葛 琳，季新生，江 濤

（國家數字交換系統(tǒng)工程技術研究中心 鄭州450002）

1 引言

電信網與互聯(lián)網的融合發(fā)展，打破了傳統(tǒng)電信網絡相對封閉的格局，同時也將原本在互聯(lián)網中存在的一些安全問題引入電信網[1]。信息內容安全事件（information content security incident，ICSI）指利用信息網絡發(fā)布傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件[2]。近年來，電信網絡的信息內容安全事件持續(xù)增多。以中國電信2010年公布的統(tǒng)計數字為例，全網發(fā)生騷擾信息投訴量51萬余次，各類安全事件均呈現快速增長勢頭[3]。由此可以看出，網絡IP化、終端智能化和應用多樣化為各類信息內容安全事件的發(fā)生提供了便利條件，給電信網絡安全帶來極大的挑戰(zhàn)。加強電信網絡安全域劃分，提高全網的統(tǒng)一安全管理能力，建設同步于電信網絡發(fā)展水平的信息安全體系迫在眉睫[4]。

網絡安全監(jiān)控及防護的一個重要手段就是對網絡當前的安全狀況進行分析感知。態(tài)勢感知技術融合可獲取的信息，從宏觀角度實時展現網絡的整體安全態(tài)勢，為網絡安全管理者的決策分析提供技術依據和數據支持。目前的網絡安全態(tài)勢感知技術主要應用于互聯(lián)網，針對電信網的研究尚處于起步階段，而且主要針對電信網中的攻擊類事件，即對網絡中的病毒、操作系統(tǒng)漏洞、防火墻、入侵檢測系統(tǒng)和安全日志等各防護設備所產生的數據，進行融合后做出決策評估[5～7]。信息內容安全事件與攻擊類事件相比，具有不同的特征：攻擊類事件以破壞網絡正常通信為目的，強度大，維度單一，通?？蓺w為行為異常所引起的網絡安全態(tài)勢變化顯著，較易覺察；信息內容安全事件以傳播不良信息內容為目的，強度較小，多維信息，既有行為異常也有內容異常，隱蔽性大，對其所引起的態(tài)勢較難把握。如何借鑒現有的態(tài)勢感知技術，全方位部署電信網安全防護設備，并有效利用其產生的海量、多維安全信息做出快速、及時的融合判定，是當前電信網安全領域的研究熱點。

本文基于對電信網信息內容安全事件主要特征的分析，提出一種分布式、層次化結構的態(tài)勢感知模型，針對模型中數據分層融合的特點，采用基于Dempster-Shafer（D-S）證據理論的信息融合近似算法，并在仿真環(huán)境中對模型進行了實驗驗證。

2 電信網信息內容安全事件特征

隨著電信網和互聯(lián)網融合的深入發(fā)展及多媒體業(yè)務的日益成熟，一方面，電信網所面臨的信息內容安全事件形式趨于多樣；另一方面，由于互聯(lián)網是一個以用戶為核心的非盈利性網絡，很多通信業(yè)務及軟件可免費使用，使得發(fā)起信息內容安全事件的成本大大降低，因此，電信網終端用戶所遭受的不良信息安全事件的數量增多，同時規(guī)模變大。通過對此類事件發(fā)生時電信網絡狀態(tài)變化、用戶通信行為和信息內容特點的研究，對其特征進行歸納，具體如下。

（1）突發(fā)性

信息內容安全事件的主要目的是通過散播非法信息內容，挑起爭端、破壞社會穩(wěn)定，此類事件的發(fā)生具有突發(fā)性。

（2）針對性

信息內容安全事件的目標用戶通常為在特定時間段，發(fā)生了熱點或敏感社會問題的區(qū)域內的用戶群體，即信息內容安全事件具有一定的針對性。在這種情況下，網絡中的流量通常會有較為明顯的變化趨勢。

