基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

蒙晶++楊淼生

摘 要：信息融合技術(shù)是指將多層次信息進(jìn)行關(guān)聯(lián)處理的一種技術(shù)方法。隨著信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)信息量的不斷增加，網(wǎng)絡(luò)安全正在不斷受到新的挑戰(zhàn)。而在網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估中采用信息融合技術(shù)，可以提高評(píng)估的準(zhǔn)確性，進(jìn)而保障網(wǎng)絡(luò)使用的安全性。網(wǎng)絡(luò)安全評(píng)估中，要充分考慮到攻擊頻率、攻擊的難易程度以及危害程度等評(píng)估指標(biāo)，采用數(shù)據(jù)源融合、態(tài)勢(shì)要素融合、關(guān)鍵節(jié)點(diǎn)融合等方法進(jìn)行模型和算法的設(shè)計(jì)，以充分保障網(wǎng)絡(luò)安全評(píng)估的準(zhǔn)確性。

關(guān)鍵詞：信息融合 網(wǎng)絡(luò)安全態(tài)勢(shì) 評(píng)估模型

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）03（b）-0018-02

隨著信息技術(shù)的不斷發(fā)展，隨之而來(lái)的網(wǎng)絡(luò)安全威脅也在不斷增加。人們?cè)谌粘＞W(wǎng)絡(luò)使用過(guò)程中，無(wú)時(shí)無(wú)刻不面臨著網(wǎng)絡(luò)安全威脅。由于當(dāng)前的網(wǎng)絡(luò)安全威脅逐漸呈現(xiàn)出規(guī)?；㈦[蔽化等特點(diǎn)，導(dǎo)致傳統(tǒng)的網(wǎng)絡(luò)安全評(píng)估、檢測(cè)、防御模式已經(jīng)不能滿足要求，因此結(jié)合信息融合等新型分析技術(shù)，建立更加可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，成為了相關(guān)領(lǐng)域的研究熱點(diǎn)。

1 信息融合及網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的基本概念

1.1 基于信息融合的基本思想

信息融合是信息處理領(lǐng)域的一門(mén)對(duì)多源數(shù)據(jù)進(jìn)行獲取、分析、分類(lèi)和決策的重要技術(shù)，隨著當(dāng)今的網(wǎng)絡(luò)信息數(shù)據(jù)量猛增，包括身份信息和應(yīng)用信息在內(nèi)的數(shù)據(jù)結(jié)構(gòu)和類(lèi)型也更加豐富，對(duì)于信息處理的效率和安全性提出了更高的要求。在網(wǎng)絡(luò)安全態(tài)勢(shì)中應(yīng)用信息評(píng)估，主要基于3個(gè)方面的思想：第一是基于信息融合的信息篩選思想，由于網(wǎng)絡(luò)安全事件的發(fā)生原因相對(duì)復(fù)雜，不同采集和檢測(cè)工具所反饋的信息也較為多樣，其中既包含了對(duì)安全評(píng)估有利的有效信息，又包含了大量無(wú)效信息，因此信息精簡(jiǎn)化是十分必要的；第二是利用信息融合技術(shù)的信息處理思想，信息融合技術(shù)在此的主要作用是分析信息的關(guān)聯(lián)性；第三是篩選和處理后的信息融合為新的完整信息庫(kù)，為評(píng)估和決策工作提供參考。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的主要步驟

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要分為3個(gè)步驟，首先是在數(shù)據(jù)采集階段，使用信息融合技術(shù)可以更加方便地在分布式網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中進(jìn)行初步采集，并對(duì)其中的相關(guān)信息進(jìn)行辨識(shí)和分析，經(jīng)過(guò)初步篩選和修正以后可以形成有效信息庫(kù)；其次是對(duì)安全相關(guān)信息進(jìn)行進(jìn)一步提取分析，找出有關(guān)網(wǎng)絡(luò)系統(tǒng)漏洞的相關(guān)信息；最后通過(guò)相關(guān)算法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，從而建立起一個(gè)安全高效的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體系，保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行與維護(hù)。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的模型設(shè)計(jì)與應(yīng)用方法

一般情況下，基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估工作，主要分為數(shù)據(jù)源信息融合、態(tài)勢(shì)要素融合以及關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)的融合3個(gè)部分。他們各自起到攻擊概率檢測(cè)、安全態(tài)勢(shì)評(píng)估和綜合計(jì)算等作用。在進(jìn)行算法設(shè)計(jì)之前，首先要明確評(píng)估模型的結(jié)構(gòu)以及進(jìn)行網(wǎng)絡(luò)安全評(píng)估的主要指標(biāo)。

