一种基于日志和SNMP信息融合的网络安全态势感知分析方法

摘要

本发明属于网络安全态势感知领域，具体涉及一种基于日志和SNMP信息融合的网络安全态势感知分析方法。本发明包括：基于日志和SNMP数据融合的数据采集；基于日志和SNMP数据融合的预处理；进行日志数据分析和SNMP数据分析；进行日志和SNMP数据的数据融合；进行日志和SNMP数据融合的可视化。本发明与单一分析日志数据或者SNMP数据源相比，这两种数据的结合，能较好的分析网络状态整体的运行趋势，两种数据结合分析更全面、精确；本系统的数据处理根据用户需求选择重要度高的进行处理，减轻了对大量数据处理的负担；本系统的采用阈值自动修正的方法，使用户自定义的阈值参数更加的精确，提高数据融合的准确性。

主权项

一种基于日志和SNMP信息融合的网络安全态势感知分析方法，其特征在于：（1）基于日志和SNMP数据融合的数据采集：（1.1）进行日志数据采集：（1.1.1）从网络设备中获取日志数据信息；（1.1.2）设置日志采集代理的采集日志格式：日志记录时间，源主机地址，目的地址，源端口号，目的端口号，SYN标志，服务类型；（1.1.3）启动采集代理，将采集到的日志数据存入源日志数据库；（1.2）进行SNMP数据采集：（1.2.1）使用时间片轮询的方式定时采集数据，轮询时间设为固定值；（1.2.2）读取采集配置文件，设置传感器ID、时间粒度、存储路径、服务器IP；（1.2.3）设置SNMP采集代理的采集SNMP格式：标识符id、信息产生时间time、源主机地址IP、CPU使用率UsedCPU、内存使用率UsedMem、接口利用率UsedPort、流量Flux、丢包率PacketLoss、接口信息错误率PortErrorRate、响应时间ResponseTime；（1.2.4）启动SNMP采集代理，将采集到的SNMP数据存入源SNMP数据库；（2）基于日志和SNMP数据融合的预处理：（2.1）日志数据预处理：（2.1.1）从源日志数据库中获取数据。（2.1.2）归一化处理，转化为统一的格式，时间time、源主机地址IP，目标主机与当前连接相同的连接次数count1、出现SYN错误的连接百分比ser1、目标端口与当前连接相同的连接次数count2、出现SYN错误的连接百分比（针对服务）ser2；（2.1.3）将预处理后的日志数据存入日志数据库；（2.2）SNMP数据融合预处理：（2.2.1）从源SNMP数据库中获取数据；（2.2.2）归一化处理：将获得的源数据转换成[0,1]之间的数据，即除了标识符、信息产生时间、源主机地址外的每个属性除以各属性的最大允许值，获得相应的百分比；（2.2.3）将预处理后的SNMP数据存入SNMP数据库；（3）进行日志数据分析和SNMP数据分析：（3.1）进行SNMP数据分析：（3.1.1）从数据预处理中的SNMP数据库中获取数据；（3.1.2）计算事件基于SNMP的重要度，并与阈值进行比较；（3.1.3）将重要度高的事件存入安全事件数据库；（3.1.4）根据融合结果进行阈值修正；（4）进行日志和SNMP数据的数据融合：（4.1）采用五层模糊神经网络对日志信息和SNMP信息进行融合分析；（4.2）对五层模糊神经网络进行学习训练获得每层之间的权值；（4.3）将日志的每个字段和SNMP事件的重要度作为模糊神经网络输入层的输入；（4.4）将实际输出与期望输出值进行比较，如果输出层的实际输出不等于期望输出，则进入后向传播过程；（4.5）后向传播时，把误差信号按原来前向传播的通路反向传回，逐层递归的计算实际输出与期望输出的差值，根据误差的均方差调节权值，对隐含层的每个神经元的权系数进行修改，使误差趋于最小；（5）进行日志和SNMP数据融合的可视化：显示检测对象的网络安全态势和检测结果。