 5-17 日志上传界面
39

华北电力大学硕士学位论文

(4)日志列表显示 日志列表显示界面如图 5-18 所示,本界面显示的是已经上传的界面,通过 state 可以查看该日志文件是否已经处理分析。

图 5-18 日志列表文件

(5)日志预处理与分析页面 日志列表显示界面如图 5-19 所示,点击日志预处理以及日志分析按钮,系 统会自动后台运行 D-S 证据理论融合算法,得到分析结果。

图 5-19 日志处理页面

(6)结果图表显示 日志分析结果如图 5-20 所示。

图 5-20 统计结果页面
40

华北电力大学硕士学位论文

5.3 结果分析
从图 5-20 可以看出,在 4、5、6 日三天内,5 号日志数据最多,4 号次之, 6 号数据最少,原因是每天对系统、网络应用各不相同。从图中可以看出,5 号 对系统以及网络的应用最多。在这三天中,网络安全事件都相对较少,有少量安 全事件警告, 这说明网络基本处于安全状态。系统简单明了的显示了当前网络的 状态,对安全事件以及警告给出了数量的显示,可以为网络维护人员提供帮助, 以便进一步查看网络状态。

5.4 本章小结
本章是在实验室的环境背景下,选择一个三台主机、一个交换机和一个防火 墙设备,进行了网络组建和数据采集的工作。并设计完成日志管理平台,实现对 日志数据的管理,得到日志分析结果,实现了预期设定的功能,为下一步的工作 打下了坚实的基础。

41

华北电力大学硕士学位论文

第 6 章 总结与展望
6.1 本文工作总结
随着互联网技术的快速发展,人们对无聊网的依赖性愈来愈强,网上购物、 社交软件的应用、各种信息的共享,这些都时时刻刻充斥着人们的生活。伴随着 网络的广泛应用, 随之而来的就是网络安全问题,攻击手段的多样化使得人们不 得不重视网络的安全性。单一、独立工作的安全设备已经不能满足人们的需求, 虽然它们在一定程度上缓解了安全问题, 但是还是不足以高效的实现对网络的防 护。网络安全设备联动系统,解决了设备单独使用的方式,联合了各个安全设备 协调工作。数据日志是系统运行状态的重要依据,在研究中具有很重要的意义。 本文基于网络安全设备联动系统的特点和层次结构,提出并实现联动系统模型。 本文完成了以下三方面工作: (1)分析了网络安全当前存在的问题并提出解决方案。介绍了联动系统的 相关内容,给出联动系统的定义以及特点,并指出联动系统存在的问题,针对联 动系统存在的问题提出联动系统的框架,框架分为三层:设备管理层、事件管理 层以及事件决策控制,本文主要完成的工作主要在框架的第一层:设备管理层, 对设备的日志数据进行分析研究。 (2)研究了数据融合技术,从数据融合技术的级别、方法以及功能模型三 方面进行了相关理论分析。同时解释了为什么将数据融合技术引入到网络安全 中,以及在其中的应用。 (3)设计了基于数据融合技术的联动系统模型,该模型主要包括三方面: 日志采集模块、 日志预处理模块以及日志数据融合处理模块。日志采集模块主要 完成日志数据源以及采集方法的选择;日志预处理模块完成日志数据的属性选 取、日志过滤以及日志归并;日志融合模块根据选取的算法——D-S 证据理论算 法,完成日志数据的融合。 (4)在实验室,完成了实验环境的搭建。通过配置主机、交换机以及路由 器,搭建了一个小型的局域网。针对选择的数据源,采用基于 syslog 协议的采集 方式完成了日志采集工作,并转换成 txt 文档存放。 (5)完成了网络安全设备联动系统日志平台的设计与实现,实现的主要功 能是得到日志数据的分析处理结果,以图表的形式将网络安全事件、警告、安全 与否直观的显示出来。

42

华北电力大学硕士学位论文

6.2 未来工作展望
本文的主要研究成果是处理日志数据,从处理结果中得到网络运行状态。本 课题取得了一定的成果, 达到了最初的课题要求, 但是由于个人时间和能力有限, 课题仍然存在一些不足之处,为了更好的能够对网络设备进行联动,高效的防护 网络安全,本文还有以下三方面需要加强和改进: (1)更深入的研究数据预处理技术,提高融合之前数据的准确性、安全性、 可执行性。 (2)加强实时性。在本课题实现中,采取的是软件代理的方式进行日志采 集,这就会产生一定的延迟,因此对采集部件需要进一步研究。 (3)进一步完善数据融合算法,本文在设计之初只是想比较简单的得到当 前网络状态下,安全事件、警报以及正常情况的统计结果,并没有对安全事件进 行分类,因此需要进一步细化融合算法。

