◆夏 飛

?

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估運(yùn)用分析

◆夏 飛

（國(guó)網(wǎng)江蘇省電力有限公司信息通信分公司 江蘇 210008）

安全態(tài)勢(shì)評(píng)估的重要性已經(jīng)隨著網(wǎng)絡(luò)安全問題的逐年擴(kuò)大成長(zhǎng)為當(dāng)前國(guó)內(nèi)外的熱門研究問題。現(xiàn)有安全態(tài)勢(shì)評(píng)估方法難以趕上日新月異的網(wǎng)絡(luò)發(fā)展現(xiàn)狀，因此本文針對(duì)網(wǎng)絡(luò)安全問題提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。通過D-S證據(jù)理論將多臺(tái)檢測(cè)設(shè)備生成的數(shù)據(jù)源信息進(jìn)行融合，利用漏洞信息和服務(wù)信息,經(jīng)過融合態(tài)勢(shì)要素和節(jié)點(diǎn)態(tài)勢(shì)對(duì)計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)做出合理評(píng)估。同時(shí)簡(jiǎn)單介紹時(shí)間序列分析極其用到的數(shù)據(jù)分析方式，雙管齊下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全趨勢(shì)的預(yù)測(cè)。為網(wǎng)絡(luò)管理人員提供合理數(shù)據(jù)提高其工作效率和效果。

網(wǎng)絡(luò)；安全態(tài)勢(shì)評(píng)估；信息融合；時(shí)間序列分析

0 前言

目前，人們對(duì)于前沿通信和計(jì)算機(jī)技術(shù)的需求越來越高，相應(yīng)地通信及信息技術(shù)發(fā)展也越來越快，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用范圍也越來越廣，而此時(shí)病毒軟件的出現(xiàn)使得計(jì)算機(jī)網(wǎng)絡(luò)的安全形式受到威脅，此前的相關(guān)病毒檢測(cè)設(shè)備及殺毒軟件已無法實(shí)現(xiàn)人們的需求。針對(duì)以上問題，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)能夠有效地起到預(yù)警的作用。但是忽略網(wǎng)絡(luò)自身特點(diǎn)；在大規(guī)模病毒爆發(fā)時(shí)才能產(chǎn)生作用；未對(duì)網(wǎng)絡(luò)安全問題考慮全面和單一化的評(píng)估指標(biāo)等都成為了網(wǎng)絡(luò)評(píng)估技術(shù)的缺點(diǎn)。因此本文意圖解決此類缺陷造成的問題，因此提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

計(jì)算機(jī)網(wǎng)絡(luò)組建囊括了大量的主機(jī)節(jié)點(diǎn)和檢測(cè)設(shè)備，監(jiān)控網(wǎng)絡(luò)和主機(jī)的運(yùn)作狀況是它的主要公共功能。以往對(duì)檢測(cè)設(shè)備生成的日志信息進(jìn)行分析總結(jié)是主要的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方式。此類方式基于的數(shù)據(jù)信息單一，檢測(cè)內(nèi)容往往難以得出有效結(jié)果。此類方式方法過于關(guān)注檢測(cè)設(shè)備生成的信息報(bào)告而忽略檢測(cè)設(shè)備本身可能產(chǎn)生的一系列問題。因此，本文旨于探討科學(xué)有效的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方式。也即：分析融合多個(gè)檢測(cè)設(shè)備獲取的日志信息，以此信息源為基礎(chǔ)獲得遭受外部攻擊的細(xì)節(jié)信息，分析相應(yīng)供給對(duì)網(wǎng)絡(luò)安全造成的影響，并以時(shí)間序列分析法為基礎(chǔ)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)做出適當(dāng)合理地預(yù)測(cè)，從科學(xué)性和有效性兩方面改進(jìn)傳統(tǒng)評(píng)估方式。

2 基于信息融合的態(tài)勢(shì)評(píng)估算法

融合態(tài)勢(shì)要素、融合數(shù)據(jù)源、融合節(jié)點(diǎn)態(tài)勢(shì)是信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估法的主要內(nèi)容

2.1 融合態(tài)勢(shì)要素

融合態(tài)勢(shì)要素是指基于外部攻擊成功支持的概率、外部攻擊發(fā)生的概率以及外部攻擊的威脅等對(duì)主機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行相應(yīng)的評(píng)估。對(duì)檢測(cè)設(shè)備產(chǎn)生的日志信息進(jìn)行分析只能取得外部攻擊發(fā)生的概率，而主機(jī)節(jié)點(diǎn)所受到的影響是多種媒介共同作用的結(jié)果，例如主機(jī)節(jié)點(diǎn)內(nèi)部的相關(guān)信息以及由外部攻擊攜帶的威脅信息等。經(jīng)過充分融合的信息報(bào)告才能對(duì)主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)做出全面完整的估算和分析。

