基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估運用分析

◆夏 飛

?

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估運用分析

◆夏 飛

（國網(wǎng)江蘇省電力有限公司信息通信分公司 江蘇 210008）

安全態(tài)勢評估的重要性已經(jīng)隨著網(wǎng)絡(luò)安全問題的逐年擴大成長為當(dāng)前國內(nèi)外的熱門研究問題?，F(xiàn)有安全態(tài)勢評估方法難以趕上日新月異的網(wǎng)絡(luò)發(fā)展現(xiàn)狀，因此本文針對網(wǎng)絡(luò)安全問題提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型。通過D-S證據(jù)理論將多臺檢測設(shè)備生成的數(shù)據(jù)源信息進行融合，利用漏洞信息和服務(wù)信息,經(jīng)過融合態(tài)勢要素和節(jié)點態(tài)勢對計算網(wǎng)絡(luò)安全態(tài)勢做出合理評估。同時簡單介紹時間序列分析極其用到的數(shù)據(jù)分析方式，雙管齊下實現(xiàn)對網(wǎng)絡(luò)安全趨勢的預(yù)測。為網(wǎng)絡(luò)管理人員提供合理數(shù)據(jù)提高其工作效率和效果。

網(wǎng)絡(luò)；安全態(tài)勢評估；信息融合；時間序列分析

0 前言

目前，人們對于前沿通信和計算機技術(shù)的需求越來越高，相應(yīng)地通信及信息技術(shù)發(fā)展也越來越快，計算機網(wǎng)絡(luò)的應(yīng)用范圍也越來越廣，而此時病毒軟件的出現(xiàn)使得計算機網(wǎng)絡(luò)的安全形式受到威脅，此前的相關(guān)病毒檢測設(shè)備及殺毒軟件已無法實現(xiàn)人們的需求。針對以上問題，網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)能夠有效地起到預(yù)警的作用。但是忽略網(wǎng)絡(luò)自身特點；在大規(guī)模病毒爆發(fā)時才能產(chǎn)生作用；未對網(wǎng)絡(luò)安全問題考慮全面和單一化的評估指標(biāo)等都成為了網(wǎng)絡(luò)評估技術(shù)的缺點。因此本文意圖解決此類缺陷造成的問題，因此提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型。

1 網(wǎng)絡(luò)安全態(tài)勢評估模型

計算機網(wǎng)絡(luò)組建囊括了大量的主機節(jié)點和檢測設(shè)備，監(jiān)控網(wǎng)絡(luò)和主機的運作狀況是它的主要公共功能。以往對檢測設(shè)備生成的日志信息進行分析總結(jié)是主要的網(wǎng)絡(luò)安全態(tài)勢評估方式。此類方式基于的數(shù)據(jù)信息單一，檢測內(nèi)容往往難以得出有效結(jié)果。此類方式方法過于關(guān)注檢測設(shè)備生成的信息報告而忽略檢測設(shè)備本身可能產(chǎn)生的一系列問題。因此，本文旨于探討科學(xué)有效的網(wǎng)絡(luò)安全態(tài)勢評估方式。也即：分析融合多個檢測設(shè)備獲取的日志信息，以此信息源為基礎(chǔ)獲得遭受外部攻擊的細節(jié)信息，分析相應(yīng)供給對網(wǎng)絡(luò)安全造成的影響，并以時間序列分析法為基礎(chǔ)對網(wǎng)絡(luò)安全態(tài)勢做出適當(dāng)合理地預(yù)測，從科學(xué)性和有效性兩方面改進傳統(tǒng)評估方式。

2 基于信息融合的態(tài)勢評估算法

融合態(tài)勢要素、融合數(shù)據(jù)源、融合節(jié)點態(tài)勢是信息融合網(wǎng)絡(luò)安全態(tài)勢評估法的主要內(nèi)容

