蒙晶++楊淼生

摘 要：信息融合技術(shù)是指將多層次信息進行關(guān)聯(lián)處理的一種技術(shù)方法。隨著信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)信息量的不斷增加，網(wǎng)絡(luò)安全正在不斷受到新的挑戰(zhàn)。而在網(wǎng)絡(luò)安全態(tài)勢的評估中采用信息融合技術(shù)，可以提高評估的準確性，進而保障網(wǎng)絡(luò)使用的安全性。網(wǎng)絡(luò)安全評估中，要充分考慮到攻擊頻率、攻擊的難易程度以及危害程度等評估指標，采用數(shù)據(jù)源融合、態(tài)勢要素融合、關(guān)鍵節(jié)點融合等方法進行模型和算法的設(shè)計，以充分保障網(wǎng)絡(luò)安全評估的準確性。

關(guān)鍵詞：信息融合 網(wǎng)絡(luò)安全態(tài)勢 評估模型

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2017）03（b）-0018-02

隨著信息技術(shù)的不斷發(fā)展，隨之而來的網(wǎng)絡(luò)安全威脅也在不斷增加。人們在日常網(wǎng)絡(luò)使用過程中，無時無刻不面臨著網(wǎng)絡(luò)安全威脅。由于當(dāng)前的網(wǎng)絡(luò)安全威脅逐漸呈現(xiàn)出規(guī)?；?、隱蔽化等特點，導(dǎo)致傳統(tǒng)的網(wǎng)絡(luò)安全評估、檢測、防御模式已經(jīng)不能滿足要求，因此結(jié)合信息融合等新型分析技術(shù)，建立更加可靠的網(wǎng)絡(luò)安全態(tài)勢評估模型，成為了相關(guān)領(lǐng)域的研究熱點。

1 信息融合及網(wǎng)絡(luò)安全態(tài)勢評估的基本概念

1.1 基于信息融合的基本思想

信息融合是信息處理領(lǐng)域的一門對多源數(shù)據(jù)進行獲取、分析、分類和決策的重要技術(shù)，隨著當(dāng)今的網(wǎng)絡(luò)信息數(shù)據(jù)量猛增，包括身份信息和應(yīng)用信息在內(nèi)的數(shù)據(jù)結(jié)構(gòu)和類型也更加豐富，對于信息處理的效率和安全性提出了更高的要求。在網(wǎng)絡(luò)安全態(tài)勢中應(yīng)用信息評估，主要基于3個方面的思想：第一是基于信息融合的信息篩選思想，由于網(wǎng)絡(luò)安全事件的發(fā)生原因相對復(fù)雜，不同采集和檢測工具所反饋的信息也較為多樣，其中既包含了對安全評估有利的有效信息，又包含了大量無效信息，因此信息精簡化是十分必要的；第二是利用信息融合技術(shù)的信息處理思想，信息融合技術(shù)在此的主要作用是分析信息的關(guān)聯(lián)性；第三是篩選和處理后的信息融合為新的完整信息庫，為評估和決策工作提供參考。

1.2 網(wǎng)絡(luò)安全態(tài)勢評估的主要步驟

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估主要分為3個步驟，首先是在數(shù)據(jù)采集階段，使用信息融合技術(shù)可以更加方便地在分布式網(wǎng)絡(luò)數(shù)據(jù)庫中進行初步采集，并對其中的相關(guān)信息進行辨識和分析，經(jīng)過初步篩選和修正以后可以形成有效信息庫；其次是對安全相關(guān)信息進行進一步提取分析，找出有關(guān)網(wǎng)絡(luò)系統(tǒng)漏洞的相關(guān)信息；最后通過相關(guān)算法對網(wǎng)絡(luò)安全態(tài)勢進行評估，從而建立起一個安全高效的網(wǎng)絡(luò)安全態(tài)勢評估體系，保證網(wǎng)絡(luò)系統(tǒng)的安全運行與維護。

