基于信息化視角的網(wǎng)絡(luò)安全態(tài)勢評估預(yù)測

鄒航菲

摘 要：目的：以安全態(tài)勢評估概念和預(yù)測方法為基礎(chǔ)，提出以信息融合為核心的網(wǎng)絡(luò)安全態(tài)勢感知模型。方法：首先對網(wǎng)絡(luò)安全態(tài)勢感知研究現(xiàn)狀展開研究，然后給出相應(yīng)的感知模型。在此模型中，對多源網(wǎng)絡(luò)安全信息進(jìn)行綜合考量，并借助于D-S證據(jù)理念，得到相應(yīng)的評估結(jié)果，而所涉評估對象包括主機(jī)、網(wǎng)絡(luò)、漏洞和服務(wù)等。借助于支持向量回歸理論，得到網(wǎng)絡(luò)安全態(tài)勢值。結(jié)果：本次研究所提出的感知模型，其諸多功能基本實(shí)現(xiàn)。結(jié)論：與已有的預(yù)測和評估法進(jìn)行對比，以信息融合為核心構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢評估預(yù)測模型的結(jié)構(gòu)完整度和預(yù)測準(zhǔn)確性都具有顯著優(yōu)勢。

關(guān)鍵詞：信息融合;網(wǎng)絡(luò)安全態(tài)勢;感知模型

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-5168（2019）22-0020-03

Prediction of Network Security Situation Assessment from

an Information Perspective

ZOU Hangfei

Abstract： Purpose： Based on the concept and prediction method of security situation assessment， a network security situation perception model based on information fusion was proposed. Method： Firstly， the current situation of the research on network security situation perception was analyzed， and then the corresponding perception model was suggested. In this model， the multi-source network security information was considered comprehensively， and the corresponding evaluation results were obtained with the help of D-S evidence concept. The target of evaluation includes host， network， vulnerability and service. With the support vector regression theory， the network security situation value is obtained. Results： Many functions of the perception model proposed by this research are basically realized. Conclusion： Compared with the existing prediction and evaluation methods， the structural integrity and prediction accuracy of the network security situation assessment prediction model based on information fusion have significant advantages.

Keywords： information fusion;network security situation;perception model

隨著信息技術(shù)不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的應(yīng)用范圍日益擴(kuò)大，已經(jīng)滲透到人們生活和工作的方方面面。計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)在方便人們工作和生活的同時(shí)，也因?yàn)樽陨戆踩夹g(shù)方面的瓶頸，如黑客和病毒攻擊等，給通信安全帶來嚴(yán)重影響。傳統(tǒng)單一型的防御和檢測設(shè)備，已經(jīng)很難滿足用戶的安全需求。網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)可以對諸多方面的安全因素進(jìn)行綜合，并能從整體上反映出當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀，進(jìn)而對其進(jìn)行預(yù)測和報(bào)警，從而更好地提升網(wǎng)絡(luò)安全屬性。所以，當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模式以及安全技術(shù)開始成為安全領(lǐng)域的研究熱點(diǎn)。而所謂的安全態(tài)勢評估，則是基于技術(shù)，從時(shí)間、空間這兩個(gè)維度，對影響安全的因素進(jìn)行分析，并對這些信息進(jìn)行整合，從而更好地辨識網(wǎng)絡(luò)的安全狀態(tài)，進(jìn)而對其未來發(fā)展趨勢進(jìn)行預(yù)測[1]。

1 網(wǎng)絡(luò)安全態(tài)勢評估

1.1 網(wǎng)絡(luò)安全態(tài)勢評估的概念

應(yīng)用網(wǎng)絡(luò)安全態(tài)勢評估，其核心是基于相關(guān)技術(shù)，對信息系統(tǒng)的安全漏洞進(jìn)行檢測，這種檢測所采用的方法具有多元化，能使網(wǎng)絡(luò)安全態(tài)勢評估之后的計(jì)算機(jī)信息系統(tǒng)具有更高的安全性。此外，網(wǎng)絡(luò)安全態(tài)勢評估還具有發(fā)現(xiàn)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全漏洞的功能，并能根據(jù)漏洞信息提出解決措施，因此，其在我國計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)中占據(jù)著重要地位[2]。