2.2 融合數(shù)據(jù)源

融合數(shù)據(jù)源是指通過充分融合多個(gè)檢測(cè)設(shè)備產(chǎn)生的日志信息以達(dá)到可靠估算外部攻擊發(fā)生支持概率的目的方法。為獲取到更客觀、更準(zhǔn)確的信息吃力結(jié)果，多元化信息的獲取是數(shù)據(jù)源融合的重要基礎(chǔ)。因此估計(jì)理論、人工智能等技術(shù)方法在數(shù)據(jù)源融合過程中扮演了重要的角色。融合數(shù)據(jù)源最主要的目的是通過分析多臺(tái)設(shè)備生成的日志報(bào)告準(zhǔn)確可靠地分析主機(jī)節(jié)點(diǎn)態(tài)勢(shì)評(píng)估的結(jié)果。D-S證據(jù)理論方法是本文的研究基礎(chǔ)，在D-S證據(jù)理論中，單一檢測(cè)設(shè)備生成的日志報(bào)告將被收集用于分析該設(shè)備對(duì)于本次攻擊的反對(duì)及支持概率，隨后多臺(tái)檢測(cè)設(shè)備的日志報(bào)告將以同樣的方式進(jìn)行反對(duì)支持概率的統(tǒng)計(jì)及分析，而后總體報(bào)告將通過D-S數(shù)據(jù)合成來取得整個(gè)網(wǎng)絡(luò)系統(tǒng)對(duì)于外部攻擊的反對(duì)或支持概率。

2.3 融合節(jié)點(diǎn)態(tài)勢(shì)

獲得網(wǎng)絡(luò)安全態(tài)勢(shì)值SA，該公式中wi的數(shù)值沿用上一個(gè)公式中計(jì)算的服務(wù)數(shù)加權(quán)比重，而Ei代表各主機(jī)點(diǎn)在網(wǎng)絡(luò)環(huán)境中的加權(quán)對(duì)應(yīng)權(quán)重。通過共同使用兩個(gè)公式獲取網(wǎng)絡(luò)安全系統(tǒng)的整體實(shí)際情況的態(tài)勢(shì)值SA。網(wǎng)絡(luò)管理人員可以通過制作分析結(jié)果曲線圖獲取網(wǎng)絡(luò)運(yùn)營(yíng)安全的整體情況并及時(shí)獲取外部信息，實(shí)時(shí)監(jiān)控外部攻擊支持概率并對(duì)可能發(fā)生的外部攻擊做出及時(shí)關(guān)鍵的預(yù)防措施，若未能及時(shí)阻止惡意攻擊的發(fā)生，該方法也有助于網(wǎng)絡(luò)管理人員及時(shí)作出應(yīng)對(duì)措施以防更多主機(jī)節(jié)點(diǎn)受到攻擊導(dǎo)致癱瘓。

3 基于時(shí)間序列分析的態(tài)勢(shì)預(yù)測(cè)算法

時(shí)間序列分析旨于分析過去及當(dāng)前多個(gè)時(shí)間節(jié)點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告，從而對(duì)未來網(wǎng)絡(luò)安全趨勢(shì)做出合理預(yù)測(cè)。而本節(jié)將把重點(diǎn)放在介紹這種極具可靠性的預(yù)測(cè)算法。曲線擬合和參數(shù)估計(jì)的數(shù)學(xué)建模方法將被有效利用在時(shí)間序列分析中，其原料是來自于各檢測(cè)設(shè)備得到的日志報(bào)告數(shù)據(jù)。當(dāng)前時(shí)間序列分析算法被廣泛應(yīng)用于經(jīng)濟(jì)、城建、天氣預(yù)報(bào)等多個(gè)領(lǐng)域。