43

华北电力大学硕士学位论文

参考文献
[1] 王维建.基于数据融合的网络安全管理模型[D].南京师范大学,2007. [2] 徐璐.分布式网络安全系统的分析与设计[D].北京邮电大学,2012. [3] CristinaAbad, JedlTaylor, etc. Log Correlation for Intrusion Detection:A proof of Concent.l9thAnnualComPuterSeeurityAPPlieationsConference[C]. Las Vegas, Nevada.December2003 [4] 尚魏.多源日志安全信息的融合技术研究[D].哈尔滨工程大学.2010.3. [5] 郑利平,刘晓平,张伟林.网络安全联动技术现状及分析[J].计算机技术与 应用进展,2004:1103~1106. [6] 窦伟平.联动式入侵防御系统的研究与设计[D].山东大学,2006. [7] D L Tennenhouse, J M Smith, W D Sincoskie, et al. A Survey of Active Networks Research[J]. IEEE Communications Magazine, 1997, 35(l):80-86. [8] S F Bush, A B Kulkarni. Active Networks and Active Virtual Network Management Prediction: A Proactive Management Framework[M]. Kulwer Academic/Plenum Publishers, 2001. [9] 李长松. 具有入侵检测功能的防火墙系统的设计与实现[D]. 电子科技大学, 2003. [10] 孔鹏程.基于网络安全因素的数据融合方法的研究 [D] .合肥工业大学, 2012.4. [11] Waltz E, Lilnas. Multisensor data fusion [M]. Boston: A retch House, 2000: 9-17. [12] 王祖俪,甘刚.数据融合技术在网络安全中的应用[C].福建电脑.2007.5 [13] 张延龙,王俊勇.多传感器数据融合技术概述 [J],船舶电子工程,2013, 33(2):41-44 [14] 刘勇,常国岑,王晓辉.基于联动机制的网络安全综合管理系统[J],计算 机工程,2003 年 10 月,第 29 卷第 17 期:136~137. [15] 张兴东, 胡华平, 况晓辉等. 防火墙与入侵检测系统联动的研究与实现[J]. 计 算机工程与科学,2004,26(4): 22-26. [16] 吴庆佺.入侵检测和防火墙联动技术研究[D].重庆大学,2006. [17] 何恩,李毅.一种基于策略的网络安全联动框架[J].信息安全与通信保密, 2005,07:314-317. [18] 刘惠. 网络安全设备联动系统中日志预处理技术的研究[D]. 华北电力大学, 2013. [19] 潘仰峰, 刘渊. 基于数据挖掘的入侵防御研究[J]. 计算机工程与设计, 2007, 28(1):56-57. [20] 曹利蒲.网络安全设备联动系统中事件关联模型的研究与应用[D].华北电 力大学,2013 [21] 满林松, 陈克胜. 网络安全体系平台——TOPSEC[J]. 中国电子商务, 76-77, 2001. [22] 卢娜. 基于联动的网络入侵防御系统的设计与实现[D]. 武汉科技大学, 2008. [23] 戴亚平,刘征,郁光辉译著.多传感器数据融合理论及应用[M],北京:北京
44

华北电力大学硕士学位论文

理工大学出版社,2004,第 1 版. [24] 刘先省.传感器管理结构与算法研究.博士学位论文,西安,西北工业大 学,2000.. [25] 郭俊颖.基于多源数据融合的网络风险评估研究[D].华中师范大学,2010. [26] Tim Bass.Intrusion Detection System and Multisensor Data Fusion:Creating Cyberspace Situational Awareness[C].Communications of the ACM.2000, 43(4):99 一 105 [27] Remco C. de Boer. A Generic Architecture for Fusion 一 Based IDS[D]. Erasmus University Rotterdam,Holand:Rotterdam School of Economics,2002 [28] Christos Siaterlis,Basil Maglaris.Towards Multisensor Data Fusion for DoS Deteetion [R].Nieosia,Cyprus.2004,3:439 一 446 [29] J.Salerno,M.Hinman,D.Boulware.Building a Framework for Situation Awareness[R].2004 [30] 赵宣,王伟平.入侵检测系统报警信息关联分析模型的设计与实现[J].计 算机与现代化,2008(2):96-98. [31] Shafer G .A mathematical theory of evidence[M].Prineeton,NJ:Prineeton U P,1976.10-40 [32] 李弼程,王波,魏俊等.一种有效的证据理论合成公式[J].数据采集与处 理.2002,17(l):34 一 36. [33] 张立明.人工神经网络及其应用[M].上海:复旦大学出版社,1994. [34] 刘新.基于多源日志的安全事件提取方法[D].哈尔滨工业大学,2009. [35] Christos Siaterlis,BasilMaglaris.Towards Multisensor Data Fusion for DoS deteetion.Nieosia,CyPrus.2004,3:439 一 446P [36] 刘超,谢宝陵等.基于数据融合模型的网络安全分析评估系统[J],计算机 工程..2005.7. [37]戴亚平,刘征,郁光辉译著.多传感器数据融合理论及应用[C],北京理工大 学出版社,2004. [38]]Hall D.L,Llinas J.Handbook of multisensor data fusion[M].New York: CRC Press,2001. [39] 徐小明. 多源异构日志的数据归并和预处理技术[D]. 哈尔滨工程大学. 2009. [40]WhiteF.A model for data fusion[A].proe.1.st.National SymPosium onsensor Fusion,1988. [41]李颖丽,彭亦功.数据融合技术及其应用[R].智能检测控制技术发展研讨会 论文集 [42]HallD.LMathematical techniques in multisensor data fusion[M]. London: Artech House,Ine.,1992. [43]韩崇昭,朱洪艳,段战胜.多源信息融合[M].清华大学出版社,2006 [44]Tim B.Intrusion systems and multisensor data fusion:Creating Cyberspace situational awareness[J].Communications of the ACM,2000,43(4):99-105 [45]梁颖.基于数据融合的网络安全态势定量感知方法研究[D]. 哈尔滨工程大 学,2006

