李奎

宿遷高等師范學校 計算機應用 江蘇宿遷 223800

網(wǎng)絡安全態(tài)勢感知體系初探

李奎

宿遷高等師范學校 計算機應用 江蘇宿遷 223800

隨著接入互聯(lián)網(wǎng)的設備數(shù)量的急劇增加，帶來了便利高效，節(jié)約了時間和成本，但是網(wǎng)絡復雜度增加，風險更加凸顯。為了保證信息安全，適應更嚴格的網(wǎng)絡安全管理，出現(xiàn)了網(wǎng)絡安全態(tài)勢感知技術。

網(wǎng)絡安全態(tài)勢；模型；感知

引言

目前應用最為廣泛的IDS系統(tǒng)只是運用Agent獲取數(shù)據(jù)再經(jīng)過融合分析后檢測到相關攻擊行為，當網(wǎng)絡帶寬提高后，IDS很難檢測到攻擊內(nèi)容，同時誤報率也較高。而網(wǎng)絡安全態(tài)勢感知技術綜合了多種技術更加突出了整體特征，如IDS，殺毒軟件以及防火墻等，對網(wǎng)絡進行實時檢測和快速預警。網(wǎng)絡安全態(tài)勢感知評估運行網(wǎng)絡的安全情況并且可以做出未來一段時間的變化趨勢，提高處理安全威脅的能力。

1、網(wǎng)絡安全態(tài)勢感知概述

1.1 網(wǎng)絡態(tài)勢感知定義

1988年，endsley率先提出針對航空領域人為因素的態(tài)勢感知的定義，態(tài)勢感知是指“在一定的時空范圍內(nèi)，認知、理解環(huán)境因素，并且對未來的發(fā)展趨勢進行預測”。直到1999年，bass等指出，“下一代網(wǎng)絡入侵檢測系統(tǒng)應該融合從大量的異構分布式網(wǎng)絡傳感器采集的數(shù)據(jù)，實現(xiàn)網(wǎng)絡空間的態(tài)勢感知。常見的網(wǎng)絡態(tài)勢主要有安全態(tài)勢、拓撲態(tài)勢和傳輸態(tài)勢等，但目前學者主要研究網(wǎng)絡的安全態(tài)勢感知的。

1.2 網(wǎng)絡安全態(tài)勢概念

所謂網(wǎng)絡安全態(tài)勢就是對在多種網(wǎng)絡設備處于工作狀態(tài)、網(wǎng)絡變化以及用戶的動作等安全態(tài)勢出現(xiàn)變化的狀態(tài)信息進行理解，分析處理及評估，從而對發(fā)展趨勢進行預測。網(wǎng)絡安全態(tài)勢強調(diào)的是一個整體的概念，包含了當前的狀態(tài)，歷史的狀態(tài)和對未來的狀態(tài)預測。根據(jù)研究重點的不同，給出的概念也不盡一致。

1.3 網(wǎng)絡安全態(tài)勢感知體系構成

（1）網(wǎng)絡安全態(tài)勢要素的提取。要素的提取主要通過殺毒軟件、防火墻、入侵檢測系統(tǒng)、流量控制、日志審計等收集整理數(shù)據(jù)信息，經(jīng)篩選后提出特征信息。

（2）網(wǎng)絡安全態(tài)勢的評估。根據(jù)選擇的指標體系定性和定量分析，搜素其中的關系，得出安全態(tài)勢圖，找到薄弱環(huán)節(jié)并制定出解決方案。

（3）網(wǎng)絡安全態(tài)勢的預測。根據(jù)已有的安全態(tài)勢圖，分析原始的數(shù)據(jù)信息，預測未來一段時間的運行狀態(tài)和趨勢，給出預警方案，達到最終的網(wǎng)絡安全的目的。

2、網(wǎng)絡安全態(tài)勢要素提取技術

由于網(wǎng)絡的龐大、復雜以及動態(tài)的變化，要素的提取面臨很大的困難，根據(jù)要素信息來源的不同進行分類提取，可以分為網(wǎng)絡環(huán)境、網(wǎng)絡漏洞和網(wǎng)絡攻擊等，生成網(wǎng)路安全態(tài)勢感知指標體系，并根據(jù)指標體系來獲取網(wǎng)絡的信息可以有效的保證信息的全面性、準確性和模型化。

