張 宇

（國能朔黃鐵路發(fā)展有限責(zé)任公司，河北 滄州）

態(tài)勢感知是在特定的時間、空間范圍內(nèi)，感知和理解環(huán)境狀況，并對后續(xù)發(fā)展趨勢進(jìn)行推算和預(yù)測。進(jìn)入信息時代，網(wǎng)絡(luò)已經(jīng)與日常生活、公司運(yùn)營甚至是國家安全等多方面進(jìn)行深度綁定，維護(hù)網(wǎng)絡(luò)安全成為社會各界共同關(guān)注的焦點(diǎn)話題。網(wǎng)絡(luò)安全態(tài)勢感知通過提取可能會影響網(wǎng)絡(luò)安全的各類要素，并對其進(jìn)行分析、評估，在此基礎(chǔ)上對未來發(fā)展趨勢作出預(yù)測，分析結(jié)論和預(yù)測結(jié)果以可視化方式呈現(xiàn)出來。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)將入侵事件從“事后治理”向“事前預(yù)防”轉(zhuǎn)變，在保障用戶信息隱私與網(wǎng)絡(luò)資產(chǎn)安全方面具有顯著優(yōu)勢。

1 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型

1.1 網(wǎng)絡(luò)安全態(tài)勢感知模型的整體架構(gòu)

本文提出基于信息融合的分層次網(wǎng)絡(luò)安全態(tài)勢感知模型，以態(tài)勢信息為基礎(chǔ)，通過態(tài)勢信息的預(yù)處理和評估，展開態(tài)勢預(yù)測并使網(wǎng)絡(luò)安全態(tài)勢進(jìn)行可視化呈現(xiàn)，向管理員展示網(wǎng)絡(luò)存在的潛在風(fēng)險(xiǎn)與安全走勢，保證管理員能夠及時、直觀地掌握網(wǎng)絡(luò)安全狀況。該模型的整體架構(gòu)如圖1 所示。

圖1 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

網(wǎng)絡(luò)安全態(tài)勢評估是該系統(tǒng)的核心部分，具體又包括了資產(chǎn)價值評估、脆弱性評估、入侵威脅評估3部分；態(tài)勢信息分類存儲在不同的數(shù)據(jù)庫中，如資產(chǎn)數(shù)據(jù)庫、安全事件庫等，方便數(shù)據(jù)的查找和調(diào)用；網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果在液晶顯示屏上可視化展示[1]。

1.2 態(tài)勢信息采集

該系統(tǒng)通過傳感器采集和人工輸入2 種方式獲取態(tài)勢信息，信息內(nèi)容為影響網(wǎng)絡(luò)環(huán)境的各項(xiàng)安全因素，主要含括4 類：（1）資產(chǎn)信息數(shù)據(jù)。如網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等可見資產(chǎn)信息，系統(tǒng)軟件、應(yīng)用軟件等軟件資產(chǎn)信息；（2）脆弱性信息。結(jié)合網(wǎng)絡(luò)系統(tǒng)的組成架構(gòu)，脆弱性信息的來源有網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層3個渠道。以應(yīng)用層為例，應(yīng)用程序存在編程漏洞，如緩沖區(qū)溢出漏洞、跨站點(diǎn)請求偽造漏洞等，都有可能引起網(wǎng)絡(luò)安全問題；（3）威脅信息，特指能夠造成資產(chǎn)破壞的網(wǎng)絡(luò)安全事件；（4）網(wǎng)絡(luò)性能信息，如內(nèi)存使用率、帶寬利用率、數(shù)據(jù)包丟包率等信息。不同類型的態(tài)勢信息，采集方式也不盡相同，網(wǎng)絡(luò)性能信息可通過Hyperic Sigar 類集提供的API 完成采集，而威脅信息則是基于IDS 等檢測設(shè)備進(jìn)行感知[2]。

1.3 態(tài)勢預(yù)處理

不同類型傳感器采集到的信息存在異構(gòu)性，如果將這些信息直接傳遞給終端處理器，一方面是占用較多的帶寬資源，容易發(fā)生信道堵塞的情況，不利于突顯態(tài)勢感知的即時性；另一方面也會增加信息分析與處理的負(fù)擔(dān)，甚至?xí)驗(yàn)閿?shù)據(jù)信息無法兼容而出現(xiàn)分析錯誤。因此，本文在設(shè)計(jì)基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型時，加入了態(tài)勢預(yù)處理環(huán)節(jié)?；贜SSAP 數(shù)據(jù)交換協(xié)議，將來自于不同傳感器的數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的格式，從而大幅度降低了不同模塊之間的耦合度。通過態(tài)勢預(yù)處理，態(tài)勢信息的復(fù)雜度降低，系統(tǒng)終端對異構(gòu)信息處理的開銷明顯減少，對提高系統(tǒng)整體的響應(yīng)速度也有積極幫助。經(jīng)過預(yù)處理后的態(tài)勢信息分類存儲到數(shù)據(jù)庫中。

