白 冰

（陜西警官職業(yè)學(xué)院，陜西 西安 710021）

0 引 言

在物聯(lián)網(wǎng)感知層面，從其核心組成的情況來(lái)看，在網(wǎng)絡(luò)中以無(wú)線(xiàn)傳感器作為重要內(nèi)容時(shí)，需要在監(jiān)測(cè)區(qū)內(nèi)布置微傳感器節(jié)點(diǎn)，并通過(guò)無(wú)線(xiàn)通信的方式來(lái)完成自組織網(wǎng)絡(luò)，其應(yīng)用范圍廣泛，可以在生態(tài)監(jiān)測(cè)、健康護(hù)理、智慧交通、智能物流等領(lǐng)域發(fā)揮重要作用。已知并無(wú)過(guò)多的節(jié)點(diǎn)資源被置于傳感器之中，從應(yīng)用情況來(lái)看，考慮到存儲(chǔ)能力、電池能量、通信帶寬、處理能力等方面，則需要對(duì)基站間、節(jié)點(diǎn)數(shù)據(jù)進(jìn)行調(diào)整，使傳輸量下降，能效提升；對(duì)物聯(lián)網(wǎng)感知情況進(jìn)行調(diào)研后發(fā)現(xiàn)冗余性問(wèn)題比較突出，主要體現(xiàn)在對(duì)原始數(shù)據(jù)的采集方面，因此需要進(jìn)行融合數(shù)據(jù)的操作。數(shù)據(jù)融合技術(shù)可以使冗余信息問(wèn)題得以解決，把數(shù)據(jù)傳輸量降下來(lái)，把節(jié)點(diǎn)能量的消耗降到最低。在一般情況下，如果有大量傳感器節(jié)點(diǎn)被置于安全敏感區(qū)之內(nèi)，在無(wú)監(jiān)管的惡劣環(huán)境中則會(huì)造成嚴(yán)重后果，使網(wǎng)絡(luò)數(shù)據(jù)陷入危機(jī)，存在被偽造、竊聽(tīng)、重放、篡改的可能，處于攻擊之下會(huì)導(dǎo)致多種信息安全風(fēng)險(xiǎn)出現(xiàn)。由此可知安全的數(shù)據(jù)整合是必須要進(jìn)行的重要工作。

學(xué)術(shù)界的研究力度正在不斷加大，主要對(duì)數(shù)據(jù)融合過(guò)程中出現(xiàn)的節(jié)點(diǎn)被捕獲后如何處理的問(wèn)題進(jìn)行研究，并對(duì)量化數(shù)據(jù)融合結(jié)果不確定的問(wèn)題展開(kāi)探討，制定出各種有效的解決方案。

當(dāng)前，對(duì)網(wǎng)絡(luò)安全研究主要集中在研究入侵的檢測(cè)方法上，隨著網(wǎng)絡(luò)不確定性、復(fù)雜性的增加，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究成為趨勢(shì)。本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開(kāi)的，并構(gòu)建了物聯(lián)網(wǎng)安全態(tài)勢(shì)評(píng)估模型。

1 基于多傳感器的多源數(shù)據(jù)融合技術(shù)

多傳感器數(shù)據(jù)融合技術(shù)是把多個(gè)傳感器數(shù)據(jù)聯(lián)系起來(lái)，對(duì)數(shù)據(jù)實(shí)施有效的分類(lèi)、互聯(lián)、綜合等操作后獲取有意義的一組數(shù)據(jù)，該項(xiàng)技術(shù)的基本原理并不復(fù)雜，即對(duì)人腦綜合處理信息的能力進(jìn)行模擬。為了更好地把各傳感器所提供的信息利用起來(lái)，要對(duì)其進(jìn)行綜合處理，在使用各個(gè)傳感器和數(shù)據(jù)時(shí)要合理，在對(duì)傳感器冗余和互補(bǔ)信息優(yōu)化整合時(shí)要從空間和時(shí)間上進(jìn)行，對(duì)監(jiān)測(cè)環(huán)境生成一致性表述。融合所獲取的計(jì)算結(jié)果與單個(gè)傳感器相比較顯然具有更高的全局性，更加準(zhǔn)確?；旌鲜浇Y(jié)構(gòu)是將兩種結(jié)構(gòu)的優(yōu)點(diǎn)進(jìn)行結(jié)合的一種方法，先用傳感器預(yù)處理收集到的數(shù)據(jù)，將處理的數(shù)據(jù)向融合中心傳輸，可增強(qiáng)系統(tǒng)穩(wěn)定性，因此本研究采用混合式網(wǎng)絡(luò)安全態(tài)勢(shì)融合結(jié)構(gòu)。

