童 菲 朱詩兵

（中國人民解放軍裝備學院 中國 北京 101416）

0 引言

信息技術(shù)的發(fā)展，使計算機網(wǎng)絡在很多領(lǐng)域得到了廣泛應用，但網(wǎng)絡的安全性卻令人擔憂。 近年來，隨著網(wǎng)絡規(guī)模的增大，復雜程度的增強，由計算機系統(tǒng)遭到破壞所造成的損失急劇上升，計算機網(wǎng)絡存在極大的風險。 為了更有效的管理網(wǎng)絡，多種安全設備被布署在網(wǎng)絡中，構(gòu)成了網(wǎng)絡中的多信息源，通過采用信息融合技術(shù)，可以提高單個安全設備的性能，增強整個網(wǎng)絡的可靠性，更好地維護信息系統(tǒng)的安全。

1 信息融合技術(shù)

1.1 信息融合的概念

信息融合一詞最早出現(xiàn)在七十年代末期， 在軍事C3I 系統(tǒng)中被首先提出，由于信息融合涉及的內(nèi)容具有廣泛性和多樣性，并且在不同時期所賦予的含義又不盡相同，因此，信息融合的定義可以概括為：充分利用不同時間和空間的多傳感器信息資源，采用計算機技術(shù)對按時序獲得的若干傳感器的觀測信息在一定準則下加以自動分析、優(yōu)化綜合以完成所需的決策和估計任務而進行的信息處理過程[1]。

1.2 信息融合的方法

信息融合作為一種對數(shù)據(jù)資源進行綜合處理的技術(shù)，已成功的應用于眾多研究領(lǐng)域，具體的融合方法很多，應用在網(wǎng)絡安全方面的主要有：

1.2.1 D-S 證據(jù)理論：將待分析的問題或者命題分解為各個子問題、子命題，分別對各子問題、子命題單獨進行相應的處理，然后應用Dempster 合成規(guī)則實現(xiàn)信息的融合，再按照決策規(guī)則得到處理結(jié)果。

1.2.2 模糊集理論：基本思想是把普通集合中的絕對隸屬關(guān)系靈活化，使元素對集合的隸屬度從原來能取{0，1}中的值擴充到可以取[0，1]區(qū)間的任一數(shù)值，因此很適合用來對傳感器信息的不確定性進行描述和處理。

1.2.3 粗糙集理論：是一種研究不完整數(shù)據(jù)和不確定性知識的強有力的數(shù)學工具，其優(yōu)點是不需要預先給定檢測對象的某些屬性或特征的數(shù)學描述，而是直接從給定問題的知識分類出發(fā)，通過不可分辨關(guān)系和不可分辨類確定對象的知識約簡，導出問題的決策規(guī)則。

1.2.4 神經(jīng)網(wǎng)絡法： 神經(jīng)網(wǎng)絡具有較強的容錯性和自組織、自學習、自適應能力，能夠?qū)崿F(xiàn)復雜的映射。 神經(jīng)網(wǎng)絡的優(yōu)越性和強大的非線性處理能力，能夠很好的滿足多傳感器信息融合技術(shù)的要求。

2 信息融合技術(shù)在網(wǎng)絡安全中的應用

表1 傳統(tǒng)技術(shù)措施的優(yōu)點和不足

2.1 傳統(tǒng)的網(wǎng)絡安全技術(shù)措施和不足

為了實現(xiàn)計算機網(wǎng)絡的安全性， 針對網(wǎng)絡帶來的威脅，目前國內(nèi)外采取的技術(shù)措施主要有：防火墻技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、反病毒技術(shù)等[2]。 這些措施在一定程度上保護了網(wǎng)絡的安全，但仍存在不足，具體分析見表1。

2.2 信息融合技術(shù)在網(wǎng)絡安全中的應用

2.2.1 將信息融合應用到網(wǎng)絡安全中的必要性

目前，信息融合技術(shù)已成為國內(nèi)外學者在網(wǎng)絡安全領(lǐng)域中的研究熱點之一，只有充分發(fā)揮信息融合的優(yōu)勢，才能使決策者有所依據(jù)，才能使網(wǎng)絡防御更加主動。

（1）單一功能的網(wǎng)絡安全設備已無法應對眾多復雜多變的網(wǎng)絡攻擊。 比如單獨在網(wǎng)絡中配置防火墻，它不能防止來自網(wǎng)絡內(nèi)部的攻擊；基于病毒碼的防病毒軟件無法及時識別新的蠕蟲攻擊；入侵檢測系統(tǒng)易產(chǎn)生誤報，易受拒絕服務攻擊。 此時，網(wǎng)絡管理員只能孤立地對網(wǎng)絡安全設備所產(chǎn)生的報警事件進行分析和處理，而無法對網(wǎng)絡的總體安全狀況做出合理的分析與判斷。

（2）海量信息呼吁更加有效便捷地處理方法和管理平臺。為了應對各種網(wǎng)絡威脅，網(wǎng)絡中配置了多種安全設備，但這些安全設備會產(chǎn)生大量的、不確定的、具有不同形式的安全信息，這些海量信息使網(wǎng)絡管理人員無法對網(wǎng)絡的安全性進行有效分析， 且對各種安全設備的配置和管理太過繁瑣，這使得整個網(wǎng)絡系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理領(lǐng)域的研究難點。

（3）網(wǎng)絡攻擊手段的融合推動了網(wǎng)絡安全防御技術(shù)的融合。 隨著網(wǎng)絡攻擊技術(shù)的不斷提高，網(wǎng)絡受到的攻擊往往采用的是多步驟、多層次的攻擊方法，只有將網(wǎng)絡安全防御技術(shù)有效融合，才能共同對抗網(wǎng)絡威脅，提高對網(wǎng)絡安全事件的綜合分析處理能力。