1.4 態(tài)勢融合

態(tài)勢融合的目的是基于多源異構(gòu)數(shù)據(jù)的綜合分析，從完成對某類事件的精準(zhǔn)識別與判斷。現(xiàn)階段常用的態(tài)勢融合算法有多種，如基于數(shù)學(xué)模型的算法、基于邏輯關(guān)系的算法、基于規(guī)則推理的算法等[3]。本文選擇基于數(shù)學(xué)模型的融合算法，其原理是：匯總各類影響網(wǎng)絡(luò)安全的態(tài)勢信息，并構(gòu)建態(tài)勢要素集合P={p1,p2…pn}，并尋找P 與態(tài)勢值m 之間的映射關(guān)系，表示為：

采用加權(quán)平均法求出權(quán)值，根據(jù)權(quán)值的高低反映網(wǎng)絡(luò)安全態(tài)勢。該方法的優(yōu)勢在于計(jì)算量較小，并且較為直觀地表示網(wǎng)絡(luò)安全態(tài)勢；但是需要保證收集到的網(wǎng)絡(luò)安全態(tài)勢信息完整、準(zhǔn)確，因此態(tài)勢融合前的態(tài)勢信息采集和預(yù)處理顯得十分重要。

1.5 態(tài)勢評估與預(yù)測

評估安全態(tài)勢是基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型的核心功能，本文在設(shè)計(jì)態(tài)勢評估模塊時，分別選取3 個角度展開評估：（1）資產(chǎn)評估，評估對象是網(wǎng)絡(luò)中全部的資產(chǎn)設(shè)備。在發(fā)生入侵事件后，資產(chǎn)設(shè)備受到威脅，通過資產(chǎn)評估可以量化表示計(jì)算機(jī)網(wǎng)絡(luò)安全的受影響程度；（2）脆弱性評估，發(fā)生在網(wǎng)絡(luò)環(huán)境下的入侵事件，是通過特定的脆弱性（如系統(tǒng)漏洞）竊取、篡改資產(chǎn)數(shù)據(jù)，脆弱性評估可以量化表示網(wǎng)絡(luò)中資產(chǎn)設(shè)備的弱點(diǎn)、缺陷，為下一步開展維護(hù)優(yōu)化提供指導(dǎo)；（3）威脅評估，對網(wǎng)絡(luò)中可能破壞資產(chǎn)設(shè)備的潛在威脅作出評估，并對其進(jìn)行分類。在態(tài)勢評估的就上，利用合適的預(yù)測模型算法，以歷史態(tài)勢信息和當(dāng)前態(tài)勢信息作為訓(xùn)練樣本，對未來一段時間內(nèi)的安全態(tài)勢發(fā)展進(jìn)行推算、預(yù)測。同時，態(tài)勢評估和預(yù)測結(jié)果都會以可視化形式呈現(xiàn)。

2 網(wǎng)絡(luò)安全態(tài)勢感知模型的關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢采集與傳輸技術(shù)

為了采集到更加完整的安全態(tài)勢信息，本文選用了Hyperic-Sigar 技術(shù)，該技術(shù)能直接通過本地接口調(diào)用地層API，進(jìn)而得到網(wǎng)絡(luò)內(nèi)部的資產(chǎn)數(shù)據(jù)。Hyperic-Sigar 技術(shù)可適用于目前主流的多種平臺，如Windows、Linux、Macos、AIX 等；同時對外提供多樣的應(yīng)用程序接口，如Java、Python、Ruby 等。

前端傳感器會不間斷的采集網(wǎng)絡(luò)態(tài)勢信息，這些信息具有數(shù)據(jù)量大、多源異構(gòu)等特點(diǎn)。為了減輕傳輸壓力和減少帶寬資源的消耗，本文運(yùn)用了NSSAP 數(shù)據(jù)交換協(xié)議技術(shù)。該協(xié)議采用Base64 編碼機(jī)制對多源異構(gòu)數(shù)據(jù)的格式進(jìn)行規(guī)范化處理，最后得到標(biāo)準(zhǔn)的JSON 格式數(shù)據(jù)[4]。NSSAP 傳輸報(bào)文由頭部信息和正文信息組成，報(bào)文格式見表1。

表1 NSSAP 傳輸報(bào)文格式

2.2 網(wǎng)絡(luò)安全態(tài)勢信息融合技術(shù)

將網(wǎng)絡(luò)安全態(tài)勢信息按照某種規(guī)則進(jìn)行融合，不僅能夠大幅度減小數(shù)據(jù)體量，降低了后期數(shù)據(jù)運(yùn)算處理的難度，而且還能提高系統(tǒng)識別入侵事件或安全威脅的精確度。鑒于前端傳感器數(shù)據(jù)源形式各異，其融合過程中也被劃分為多個層級，如像素級、特征級、決策級。