2.1 融合態(tài)勢要素

融合態(tài)勢要素是指基于外部攻擊成功支持的概率、外部攻擊發(fā)生的概率以及外部攻擊的威脅等對主機的網(wǎng)絡(luò)安全態(tài)勢進行相應(yīng)的評估。對檢測設(shè)備產(chǎn)生的日志信息進行分析只能取得外部攻擊發(fā)生的概率，而主機節(jié)點所受到的影響是多種媒介共同作用的結(jié)果，例如主機節(jié)點內(nèi)部的相關(guān)信息以及由外部攻擊攜帶的威脅信息等。經(jīng)過充分融合的信息報告才能對主機節(jié)點的安全態(tài)勢做出全面完整的估算和分析。

2.2 融合數(shù)據(jù)源

融合數(shù)據(jù)源是指通過充分融合多個檢測設(shè)備產(chǎn)生的日志信息以達到可靠估算外部攻擊發(fā)生支持概率的目的方法。為獲取到更客觀、更準(zhǔn)確的信息吃力結(jié)果，多元化信息的獲取是數(shù)據(jù)源融合的重要基礎(chǔ)。因此估計理論、人工智能等技術(shù)方法在數(shù)據(jù)源融合過程中扮演了重要的角色。融合數(shù)據(jù)源最主要的目的是通過分析多臺設(shè)備生成的日志報告準(zhǔn)確可靠地分析主機節(jié)點態(tài)勢評估的結(jié)果。D-S證據(jù)理論方法是本文的研究基礎(chǔ)，在D-S證據(jù)理論中，單一檢測設(shè)備生成的日志報告將被收集用于分析該設(shè)備對于本次攻擊的反對及支持概率，隨后多臺檢測設(shè)備的日志報告將以同樣的方式進行反對支持概率的統(tǒng)計及分析，而后總體報告將通過D-S數(shù)據(jù)合成來取得整個網(wǎng)絡(luò)系統(tǒng)對于外部攻擊的反對或支持概率。

2.3 融合節(jié)點態(tài)勢

獲得網(wǎng)絡(luò)安全態(tài)勢值SA，該公式中wi的數(shù)值沿用上一個公式中計算的服務(wù)數(shù)加權(quán)比重，而Ei代表各主機點在網(wǎng)絡(luò)環(huán)境中的加權(quán)對應(yīng)權(quán)重。通過共同使用兩個公式獲取網(wǎng)絡(luò)安全系統(tǒng)的整體實際情況的態(tài)勢值SA。網(wǎng)絡(luò)管理人員可以通過制作分析結(jié)果曲線圖獲取網(wǎng)絡(luò)運營安全的整體情況并及時獲取外部信息，實時監(jiān)控外部攻擊支持概率并對可能發(fā)生的外部攻擊做出及時關(guān)鍵的預(yù)防措施，若未能及時阻止惡意攻擊的發(fā)生，該方法也有助于網(wǎng)絡(luò)管理人員及時作出應(yīng)對措施以防更多主機節(jié)點受到攻擊導(dǎo)致癱瘓。

3 基于時間序列分析的態(tài)勢預(yù)測算法

時間序列分析旨于分析過去及當(dāng)前多個時間節(jié)點的網(wǎng)絡(luò)安全態(tài)勢報告，從而對未來網(wǎng)絡(luò)安全趨勢做出合理預(yù)測。而本節(jié)將把重點放在介紹這種極具可靠性的預(yù)測算法。曲線擬合和參數(shù)估計的數(shù)學(xué)建模方法將被有效利用在時間序列分析中，其原料是來自于各檢測設(shè)備得到的日志報告數(shù)據(jù)。當(dāng)前時間序列分析算法被廣泛應(yīng)用于經(jīng)濟、城建、天氣預(yù)報等多個領(lǐng)域。