（3）干擾性

信息內容安全事件擾亂用戶的正常通信，惡意占用網絡資源，對于目標用戶而言，接收到此類信息后，選擇短時間內切斷通信的用戶數量較正常通信情況會有所增多，由此會引起電信網絡中單位時間內，短時通話數量增多。

（4）重復性

目前，針對流量異常和短時通話數量變化等問題均已有防護技術，而某些不良信息源為了規(guī)避檢測攔截，未必會在短時間內發(fā)送大量足以引起網絡流量和短時通話數量變化的信息，但其所發(fā)送的信息內容卻具有相同和重復的特性。因此，對信息內容的重復性檢測可作為一種有效的補充和完善。

（5）特定性

信息的傳輸內容通常為某種或某類特定的音/視頻內容。

上述前3個特征可看作由用戶通信行為異常引起的網絡狀態(tài)的變化，其中，網絡流量和短時通話的變化可看作通信狀態(tài)異常；后兩個特征可看作通信內容異常。表1為信息內容安全事件的主要特征及其對電信網絡通信的影響。

表1 信息內容安全事件特征及其對電信網絡通信的影響

目前業(yè)界針對信息內容安全事件的各相關特征，已經研究了相應的網絡安全防護措施，但單一的安全防護措施沒有綜合考慮各種防護措施之間的關聯(lián)性和邏輯性，無法從宏觀角度掌握網絡安全的需求。現代網絡管理要求必須能夠在動態(tài)變化的復雜環(huán)境中，對各種不確定的網管信息進行分析評估，以便網絡管理員能以量化的方式，認知和理解網絡中安全事件的整體狀況和趨勢，從而迅速、準確地做出決策。如何對各監(jiān)測設備的告警數據進行分析處理，給出網絡中信息內容安全事件當前的態(tài)勢狀況，是本文要研究的主要問題。

3 電信網態(tài)勢感知模型

3.1 態(tài)勢感知模型的部署

網絡信息安全防護的目標是，使受保護網絡中的實體和用戶不受來自外部網絡的攻擊騷擾。也就是說，安全防護模型應處于受保護網絡和外部網絡之間，且假設只在它的一側存在騷擾源[8]。這里把受保護網絡定義為可控網絡（controllable network，CN），外部網絡定義為不可控網絡（uncontrollable network，UN）。如圖1所示，假設信息源（information source，IS）為｛s0,s1,…,sn｝，從不可控網絡向可控網絡實施信息攻擊。騷擾方的目的是盡可能多地將不良信息傳遞給可控網絡中的目標用戶（target user，TU），TU=｛u0,u1,…,um｝。在可控網絡的關口，部署態(tài)勢感知模型（situation awareness model，SAM）。對SAM而言，其目標是能夠實時感知到信息內容安全事件的發(fā)生和強度。

圖1 電信網信息攻擊事件模型

3.2 態(tài)勢感知模型的設計

SAM實現對網絡當前安全狀態(tài)的感知，首先，需要通過數據采集獲取網絡中的通信數據信息；其次，對所獲取的信息進行融合分析；最后，根據融合結果做出決策判定。其中，數據采集由數據采集器（data collector，DC）完成，信息融合 （information fusion，IF）則由各級信息融合節(jié)點完成，如圖2所示。

圖2 態(tài)勢感知系統(tǒng)組成

用DC1，DC2，…，DC5分別表示電信網中信息內容安全事件各特征所對應的防護設備的數據采集器。數據采集器與各級融合節(jié)點0、1、2和3之間的邏輯關系如圖3所示。DC1和DC2分別表示針對網絡流量異常和短時通話特征的數據采集器，當兩者中有一個事件發(fā)生（即兩事件為“或”的關系）時，可認為網絡中的通信狀態(tài)產生異常。將其融合結果2與DC3（內容重復性檢測）再次進行融合，判別是否有通信行為異常事件發(fā)生。DC4和DC5分別表示傳輸內容中具有特殊音頻和視頻特征的數據采集器，若其中一項存在異常，就可認為用戶之間的通信內容異常，二者即“或”的關系。

