◆夏 飛

?

基于信息融合的網絡安全態(tài)勢評估運用分析

◆夏 飛

（國網江蘇省電力有限公司信息通信分公司 江蘇 210008）

安全態(tài)勢評估的重要性已經隨著網絡安全問題的逐年擴大成長為當前國內外的熱門研究問題?，F有安全態(tài)勢評估方法難以趕上日新月異的網絡發(fā)展現狀，因此本文針對網絡安全問題提出了基于信息融合的網絡安全態(tài)勢評估模型。通過D-S證據理論將多臺檢測設備生成的數據源信息進行融合，利用漏洞信息和服務信息,經過融合態(tài)勢要素和節(jié)點態(tài)勢對計算網絡安全態(tài)勢做出合理評估。同時簡單介紹時間序列分析極其用到的數據分析方式，雙管齊下實現對網絡安全趨勢的預測。為網絡管理人員提供合理數據提高其工作效率和效果。

網絡；安全態(tài)勢評估；信息融合；時間序列分析

0 前言

目前，人們對于前沿通信和計算機技術的需求越來越高，相應地通信及信息技術發(fā)展也越來越快，計算機網絡的應用范圍也越來越廣，而此時病毒軟件的出現使得計算機網絡的安全形式受到威脅，此前的相關病毒檢測設備及殺毒軟件已無法實現人們的需求。針對以上問題，網絡安全態(tài)勢評估技術能夠有效地起到預警的作用。但是忽略網絡自身特點；在大規(guī)模病毒爆發(fā)時才能產生作用；未對網絡安全問題考慮全面和單一化的評估指標等都成為了網絡評估技術的缺點。因此本文意圖解決此類缺陷造成的問題，因此提出了基于信息融合的網絡安全態(tài)勢評估模型。

1 網絡安全態(tài)勢評估模型

計算機網絡組建囊括了大量的主機節(jié)點和檢測設備，監(jiān)控網絡和主機的運作狀況是它的主要公共功能。以往對檢測設備生成的日志信息進行分析總結是主要的網絡安全態(tài)勢評估方式。此類方式基于的數據信息單一，檢測內容往往難以得出有效結果。此類方式方法過于關注檢測設備生成的信息報告而忽略檢測設備本身可能產生的一系列問題。因此，本文旨于探討科學有效的網絡安全態(tài)勢評估方式。也即：分析融合多個檢測設備獲取的日志信息，以此信息源為基礎獲得遭受外部攻擊的細節(jié)信息，分析相應供給對網絡安全造成的影響，并以時間序列分析法為基礎對網絡安全態(tài)勢做出適當合理地預測，從科學性和有效性兩方面改進傳統(tǒng)評估方式。

2 基于信息融合的態(tài)勢評估算法

融合態(tài)勢要素、融合數據源、融合節(jié)點態(tài)勢是信息融合網絡安全態(tài)勢評估法的主要內容

2.1 融合態(tài)勢要素

融合態(tài)勢要素是指基于外部攻擊成功支持的概率、外部攻擊發(fā)生的概率以及外部攻擊的威脅等對主機的網絡安全態(tài)勢進行相應的評估。對檢測設備產生的日志信息進行分析只能取得外部攻擊發(fā)生的概率，而主機節(jié)點所受到的影響是多種媒介共同作用的結果，例如主機節(jié)點內部的相關信息以及由外部攻擊攜帶的威脅信息等。經過充分融合的信息報告才能對主機節(jié)點的安全態(tài)勢做出全面完整的估算和分析。

2.2 融合數據源

融合數據源是指通過充分融合多個檢測設備產生的日志信息以達到可靠估算外部攻擊發(fā)生支持概率的目的方法。為獲取到更客觀、更準確的信息吃力結果，多元化信息的獲取是數據源融合的重要基礎。因此估計理論、人工智能等技術方法在數據源融合過程中扮演了重要的角色。融合數據源最主要的目的是通過分析多臺設備生成的日志報告準確可靠地分析主機節(jié)點態(tài)勢評估的結果。D-S證據理論方法是本文的研究基礎，在D-S證據理論中，單一檢測設備生成的日志報告將被收集用于分析該設備對于本次攻擊的反對及支持概率，隨后多臺檢測設備的日志報告將以同樣的方式進行反對支持概率的統(tǒng)計及分析，而后總體報告將通過D-S數據合成來取得整個網絡系統(tǒng)對于外部攻擊的反對或支持概率。