2 網(wǎng)絡(luò)安全態(tài)勢評估的模型設(shè)計與應(yīng)用方法

一般情況下，基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估工作，主要分為數(shù)據(jù)源信息融合、態(tài)勢要素融合以及關(guān)鍵節(jié)點態(tài)勢的融合3個部分。他們各自起到攻擊概率檢測、安全態(tài)勢評估和綜合計算等作用。在進行算法設(shè)計之前，首先要明確評估模型的結(jié)構(gòu)以及進行網(wǎng)絡(luò)安全評估的主要指標。

2.1 網(wǎng)絡(luò)安全態(tài)勢評估模型及其設(shè)計

為了更好地應(yīng)用信息融合技術(shù)，滿足多源數(shù)據(jù)結(jié)構(gòu)的分析和評估要求，應(yīng)當(dāng)建立合理的安全態(tài)勢評估模型。該模型由主機、網(wǎng)絡(luò)和用戶3個層次構(gòu)成，分別負責(zé)分析主機系統(tǒng)的運行狀態(tài)、挖掘與關(guān)聯(lián)網(wǎng)絡(luò)安全信息以及對用戶端進行網(wǎng)絡(luò)安全警告等。在主機層中，評估模型是根據(jù)主機系統(tǒng)遭受攻擊和威脅的數(shù)據(jù)進行漏洞分析的；將主機層中的威脅數(shù)據(jù)融合匯集以后，模型會將其送入網(wǎng)絡(luò)層，以威脅數(shù)據(jù)為參照對象對存在威脅特征的網(wǎng)絡(luò)信息進行分析，對網(wǎng)絡(luò)信息中潛在的危險特征和危險關(guān)聯(lián)信息進行建模和評估；得出安全態(tài)勢評估結(jié)果以后，將信息匯總至用戶層，方便安全管理人員對網(wǎng)絡(luò)安全形勢進行準確把握。

2.2 安全態(tài)勢評估的主要方法

建立網(wǎng)絡(luò)安全態(tài)勢的評估模型以后，就要根據(jù)安全需要來確定態(tài)勢的評估方法。在網(wǎng)絡(luò)安全領(lǐng)域有四類常用的評估標準，包括基于安全的各類安全標準方法、基于財產(chǎn)價值的評估方法、基于漏洞檢測的評估方法、基于安全模型的評估方法。自從網(wǎng)絡(luò)安全概念誕生以來，包括歐美和我國在內(nèi)的網(wǎng)絡(luò)大國都先后制定了各自的網(wǎng)絡(luò)安全標準。而其中以美國、加拿大和歐盟共同發(fā)布的“通用準則”（Common Criteria，簡稱CC）的評估標準最為全面，它包含了對操作系統(tǒng)、計算機網(wǎng)絡(luò)、分布式系統(tǒng)和應(yīng)用程序等各方面的評估，是比較各類評估標準的通用準則；基于財產(chǎn)價值的評估方法則更為量化直觀，它通過財產(chǎn)敏感性分析，可以對網(wǎng)絡(luò)安全事件所造成的財產(chǎn)損失進行評估，從而對安全風(fēng)險進行分級并采取措施；基于漏洞檢測的方法，是指對于前述網(wǎng)絡(luò)安全態(tài)勢模型中的主機、網(wǎng)絡(luò)、用戶層面的漏洞情況進行評估，并根據(jù)測出漏洞的數(shù)量、嚴重性的權(quán)重計算網(wǎng)絡(luò)安全態(tài)勢；而基于安全模型的方法則更為全面，它是根據(jù)已經(jīng)發(fā)生過的網(wǎng)絡(luò)安全事件，對網(wǎng)絡(luò)體系建立安全評估模型，通過模型分析和測試達到對系統(tǒng)整體進行評估的目的，這樣不僅可以對已知的網(wǎng)絡(luò)薄弱結(jié)構(gòu)進行評估，還可以發(fā)現(xiàn)和預(yù)測未知的安全漏洞，具有十分廣闊的應(yīng)用前景。