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型及其設(shè)計(jì)

為了更好地應(yīng)用信息融合技術(shù)，滿足多源數(shù)據(jù)結(jié)構(gòu)的分析和評(píng)估要求，應(yīng)當(dāng)建立合理的安全態(tài)勢(shì)評(píng)估模型。該模型由主機(jī)、網(wǎng)絡(luò)和用戶(hù)3個(gè)層次構(gòu)成，分別負(fù)責(zé)分析主機(jī)系統(tǒng)的運(yùn)行狀態(tài)、挖掘與關(guān)聯(lián)網(wǎng)絡(luò)安全信息以及對(duì)用戶(hù)端進(jìn)行網(wǎng)絡(luò)安全警告等。在主機(jī)層中，評(píng)估模型是根據(jù)主機(jī)系統(tǒng)遭受攻擊和威脅的數(shù)據(jù)進(jìn)行漏洞分析的；將主機(jī)層中的威脅數(shù)據(jù)融合匯集以后，模型會(huì)將其送入網(wǎng)絡(luò)層，以威脅數(shù)據(jù)為參照對(duì)象對(duì)存在威脅特征的網(wǎng)絡(luò)信息進(jìn)行分析，對(duì)網(wǎng)絡(luò)信息中潛在的危險(xiǎn)特征和危險(xiǎn)關(guān)聯(lián)信息進(jìn)行建模和評(píng)估；得出安全態(tài)勢(shì)評(píng)估結(jié)果以后，將信息匯總至用戶(hù)層，方便安全管理人員對(duì)網(wǎng)絡(luò)安全形勢(shì)進(jìn)行準(zhǔn)確把握。

2.2 安全態(tài)勢(shì)評(píng)估的主要方法

建立網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估模型以后，就要根據(jù)安全需要來(lái)確定態(tài)勢(shì)的評(píng)估方法。在網(wǎng)絡(luò)安全領(lǐng)域有四類(lèi)常用的評(píng)估標(biāo)準(zhǔn)，包括基于安全的各類(lèi)安全標(biāo)準(zhǔn)方法、基于財(cái)產(chǎn)價(jià)值的評(píng)估方法、基于漏洞檢測(cè)的評(píng)估方法、基于安全模型的評(píng)估方法。自從網(wǎng)絡(luò)安全概念誕生以來(lái)，包括歐美和我國(guó)在內(nèi)的網(wǎng)絡(luò)大國(guó)都先后制定了各自的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。而其中以美國(guó)、加拿大和歐盟共同發(fā)布的“通用準(zhǔn)則”（Common Criteria，簡(jiǎn)稱(chēng)CC）的評(píng)估標(biāo)準(zhǔn)最為全面，它包含了對(duì)操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、分布式系統(tǒng)和應(yīng)用程序等各方面的評(píng)估，是比較各類(lèi)評(píng)估標(biāo)準(zhǔn)的通用準(zhǔn)則；基于財(cái)產(chǎn)價(jià)值的評(píng)估方法則更為量化直觀，它通過(guò)財(cái)產(chǎn)敏感性分析，可以對(duì)網(wǎng)絡(luò)安全事件所造成的財(cái)產(chǎn)損失進(jìn)行評(píng)估，從而對(duì)安全風(fēng)險(xiǎn)進(jìn)行分級(jí)并采取措施；基于漏洞檢測(cè)的方法，是指對(duì)于前述網(wǎng)絡(luò)安全態(tài)勢(shì)模型中的主機(jī)、網(wǎng)絡(luò)、用戶(hù)層面的漏洞情況進(jìn)行評(píng)估，并根據(jù)測(cè)出漏洞的數(shù)量、嚴(yán)重性的權(quán)重計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)；而基于安全模型的方法則更為全面，它是根據(jù)已經(jīng)發(fā)生過(guò)的網(wǎng)絡(luò)安全事件，對(duì)網(wǎng)絡(luò)體系建立安全評(píng)估模型，通過(guò)模型分析和測(cè)試達(dá)到對(duì)系統(tǒng)整體進(jìn)行評(píng)估的目的，這樣不僅可以對(duì)已知的網(wǎng)絡(luò)薄弱結(jié)構(gòu)進(jìn)行評(píng)估，還可以發(fā)現(xiàn)和預(yù)測(cè)未知的安全漏洞，具有十分廣闊的應(yīng)用前景。