2.3 融合節(jié)點態(tài)勢

獲得網絡安全態(tài)勢值SA，該公式中wi的數值沿用上一個公式中計算的服務數加權比重，而Ei代表各主機點在網絡環(huán)境中的加權對應權重。通過共同使用兩個公式獲取網絡安全系統(tǒng)的整體實際情況的態(tài)勢值SA。網絡管理人員可以通過制作分析結果曲線圖獲取網絡運營安全的整體情況并及時獲取外部信息，實時監(jiān)控外部攻擊支持概率并對可能發(fā)生的外部攻擊做出及時關鍵的預防措施，若未能及時阻止惡意攻擊的發(fā)生，該方法也有助于網絡管理人員及時作出應對措施以防更多主機節(jié)點受到攻擊導致癱瘓。

3 基于時間序列分析的態(tài)勢預測算法

時間序列分析旨于分析過去及當前多個時間節(jié)點的網絡安全態(tài)勢報告，從而對未來網絡安全趨勢做出合理預測。而本節(jié)將把重點放在介紹這種極具可靠性的預測算法。曲線擬合和參數估計的數學建模方法將被有效利用在時間序列分析中，其原料是來自于各檢測設備得到的日志報告數據。當前時間序列分析算法被廣泛應用于經濟、城建、天氣預報等多個領域。

時間序列分析的第一步是平穩(wěn)性檢驗。其目的在于確保時間序列的平穩(wěn)性，若時間序列的平穩(wěn)性受到質疑，則該建模方式將失去其最基本的理論依據。而平穩(wěn)性檢驗又包括參數檢驗法和非參數檢驗法。參數檢驗（parameter test）全稱參數假設檢驗，是指對參數平均值、方差進行的統(tǒng)計檢驗。參數檢驗是推斷統(tǒng)計的重要組成部分。當總體分布已知（如總體為正態(tài)分布），根據樣本數據對總體分布的統(tǒng)計參數進行推斷。而非參數檢驗也(Nonparametric tests)是統(tǒng)計分析方法的重要組成部分，它與參數檢驗共同構成統(tǒng)計推斷的基本內容。非參數檢驗是在總體方差未知或知道甚少的情況下，利用樣本數據對總體分布形態(tài)等進行推斷的方法。由于非參數檢驗方法在推斷過程中不涉及有關總體分布的參數，因而得名為“非參數”檢驗。第二步是計算樣本自相關系數和偏自相關系數。相關系數度量指的是兩個不同事件彼此之間的相互影響程度；而自相關系數度量的是同一事件在兩個不同時期之間的相關程度，形象的講就是度量自己過去的行為對自己現在的影響。在了解此類基本概念后確定模型、模型計算及模型檢驗的步驟將不再在此文中進行細節(jié)的討論。時間序列的分析有助于網絡管理人員繪制網絡安全態(tài)勢預測圖，而該預測圖有助于管理人員更深入掌握整個網絡環(huán)境的過去式、現在式及將來式，并協(xié)助管理人員針對相突發(fā)安全事件采取及時且恰當的防御措施以避免外部攻擊造成的損失進一步擴大。

4 結語

原有網絡安全態(tài)勢評估技術缺陷明顯，其局限性難以保證外部攻擊的有效數據被發(fā)現并整合，網絡整體安全現狀在缺乏與時俱進的態(tài)勢評估技術下顯得漏洞百出。而本文在原有網絡安全態(tài)勢評估技術基礎上介紹了態(tài)勢要素、數據源和節(jié)點態(tài)勢三種融合方式，同時介紹了時間序列分析中用到的基礎知識及其可能帶來的良性反映，從而實現了對網絡安全態(tài)勢的有效預測，為網絡管理人員及時準確地提供安全保證提供了理論支持。然而，網絡世界的技術日新月異，針對網絡安全管理的技術需要不斷與時俱進。當前關于保證安全態(tài)勢的相關方法及指標依然缺乏全面性，同時應當整理各類外部攻擊事件的特點并整理歸檔，確保對于威脅來源的預測更加可靠。隨著網絡的普及度以及人們對于網絡的依賴度越來越高，一個好的網絡安全環(huán)境將為使用者提供無形的便利，因此當前社會各界密切關注網絡安全態(tài)勢保護措施的發(fā)展，加強此領域的研究具有時代意義。

[1]文志誠,陳志剛,唐軍.基于信息融合的網絡安全態(tài)勢量化評估方法[J].北京航空航天大學學報,2016.

[2]李方偉,張新躍,朱江,張海波.基于信息融合的網絡安全態(tài)勢評估模型[J].計算機應用,2015.

[3]彭鵬.基于信息融合的網絡安全態(tài)勢評估模型分析[J].網絡安全技術與應用,2015.

[4]張新剛,王保平,程新黨.基于信息融合的層次化網絡安全態(tài)勢評估模型[J].網絡安全技術與應用,2012.

[5]韋勇,連一峰,馮登國.基于信息融合的網絡安全態(tài)勢評估模型[J].計算機研究與發(fā)展,2009.