2.3 網(wǎng)絡(luò)安全態(tài)勢評估的主要指標

區(qū)別于常規(guī)的風(fēng)險評估，網(wǎng)絡(luò)安全態(tài)勢的評估工作還應(yīng)當(dāng)包含更加細致的信息，如安全威脅的危害性數(shù)據(jù)、威脅事件的出現(xiàn)頻率以及解決威脅的難易程度等。因此要以信息融合所得到的威脅、漏洞數(shù)據(jù)庫為依據(jù)，制定具有代表性的評估指標和指數(shù)。典型的評估指數(shù)包括主機態(tài)勢指數(shù)（Fhost），主要指在主機層出現(xiàn)的對安全策略的違反程度；服務(wù)態(tài)勢指數(shù)（Fs），指在固定攻擊數(shù)量下，安全威脅對服務(wù)器安全策略的違反程度；攻擊態(tài)勢指數(shù)（FA）則是針對由黑客所引發(fā)的攻擊事件而言的，它反應(yīng)了網(wǎng)絡(luò)漏洞被黑客利用作為攻擊手段的難易程度；以及結(jié)合各個指標所得的網(wǎng)絡(luò)態(tài)勢威脅綜合指數(shù)（FNET）等。只有綜合考慮各個指標，才能對網(wǎng)絡(luò)威脅中的各類病毒攻擊、黑客威脅、流量態(tài)勢的參數(shù)進行準確評估，了解網(wǎng)絡(luò)安全態(tài)勢的實時狀況。

3 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估方法

3.1 信息融合技術(shù)的算法分析

在信息融合技術(shù)中，要用到大量的數(shù)學(xué)工具對數(shù)據(jù)對象進行描述。因此如何在網(wǎng)絡(luò)安全態(tài)勢評估中選擇合適的算法，對于信息融合和安全評估具有重要的意義。信息融合的常見算法包括基于推理模型的算法，即對數(shù)據(jù)的置信度、隸屬度進行操作，包括最大似然法、卡爾曼濾波等；還有基于特征推理的方法，如貝葉斯推理和神經(jīng)網(wǎng)絡(luò)王法；另外還有模糊集理論的感知模型方法。其中，基于特征推理的貝葉斯網(wǎng)絡(luò)融合算法的應(yīng)用，在具有內(nèi)在不確定性的問題中應(yīng)用較為廣泛，在該算法中，網(wǎng)絡(luò)攻擊行為的成功，必須以目標系統(tǒng)存在安全漏洞為前提條件，對漏洞進行挖掘而發(fā)起攻擊；而由于對網(wǎng)絡(luò)安全漏洞的評估往往是沒有明確量化標準的定性概念，因此基于模糊集理論的感知模型在此應(yīng)用也較為合適，模糊集是一種邊界不明確的模型，在其基礎(chǔ)上可以建立起模糊邏輯，其推理結(jié)論的真實性都是相對的，因此基于模糊集理論的算法可以很好地解決信息融合中的沖突問題，但這種算法計算量較大，且只能應(yīng)用于靜態(tài)環(huán)境。

3.2 數(shù)據(jù)源信息融合

信息融合網(wǎng)絡(luò)安全態(tài)勢評估模型中的信息源融合技術(shù)，主要針對的是信息來源的不確定性，即由于信息檢出設(shè)備本身的多樣性和不穩(wěn)定差異，所導(dǎo)致的準確性下降以及無效性增加等情況。數(shù)據(jù)源融合技術(shù)包含了對大量數(shù)據(jù)的統(tǒng)計推斷方法，在進行信息關(guān)聯(lián)性分析時顯得更為準確。例如首先通過網(wǎng)絡(luò)拓撲信息得到攻擊發(fā)生的鏈路信息，將該鏈路中涉及的所有設(shè)備列入相關(guān)檢測設(shè)備，再通過D-S證據(jù)理論，通過對各個檢測設(shè)備的檢測日志進行計算，得到各個設(shè)備對威脅產(chǎn)生的潛在支持概率，便于威脅來源的查找分析。另外，在分析各個設(shè)備的日志信息時，應(yīng)當(dāng)具有一定的權(quán)重性，如對預(yù)知日志中的防火墻、IDS日志信息進行檢測時，還應(yīng)當(dāng)同時匹配其權(quán)重，從而分析得出最大概率支持威脅的檢測設(shè)備。引入推斷方法進行的數(shù)據(jù)源融合，可以得到檢測設(shè)備對攻擊發(fā)生的支持概率，便于下一步態(tài)勢要素融合的進行。