2.2.1 像素級數(shù)據(jù)融合

像素級融合傳感器采集到的原始數(shù)據(jù)在不經(jīng)過處理的情況下直接進(jìn)行融合，完成融合后再從數(shù)據(jù)中提取出特征像素進(jìn)行威脅識別，數(shù)據(jù)融合過程如圖2所示。

圖2 像素級數(shù)據(jù)融合過程

像素級數(shù)據(jù)融合是最低層級的融合，主要用于圖像的分析與理解，經(jīng)過融合處理后的安全態(tài)勢信息可以將數(shù)據(jù)表征層次從低級提升為高級，當(dāng)是仍然存在處理效率不高、容易受到干擾等缺陷。

2.2.2 特征級數(shù)據(jù)融合

特征級數(shù)據(jù)融合在像素級數(shù)據(jù)融合的基礎(chǔ)上進(jìn)行了改良，接收到傳感器采集到的數(shù)據(jù)后，從原始數(shù)據(jù)進(jìn)行特征提取，以便于實(shí)現(xiàn)數(shù)據(jù)壓縮，從何源頭上縮減了數(shù)據(jù)體量。對提取出來的特征值做特征級融合，最后進(jìn)行識別、決策，整個融合過程如圖3 所示。

圖3 特征級數(shù)據(jù)融合過程

特征級數(shù)據(jù)融合主要應(yīng)用于多源傳感器的目標(biāo)跟蹤，由于將特征提取步驟從融合后轉(zhuǎn)移到融合前，減輕了終端處理器的數(shù)據(jù)處理強(qiáng)度，對提高網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的響應(yīng)速度有一定效果。在應(yīng)用該融合方法時，特征屬性的選擇與提取是決定決策水平的關(guān)鍵因素。

2.2.3 決策級數(shù)據(jù)融合

決策級數(shù)據(jù)融合是在傳感器內(nèi)獨(dú)立完成特征信息的提取、識別與決策，是一種高層次的數(shù)據(jù)融合方式，其融合過程如圖4 所示。

圖4 決策級數(shù)據(jù)融合過程

在決策級數(shù)據(jù)融合中，首先遵循某種特定規(guī)則為前端傳感器賦予可信度權(quán)值，分別對每一個傳感器上的態(tài)勢信息作特征提取與威脅識別處理。識別結(jié)果經(jīng)過決策級融合后，可以得到全局最優(yōu)決策[5]。相比于像素級和特征級數(shù)據(jù)融合，決策級數(shù)據(jù)融合對數(shù)據(jù)信息的壓縮率最高，降低了數(shù)據(jù)傳輸對帶寬的要求，提高了系統(tǒng)響應(yīng)速度，可以做到入侵事件的同步響應(yīng)，在保證網(wǎng)絡(luò)安全方面效果顯著。

2.3 網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)

本文使用“矩陣法”對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行計(jì)算、評估，以入侵威脅評估為例，評估過程氛圍可信度評估、支持度評估、嚴(yán)重度評估3 部分，評估過程如圖5 所示。

圖5 入侵威脅評估過程

圖5 中，可信度用于表示入侵事件發(fā)生的真實(shí)性，本文使用D-S 證據(jù)理論對入侵威脅的可信度進(jìn)行評估；支持度用于表示入侵攻擊的成功概率，本文使用Bayesian 網(wǎng)絡(luò)方法綜合分析影響攻擊成功實(shí)施的多個因素，進(jìn)而求出安全威脅的支持度；嚴(yán)重度用于表示入侵攻擊的威脅程度，本文按照攻擊意圖對目標(biāo)網(wǎng)絡(luò)環(huán)境的危害程度將攻擊嚴(yán)重度劃分為10 個等級，等級越高則表示入侵攻擊產(chǎn)生的嚴(yán)重度越高。

結(jié)束語

在互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出復(fù)雜化、大規(guī)模的發(fā)展趨勢，暴露出的脆弱點(diǎn)也相應(yīng)增加。傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)大多是在入侵行為發(fā)生后采取被動保護(hù)，無法保證網(wǎng)絡(luò)資產(chǎn)設(shè)備的完整性和安全性。基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，則是以傳感器采集態(tài)勢信息，并經(jīng)過預(yù)處理、融合、評估等一系列處理后得出最優(yōu)決策，預(yù)測入侵事件的真實(shí)性、成功概率和嚴(yán)重程度。網(wǎng)絡(luò)管理員根據(jù)決策結(jié)果在入侵事件發(fā)生前采取應(yīng)對措施，切實(shí)保障了網(wǎng)絡(luò)資產(chǎn)設(shè)備的安全性。