安全態(tài)勢要素提取技術是態(tài)勢感知的第一步，意義重大。TimBasst首先提出了多傳感器數(shù)據(jù)融合的網(wǎng)絡態(tài)勢感知框架，進行數(shù)據(jù)精煉、對象精煉以及態(tài)勢精煉三個步驟的抽象獲取態(tài)勢感知要素?？▋?nèi)基梅隆大學開發(fā)了SILK系統(tǒng)，將數(shù)據(jù)轉(zhuǎn)化為高效的二進制數(shù)據(jù)用分析軟件來發(fā)現(xiàn)其中的攻擊行為。國內(nèi)此項研究起步晚，只是在聚類分析和分類分析上取得了一點進展。在提取要素過程中，屬性約簡和分類識別是這一過程中的最基礎的步驟。使用粗糙集等理論對數(shù)據(jù)進行屬性約簡，并形成了算法。針對神經(jīng)網(wǎng)絡的收斂慢，易入局部最小值等特點設計了遺傳算法來進行分類識別。

3、網(wǎng)絡安全態(tài)勢的評估技術

影響網(wǎng)絡網(wǎng)絡安全的評價有許多因素，各因素的作用不同且具有時變性，相互之間也不具有線性的關系，因此不能用精確的數(shù)學模型來表示。分析獲取的要素，必須要對其融合，以便得到整體的安全態(tài)勢，需要宏觀上把握網(wǎng)絡安全狀態(tài)，獲得有效的綜合評價達到幫助網(wǎng)絡管理人員的目的。從上可以看出融合技術是關鍵。目前常用的數(shù)據(jù)融合技術有以下幾種：

（1）基于邏輯關系的融合方法根據(jù)信息的內(nèi)在邏輯，對信息進行融和。優(yōu)點是可以直觀地反映網(wǎng)絡的安全態(tài)勢。缺點有確定邏輯難度大，不少如單一來源的數(shù)據(jù)。

（2）基于數(shù)學模型的融合方法綜合考慮影響態(tài)勢的各項因素，構造評估函數(shù)，建立態(tài)勢因素集合到態(tài)勢空間映射關系。優(yōu)點是可以輕松的確定各種態(tài)勢因素之間的數(shù)值比重關系，但是比重沒有標準。而且獲取的各個態(tài)勢因素可能還存在矛盾，無法處理。

（3）基于概率統(tǒng)計的融合方法根據(jù)經(jīng)驗數(shù)據(jù)的概率特性，結合信息的不確定性，建立的模型然后通過模型評估網(wǎng)絡的安全態(tài)勢，貝葉斯網(wǎng)絡、隱馬爾可夫模型最常見。優(yōu)點是可以融合最新的證據(jù)信息和經(jīng)驗數(shù)據(jù)，推理過程清晰。但是該模型需要的數(shù)據(jù)量大易產(chǎn)生維數(shù)爆炸進而影響實時性，而且特征的提取及經(jīng)驗數(shù)據(jù)的獲取都存在一定的困難。

（4）基于規(guī)則推理的融合方法對多類別多屬性信息的不確定性進行量化，再根據(jù)已有的規(guī)則進行邏輯推理，達到評估目的。目前d-s證據(jù)組合方法和模糊邏輯是研究熱點。當經(jīng)驗數(shù)據(jù)難以獲取而且不要精準的解概率分布，可以使用，但是需要復雜的計算。

4、網(wǎng)絡安全態(tài)勢的預測

預測是根據(jù)當前的網(wǎng)絡狀況，找出大量的網(wǎng)絡安全隱患，進行分析，對未來一定時間內(nèi)的安全趨勢進行判斷，給出相應的解決方法。網(wǎng)絡預測技術目前也取得了重要的進展，主要有神經(jīng)網(wǎng)絡、時間序列預測法和支持向量機等方法。神經(jīng)網(wǎng)絡算法參數(shù)的選擇缺乏理論基礎，預測精度也不高。時間序列預測法由于網(wǎng)絡狀態(tài)的變化不是線性的，而且難以描述當前狀態(tài)和未來狀態(tài)的關系，導致預測精度不理想。支持向量機基于結構風險最小化原則，解決了小樣本、非線性、高維度問題，絕對誤差小，保證了預測的正確趨勢率，能準確預測網(wǎng)絡態(tài)勢的發(fā)展趨勢。

5、結束語

本文介紹了網(wǎng)絡安全態(tài)勢感知的概念，并分別就要素的獲取、態(tài)勢的評估和網(wǎng)絡安全態(tài)勢的預測所使用的技術進行了探討，引導網(wǎng)絡安全管理員研究和使用各種新技術關注網(wǎng)絡安全隱患，保證網(wǎng)絡安全運營。

[1]席榮榮，云曉春，金舒原，張永錚.網(wǎng)絡安全態(tài)勢感知研究綜述.計算機應用，2012年1期.

[2]郭劍.網(wǎng)絡安全態(tài)勢感知中態(tài)勢要素獲取技術的研究[學位論文]計算機軟件與理論.東北大學，2011.

[3]韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型.計算機研究與發(fā)展，2009，46(3).

[4]肖漢杰，桑秀麗.相關向量機超參數(shù)優(yōu)化的網(wǎng)絡安全態(tài)勢預測.計算機應用，2015，35(7).