圖3 電信網絡態(tài)勢感知系統(tǒng)各節(jié)點邏輯關系

廣告類信息通常發(fā)送時間集中，發(fā)送區(qū)域有一定的特定性和內容重復性，一般情況下也會將其歸類為通信行為異常，因此需要對具體通信內容進行識別后做出判定；同時，當通信內容異常時，如果所發(fā)送的信息數量少，則不會產生網絡中流量、短時通話數量和內容重復等通信行為的異常。為了使最終融合結果更具有典型性、代表性和較強的針對性，融合結果1與3兩事件同時發(fā)生（即“與”的關系）時，可判定當前網絡中存在安全問題，作為最終融合結果0輸出。

通過前文的邏輯關系分析，電信網態(tài)勢感知模型可采用分布式檢測，分層、多級融合結構。模型分為數據層（data layer，DL）、信息層（information layer，IL）和知識層（knowledge layer，KL），如圖4所示。其中，數據層主要由各個數據采集器完成數據信息的采集和上報；信息層將各個數據采集器獲取的信息進行初步的分類提煉和融合，形成對態(tài)勢感知有用的信息；知識層通過數據層和信息層的數據采集、信息分類融合，形成網絡當前的態(tài)勢感知數據。圖4中，局部信息融合中心 （location information fusion center，LIFC）接收和處理來自多個數據采集器的信息，做出初步決策判定；系統(tǒng)信息融合中心（system information fusion center，SIFC）對各局部節(jié)點傳送來的局部決策進行融合處理，做出系統(tǒng)的最終決策。

圖4 電信網絡態(tài)勢感知系統(tǒng)模型

在電信網絡態(tài)勢感知模型中，各個數據采集器所提供的信息一般是模糊的，包含著大量的不確定性。各級融合中心如何利用不確定性信息進行推理，從而做出正確的決策，即模型信息層融合算法的設計是整個模型能否高效運行、實現設計理念的關鍵。證據理論是一種重要的不確定推理方法，可以將多個不確定信息的證據進行合成，并采用區(qū)間的方法對不確定性信息進行描述，在精確反映證據聚合程度方面具有很大的靈活性。本文基于D-S理論，采用層次式快速信息融合近似算法，以滿足電信網態(tài)勢感知模型實時性和多層信息融合的需求。

3.3 模型信息層融合算法

證據理論又稱D-S理論或信任函數理論，是對貝葉斯理論的一種擴展，其核心是證據合成準則。在證據理論中，一個樣本空間稱為一個辨識框架，用Θ=｛H1，H2，…，Hm｝表示，具有可窮性和可列性，并且其中的元素均為互斥事件。

定義1設Θ為一個識別框架，若函數m：2Θ→[0,1]（2Θ為Θ的所有子集）滿足m（○/）=0、為H的基本概率分配函數或mass函數。

定義2設m1，m2，…，mn為識別框架Θ=｛H1，H2，…，Hm｝上n個不同的基本概率分配函數，則其正交和定義為：

定義3設Θ為識別框架，m為Θ上的基本概率分配函數，定義函數Bel：2Θ→[0,1]為Θ上對應于m的信任度函數，表示對命題H的總的信任程度。

定義4設Θ為識別框架，m為Θ上的基本概率分配函數，定義函數Pl：2Θ→[0,1]為Θ上對應于m的似真度函數，表示對命題H不否定的信任程度。

設m1，m2，…，mn為識別框架Θ=｛H1，H2，…，Hm｝上n個不同的基本概率分配函數，滿足：

根據證據理論的組合規(guī)則，有：

將式（6）中的各因子分別用矩陣形式表示為：

通過運算即可求得m（Hj）、m（Θ）和各個狀態(tài)的信度區(qū)間[Bel（Hj），Pl（Hj）]。將融合結論轉化為下一步證據融合的BPA為：

其中，Ai表示第i個信度區(qū)間在空間形成的區(qū)域，V表示離散數據源在Ai區(qū)域內的體積，e1，e2，…，en表示連續(xù)數據源各個證據的正態(tài)分布函數[9,10]。

