趙珂

摘 要 隨著信息技術(shù)的不斷發(fā)展，隨之而來(lái)的網(wǎng)絡(luò)安全威脅也在不斷增加。人們?cè)谌粘＞W(wǎng)絡(luò)使用過(guò)程中，無(wú)時(shí)無(wú)刻不面臨著網(wǎng)絡(luò)安全威脅。由于當(dāng)前的網(wǎng)絡(luò)安全威脅逐漸呈現(xiàn)出規(guī)模化、隱蔽化等特點(diǎn)，導(dǎo)致傳統(tǒng)的網(wǎng)絡(luò)安全評(píng)估、檢測(cè)、防御模式已經(jīng)不能滿(mǎn)足要求，因此結(jié)合信息融合等新型分析技術(shù)，建立更加可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，成為了相關(guān)領(lǐng)域的研究熱點(diǎn)。

關(guān)鍵詞 信息融合 網(wǎng)絡(luò)安全態(tài)勢(shì) 評(píng)估模型

中圖分類(lèi)號(hào)：F27 文獻(xiàn)標(biāo)識(shí)碼：A

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型及其設(shè)計(jì)

為了更好地應(yīng)用信息融合技術(shù)，滿(mǎn)足多源數(shù)據(jù)結(jié)構(gòu)的分析和評(píng)估要求，應(yīng)當(dāng)建立合理的安全態(tài)勢(shì)評(píng)估模型。該模型由主機(jī)、網(wǎng)絡(luò)和用戶(hù)3個(gè)層次構(gòu)成，分別負(fù)責(zé)分析主機(jī)系統(tǒng)的運(yùn)行狀態(tài)、挖掘與關(guān)聯(lián)網(wǎng)絡(luò)安全信息以及對(duì)用戶(hù)端進(jìn)行網(wǎng)絡(luò)安全警告等。在主機(jī)層中，評(píng)估模型是根據(jù)主機(jī)系統(tǒng)遭受攻擊和威脅的數(shù)據(jù)進(jìn)行漏洞分析的；將主機(jī)層中的威脅數(shù)據(jù)融合匯集以后，模型會(huì)將其送入網(wǎng)絡(luò)層，以威脅數(shù)據(jù)為參照對(duì)象對(duì)存在威脅特征的網(wǎng)絡(luò)信息進(jìn)行分析，對(duì)網(wǎng)絡(luò)信息中潛在的危險(xiǎn)特征和危險(xiǎn)關(guān)聯(lián)信息進(jìn)行建模和評(píng)估；得出安全態(tài)勢(shì)評(píng)估結(jié)果以后，將信息匯總至用戶(hù)層，方便安全管理人員對(duì)網(wǎng)絡(luò)安全形勢(shì)進(jìn)行準(zhǔn)確把握。

2基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

2.1信息融合技術(shù)的算法分析

在信息融合技術(shù)中，要用到大量的數(shù)學(xué)工具對(duì)數(shù)據(jù)對(duì)象進(jìn)行描述。因此如何在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中選擇合適的算法，對(duì)于信息融合和安全評(píng)估具有重要的意義。信息融合的常見(jiàn)算法包括基于推理模型的算法，即對(duì)數(shù)據(jù)的置信度、隸屬度進(jìn)行操作，包括最大似然法、卡爾曼濾波等；還有基于特征推理的方法，如貝葉斯推理和神經(jīng)網(wǎng)絡(luò)王法；另外還有模糊集理論的感知模型方法。其中，基于特征推理的貝葉斯網(wǎng)絡(luò)融合算法的應(yīng)用，在具有內(nèi)在不確定性的問(wèn)題中應(yīng)用較為廣泛，在該算法中，網(wǎng)絡(luò)攻擊行為的成功，必須以目標(biāo)系統(tǒng)存在安全漏洞為前提條件，對(duì)漏洞進(jìn)行挖掘而發(fā)起攻擊；而由于對(duì)網(wǎng)絡(luò)安全漏洞的評(píng)估往往是沒(méi)有明確量化標(biāo)準(zhǔn)的定性概念，因此基于模糊集理論的感知模型在此應(yīng)用也較為合適，模糊集是一種邊界不明確的模型，在其基礎(chǔ)上可以建立起模糊邏輯，其推理結(jié)論的真實(shí)性都是相對(duì)的，因此基于模糊集理論的算法可以很好地解決信息融合中的沖突問(wèn)題，但這種算法計(jì)算量較大，且只能應(yīng)用于靜態(tài)環(huán)境。