3.3 基于概率的態(tài)勢要素融合

在這一步中，主要是利用得到的攻擊發(fā)生支持概率來計算威脅對主機節(jié)點攻擊的成功支持概率。由于安全威脅發(fā)動攻擊并成功的前提條件應(yīng)當(dāng)是具備網(wǎng)絡(luò)設(shè)備中具備該威脅且主機關(guān)鍵節(jié)點有該攻擊所利用的安全漏洞，因此要利用安全威脅概率和漏洞數(shù)據(jù)庫進行匹配，以獲得攻擊成功的支持概率。這一步主要是通過向節(jié)點寫入檢測程序?qū)崿F(xiàn)的，當(dāng)程度返回值為1時，證明該節(jié)點包含攻擊所利用的安全漏洞。將安全漏洞依照其威脅程度權(quán)重進行累計，就可以得到系統(tǒng)對網(wǎng)絡(luò)攻擊成功的支持概率。再利用攻擊的威脅度參數(shù)，結(jié)合攻擊發(fā)生和成功的支持概率，計算得到攻擊對系統(tǒng)關(guān)鍵節(jié)點的影響值（影響程度），對網(wǎng)絡(luò)中各個主機的安全影響值進行匯總以后，便可以對關(guān)鍵節(jié)點態(tài)勢進行安全信息融合。

3.4 關(guān)鍵節(jié)點態(tài)勢融合

關(guān)鍵節(jié)點態(tài)勢融合，是網(wǎng)絡(luò)安全態(tài)勢信息融合的最后一步，也是最重要的一步。它是將各個主機節(jié)點及其所提供的服務(wù)按照重要程度分配權(quán)重（所有服務(wù)的權(quán)重和為1），再將每一個關(guān)鍵節(jié)點的威脅影響值與其節(jié)點權(quán)重求乘積，得到單個節(jié)點的網(wǎng)絡(luò)安全態(tài)勢值（SA），再將所有節(jié)點的安全態(tài)勢值匯總，就可得到網(wǎng)絡(luò)安全態(tài)勢的總體值。將一段時間內(nèi)的安全態(tài)勢值繪制成時間-安全態(tài)勢曲線，就可以對該段時間的安全態(tài)勢狀況進行分析，便于網(wǎng)絡(luò)安全管理人員對過去一段時間的系統(tǒng)網(wǎng)絡(luò)安全情況進行把握，并對未來一段時間的網(wǎng)絡(luò)安全情況進行預(yù)測和分析。

4 結(jié)語

總而言之，隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息的產(chǎn)生和處理規(guī)模將會變得越發(fā)龐大，由此帶來的網(wǎng)絡(luò)安全威脅將會隨之增加。因此，開發(fā)新的網(wǎng)絡(luò)安全技術(shù)，建立高效可靠的網(wǎng)絡(luò)安全態(tài)勢分析模型，對于維持網(wǎng)絡(luò)系統(tǒng)的安全運行，保障網(wǎng)絡(luò)社會下各類信息的安全具有相當(dāng)重要的意義。該文僅針對基于信息融合技術(shù)的網(wǎng)絡(luò)安全態(tài)勢評估模型的建立和分析進行了探究，對于相關(guān)網(wǎng)絡(luò)安全工作的開展具有一定的參考價值。

參考文獻

[1] 李方偉，張新躍，朱江，等.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機應(yīng)用，2015，35（7）：1882-1887.

[2] 任江偉，韓躍龍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 黑龍江科技信息，2015，46（9）：353-362.