3.4 模型的主要特點

模型的主要特點介紹如下。

·可靠性高：采用分布式檢測方式，利用多數據采集器對同一事件進行多層次反復融合確認，有效降低事件的不確定性，提高系統(tǒng)決策的可信度。

·容錯性強：根據通信網絡特征進行數據采集器的部署，覆蓋面廣。當某些數據采集器出現故障或錯誤時，系統(tǒng)經過適當的融合處理，仍有可能得到正確結果。

·實時性好：采用分層的融合方式，大大減少了系統(tǒng)和局部信息融合中心的處理數據量，可獲得實時結果。

·決策時間短：模型內部連接簡便，通信壓力小，數據傳輸及時準確，提升了模型的決策速度。

·準確度高：模型充分考慮電信網信息內容安全事件的特征，綜合利用各采集器獲得的特征數據，信息量充足，融合所得出的判決結果最為貼近實際網絡狀態(tài)。

·可擴展性強：隨著網絡的不斷發(fā)展，不良信息的傳播手段隨之增多。模型采用的分布式層次化結構只需在原有基礎上，針對新的不良信息傳播手段，增設數據采集器及局部信息融合中心即可，升級方式簡單、易行。

4 仿真實驗

4.1 仿真實驗環(huán)境

當前電信網信息內容安全事件手段多樣，包括音頻、視頻類多媒體信息。為了驗證模型的有效性，本文選取中國電信目前采用的、支持可視電話業(yè)務的IMS網絡作為測試模板。IMS網絡的核心協(xié)議為SIP。試驗中的SIP終端用戶設置可利用網上開源的BOL SIP phone軟件實現，而SIP網絡中的重定向、媒體網關和服務器等功能則可以由單獨的設備實現，也可以與SIP代理集成在同一設備中實現，靈活性大，簡單易行?；诖?，本文選擇建立SIP網絡環(huán)境，對電信網態(tài)勢感知模型進行仿真實驗。

如圖5所示，騷擾方從受保護網絡左側向SIP網絡中的用戶發(fā)起攻擊，特征介紹如下：

·在預置的特定時間段內，向受保護網絡中的某特定區(qū)域A/B/C中的用戶發(fā)起攻擊；

·用戶端接收到不良信息電話的掛機概率隨機確定；

·不良信息源向受保護網絡中用戶發(fā)送的通信信息具有重復性；

·不良信息源向受保護網絡中用戶發(fā)送某特定音頻內容；

·不良信息源向受保護網絡中用戶發(fā)送某特定視頻內容。

針對以上5個特征，分別進行多次數據統(tǒng)計，作為D-S證據理論的初始概率分布。

4.2 仿真實驗結果

實際網絡安全事件強度曲線如圖6所示，電信網態(tài)勢感知模型檢測的態(tài)勢曲線如圖7所示，將兩者進行對比分析，可以看出：隨著安全事件強度的增大，對應的網絡態(tài)勢感知值也隨之上升；當安全事件強度變小時，網絡態(tài)勢評估值隨之降低，但網絡態(tài)勢感知值下降的斜率較安全事件強度下降的斜率小。這是因為，在高層信息融合中，使用信度區(qū)間對網絡安全狀況進行表述，使得落在區(qū)間內的值都將產生不同程度的告警。這一點在實際網絡環(huán)境的應用中具有重要意義，即當某信息內容安全事件在短時間內再次發(fā)生時，網絡仍可保持一定的警戒度。