2.2數(shù)據(jù)源信息融合

信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型中的信息源融合技術(shù)，主要針對(duì)的是信息來(lái)源的不確定性，即由于信息檢出設(shè)備本身的多樣性和不穩(wěn)定差異，所導(dǎo)致的準(zhǔn)確性下降以及無(wú)效性增加等情況。數(shù)據(jù)源融合技術(shù)包含了對(duì)大量數(shù)據(jù)的統(tǒng)計(jì)推斷方法，在進(jìn)行信息關(guān)聯(lián)性分析時(shí)顯得更為準(zhǔn)確。例如首先通過(guò)網(wǎng)絡(luò)拓?fù)湫畔⒌玫焦舭l(fā)生的鏈路信息，將該鏈路中涉及的所有設(shè)備列入相關(guān)檢測(cè)設(shè)備，再通過(guò)D-S證據(jù)理論，通過(guò)對(duì)各個(gè)檢測(cè)設(shè)備的檢測(cè)日志進(jìn)行計(jì)算，得到各個(gè)設(shè)備對(duì)威脅產(chǎn)生的潛在支持概率，便于威脅來(lái)源的查找分析。另外，在分析各個(gè)設(shè)備的日志信息時(shí)，應(yīng)當(dāng)具有一定的權(quán)重性，如對(duì)預(yù)知日志中的防火墻、IDS日志信息進(jìn)行檢測(cè)時(shí)，還應(yīng)當(dāng)同時(shí)匹配其權(quán)重，從而分析得出最大概率支持威脅的檢測(cè)設(shè)備。引入推斷方法進(jìn)行的數(shù)據(jù)源融合，可以得到檢測(cè)設(shè)備對(duì)攻擊發(fā)生的支持概率，便于下一步態(tài)勢(shì)要素融合的進(jìn)行。

2.3基于概率的態(tài)勢(shì)要素融合

在這一步中，主要是利用得到的攻擊發(fā)生支持概率來(lái)計(jì)算威脅對(duì)主機(jī)節(jié)點(diǎn)攻擊的成功支持概率。由于安全威脅發(fā)動(dòng)攻擊并成功的前提條件應(yīng)當(dāng)是具備網(wǎng)絡(luò)設(shè)備中具備該威脅且主機(jī)關(guān)鍵節(jié)點(diǎn)有該攻擊所利用的安全漏洞，因此要利用安全威脅概率和漏洞數(shù)據(jù)庫(kù)進(jìn)行匹配，以獲得攻擊成功的支持概率。這一步主要是通過(guò)向節(jié)點(diǎn)寫(xiě)入檢測(cè)程序?qū)崿F(xiàn)的，當(dāng)程度返回值為1時(shí)，證明該節(jié)點(diǎn)包含攻擊所利用的安全漏洞。將安全漏洞依照其威脅程度權(quán)重進(jìn)行累計(jì)，就可以得到系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊成功的支持概率。再利用攻擊的威脅度參數(shù)，結(jié)合攻擊發(fā)生和成功的支持概率，計(jì)算得到攻擊對(duì)系統(tǒng)關(guān)鍵節(jié)點(diǎn)的影響值（影響程度），對(duì)網(wǎng)絡(luò)中各個(gè)主機(jī)的安全影響值進(jìn)行匯總以后，便可以對(duì)關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行安全信息融合。

2.4關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)融合

關(guān)鍵節(jié)點(diǎn)態(tài)勢(shì)融合，是網(wǎng)絡(luò)安全態(tài)勢(shì)信息融合的最后一步，也是最重要的一步。它是將各個(gè)主機(jī)節(jié)點(diǎn)及其所提供的服務(wù)按照重要程度分配權(quán)重（所有服務(wù)的權(quán)重和為1），再將每一個(gè)關(guān)鍵節(jié)點(diǎn)的威脅影響值與其節(jié)點(diǎn)權(quán)重求乘積，得到單個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)值（SA），再將所有節(jié)點(diǎn)的安全態(tài)勢(shì)值匯總，就可得到網(wǎng)絡(luò)安全態(tài)勢(shì)的總體值。將一段時(shí)間內(nèi)的安全態(tài)勢(shì)值繪制成時(shí)間-安全態(tài)勢(shì)曲線(xiàn)，就可以對(duì)該段時(shí)間的安全態(tài)勢(shì)狀況進(jìn)行分析，便于網(wǎng)絡(luò)安全管理人員對(duì)過(guò)去一段時(shí)間的系統(tǒng)網(wǎng)絡(luò)安全情況進(jìn)行把握，并對(duì)未來(lái)一段時(shí)間的網(wǎng)絡(luò)安全情況進(jìn)行預(yù)測(cè)和分析。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的生活、工作與網(wǎng)絡(luò)的聯(lián)系性越來(lái)越強(qiáng)，因此加強(qiáng)網(wǎng)絡(luò)安全是發(fā)展電子商務(wù)經(jīng)濟(jì)的重要內(nèi)容，但是依靠傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能應(yīng)對(duì)網(wǎng)絡(luò)安全隱患，因此網(wǎng)絡(luò)安全評(píng)估技術(shù)作為一種新型網(wǎng)絡(luò)安全技術(shù)，為實(shí)現(xiàn)有效保護(hù)網(wǎng)絡(luò)信息資產(chǎn)提供了一條嶄新的思路，所以我們要側(cè)重對(duì)信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)聘雇模型以及量化評(píng)價(jià)方法的研究。

參考文獻(xiàn)

[1] 楊進(jìn)，李蕓潔，李勤.基于多元信息融合的網(wǎng)絡(luò)安全評(píng)估模型[J].電腦編程技巧與維護(hù)，2014，（04）.

[2] 任江偉，韓躍龍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].黑龍江科技信息，2015，（03）.endprint