1.2 網(wǎng)絡(luò)安全態(tài)勢評估的方法

目前使用的網(wǎng)絡(luò)安全態(tài)勢評估方法是基于安全標(biāo)準(zhǔn)的評估法、基于財(cái)產(chǎn)價(jià)值的評估法、基于漏洞的評估法以及基于安全模型的評估法?；诎踩珮?biāo)準(zhǔn)的評估法，主要是以國家和行業(yè)所給出的相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)，進(jìn)而對計(jì)算機(jī)系統(tǒng)安全漏洞進(jìn)行排查。而基于財(cái)產(chǎn)價(jià)值的評估法，則是通過對網(wǎng)絡(luò)風(fēng)險(xiǎn)加以量化，并分析這些風(fēng)險(xiǎn)可能帶來的損失，由此再進(jìn)行相應(yīng)的安全隱患排查。而基于漏洞的評估法，則是利用安全技術(shù)對系統(tǒng)漏洞進(jìn)行檢測，然后提出相應(yīng)的解決措施。而基于安全模型的評估法，相關(guān)工作者可以利用該系統(tǒng)的安全模型，對網(wǎng)絡(luò)漏洞進(jìn)行檢查并提出相應(yīng)的解決措施，這樣，信息系統(tǒng)的網(wǎng)絡(luò)安全和結(jié)構(gòu)性都能得到顯著提升。

2 網(wǎng)絡(luò)安全態(tài)勢評估的模型設(shè)計(jì)與應(yīng)用方法

2.1 基于信息化視角的網(wǎng)絡(luò)安全態(tài)勢感知模型

本次研究所涉及的數(shù)據(jù)對象為多源網(wǎng)絡(luò)安全信息，并以信息化視角方法和知識作為相應(yīng)的理論指導(dǎo)，進(jìn)而完成層次化網(wǎng)絡(luò)安全態(tài)勢感知模型的構(gòu)建。從功能角度來看，該模型由下而上共有三個(gè)層次，即多源信息層、網(wǎng)絡(luò)安全態(tài)勢評估層和網(wǎng)絡(luò)安全態(tài)勢預(yù)測層。

在多源信息層中，可以借助差異化的數(shù)據(jù)接入模式得到豐富的網(wǎng)絡(luò)信息。

第一，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息用[IT]表示，其包括諸多物理鏈接關(guān)系。

第二，主機(jī)信息用[IH]表示，其涉及三種內(nèi)容：其一，主機(jī)權(quán)重（[WH]）;其二，由主機(jī)漏洞以[VH]及漏洞靜態(tài)嚴(yán)重性[Vs]所構(gòu)成的二元組，用[（VH，Vs）]表示;其三，由服務(wù)[SH]及其權(quán)重[WS]所構(gòu)成的二元組為[（SH，WS）]。

第三，報(bào)警信息用[IA]表示。采集諸多入侵檢測系統(tǒng)所產(chǎn)生的原始報(bào)警信息，并對其進(jìn)行預(yù)處理。將無效的報(bào)警信息去除，并對同一種重復(fù)報(bào)警進(jìn)行合并，主機(jī)報(bào)警則是根據(jù)漏洞原則對相關(guān)信息進(jìn)行篩選。

在網(wǎng)絡(luò)安全態(tài)勢評估層，關(guān)鍵需要基于D-S證據(jù)理論，對多源信息展開融合分析，進(jìn)而取得針對漏洞的評估結(jié)果。之后，由于主機(jī)所對應(yīng)的某項(xiàng)服務(wù)往往會存在相應(yīng)的漏洞集，此時(shí)，就需要應(yīng)用求和法，獲取服務(wù)評估結(jié)果。然后在此基礎(chǔ)上，對其他諸項(xiàng)服務(wù)以及權(quán)重，應(yīng)用加權(quán)求和法，獲得主機(jī)的評估結(jié)果。最后，結(jié)合網(wǎng)絡(luò)中的諸多主機(jī)權(quán)重，并借助加權(quán)求和法，得到整體的網(wǎng)絡(luò)安全評估結(jié)果。而在網(wǎng)絡(luò)安全態(tài)勢預(yù)測層，則需要結(jié)合評估層給出的結(jié)果，并用支持向量回歸理論，給出未來單位時(shí)間的安全態(tài)勢預(yù)測結(jié)果[3]。

