網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)研究

李程雄

（廣東能源集團(tuán)科學(xué)技術(shù)研究院有限公司 廣東省廣州市 510630）

近年來，計算機(jī)與網(wǎng)絡(luò)技術(shù)逐漸普及，而網(wǎng)絡(luò)安全問題愈加常見，特別是網(wǎng)絡(luò)攻擊對于企業(yè)運作的影響較大，甚至?xí)股鐣€(wěn)定性受到影響。為此，有必要針對網(wǎng)絡(luò)安全態(tài)勢展開研究，選擇針對性手段以優(yōu)化網(wǎng)絡(luò)安全水平，為網(wǎng)絡(luò)運行創(chuàng)設(shè)理想外部環(huán)境。

1 研究目的與意義

1.1 研究目的

網(wǎng)絡(luò)安全態(tài)勢感知具體指的就是基于大規(guī)模網(wǎng)絡(luò)環(huán)境對采集、評估、預(yù)測網(wǎng)絡(luò)安全要素產(chǎn)生影響的過程。本文研究的主要目的就是依托系統(tǒng)結(jié)構(gòu)探究網(wǎng)絡(luò)安全態(tài)勢感知模型、評估方法與態(tài)勢預(yù)測等關(guān)鍵性技術(shù)，使網(wǎng)絡(luò)安全態(tài)勢感知更加具有時效性與準(zhǔn)確性。

1.2 研究意義

系統(tǒng)研究網(wǎng)絡(luò)安全態(tài)勢問題，使管理者能夠?qū)W(wǎng)絡(luò)安全狀況予以預(yù)先發(fā)現(xiàn)并作出判別，以免出現(xiàn)網(wǎng)絡(luò)安全事件，盡可能減少信息系統(tǒng)安全風(fēng)險。以傳統(tǒng)安全測評和風(fēng)險評估為基礎(chǔ)評估并預(yù)測網(wǎng)絡(luò)安全態(tài)勢，經(jīng)有效融合對信息系統(tǒng)安全狀況作出評估，并對未來變化進(jìn)行預(yù)測，保證管理者對網(wǎng)絡(luò)安全狀況和變化趨勢予以感知，以及時處理安全問題，對網(wǎng)絡(luò)安全問題予以有效解決。

2 研究內(nèi)容與創(chuàng)新點

2.1 研究內(nèi)容

此研究針對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)展開了深入分析，以既有研究成果為依據(jù)，結(jié)合系統(tǒng)結(jié)構(gòu)提出多種關(guān)鍵技術(shù)，主要包括感知模型、評估方法、預(yù)測方法。

2.2 創(chuàng)新點

（1）構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知模型與指標(biāo)體系，并提出以層次化為基礎(chǔ)的態(tài)勢感知模型。

（2）以態(tài)勢評估方法參數(shù)優(yōu)化問題為依據(jù)，優(yōu)化SVM模型參數(shù)，提出網(wǎng)絡(luò)安全態(tài)勢評估法并開展仿真測試。

（3）結(jié)合態(tài)勢預(yù)測方法權(quán)重優(yōu)化問題，優(yōu)化神經(jīng)網(wǎng)絡(luò)模型參數(shù)并確定安全態(tài)勢預(yù)測法，開展仿真測試。

3 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究

3.1 系統(tǒng)框架

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基礎(chǔ)就是通信系統(tǒng)，而以數(shù)據(jù)處理流程為參考，一般涵括了采集、融合、分析、預(yù)測與展示環(huán)節(jié)，具備收集功能、預(yù)處理功能、分析功能、評估功能、預(yù)測功能。以上環(huán)節(jié)間互相獨立且與網(wǎng)絡(luò)安全感知系統(tǒng)內(nèi)的流程相對應(yīng)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架示意圖如圖1。