整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知過(guò)程如圖1所示，可將其理解為數(shù)據(jù)融合的過(guò)程并應(yīng)用，在多傳感器的作用下完成數(shù)據(jù)的融合，在對(duì)這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理后可以把多個(gè)態(tài)勢(shì)要素值確定下來(lái)，在此基礎(chǔ)上對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行計(jì)算并獲取相應(yīng)的結(jié)果。

圖1 基于多傳感器的多源網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)融合模型

2 基于集對(duì)分析的物聯(lián)網(wǎng)安全態(tài)勢(shì)評(píng)估模型

2.1 集對(duì)分析原理

集對(duì)分析是一種新的研究方法，以不確定性理論為主要研究?jī)?nèi)容。將兩個(gè)具有潛在關(guān)系的集合組成對(duì)子即稱(chēng)之為集對(duì)，以=++來(lái)表示，、、有著不同的含義，是同一度、差異度、對(duì)立度的代表。因此，可將不確定性理論研究進(jìn)行轉(zhuǎn)化，使之成為數(shù)學(xué)問(wèn)題。集對(duì)分析理論是對(duì)問(wèn)題進(jìn)行全面的研究，并且是在分析兩個(gè)事件的差異性、同一性、對(duì)立性的基礎(chǔ)上進(jìn)行的?；舅悸肥窃O(shè)存在問(wèn)題，其中有、兩個(gè)集合，集對(duì)是由其集合組成的；特性總數(shù)為個(gè)，并分析這些特性。在集合組成集中，相同特性數(shù)的數(shù)量已知是個(gè)，描述問(wèn)題同一性；有個(gè)相反特性個(gè)數(shù)，描述問(wèn)題對(duì)立性，其余特性不相反、不相同，是對(duì)問(wèn)題差異性的描述，具體見(jiàn)公式（1）：

式中：差異度標(biāo)識(shí)為，∈[-1，1]；聯(lián)系度為；對(duì)立度標(biāo)識(shí)為，=-1；從同一度、差異度、對(duì)立度的取值情況來(lái)看，一般情況下=/、=/、=/，、、達(dá)到歸一化條件，也就是說(shuō)++=1是存在的，可簡(jiǎn)記為公式（2）：

如果組成系統(tǒng)的集合數(shù)量超過(guò)兩個(gè)，假設(shè)個(gè)集合組成，可以對(duì)個(gè)集合進(jìn)行處理，使其以個(gè)集對(duì)的狀態(tài)出現(xiàn)，并完成不同集對(duì)聯(lián)系度的表達(dá)式構(gòu)建工作。在對(duì)整個(gè)系統(tǒng)進(jìn)行研究時(shí)把構(gòu)建數(shù)學(xué)模型的方式應(yīng)用于其中，并將其同異之處確定下來(lái)。

2.2 應(yīng)用集對(duì)分析態(tài)勢(shì)評(píng)估的步驟

在進(jìn)行態(tài)勢(shì)評(píng)估時(shí)如果應(yīng)用集對(duì)分析方法，需要完成以下四個(gè)步驟操作：

（1）對(duì)初始數(shù)據(jù)進(jìn)行處理，但要注意的是要把規(guī)范性體現(xiàn)出來(lái)。在評(píng)估網(wǎng)絡(luò)中假設(shè)設(shè)置了臺(tái)服務(wù)器，記作={,, ...,M}，每臺(tái)服務(wù)器有指標(biāo)個(gè)，記作={,, ...,I}，其中∈（1, 2, ...,），∈（1, 2, ...,），則=[f]為個(gè)服務(wù)器的矩陣，由個(gè)指標(biāo)值共同組成。表1所列為網(wǎng)絡(luò)中主機(jī)及指標(biāo)的關(guān)系。