2.2 基于支持向量機(jī)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法

在數(shù)據(jù)挖掘技術(shù)中，支持向量機(jī)是目前較為新穎的一種技術(shù)，其英文全稱為Support Vector Machine，簡稱SVM。通過該理論，對安全態(tài)勢進(jìn)行預(yù)測，即利用過去的安全態(tài)勢信息所形成的樣本，分析當(dāng)前數(shù)值對今后態(tài)勢值的影響，然后使用前[n-1]時(shí)間單位，也就是所謂的小時(shí)、天和月等歷史值作為相應(yīng)的訓(xùn)練樣本，由此構(gòu)建相應(yīng)的動態(tài)預(yù)測模型。隨后，就可以應(yīng)用此模型，對接下來的時(shí)間單位安全態(tài)勢結(jié)果進(jìn)行預(yù)測。此模型使用的回歸算法為[ε-SVR]，而RBF則是對應(yīng)的核函數(shù)，而對此模型的預(yù)測精度帶來顯著影響的參數(shù)涵蓋了RBF中的[σ]參數(shù)、[C]（懲罰系數(shù)）以及不敏感損失函數(shù)[ε]。在本次研究中，引用的[{C，σ，ε}]參數(shù)，是由Melssen提供的，這幾個(gè)參量的取值區(qū)間：[C]為1～108;[σ]為0～0.2;[ε]為0.01～2.0。而對于具體參數(shù)的明確，則應(yīng)用了試探法。針對預(yù)測結(jié)果的評價(jià)指標(biāo)，需要引入MSE均方差概念，其表示的是在[n]次預(yù)測下的誤差平方均數(shù)?；赟VR的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法的實(shí)現(xiàn)步驟具體如下。

第一步：遴選預(yù)測對象，包括網(wǎng)絡(luò)、服務(wù)和主機(jī)，結(jié)合安全態(tài)勢信息，構(gòu)建相應(yīng)的樣本，用[S1，S2，…，Sn]表示。

第二步：將[n-1]個(gè)態(tài)勢值作為相應(yīng)的訓(xùn)練樣本，然后遴選相應(yīng)的實(shí)驗(yàn)參數(shù)，進(jìn)而得出對應(yīng)的訓(xùn)練模型。

第三步：結(jié)合訓(xùn)練樣本值，對[n]個(gè)態(tài)勢進(jìn)行預(yù)測，獲得[Sn]。

第四步：對多次預(yù)測結(jié)果的均方誤差進(jìn)行計(jì)算，進(jìn)而得到更為準(zhǔn)確的預(yù)測結(jié)果。

3 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估方法

3.1 數(shù)據(jù)源信息融合

信息融合網(wǎng)絡(luò)安全態(tài)勢評估模型所涉及的信息源具有多元性，也就是說，信息檢索設(shè)備具有顯著的差異性，這樣，無效信息會增多，信息的準(zhǔn)確性也會顯著下降，這就需要通過多源融合技術(shù)來進(jìn)行處理。數(shù)據(jù)源信息融合技術(shù)包含了對大量數(shù)據(jù)的統(tǒng)計(jì)推斷方法，在進(jìn)行信息關(guān)聯(lián)性分析時(shí)準(zhǔn)確性更高。譬如，借助網(wǎng)絡(luò)拓?fù)湫畔?，可以獲取對網(wǎng)絡(luò)鏈路進(jìn)行攻擊的信息，然后將該鏈路上所涉及的設(shè)備納入檢測范圍，再借助D-S證據(jù)理論，對相關(guān)設(shè)備的日志進(jìn)行檢測，并完成相應(yīng)計(jì)算，以獲得相關(guān)設(shè)備對威脅所產(chǎn)生的潛在支持概率，進(jìn)而更好地查詢威脅源。此外，在對設(shè)備的日志信息進(jìn)行分析時(shí)，還需要結(jié)合不同的設(shè)備賦予差異性權(quán)重，如對防火墻、IDS日志進(jìn)行檢測，就需要賦予其相應(yīng)的權(quán)重，進(jìn)而計(jì)算出能支持該威脅的檢測設(shè)備。在進(jìn)行數(shù)據(jù)源融合時(shí)，還可以引入推斷法，獲取檢測裝置對系統(tǒng)攻擊的支持概率，從而為后續(xù)的態(tài)勢要素融合給予支持[4]。