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的主要指標(biāo)

區(qū)別于常規(guī)的風(fēng)險(xiǎn)評(píng)估，網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估工作還應(yīng)當(dāng)包含更加細(xì)致的信息，如安全威脅的危害性數(shù)據(jù)、威脅事件的出現(xiàn)頻率以及解決威脅的難易程度等。因此要以信息融合所得到的威脅、漏洞數(shù)據(jù)庫(kù)為依據(jù)，制定具有代表性的評(píng)估指標(biāo)和指數(shù)。典型的評(píng)估指數(shù)包括主機(jī)態(tài)勢(shì)指數(shù)（Fhost），主要指在主機(jī)層出現(xiàn)的對(duì)安全策略的違反程度；服務(wù)態(tài)勢(shì)指數(shù)（Fs），指在固定攻擊數(shù)量下，安全威脅對(duì)服務(wù)器安全策略的違反程度；攻擊態(tài)勢(shì)指數(shù)（FA）則是針對(duì)由黑客所引發(fā)的攻擊事件而言的，它反應(yīng)了網(wǎng)絡(luò)漏洞被黑客利用作為攻擊手段的難易程度；以及結(jié)合各個(gè)指標(biāo)所得的網(wǎng)絡(luò)態(tài)勢(shì)威脅綜合指數(shù)（FNET）等。只有綜合考慮各個(gè)指標(biāo)，才能對(duì)網(wǎng)絡(luò)威脅中的各類(lèi)病毒攻擊、黑客威脅、流量態(tài)勢(shì)的參數(shù)進(jìn)行準(zhǔn)確評(píng)估，了解網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)狀況。

3 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

3.1 信息融合技術(shù)的算法分析

在信息融合技術(shù)中，要用到大量的數(shù)學(xué)工具對(duì)數(shù)據(jù)對(duì)象進(jìn)行描述。因此如何在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中選擇合適的算法，對(duì)于信息融合和安全評(píng)估具有重要的意義。信息融合的常見(jiàn)算法包括基于推理模型的算法，即對(duì)數(shù)據(jù)的置信度、隸屬度進(jìn)行操作，包括最大似然法、卡爾曼濾波等；還有基于特征推理的方法，如貝葉斯推理和神經(jīng)網(wǎng)絡(luò)王法；另外還有模糊集理論的感知模型方法。其中，基于特征推理的貝葉斯網(wǎng)絡(luò)融合算法的應(yīng)用，在具有內(nèi)在不確定性的問(wèn)題中應(yīng)用較為廣泛，在該算法中，網(wǎng)絡(luò)攻擊行為的成功，必須以目標(biāo)系統(tǒng)存在安全漏洞為前提條件，對(duì)漏洞進(jìn)行挖掘而發(fā)起攻擊；而由于對(duì)網(wǎng)絡(luò)安全漏洞的評(píng)估往往是沒(méi)有明確量化標(biāo)準(zhǔn)的定性概念，因此基于模糊集理論的感知模型在此應(yīng)用也較為合適，模糊集是一種邊界不明確的模型，在其基礎(chǔ)上可以建立起模糊邏輯，其推理結(jié)論的真實(shí)性都是相對(duì)的，因此基于模糊集理論的算法可以很好地解決信息融合中的沖突問(wèn)題，但這種算法計(jì)算量較大，且只能應(yīng)用于靜態(tài)環(huán)境。

3.2 數(shù)據(jù)源信息融合

信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型中的信息源融合技術(shù)，主要針對(duì)的是信息來(lái)源的不確定性，即由于信息檢出設(shè)備本身的多樣性和不穩(wěn)定差異，所導(dǎo)致的準(zhǔn)確性下降以及無(wú)效性增加等情況。數(shù)據(jù)源融合技術(shù)包含了對(duì)大量數(shù)據(jù)的統(tǒng)計(jì)推斷方法，在進(jìn)行信息關(guān)聯(lián)性分析時(shí)顯得更為準(zhǔn)確。例如首先通過(guò)網(wǎng)絡(luò)拓?fù)湫畔⒌玫焦舭l(fā)生的鏈路信息，將該鏈路中涉及的所有設(shè)備列入相關(guān)檢測(cè)設(shè)備，再通過(guò)D-S證據(jù)理論，通過(guò)對(duì)各個(gè)檢測(cè)設(shè)備的檢測(cè)日志進(jìn)行計(jì)算，得到各個(gè)設(shè)備對(duì)威脅產(chǎn)生的潛在支持概率，便于威脅來(lái)源的查找分析。另外，在分析各個(gè)設(shè)備的日志信息時(shí)，應(yīng)當(dāng)具有一定的權(quán)重性，如對(duì)預(yù)知日志中的防火墻、IDS日志信息進(jìn)行檢測(cè)時(shí)，還應(yīng)當(dāng)同時(shí)匹配其權(quán)重，從而分析得出最大概率支持威脅的檢測(cè)設(shè)備。引入推斷方法進(jìn)行的數(shù)據(jù)源融合，可以得到檢測(cè)設(shè)備對(duì)攻擊發(fā)生的支持概率，便于下一步態(tài)勢(shì)要素融合的進(jìn)行。