2.2.2 將信息融合應用到網(wǎng)絡安全中的可行性

伴隨著網(wǎng)絡攻擊的復雜化， 網(wǎng)絡安全技術(shù)也在不斷發(fā)展， 這為信息融合的加入奠定了較好的技術(shù)和應用基礎，信息融合技術(shù)將為網(wǎng)絡安全聯(lián)動、事前預警、評估分析提供手段，其應用也是可行的。

（1）信息融合技術(shù)的應用將克服單個網(wǎng)絡安全設備的不確定和局限性，提高整個網(wǎng)絡的有效性能，全面準確地描述網(wǎng)絡狀態(tài)。

（2）信息融合技術(shù)的應用將增加網(wǎng)絡安全設備的可信度，可有效提高所得結(jié)論正確性的概率。

（3）信息融合技術(shù)的應用將減少網(wǎng)絡安全信息的模糊程度，降低所處理安全事件的不確定性。

（4）信息融合技術(shù)的應用將提升整個網(wǎng)絡的檢測能力，利用多個網(wǎng)絡安全設備的檢測信息和安全事件進行綜合處理與評判，可提高網(wǎng)絡有效信息的發(fā)現(xiàn)概率。

2.2.3 信息融合在網(wǎng)絡安全中的應用

隨著科技的發(fā)展，網(wǎng)絡“攻”與“防”的博弈不斷升級，單一網(wǎng)絡安全設備已不能應對日益復雜的網(wǎng)絡威脅的挑戰(zhàn)，信息融合與網(wǎng)絡安全的結(jié)合給國內(nèi)外學者帶來新的希望。 目前， 信息融合在網(wǎng)絡安全領(lǐng)域已經(jīng)有了一定應用，Jason Shifflet 在文獻[5]指出利用數(shù)據(jù)融合可實現(xiàn)異質(zhì)數(shù)據(jù)的集中和關(guān)聯(lián)，并指出要建立一個能反映當前網(wǎng)絡態(tài)勢的模型必須要有某種形式的數(shù)據(jù)融合；Salerno 和M.Hinman 等也深入分析和研究了數(shù)據(jù)融合和態(tài)勢感知兩個概念模型，構(gòu)建了態(tài)勢感知的一般框架，并驗證了將數(shù)據(jù)融合用于態(tài)勢感知能更好地獲取網(wǎng)絡安全態(tài)勢，并能對未來決策提供有力支持[6]；文獻[7]利用粗糙集理論屬性重要性度量的思想，對構(gòu)成網(wǎng)絡安全態(tài)勢的基本單位—態(tài)勢要素進行了安全重要性權(quán)重的計算，在此基礎上，實現(xiàn)了對網(wǎng)絡安全態(tài)勢的定量計算；文獻[8]引用DS 證據(jù)理論對某一主機上的多源攻擊數(shù)據(jù)進行融合分析，并量化出具體的風險值，通過分析得出網(wǎng)絡的整體風險，從而幫助網(wǎng)絡管理人員從整體上把握一段時間內(nèi)的網(wǎng)絡的風險狀況。

雖然信息融合的很多理論和技術(shù)方法在網(wǎng)絡安全中得到了一定的研究和應用，但在總體設計和方案選擇等方面仍有可提高之處。

（1）在信息融合方法的選擇上，可以將兩種或多種方法相結(jié)合，克服單一理論的誤差，提高結(jié)果的正確率。

（2）在具體應用模型的選擇上，多數(shù)只是針對某一種網(wǎng)絡安全問題（如漏洞的檢測）所提出，對于網(wǎng)絡整體安全狀況的研究，基本上沒有涉及到。

（3）在網(wǎng)絡安全中的具體應用上，應通過不斷訓練和完善，降低主觀因素的影響，使融合結(jié)果對網(wǎng)絡環(huán)境的變化和攻擊手段的演變具備適應性， 實時反映安全威脅和風險狀況。

3 結(jié)束語

隨著科技的發(fā)展與創(chuàng)新，信息融合技術(shù)將能更好地應用于網(wǎng)絡安全領(lǐng)域，使功能各異的安全設備充分發(fā)揮各自的作用，為網(wǎng)絡安全聯(lián)動、評估分析提供手段，為決策者提供依據(jù)，起到1+1>2 的保護作用，最終實現(xiàn)單機—區(qū)域網(wǎng)—整個網(wǎng)絡安全性能的提高。

［1］彭冬亮.多傳感器多源信息融合理論及應用[M].北京:科學出版社，2010.

［2］研究報告：軍隊院校信息安全保障體系與機制研究[R].2010.

［3］胡道元，閔京華.網(wǎng)絡安全[M].北京:清華大學出版社，2004.

［4］趙宗貴.信息融合技術(shù)現(xiàn)狀、概念與結(jié)構(gòu)模型[J].中國電子科學研究院學報，2006，1（4）:305－312.

［5］Jason Shifflet.A Technique Independent Fusion Model for Network Intrusion Deteetion. Proeeedings of the Midstates Conference on Undergraduate Researeh in Computer Seience and Math ematies,University of Denison,2005.America:Denison University Pr,2003（1）:13－19.

［6］J.Salerno,M.Hinman, D.Boulware.Building A Framework ForSituation Awareness.http://www.fusion 2004.foi.se/papers/IF04－0219.pdf.

［7］梁穎.基于數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢定量感知方法研究[D].哈爾濱:哈爾濱工程大學，2006.

［8］郭俊穎.基于多源數(shù)據(jù)融合的網(wǎng)絡風險評估研究[D].武漢:華中師范大學，2010.