圖1：網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架示意圖

采集環(huán)節(jié)主要負(fù)責(zé)數(shù)據(jù)的采集、傳輸與適時存儲，對網(wǎng)絡(luò)安全狀況信息傳輸?shù)龋畔⒌膬?nèi)容則含括IT資產(chǎn)信息、拓?fù)湫畔⑴c漏洞信息等等。在融合環(huán)節(jié)，則主要是解析所收集和存儲數(shù)據(jù)，合理去除冗余信息，實現(xiàn)多源數(shù)據(jù)的融合。此環(huán)節(jié)的內(nèi)容主要由數(shù)據(jù)歸一化、事件預(yù)處理組成。其中，數(shù)據(jù)歸一化具體指的就是實現(xiàn)采集數(shù)據(jù)的歸一化與標(biāo)準(zhǔn)化，使事件的相關(guān)屬性得到擴(kuò)展。事件預(yù)處理指的則是針對所采集的重要數(shù)據(jù)實施歸一化與標(biāo)準(zhǔn)化處理。分析環(huán)節(jié)具體指的則是對專家系統(tǒng)和相關(guān)知識庫加以利用，并根據(jù)服務(wù)器內(nèi)所存儲的事件和安全數(shù)據(jù)系統(tǒng)分析網(wǎng)絡(luò)安全態(tài)勢。預(yù)測環(huán)節(jié)則主要對各類信息要素進(jìn)行分析，通過對相關(guān)理論方法的運用，對網(wǎng)絡(luò)后期安全形勢進(jìn)行歸納和判斷。展示環(huán)節(jié)指的則是向響應(yīng)模塊、預(yù)警模塊中輸入業(yè)務(wù)與態(tài)勢評估結(jié)果，可實現(xiàn)和預(yù)警系統(tǒng)的對接，同樣基于人工判讀可參與態(tài)勢響應(yīng)操作過程中。

3.2 態(tài)勢評估流程

在評估網(wǎng)絡(luò)安全態(tài)勢方面，通常需按照以下流程開展：

（1）并通過對網(wǎng)絡(luò)數(shù)據(jù)感知元件內(nèi)獲取網(wǎng)絡(luò)數(shù)據(jù)信息的監(jiān)測，開展去噪處理加以分析。與趨勢知識庫和數(shù)據(jù)挖掘成果相結(jié)合，對網(wǎng)絡(luò)安全趨勢做出評估。

（2）對各環(huán)節(jié)情況予以熟練掌握，并將特定數(shù)值分配給網(wǎng)絡(luò)安全態(tài)勢，在貝葉斯網(wǎng)絡(luò)技術(shù)的作用下評價備選態(tài)勢可信度并獲取最終結(jié)果。

以網(wǎng)絡(luò)安全形勢為切入點評估網(wǎng)絡(luò)安全態(tài)勢，主要步驟體現(xiàn)在以下幾個方面：

（1）監(jiān)測。對數(shù)據(jù)感知組件進(jìn)行監(jiān)測，收集并整理監(jiān)測數(shù)據(jù)，為感知安全事件進(jìn)行提供必要保障。

（2）覺察?；趯嶋H采集的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)，對具體情況作出評估并判定安全事件的發(fā)生與否，如果有異常應(yīng)及時對安全事件情況作出報告。

（3）傳播。結(jié)合所獲取數(shù)據(jù)安全事件狀況評估各部分未來發(fā)展趨勢。

（4）理解。以安全形勢為依據(jù)更新態(tài)勢數(shù)據(jù)信息，完成全新局勢評估演化模型。

（5）反饋。并對數(shù)據(jù)感知組件領(lǐng)先在線目的地進(jìn)行收集，科學(xué)評估數(shù)據(jù)更新數(shù)值。

（6）分析。以網(wǎng)絡(luò)安全態(tài)勢類型為更新確認(rèn)數(shù)值的支持可行性做出判斷。如果不支持，則要求網(wǎng)絡(luò)數(shù)據(jù)感知元件繼續(xù)監(jiān)測網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)信息。

（7）決策。系統(tǒng)評估網(wǎng)絡(luò)安全形勢數(shù)據(jù)模型以及特點，合理預(yù)測演變趨勢并探索積極措施，使管理人員獲得必要引導(dǎo)并作出決策。

3.3 數(shù)據(jù)決策方法

現(xiàn)階段，自適應(yīng)數(shù)據(jù)決策算法諸多，以最小均方差算法、子帶濾波以及遞推最小二乘算法等為主，而典型性最強(qiáng)的就是最小均方差算法與遞推最小二乘算法。

（1）最小均方誤差算法。運用此方法估計時需借助瞬時值對梯度矢量，而具體公式：

以梯度矢量估計和自適應(yīng)濾波器濾波系數(shù)矢量變化知識為依據(jù)，即可對遞推最小二乘算法對濾波器的調(diào)整系數(shù)公式做出推算：

根據(jù)以上公式內(nèi)容，其中μ代表了步長因子，此數(shù)值越大即表明算法收斂速度越大，而穩(wěn)態(tài)誤差也越大。相關(guān)，此數(shù)值越小，那么算法的收斂速度也會更慢，但穩(wěn)態(tài)誤差會更小。要想使算法收斂處于穩(wěn)態(tài)狀態(tài)，要保證μ的數(shù)值選取處于以下范圍：

（2）遞推最小二乘算法。此數(shù)據(jù)決策方法的計算公式如下：

在上述公式中，K(n)代表Kalman增益向量，而加權(quán)因子需保證在此算法初始化過程中，要求δ是最小正整數(shù)。

通過兩者收斂速度的比較發(fā)現(xiàn)，第一種算法要比第二種更理想，但復(fù)雜度較高。要想使此方法的計算復(fù)雜度降低，同時保證其收斂性能，需對其進(jìn)行優(yōu)化處理，快速橫向濾波器算法與漸變格子算法應(yīng)運而生。第二種算法的操作簡單，但所能夠調(diào)節(jié)的參數(shù)僅為一個。

4 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中的關(guān)鍵技術(shù)

4.1 網(wǎng)絡(luò)安全態(tài)勢感知模式

4.1.1 感知指標(biāo)體系

網(wǎng)絡(luò)信息系統(tǒng)的安全性會受系統(tǒng)內(nèi)關(guān)鍵主機(jī)與核心服務(wù)直接影響，攻擊者一般會借助網(wǎng)絡(luò)主機(jī)/服務(wù)漏洞向目標(biāo)系統(tǒng)滲透，竊取信息并破壞數(shù)據(jù)。而對網(wǎng)絡(luò)安全狀態(tài)產(chǎn)生影響的關(guān)鍵要素則含括威脅程度、資產(chǎn)脆弱度、資產(chǎn)價值與威脅發(fā)生可能性等，所以要對其進(jìn)行系統(tǒng)考慮并構(gòu)成網(wǎng)絡(luò)安全態(tài)勢感知的一級指標(biāo)。

（1）資產(chǎn)重要性。針對資產(chǎn)重要性賦值，內(nèi)容包括網(wǎng)絡(luò)內(nèi)服務(wù)器與終端等，一般在完整性、機(jī)密性與可用性方面賦值，對重要性權(quán)重進(jìn)行量化計算。

（2）威脅指數(shù)。針對網(wǎng)絡(luò)威脅賦值，威脅所指的就是會破壞資產(chǎn)的不安全因素，而威脅指數(shù)則代表了網(wǎng)絡(luò)信息系統(tǒng)被威脅程度。

（3）脆弱性指數(shù)。針對資產(chǎn)脆弱性賦值，所謂脆弱性即系統(tǒng)軟件、主機(jī)、網(wǎng)絡(luò)設(shè)備與服務(wù)的缺陷，容易被攻擊者利用。在計算脆弱性指數(shù)時需抽取網(wǎng)絡(luò)信息系統(tǒng)內(nèi)不同資產(chǎn)脆弱性要素，并根據(jù)節(jié)點與網(wǎng)絡(luò)層次逐級完成量化運算，獲得網(wǎng)絡(luò)整體脆弱性指數(shù)。

綜合安全態(tài)勢是對網(wǎng)絡(luò)整體安全狀態(tài)與趨勢的一種反映，在分析以上三方面內(nèi)容的基礎(chǔ)上獲取，因而可通過數(shù)值表現(xiàn)出不同安全態(tài)勢加權(quán)和。在評估網(wǎng)絡(luò)安全態(tài)勢時，一定要細(xì)化資產(chǎn)的威脅、脆弱性與重要性等要素，以構(gòu)成評估網(wǎng)絡(luò)安全態(tài)勢的二級指標(biāo)體系：

（1）資產(chǎn)信息。以《信息安全風(fēng)險評估規(guī)范》為參考對主機(jī)、網(wǎng)絡(luò)設(shè)備與服務(wù)器軟硬件資源展開重要性賦值。

（2）系統(tǒng)配置信息。主要內(nèi)容包括軟硬件配置狀況、主機(jī)/服務(wù)器系統(tǒng)漏洞以及端口、服務(wù)開放狀況，以上可對系統(tǒng)內(nèi)部脆弱性予以真實反映。

（3）系統(tǒng)運行信息。內(nèi)容含括帶寬、內(nèi)存與CPU利用狀況、系統(tǒng)受攻擊狀況、頻率等，通過以上信息可對系統(tǒng)安全威脅加以反應(yīng)。

4.1.2 感知模型

通過研究態(tài)勢感知與風(fēng)險評估，并以國家標(biāo)準(zhǔn)規(guī)范為依據(jù)，可將安全態(tài)勢感知流程作為核心，對態(tài)勢理解、評估與預(yù)測環(huán)節(jié)加以考慮，借助網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)、態(tài)勢預(yù)測技術(shù)創(chuàng)建網(wǎng)絡(luò)安全態(tài)勢感知模型，如圖2所示。

圖2：層次化網(wǎng)絡(luò)安全態(tài)勢感知模型圖示

4.2 網(wǎng)絡(luò)安全態(tài)勢評估方法

4.2.1 以SVM為基礎(chǔ)量化網(wǎng)絡(luò)態(tài)勢評估指標(biāo)

以量化對象性質(zhì)的差異為依據(jù)，通?？蓪⒅笜?biāo)量化方法劃分成定量指標(biāo)歸一化處理、量化。

在歸一化處理方面，常用方法：

（1）不規(guī)范數(shù)據(jù)經(jīng)歸一化處理后，取值在（0,1）區(qū)間；

（2）有量綱表達(dá)式向無量綱表達(dá)式的轉(zhuǎn)變。而具體方法有三種：

第二種：對數(shù)函數(shù)轉(zhuǎn)換：y=log10(x)。

在定性指標(biāo)量化方面，量化指標(biāo)可通過最大隸屬度進(jìn)行表示，而求解的方法包括四種：

第一種，模糊統(tǒng)計方法。需對論域中確定元素ai與可變動模糊集合A的隸屬關(guān)系作出判斷，通過對A邊界的修改重新判定ai，根據(jù)模糊集合A中該元素出現(xiàn)次數(shù)對ai相對于A隸屬度進(jìn)行計算。

第二種，專家經(jīng)驗方法。以專家經(jīng)驗知識為依據(jù)，對各模糊信息處理算式以及權(quán)值系數(shù)加以確定，在初始數(shù)值固定的基礎(chǔ)上可反復(fù)學(xué)習(xí)、實踐以實現(xiàn)修改、完善的目的。

第三種，二元對比排序方法。兩兩比較若干事物，明確事物特征順序，在獲取相應(yīng)特征的基礎(chǔ)上明確事物隸屬度的函數(shù)。以對比測度差異為參考，采用針對性排序方法。

第四種，舉證方法。此方法基本思想就是對于評價等級論域集合V，其各元素Vi均為模糊子集。若選擇予以學(xué)標(biāo)度對各模糊子集加以表示，則各標(biāo)度均具備特定邊界范圍，可使用真值進(jìn)行表示。在確定各元素所屬邊界范圍的情況下，即可對其所屬模糊子集加以判斷，并將其真值向此元素進(jìn)行賦予。

4.2.2 實驗驗證

（1）實驗環(huán)境、數(shù)據(jù)源。

對此模型性能進(jìn)行測試的過程中開展以下實驗，實驗數(shù)據(jù)選擇DARPA2000，而具體環(huán)境配置包括PC機(jī)、CPU主頻、專用寬帶（4Mbps）、4G內(nèi)存、四核i5-2300；軟件環(huán)境則含括工具箱（MATLAB7.0）、操作系統(tǒng)（Win7）。在實驗過程中，需對網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)集合加以確定，對威脅數(shù)據(jù)庫內(nèi)實驗數(shù)據(jù)獲取后實施預(yù)處理操作。通過層次分析方法明確不同評估指標(biāo)權(quán)重，在灰色關(guān)聯(lián)分析模型作用下對指標(biāo)權(quán)重進(jìn)行再次確定，對比層次分析法評估指標(biāo)權(quán)重數(shù)值。

（2）實驗結(jié)果。

以SVM為基礎(chǔ)的網(wǎng)絡(luò)態(tài)勢評估模型要求選擇灰色關(guān)聯(lián)方法對不同評估指標(biāo)權(quán)值進(jìn)行分析與確定，在粒子群優(yōu)化支持向量機(jī)的作用下客觀評估網(wǎng)絡(luò)安全態(tài)勢，以能量值為參考繪制網(wǎng)絡(luò)攻擊狀態(tài)下能量的變化曲線。