3.2 基于概率的態(tài)勢要素融合

基于概率的態(tài)勢要素融合需要借助攻擊發(fā)生支持概率，算出威脅對相關(guān)主機(jī)進(jìn)行攻擊的成功支持概率。安全入侵行為之所以能取得成功，一個(gè)重要的前提就是該網(wǎng)絡(luò)設(shè)備中已有這樣的威脅，同時(shí)主機(jī)關(guān)鍵節(jié)點(diǎn)處有被入侵者所利用的安全漏洞。因此，需要借助威脅概率和漏洞數(shù)據(jù)庫加以匹配，從而計(jì)算出攻擊成功的支持概率。這主要是通過對相關(guān)節(jié)點(diǎn)寫入相應(yīng)的入侵檢測程序來實(shí)現(xiàn)，如果返回值為1，那么此節(jié)點(diǎn)擁有被攻擊所利用的漏洞。接著將這些漏洞按照威脅程度加以累積，便可計(jì)算出成功攻擊網(wǎng)絡(luò)的支持概率。隨后，利用攻擊威脅度參量，并結(jié)合以上支持概率，就能算出攻擊對系統(tǒng)關(guān)鍵點(diǎn)的影響程度。對主機(jī)所對應(yīng)的安全影響值進(jìn)行匯總分析后，就可以實(shí)現(xiàn)對關(guān)鍵節(jié)點(diǎn)態(tài)勢的安全融合。

3.3 關(guān)鍵節(jié)點(diǎn)態(tài)勢融合

關(guān)鍵節(jié)點(diǎn)態(tài)勢融合是最為關(guān)鍵的一個(gè)環(huán)節(jié)。其主機(jī)節(jié)點(diǎn)及相關(guān)服務(wù)的重要性，為其配置相應(yīng)的權(quán)重。諸多服務(wù)權(quán)重之和大小為1，然后將該關(guān)鍵節(jié)點(diǎn)的威脅影響值和節(jié)點(diǎn)權(quán)重值進(jìn)行乘法運(yùn)算，便能獲得對應(yīng)單節(jié)點(diǎn)的SA，也就是網(wǎng)絡(luò)安全態(tài)勢值。接著將各個(gè)節(jié)點(diǎn)的SA值進(jìn)行匯總，便可得到總值。隨后，將一段時(shí)間內(nèi)的SA編繪成時(shí)間-安全態(tài)勢曲線，對此時(shí)間范圍內(nèi)的SA狀況進(jìn)行分析，進(jìn)而讓相關(guān)管理人員更好地把握相應(yīng)的網(wǎng)絡(luò)安全情況，進(jìn)而對后續(xù)網(wǎng)絡(luò)安全進(jìn)行更加準(zhǔn)確的分析和預(yù)測。

參考文獻(xiàn)：

[1]謝麗霞，王志華.基于布谷鳥搜索優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計(jì)算機(jī)應(yīng)用，2017（7）：1926-1930.

[2]韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計(jì)算機(jī)研究與發(fā)展，2009（3）：353-362.

[3]劉雷雷，臧洌，邱相存.基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測[J].計(jì)算機(jī)與數(shù)字工程，2014（1）：99-102.

[4]黃同慶，莊毅.一種實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2014（2）：303-306.