45

华北电力大学硕士学位论文

攻读硕士学位期间发表的论文及其他研究成果
1.冯理达,程晓荣.云计算在银行业中的安全问题分析,网络安全技术与应用, 2013 年第 11 期,总第 155 期. 2.程晓荣,王金华,冯理达.实用新型专利《基于物联网的电力设备信息管理 系统》,受理,发文序号 2014061100555030. 3.冯理达,程晓荣,王金华.软件著作权《电力企业绩效考核系统 V1.0》,证 书号:软著登字第 0681427. 4.冯理达,程晓荣,王金华.软件著作权《基于 WinForm 窗体的图书馆管理系 统 V1.0》,证书号:软著登字第 0774141.

46

华北电力大学硕士学位论文





经过一年半的学习和研究,我如期的完成了这篇论文。在此,我想借这个机 会,对所有研究生期间帮助我、关心我的老师、同学、朋友以及家人表示最诚挚 的感谢。 首先, 我要感谢的是我的导师程晓荣老师。程老师在这三年的研究生生活期 间,不论是从学习还是生活中,她都尽心尽责的关心、鼓励、帮助我,她教会我 们许多做人的道理。程老师严谨、敬业的教学态度,不仅提高了我们理论知识水 平,同时也提高了我们的动手能力。在本论文的撰写过程中,她始终以专业的标 准严格要求我们,无论是从内容,还是格式等等各方面。有了程老师的鼓励和细 致的帮助,我的毕业论文才得以顺利完成。 其次, 我要感谢在我大学四年以及研究生三年期间,给过我帮助和指导的华 电老师们,你们教会我们的专业知识,是我们以后工作的指南针。为我们以后工 作和继续学习打下了坚实的基础。要感谢实验室的同门以及师弟师妹们,在我做 毕业设计过程中给予我大力的支持和无私的帮助。 再次,我要感谢的我亲爱的家人、朋友们,感谢他们一直以来来对我的鼓励 和关爱。感谢王金华和官双林同学,在学习生活中给予我的陪伴、鼓励和支持。 感谢硕计算机 122 班的同学们,三年来,我们真心对待、和睦相处。一路上有你 们,我的求学生涯才没有感到孤单。 最后,我要向百忙之中抽时间对本文进行审阅的各位老师表示衷心的感谢, 祝愿您们身体健康,万事如意。

47


相关文章:
能源概论论文
能源概论论文_能源/化工_工程科技_专业资料。花费很大...2128.5 2069.6 278.2 2482.2 2006年 1770.9 ...(亿元) 电力、燃气及水的生产和供应业研究与试验...
海洋学院硕士研究生发表学术论文期刊目录-2012修订
海洋学院硕士研究生发表学术论文期刊目录-2012修订_研究生入学考试_高等教育_教育...2128 CN11-2129 CN42-1236 CN51-1179 CN11-1909 CN31-1267 CN11-1995 CN...
电工杯建模论文
2011年电工杯全国大学生... 48页 1下载券喜欢...2128 7 7360 14 1675 s i s 得出油道位置和由...《韶关学院学生数学建模论文集--电力变压器铁心柱截面...
2012年全国大学生数学建模竞赛C题国家奖一等奖优秀论文
生数学建模竞赛C题国家奖一等奖优秀论文_理学_高等...2.建立数学模型研究脑卒中发病率与气温、气压、相对...2128 8633 比例 本年龄 65.45% 30.23% 43.06%...
IPV4向IPV6平滑过渡毕业论文
校园网IPv4向IPv6平滑过渡技术的研究与实现论文...最终 IPv6 应运而生。 2.2 IPv6 的众多优点 ...IPv6 拥有 2128 位的地址空间,大到你永远也用不完...
更多相关标签: