網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系初探

李奎

宿遷高等師范學(xué)校 計(jì)算機(jī)應(yīng)用 江蘇宿遷 223800

網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系初探

李奎

宿遷高等師范學(xué)校 計(jì)算機(jī)應(yīng)用 江蘇宿遷 223800

隨著接入互聯(lián)網(wǎng)的設(shè)備數(shù)量的急劇增加，帶來(lái)了便利高效，節(jié)約了時(shí)間和成本，但是網(wǎng)絡(luò)復(fù)雜度增加，風(fēng)險(xiǎn)更加凸顯。為了保證信息安全，適應(yīng)更嚴(yán)格的網(wǎng)絡(luò)安全管理，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)。

網(wǎng)絡(luò)安全態(tài)勢(shì)；模型；感知

引言

目前應(yīng)用最為廣泛的IDS系統(tǒng)只是運(yùn)用Agent獲取數(shù)據(jù)再經(jīng)過(guò)融合分析后檢測(cè)到相關(guān)攻擊行為，當(dāng)網(wǎng)絡(luò)帶寬提高后，IDS很難檢測(cè)到攻擊內(nèi)容，同時(shí)誤報(bào)率也較高。而網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)綜合了多種技術(shù)更加突出了整體特征，如IDS，殺毒軟件以及防火墻等，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測(cè)和快速預(yù)警。網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估運(yùn)行網(wǎng)絡(luò)的安全情況并且可以做出未來(lái)一段時(shí)間的變化趨勢(shì)，提高處理安全威脅的能力。

1、網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

1.1 網(wǎng)絡(luò)態(tài)勢(shì)感知定義

1988年，endsley率先提出針對(duì)航空領(lǐng)域人為因素的態(tài)勢(shì)感知的定義，態(tài)勢(shì)感知是指“在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并且對(duì)未來(lái)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)”。直到1999年，bass等指出，“下一代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知。常見的網(wǎng)絡(luò)態(tài)勢(shì)主要有安全態(tài)勢(shì)、拓?fù)鋺B(tài)勢(shì)和傳輸態(tài)勢(shì)等，但目前學(xué)者主要研究網(wǎng)絡(luò)的安全態(tài)勢(shì)感知的。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)概念

所謂網(wǎng)絡(luò)安全態(tài)勢(shì)就是對(duì)在多種網(wǎng)絡(luò)設(shè)備處于工作狀態(tài)、網(wǎng)絡(luò)變化以及用戶的動(dòng)作等安全態(tài)勢(shì)出現(xiàn)變化的狀態(tài)信息進(jìn)行理解，分析處理及評(píng)估，從而對(duì)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)強(qiáng)調(diào)的是一個(gè)整體的概念，包含了當(dāng)前的狀態(tài)，歷史的狀態(tài)和對(duì)未來(lái)的狀態(tài)預(yù)測(cè)。根據(jù)研究重點(diǎn)的不同，給出的概念也不盡一致。

1.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系構(gòu)成

（1）網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取。要素的提取主要通過(guò)殺毒軟件、防火墻、入侵檢測(cè)系統(tǒng)、流量控制、日志審計(jì)等收集整理數(shù)據(jù)信息，經(jīng)篩選后提出特征信息。

（2）網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。根據(jù)選擇的指標(biāo)體系定性和定量分析，搜素其中的關(guān)系，得出安全態(tài)勢(shì)圖，找到薄弱環(huán)節(jié)并制定出解決方案。

（3）網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。根據(jù)已有的安全態(tài)勢(shì)圖，分析原始的數(shù)據(jù)信息，預(yù)測(cè)未來(lái)一段時(shí)間的運(yùn)行狀態(tài)和趨勢(shì)，給出預(yù)警方案，達(dá)到最終的網(wǎng)絡(luò)安全的目的。

2、網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取技術(shù)

由于網(wǎng)絡(luò)的龐大、復(fù)雜以及動(dòng)態(tài)的變化，要素的提取面臨很大的困難，根據(jù)要素信息來(lái)源的不同進(jìn)行分類提取，可以分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)攻擊等，生成網(wǎng)路安全態(tài)勢(shì)感知指標(biāo)體系，并根據(jù)指標(biāo)體系來(lái)獲取網(wǎng)絡(luò)的信息可以有效的保證信息的全面性、準(zhǔn)確性和模型化。

安全態(tài)勢(shì)要素提取技術(shù)是態(tài)勢(shì)感知的第一步，意義重大。TimBasst首先提出了多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢(shì)感知框架，進(jìn)行數(shù)據(jù)精煉、對(duì)象精煉以及態(tài)勢(shì)精煉三個(gè)步驟的抽象獲取態(tài)勢(shì)感知要素?？▋?nèi)基梅隆大學(xué)開發(fā)了SILK系統(tǒng)，將數(shù)據(jù)轉(zhuǎn)化為高效的二進(jìn)制數(shù)據(jù)用分析軟件來(lái)發(fā)現(xiàn)其中的攻擊行為。國(guó)內(nèi)此項(xiàng)研究起步晚，只是在聚類分析和分類分析上取得了一點(diǎn)進(jìn)展。在提取要素過(guò)程中，屬性約簡(jiǎn)和分類識(shí)別是這一過(guò)程中的最基礎(chǔ)的步驟。使用粗糙集等理論對(duì)數(shù)據(jù)進(jìn)行屬性約簡(jiǎn)，并形成了算法。針對(duì)神經(jīng)網(wǎng)絡(luò)的收斂慢，易入局部最小值等特點(diǎn)設(shè)計(jì)了遺傳算法來(lái)進(jìn)行分類識(shí)別。

3、網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估技術(shù)

影響網(wǎng)絡(luò)網(wǎng)絡(luò)安全的評(píng)價(jià)有許多因素，各因素的作用不同且具有時(shí)變性，相互之間也不具有線性的關(guān)系，因此不能用精確的數(shù)學(xué)模型來(lái)表示。分析獲取的要素，必須要對(duì)其融合，以便得到整體的安全態(tài)勢(shì)，需要宏觀上把握網(wǎng)絡(luò)安全狀態(tài)，獲得有效的綜合評(píng)價(jià)達(dá)到幫助網(wǎng)絡(luò)管理人員的目的。從上可以看出融合技術(shù)是關(guān)鍵。目前常用的數(shù)據(jù)融合技術(shù)有以下幾種：

（1）基于邏輯關(guān)系的融合方法根據(jù)信息的內(nèi)在邏輯，對(duì)信息進(jìn)行融和。優(yōu)點(diǎn)是可以直觀地反映網(wǎng)絡(luò)的安全態(tài)勢(shì)。缺點(diǎn)有確定邏輯難度大，不少如單一來(lái)源的數(shù)據(jù)。

（2）基于數(shù)學(xué)模型的融合方法綜合考慮影響態(tài)勢(shì)的各項(xiàng)因素，構(gòu)造評(píng)估函數(shù)，建立態(tài)勢(shì)因素集合到態(tài)勢(shì)空間映射關(guān)系。優(yōu)點(diǎn)是可以輕松的確定各種態(tài)勢(shì)因素之間的數(shù)值比重關(guān)系，但是比重沒(méi)有標(biāo)準(zhǔn)。而且獲取的各個(gè)態(tài)勢(shì)因素可能還存在矛盾，無(wú)法處理。

（3）基于概率統(tǒng)計(jì)的融合方法根據(jù)經(jīng)驗(yàn)數(shù)據(jù)的概率特性，結(jié)合信息的不確定性，建立的模型然后通過(guò)模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，貝葉斯網(wǎng)絡(luò)、隱馬爾可夫模型最常見。優(yōu)點(diǎn)是可以融合最新的證據(jù)信息和經(jīng)驗(yàn)數(shù)據(jù)，推理過(guò)程清晰。但是該模型需要的數(shù)據(jù)量大易產(chǎn)生維數(shù)爆炸進(jìn)而影響實(shí)時(shí)性，而且特征的提取及經(jīng)驗(yàn)數(shù)據(jù)的獲取都存在一定的困難。

（4）基于規(guī)則推理的融合方法對(duì)多類別多屬性信息的不確定性進(jìn)行量化，再根據(jù)已有的規(guī)則進(jìn)行邏輯推理，達(dá)到評(píng)估目的。目前d-s證據(jù)組合方法和模糊邏輯是研究熱點(diǎn)。當(dāng)經(jīng)驗(yàn)數(shù)據(jù)難以獲取而且不要精準(zhǔn)的解概率分布，可以使用，但是需要復(fù)雜的計(jì)算。

4、網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)

預(yù)測(cè)是根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況，找出大量的網(wǎng)絡(luò)安全隱患，進(jìn)行分析，對(duì)未來(lái)一定時(shí)間內(nèi)的安全趨勢(shì)進(jìn)行判斷，給出相應(yīng)的解決方法。網(wǎng)絡(luò)預(yù)測(cè)技術(shù)目前也取得了重要的進(jìn)展，主要有神經(jīng)網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法。神經(jīng)網(wǎng)絡(luò)算法參數(shù)的選擇缺乏理論基礎(chǔ)，預(yù)測(cè)精度也不高。時(shí)間序列預(yù)測(cè)法由于網(wǎng)絡(luò)狀態(tài)的變化不是線性的，而且難以描述當(dāng)前狀態(tài)和未來(lái)狀態(tài)的關(guān)系，導(dǎo)致預(yù)測(cè)精度不理想。支持向量機(jī)基于結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則，解決了小樣本、非線性、高維度問(wèn)題，絕對(duì)誤差小，保證了預(yù)測(cè)的正確趨勢(shì)率，能準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的發(fā)展趨勢(shì)。

5、結(jié)束語(yǔ)

本文介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，并分別就要素的獲取、態(tài)勢(shì)的評(píng)估和網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)所使用的技術(shù)進(jìn)行了探討，引導(dǎo)網(wǎng)絡(luò)安全管理員研究和使用各種新技術(shù)關(guān)注網(wǎng)絡(luò)安全隱患，保證網(wǎng)絡(luò)安全運(yùn)營(yíng)。

[1]席榮榮，云曉春，金舒原，張永錚.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述.計(jì)算機(jī)應(yīng)用，2012年1期.

[2]郭劍.網(wǎng)絡(luò)安全態(tài)勢(shì)感知中態(tài)勢(shì)要素獲取技術(shù)的研究[學(xué)位論文]計(jì)算機(jī)軟件與理論.東北大學(xué)，2011.

[3]韋勇，連一峰，馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型.計(jì)算機(jī)研究與發(fā)展，2009，46(3).

[4]肖漢杰，桑秀麗.相關(guān)向量機(jī)超參數(shù)優(yōu)化的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè).計(jì)算機(jī)應(yīng)用，2015，35(7).