結(jié)合網(wǎng)絡(luò)安全態(tài)勢的評估結(jié)果與繪制曲線發(fā)現(xiàn)，兩者基本吻合且變化趨勢類似。由此說明，通過此評估方法的運用，能夠正確且合理地評估網(wǎng)絡(luò)安全威脅態(tài)勢，所以說，權(quán)重確定的方法與綜合評價算法均準(zhǔn)確、有效。

4.3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

4.3.1 以神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)的網(wǎng)絡(luò)安全態(tài)勢模型

通?？蓪⑸窠?jīng)網(wǎng)絡(luò)細(xì)化成前饋型神經(jīng)網(wǎng)絡(luò)與反饋型神經(jīng)網(wǎng)絡(luò)。Elman神經(jīng)網(wǎng)絡(luò)以Elman神經(jīng)網(wǎng)絡(luò)態(tài)勢預(yù)測方法為基礎(chǔ)，數(shù)據(jù)局部回歸網(wǎng)絡(luò)的典型，也是前饋型神經(jīng)網(wǎng)絡(luò)，可有效處理連續(xù)型數(shù)據(jù)，所以應(yīng)用于態(tài)勢感知領(lǐng)域的前景可觀。

4.3.2 雙反饋Elman神經(jīng)網(wǎng)絡(luò)優(yōu)化方法

傳統(tǒng)的Elman神經(jīng)網(wǎng)絡(luò)模型算法以梯度下降法為主，而網(wǎng)絡(luò)輸出和歷史狀態(tài)存在密切關(guān)聯(lián)，所以學(xué)習(xí)速度較慢且存在極大的初始誤差，最終處于局部極小值的狀態(tài)，實際的優(yōu)化效果差強(qiáng)人意。

為彌補以上模型的缺陷，將雙反饋Elman神經(jīng)網(wǎng)絡(luò)模型引入其中。此模型將反饋功能添加至輸出層節(jié)點，并把承接層單元、輸出層反饋、輸入層單元當(dāng)做隱含層的輸入，能夠有效修正誤差，一定程度上加快了學(xué)習(xí)速度，也使此神經(jīng)網(wǎng)絡(luò)處理信息的能力明顯提高。

4.3.3 實驗驗證

（1）實驗環(huán)境、數(shù)據(jù)源。

仿真硬件環(huán)境包括PC機(jī)、CPU主頻、專用寬帶（4Mbps）、4G內(nèi)存、四核i5-2300；軟件環(huán)境則含括工具箱（MATLAB7.0）、操作系統(tǒng)（Win7）。

具體的實驗數(shù)據(jù)選擇使用辦公局域網(wǎng)內(nèi)120天網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)，并合理預(yù)測此網(wǎng)絡(luò)安全態(tài)勢，并創(chuàng)建指標(biāo)體系，結(jié)合以上計算態(tài)勢值計算態(tài)勢數(shù)值。

（2）實驗結(jié)果。

對上述兩種模型進(jìn)行使用并預(yù)測態(tài)勢值發(fā)現(xiàn)，經(jīng)優(yōu)化處理后的模型，其預(yù)測精準(zhǔn)度比傳統(tǒng)模型更高，且算法的運行時間也更短。由此證實，此研究優(yōu)化后的Elman神經(jīng)網(wǎng)絡(luò)具有一定可行性，可更好地預(yù)測網(wǎng)絡(luò)安全態(tài)勢，因而可在實際網(wǎng)絡(luò)中運用。

5 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全事件的發(fā)生率較高，很容易增加社會損失，為此，有必要準(zhǔn)確評估并感知網(wǎng)絡(luò)安全態(tài)勢。作為網(wǎng)絡(luò)安全部門需對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)展開深入研究，借助現(xiàn)代化技術(shù)加以優(yōu)化。在研究網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)的基礎(chǔ)上，以確保系統(tǒng)穩(wěn)定性與準(zhǔn)確性的增強(qiáng)。此外，需結(jié)合網(wǎng)絡(luò)運行狀況運用防火墻與檢測設(shè)備，對網(wǎng)絡(luò)安全行為予以及時發(fā)現(xiàn)并加以定位，科學(xué)選用相應(yīng)措施規(guī)避攻擊行為的發(fā)生，營造運行可靠的網(wǎng)絡(luò)環(huán)境。