表1 網(wǎng)絡(luò)中主機(jī)及指標(biāo)的關(guān)系

（3）通過(guò)計(jì)算后把{，}的相關(guān)數(shù)據(jù)確定下來(lái)，獲取同一度a、差異度b、對(duì)立度c。

其中：

（4）計(jì)算集對(duì)勢(shì)a/c，三維態(tài)勢(shì)見(jiàn)表2所列。要把對(duì)應(yīng)級(jí)別確定下來(lái)，在此基礎(chǔ)上獲取某一時(shí)刻某一主機(jī)態(tài)勢(shì)級(jí)別，并對(duì)主機(jī)級(jí)別與安全性的關(guān)系作出界定，前者越高后者則越低。

表2 三維態(tài)勢(shì)表

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

2.3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)要素

計(jì)算機(jī)網(wǎng)絡(luò)是由多種因素共同組成的，直接影響到網(wǎng)絡(luò)安全狀態(tài)。為了使研究更加深入，要區(qū)別開(kāi)網(wǎng)絡(luò)安全態(tài)勢(shì)要素，將其分為攻擊、主機(jī)、共有三種要素。其中，主機(jī)要素可視為集對(duì)分析理論中的同一度，攻擊要素可視為對(duì)立度，共有要素可視為差異度。圖2為網(wǎng)絡(luò)安全態(tài)勢(shì)的要素。

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)要素

2.3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)比較復(fù)雜，是由數(shù)量眾多的網(wǎng)絡(luò)組件、主機(jī)節(jié)點(diǎn)以及各種檢測(cè)設(shè)備組建的。計(jì)算機(jī)中的檢測(cè)設(shè)備發(fā)揮著重要作用，可以有效地監(jiān)督主機(jī)、了解和掌握網(wǎng)絡(luò)狀態(tài)，由此報(bào)警信息、日志也會(huì)大量產(chǎn)生。以上數(shù)據(jù)信息可分為兩種模式：一種是基于系統(tǒng)配置信息；另一種是基于系統(tǒng)運(yùn)行信息。配置狀況、系統(tǒng)設(shè)計(jì)、服務(wù)設(shè)置都屬于前者；系統(tǒng)所受攻擊狀況則屬于后者。如果在對(duì)安全態(tài)勢(shì)進(jìn)行評(píng)估時(shí)所采用的是傳統(tǒng)方法，即通過(guò)單一檢測(cè)設(shè)備分析數(shù)據(jù)，則可能會(huì)導(dǎo)致態(tài)勢(shì)信息、數(shù)據(jù)源單一的問(wèn)題出現(xiàn)，這對(duì)分析結(jié)果顯然是不利的，與實(shí)際相比會(huì)有較大的偏差。在本次研究中充分利用集對(duì)分析原理，以此為基礎(chǔ)實(shí)現(xiàn)對(duì)多個(gè)數(shù)據(jù)源信息的融合。

在檢測(cè)不同的網(wǎng)絡(luò)安全信息時(shí)需要通過(guò)多傳感器來(lái)完成，此操作在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型（如圖3所示）中進(jìn)行，首先把主機(jī)安全態(tài)勢(shì)確定下來(lái)，在確定主機(jī)權(quán)重后把整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)確定下來(lái)，這是個(gè)復(fù)雜的過(guò)程，需要在數(shù)據(jù)采集、態(tài)勢(shì)要素提取、主機(jī)安全態(tài)勢(shì)評(píng)估、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估四個(gè)模塊的共同作用下完成。數(shù)據(jù)采集模塊通過(guò)多個(gè)傳感器對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀況同時(shí)監(jiān)測(cè)，收集主機(jī)日志、傳感器報(bào)警信息、網(wǎng)絡(luò)日志等原始數(shù)據(jù)；態(tài)勢(shì)要素提取模塊在工作時(shí)需要對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理，利用的方法主要有冗余分析、規(guī)范化分析、沖突檢測(cè)等，并完成對(duì)相關(guān)態(tài)勢(shì)要素的提取；主機(jī)安全態(tài)勢(shì)評(píng)估模塊進(jìn)入到工作狀態(tài)時(shí)，為了對(duì)不同的網(wǎng)絡(luò)安全態(tài)勢(shì)要素進(jìn)行深入分析，把集對(duì)分析算法應(yīng)用于其中，能夠?qū)χ鳈C(jī)安全態(tài)勢(shì)值做出定量描述；網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊與數(shù)學(xué)分析法結(jié)合，并與各主機(jī)網(wǎng)絡(luò)權(quán)重、各主機(jī)安全態(tài)勢(shì)值結(jié)合，從而將整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)值計(jì)算出來(lái)。