時(shí)間序列分析的第一步是平穩(wěn)性檢驗(yàn)。其目的在于確保時(shí)間序列的平穩(wěn)性，若時(shí)間序列的平穩(wěn)性受到質(zhì)疑，則該建模方式將失去其最基本的理論依據(jù)。而平穩(wěn)性檢驗(yàn)又包括參數(shù)檢驗(yàn)法和非參數(shù)檢驗(yàn)法。參數(shù)檢驗(yàn)（parameter test）全稱參數(shù)假設(shè)檢驗(yàn)，是指對(duì)參數(shù)平均值、方差進(jìn)行的統(tǒng)計(jì)檢驗(yàn)。參數(shù)檢驗(yàn)是推斷統(tǒng)計(jì)的重要組成部分。當(dāng)總體分布已知（如總體為正態(tài)分布），根據(jù)樣本數(shù)據(jù)對(duì)總體分布的統(tǒng)計(jì)參數(shù)進(jìn)行推斷。而非參數(shù)檢驗(yàn)也(Nonparametric tests)是統(tǒng)計(jì)分析方法的重要組成部分，它與參數(shù)檢驗(yàn)共同構(gòu)成統(tǒng)計(jì)推斷的基本內(nèi)容。非參數(shù)檢驗(yàn)是在總體方差未知或知道甚少的情況下，利用樣本數(shù)據(jù)對(duì)總體分布形態(tài)等進(jìn)行推斷的方法。由于非參數(shù)檢驗(yàn)方法在推斷過程中不涉及有關(guān)總體分布的參數(shù)，因而得名為“非參數(shù)”檢驗(yàn)。第二步是計(jì)算樣本自相關(guān)系數(shù)和偏自相關(guān)系數(shù)。相關(guān)系數(shù)度量指的是兩個(gè)不同事件彼此之間的相互影響程度；而自相關(guān)系數(shù)度量的是同一事件在兩個(gè)不同時(shí)期之間的相關(guān)程度，形象的講就是度量自己過去的行為對(duì)自己現(xiàn)在的影響。在了解此類基本概念后確定模型、模型計(jì)算及模型檢驗(yàn)的步驟將不再在此文中進(jìn)行細(xì)節(jié)的討論。時(shí)間序列的分析有助于網(wǎng)絡(luò)管理人員繪制網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)圖，而該預(yù)測(cè)圖有助于管理人員更深入掌握整個(gè)網(wǎng)絡(luò)環(huán)境的過去式、現(xiàn)在式及將來式，并協(xié)助管理人員針對(duì)相突發(fā)安全事件采取及時(shí)且恰當(dāng)?shù)姆烙胧┮员苊馔獠抗粼斐傻膿p失進(jìn)一步擴(kuò)大。

4 結(jié)語

原有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)缺陷明顯，其局限性難以保證外部攻擊的有效數(shù)據(jù)被發(fā)現(xiàn)并整合，網(wǎng)絡(luò)整體安全現(xiàn)狀在缺乏與時(shí)俱進(jìn)的態(tài)勢(shì)評(píng)估技術(shù)下顯得漏洞百出。而本文在原有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)基礎(chǔ)上介紹了態(tài)勢(shì)要素、數(shù)據(jù)源和節(jié)點(diǎn)態(tài)勢(shì)三種融合方式，同時(shí)介紹了時(shí)間序列分析中用到的基礎(chǔ)知識(shí)及其可能帶來的良性反映，從而實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的有效預(yù)測(cè)，為網(wǎng)絡(luò)管理人員及時(shí)準(zhǔn)確地提供安全保證提供了理論支持。然而，網(wǎng)絡(luò)世界的技術(shù)日新月異，針對(duì)網(wǎng)絡(luò)安全管理的技術(shù)需要不斷與時(shí)俱進(jìn)。當(dāng)前關(guān)于保證安全態(tài)勢(shì)的相關(guān)方法及指標(biāo)依然缺乏全面性，同時(shí)應(yīng)當(dāng)整理各類外部攻擊事件的特點(diǎn)并整理歸檔，確保對(duì)于威脅來源的預(yù)測(cè)更加可靠。隨著網(wǎng)絡(luò)的普及度以及人們對(duì)于網(wǎng)絡(luò)的依賴度越來越高，一個(gè)好的網(wǎng)絡(luò)安全環(huán)境將為使用者提供無形的便利，因此當(dāng)前社會(huì)各界密切關(guān)注網(wǎng)絡(luò)安全態(tài)勢(shì)保護(hù)措施的發(fā)展，加強(qiáng)此領(lǐng)域的研究具有時(shí)代意義。

[1]文志誠(chéng),陳志剛,唐軍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法[J].北京航空航天大學(xué)學(xué)報(bào),2016.

[2]李方偉,張新躍,朱江,張海波.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)應(yīng)用,2015.

[3]彭鵬.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015.

[4]張新剛,王保平,程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012.

[5]韋勇,連一峰,馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)研究與發(fā)展,2009.