時間序列分析的第一步是平穩(wěn)性檢驗。其目的在于確保時間序列的平穩(wěn)性，若時間序列的平穩(wěn)性受到質(zhì)疑，則該建模方式將失去其最基本的理論依據(jù)。而平穩(wěn)性檢驗又包括參數(shù)檢驗法和非參數(shù)檢驗法。參數(shù)檢驗（parameter test）全稱參數(shù)假設(shè)檢驗，是指對參數(shù)平均值、方差進行的統(tǒng)計檢驗。參數(shù)檢驗是推斷統(tǒng)計的重要組成部分。當(dāng)總體分布已知（如總體為正態(tài)分布），根據(jù)樣本數(shù)據(jù)對總體分布的統(tǒng)計參數(shù)進行推斷。而非參數(shù)檢驗也(Nonparametric tests)是統(tǒng)計分析方法的重要組成部分，它與參數(shù)檢驗共同構(gòu)成統(tǒng)計推斷的基本內(nèi)容。非參數(shù)檢驗是在總體方差未知或知道甚少的情況下，利用樣本數(shù)據(jù)對總體分布形態(tài)等進行推斷的方法。由于非參數(shù)檢驗方法在推斷過程中不涉及有關(guān)總體分布的參數(shù)，因而得名為“非參數(shù)”檢驗。第二步是計算樣本自相關(guān)系數(shù)和偏自相關(guān)系數(shù)。相關(guān)系數(shù)度量指的是兩個不同事件彼此之間的相互影響程度；而自相關(guān)系數(shù)度量的是同一事件在兩個不同時期之間的相關(guān)程度，形象的講就是度量自己過去的行為對自己現(xiàn)在的影響。在了解此類基本概念后確定模型、模型計算及模型檢驗的步驟將不再在此文中進行細節(jié)的討論。時間序列的分析有助于網(wǎng)絡(luò)管理人員繪制網(wǎng)絡(luò)安全態(tài)勢預(yù)測圖，而該預(yù)測圖有助于管理人員更深入掌握整個網(wǎng)絡(luò)環(huán)境的過去式、現(xiàn)在式及將來式，并協(xié)助管理人員針對相突發(fā)安全事件采取及時且恰當(dāng)?shù)姆烙胧┮员苊馔獠抗粼斐傻膿p失進一步擴大。

4 結(jié)語

原有網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)缺陷明顯，其局限性難以保證外部攻擊的有效數(shù)據(jù)被發(fā)現(xiàn)并整合，網(wǎng)絡(luò)整體安全現(xiàn)狀在缺乏與時俱進的態(tài)勢評估技術(shù)下顯得漏洞百出。而本文在原有網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)基礎(chǔ)上介紹了態(tài)勢要素、數(shù)據(jù)源和節(jié)點態(tài)勢三種融合方式，同時介紹了時間序列分析中用到的基礎(chǔ)知識及其可能帶來的良性反映，從而實現(xiàn)了對網(wǎng)絡(luò)安全態(tài)勢的有效預(yù)測，為網(wǎng)絡(luò)管理人員及時準(zhǔn)確地提供安全保證提供了理論支持。然而，網(wǎng)絡(luò)世界的技術(shù)日新月異，針對網(wǎng)絡(luò)安全管理的技術(shù)需要不斷與時俱進。當(dāng)前關(guān)于保證安全態(tài)勢的相關(guān)方法及指標(biāo)依然缺乏全面性，同時應(yīng)當(dāng)整理各類外部攻擊事件的特點并整理歸檔，確保對于威脅來源的預(yù)測更加可靠。隨著網(wǎng)絡(luò)的普及度以及人們對于網(wǎng)絡(luò)的依賴度越來越高，一個好的網(wǎng)絡(luò)安全環(huán)境將為使用者提供無形的便利，因此當(dāng)前社會各界密切關(guān)注網(wǎng)絡(luò)安全態(tài)勢保護措施的發(fā)展，加強此領(lǐng)域的研究具有時代意義。

[1]文志誠,陳志剛,唐軍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢量化評估方法[J].北京航空航天大學(xué)學(xué)報,2016.

[2]李方偉,張新躍,朱江,張海波.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機應(yīng)用,2015.

[3]彭鵬.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015.

[4]張新剛,王保平,程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢評估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012.

[5]韋勇,連一峰,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展,2009.