圖3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

如果所采用的是集對(duì)分析這種方法，則可以確定兩個(gè)集合對(duì)立度、同一度，但是不能確定差異度和差異分析，信息不確定性可采用聯(lián)系度表達(dá)，進(jìn)行模糊信息的有效處理；在對(duì)態(tài)勢(shì)進(jìn)行研究時(shí)，同一度、差異度、對(duì)立度是集對(duì)分析所要考慮的重點(diǎn)問(wèn)題，要對(duì)網(wǎng)絡(luò)安全各要素進(jìn)行全面而系統(tǒng)的研究；在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)唯一性進(jìn)行分析時(shí)基于聯(lián)系度來(lái)實(shí)施，完成對(duì)網(wǎng)絡(luò)安全級(jí)別的劃分，網(wǎng)絡(luò)安全態(tài)勢(shì)危險(xiǎn)程度的確定是通過(guò)安全態(tài)勢(shì)值來(lái)完成的。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)數(shù)據(jù)

本次研究所有的數(shù)據(jù)是真實(shí)有效的，來(lái)自于DARPA2000數(shù)據(jù)集，提供者是麻省理工大學(xué)林肯實(shí)驗(yàn)室。從數(shù)據(jù)集的內(nèi)部構(gòu)成來(lái)看，涵蓋了網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)信息（Inside Tcpdump file）、網(wǎng)絡(luò)邊界數(shù)據(jù)信息（DMZ Tcpdump file）、部分主機(jī)審計(jì)日志；涵蓋的攻擊場(chǎng)景有兩個(gè)，即LLDOS1.0、LLDOS2.0，每個(gè)攻擊場(chǎng)景由五個(gè)步驟所組成，針對(duì)這2個(gè)攻擊場(chǎng)景分析網(wǎng)絡(luò)安全態(tài)勢(shì)。實(shí)驗(yàn)利用snort工具和MySQL，在Linux下進(jìn)行分析，在tcpreplay工具的作用下對(duì)數(shù)據(jù)包進(jìn)行重放處理，用snort+MySQL收集數(shù)據(jù)，并將其置于數(shù)據(jù)庫(kù)之中存儲(chǔ)，將數(shù)據(jù)導(dǎo)入到MATLAB環(huán)境后進(jìn)行計(jì)算和分析。

3.2 實(shí)驗(yàn)步驟

3.2.1 要素信息提取

在DARPA2000數(shù)據(jù)集中，主機(jī)服務(wù)信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、漏洞信息未提供，本研究從snort收集的信息對(duì)DARPA2000進(jìn)行分析，詳情見(jiàn)圖4和表3。

圖4 DARPA2000的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

LLDOS1.0、LLDOS2.0共有10個(gè)攻擊步驟，可以將其視為10個(gè)時(shí)段，在對(duì)每個(gè)時(shí)段的安全態(tài)勢(shì)值進(jìn)行分析時(shí)把集對(duì)分析法應(yīng)用于其中并獲取相應(yīng)計(jì)算結(jié)果，見(jiàn)表3所列。

表3 時(shí)段1網(wǎng)絡(luò)安全態(tài)勢(shì)要素的值

在對(duì)攻擊成功次數(shù)和頻率、流量信息等數(shù)據(jù)集信息進(jìn)行分析時(shí)所用的工具是snort日志；要明確攻擊的嚴(yán)重性，依據(jù)的是snort優(yōu)先級(jí)、攻擊分類(lèi)，針對(duì)嚴(yán)重程度進(jìn)行劃分，等級(jí)為低、中、高，以3、2、1來(lái)表示。

3.2.2 態(tài)勢(shì)評(píng)估

對(duì)數(shù)據(jù)進(jìn)行規(guī)范化處理，以=[t]作為規(guī)范化矩陣，在第1時(shí)段，由于并沒(méi)有針對(duì)主機(jī)www.af.mill進(jìn)行攻擊，即以0為www.af.mill態(tài)勢(shì)。

從規(guī)范化矩陣可將、提取出來(lái)，=（1，1，1，1，1），=（0.2，0，0，0，0）。通過(guò)計(jì)算后把、、的準(zhǔn)確數(shù)值確定下來(lái)并掌握相應(yīng)態(tài)勢(shì)值，見(jiàn)表4所列。