3.3 基于概率的態(tài)勢(shì)要素融合

在這一步中，主要是利用得到的攻擊發(fā)生支持概率來(lái)計(jì)算威脅對(duì)主機(jī)節(jié)點(diǎn)攻擊的成功支持概率。由于安全威脅發(fā)動(dòng)攻擊并成功的前提條件應(yīng)當(dāng)是具備網(wǎng)絡(luò)設(shè)備中具備該威脅且主機(jī)關(guān)鍵節(jié)點(diǎn)有該攻擊所利用的安全漏洞，因此要利用安全威脅概率和漏洞數(shù)據(jù)庫(kù)進(jìn)行匹配，以獲得攻擊成功的支持概率。這一步主要是通過(guò)向節(jié)點(diǎn)寫(xiě)入檢測(cè)程序?qū)崿F(xiàn)的，當(dāng)程度返回值為1時(shí)，證明該節(jié)點(diǎn)包含攻擊所利用的安全漏洞。將安全漏洞依照其威脅程度權(quán)重進(jìn)行累計(jì)，就可以得到系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊成功的支持概率。再利用攻擊的威脅度參數(shù)，結(jié)合攻擊發(fā)生和成功的支持概率，計(jì)算得到攻擊對(duì)系統(tǒng)關(guān)鍵節(jié)點(diǎn)的影響值（影響程度），對(duì)網(wǎng)絡(luò)中各個(gè)主機(jī)的安全影響值進(jìn)行匯總以后，便可以對(duì)關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行安全信息融合。

3.4 關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)融合

關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)融合，是網(wǎng)絡(luò)安全態(tài)勢(shì)信息融合的最后一步，也是最重要的一步。它是將各個(gè)主機(jī)節(jié)點(diǎn)及其所提供的服務(wù)按照重要程度分配權(quán)重（所有服務(wù)的權(quán)重和為1），再將每一個(gè)關(guān)鍵節(jié)點(diǎn)的威脅影響值與其節(jié)點(diǎn)權(quán)重求乘積，得到單個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)值（SA），再將所有節(jié)點(diǎn)的安全態(tài)勢(shì)值匯總，就可得到網(wǎng)絡(luò)安全態(tài)勢(shì)的總體值。將一段時(shí)間內(nèi)的安全態(tài)勢(shì)值繪制成時(shí)間-安全態(tài)勢(shì)曲線，就可以對(duì)該段時(shí)間的安全態(tài)勢(shì)狀況進(jìn)行分析，便于網(wǎng)絡(luò)安全管理人員對(duì)過(guò)去一段時(shí)間的系統(tǒng)網(wǎng)絡(luò)安全情況進(jìn)行把握，并對(duì)未來(lái)一段時(shí)間的網(wǎng)絡(luò)安全情況進(jìn)行預(yù)測(cè)和分析。

4 結(jié)語(yǔ)

總而言之，隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息的產(chǎn)生和處理規(guī)模將會(huì)變得越發(fā)龐大，由此帶來(lái)的網(wǎng)絡(luò)安全威脅將會(huì)隨之增加。因此，開(kāi)發(fā)新的網(wǎng)絡(luò)安全技術(shù)，建立高效可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)分析模型，對(duì)于維持網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，保障網(wǎng)絡(luò)社會(huì)下各類(lèi)信息的安全具有相當(dāng)重要的意義。該文僅針對(duì)基于信息融合技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的建立和分析進(jìn)行了探究，對(duì)于相關(guān)網(wǎng)絡(luò)安全工作的開(kāi)展具有一定的參考價(jià)值。

參考文獻(xiàn)

[1] 李方偉，張新躍，朱江，等.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)應(yīng)用，2015，35（7）：1882-1887.

[2] 任江偉，韓躍龍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J]. 黑龍江科技信息，2015，46（9）：353-362.