圖8為態(tài)勢感知模型預測結果與實際攻擊情況曲線的對比。可以看出，預測的結果是一條較平滑的曲線，與實際安全事件情況基本相符。

圖6 攻擊強度與時間的關系

圖7 網絡評估與時間的關系

圖8 網絡感知與實際情況的對比

實驗結果表明，本文提出的電信網絡態(tài)勢感知模型能夠把握網絡安全態(tài)勢的總體變化趨勢，對網絡安全狀況做出及時感知，判定結果與實際情況接近，具有較高的準確度[11～17]。

5 結束語

近年來，電信網絡的安全問題備受關注，態(tài)勢感知技術是其中的研究熱點。目前電信網的態(tài)勢感知技術僅針對攻擊類事件，而針對信息內容安全事件態(tài)勢感知的研究尚屬空白。本文通過對電信網和信息內容安全事件自身特點的分析，提出了態(tài)勢感知模型的設計方案。針對此模型采用的分層結構的特點，采用了一種基于D-S理論的層次式信息融合近似算法，并在仿真環(huán)境中對該模型進行了實驗驗證。仿真結果表明，該模型可以有效感知信息內容安全事件。

該方案為維護電信網絡信息安全和用戶合法權益提供了技術支持。但本文目前提出的基于D-S證據理論的層次式融合算法并沒有考慮證據沖突的情況，雖然特征提取的針對性強，可以有效避免沖突證據的發(fā)生，但為保證算法的完整性，這點需要進一步研究和改進。同時，現有方案在仿真實驗環(huán)境中可靠、有效，下一步將針對實際網絡的運行環(huán)境進行實驗驗證。

1 萬曉榆,樊自甫,宗曉飛.下一代網絡安全技術.北京:人民郵電出版社,2007

2 中國標準化管理委員會.信息安全事件分類分級指南.GB/Z 20986-2007，2007

3 中國電信集團公司.中國電信網絡安全技術白皮書,2010

4 中國電信集團公司.中國電信網絡安全技術白皮書,2011

5 楊肖.下一代電信網安全態(tài)勢評估系統(tǒng)設計.北京郵電大學博士學位論文,2008

6 盧宇.下一代電信網風險分析系統(tǒng)的研究與實現.北京郵電大學博士學位論文,2009

7 林帆.下一代網絡安全態(tài)勢評估系統(tǒng)中數據緩存子系統(tǒng)的設計與實現.北京郵電大學博士學位論文,2010

8 陳訓遜,方濱興,胡銘曾等.一個網絡信息安全的新領域——網絡信息滲透檢測技術.通信學報,2004,25(7):185～191

9 冷宣兵,王平,張立.證據理論合成準則的一種新算法及其驗證.計算機仿真,2010,27(2):162～165

10 孫銳.基于D-S證據理論的信息融合及在可靠性數據處理中的應用研究.電子科技大學博士學位論文,2011

11 彭敏.基于免疫的網絡入侵檢測與風險預測模型.計算機工程,2011,37(11):141～143

12 Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment.IEEE Communications Magazine,2010(1):146～152

13 Parvar H,Fesharaki M N,Moshiri B.Shared situation awareness system architecture for network centric environment decision making.Proceedings of Second International Conference on Computer and Network Technology,Bangkok,Thailand,2010:372～376

14 Nguyen-Thanh N,Koo I.Empirical distribution-based event detection in wireless sensor networks:an approach based on evidence theory.IEEE Sensor Journal,2012,12(6):2222～2228

15 Zhu L,Shi D,Duan X.Evidence theory-based fake measurement identification and fault-tolerant protection in digital substations.IET Generation,Transmission&Distribution,2011,5(1):119～126

16 Liao J,Bi Y X,Nugent C.Using the dempster-shafer theory of evidence with a revised lattice structure for activity recognition.IEEE Transactions on Information Technology in Biomedicine,2011,15(1):74～82

17 Li Y B,Wang N.Based on D-S evidence theory of information fusion improved method.Proceedings of 2010 International Conference on Computer Application and System Modeling,Taiyuan,China,2010:416～419