表4 時(shí)段1各主機(jī)的態(tài)勢(shì)分析結(jié)果

最后以各主機(jī)權(quán)值為依據(jù)計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)，已知0.17是主機(jī)locke的權(quán)重，主機(jī)mill的權(quán)重為0.34，主機(jī)hume的權(quán)重為0.21，主機(jī)pascal的權(quán)重為0.17，主機(jī)robin的權(quán)重為0.17，主機(jī)www.af.mill的權(quán)重為0.06。由此可得時(shí)段1的態(tài)勢(shì)值為7.5。在對(duì)其余時(shí)段態(tài)勢(shì)值進(jìn)行計(jì)算時(shí)，所采用的也是這種方法。

3.3 實(shí)驗(yàn)結(jié)果

以表5中的數(shù)據(jù)為依據(jù)編制完成10個(gè)時(shí)段網(wǎng)絡(luò)的安全態(tài)勢(shì)圖（如圖5所示），并得出態(tài)勢(shì)值越大則網(wǎng)絡(luò)越不安全的結(jié)論。

表5 網(wǎng)絡(luò)安全態(tài)勢(shì)值

圖5 網(wǎng)絡(luò)安全態(tài)勢(shì)

從第一階段的情況來(lái)看，網(wǎng)絡(luò)只受IP掃描，態(tài)勢(shì)值較低；在此之后由于遭受DDoS攻擊，態(tài)勢(shì)值隨之增高。通過(guò)本文方法可以把網(wǎng)絡(luò)狀況真實(shí)地展示出來(lái)。在基于信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的條件下將本實(shí)驗(yàn)結(jié)果和文獻(xiàn)[11]進(jìn)行比對(duì)，把文獻(xiàn)[11]實(shí)驗(yàn)結(jié)果化為1～12區(qū)間內(nèi)值，詳情如圖6所示。

圖6 兩種態(tài)勢(shì)評(píng)估模型得出的網(wǎng)絡(luò)安全態(tài)勢(shì)值比較

由圖6可知，集對(duì)分析模型具有一定的優(yōu)勢(shì)，文獻(xiàn)[11]的評(píng)估模型獲得的網(wǎng)絡(luò)安全態(tài)勢(shì)值較低，不能引起管理員重視；在時(shí)段3、時(shí)段9出現(xiàn)攻擊時(shí)，集對(duì)分析方法獲得的安全態(tài)勢(shì)值顯著升高，能很好地區(qū)分DDoS等危險(xiǎn)性較大攻擊和IP掃描等危險(xiǎn)性較小攻擊；在時(shí)段5，對(duì)于原始數(shù)據(jù)未受?chē)?yán)重攻擊的情況，文獻(xiàn)[11]的網(wǎng)絡(luò)安全態(tài)勢(shì)值卻顯著升高，這表明集對(duì)分析模型感知網(wǎng)絡(luò)安全態(tài)勢(shì)更穩(wěn)定。

4 結(jié) 語(yǔ)

本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開(kāi)的，由于物聯(lián)網(wǎng)安全態(tài)勢(shì)評(píng)估模型具有較強(qiáng)的功效而對(duì)其進(jìn)行了構(gòu)建，并得出以下結(jié)論：

（1）以多傳感器數(shù)據(jù)融合技術(shù)為基礎(chǔ)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)要素進(jìn)行劃分，可以分為攻擊要素、主機(jī)要素、共有要素三種。

（2）通過(guò)構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，檢測(cè)網(wǎng)絡(luò)各類(lèi)型的安全信息。此操作是通過(guò)傳感器來(lái)完成的，由此把主機(jī)安全態(tài)勢(shì)確定下來(lái)。以主機(jī)權(quán)重為依據(jù)確定網(wǎng)絡(luò)整體安全態(tài)勢(shì)，此過(guò)程復(fù)雜程度較高，主要由數(shù)據(jù)采集、態(tài)勢(shì)要素提取、主機(jī)安全態(tài)勢(shì)評(píng)估、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估四種模塊組成。

（3）集對(duì)分析模型具在自身特有的優(yōu)勢(shì)。在時(shí)段3、時(shí)段9出現(xiàn)攻擊時(shí)，集對(duì)分析方法獲得的安全態(tài)勢(shì)值顯著升高，能很好地區(qū)分DDOS等危險(xiǎn)性較大攻擊和IP掃描等危險(xiǎn)性較小的攻擊。通過(guò)集對(duì)分析模型進(jìn)行研究，可以更加準(zhǔn)確地感知網(wǎng)絡(luò)安全態(tài)勢(shì)。