基于信息融合的層次化網絡安全態勢評估模型

張新剛 王保平 程新黨

南陽師范學院計算機與信息技術學院 河南 473061

0 引言

隨著互聯網技術的快速發展，網絡規模日益龐大，網絡應用更加復雜多元化，網絡安全事件層出不窮，網絡安全威脅日益嚴峻。傳統上單一的安全防御手段如Firewall、IDS、VDS等已經無法滿足網絡安全新的發展需求。網絡安全態勢評估能夠綜合分析網絡安全的各種態勢要素，動態反映網絡安全的整體態勢，對網絡安全的發展趨勢進行預測，為網絡安全應急響應和主動防御提供了重要支撐。

1 相關知識

態勢感知這一概念源于航天飛行的研究，后來逐漸應用于軍事戰場、空中交通監管等領域。1999年，Bass首次提出了網絡態勢感知(Cyberspace situational awareness, CSA)的概念，并指出基于數據融合的網絡態勢感知將成為網絡管理的發展方向。態勢感知的概念模型由態勢要素提取、態勢理解和態勢預測構成，如圖1所示。

圖1 態勢感知的概念模型

國內外學者紛紛開展了對網絡安全態勢感知模型的研究。陳秀真等提出了層次化網絡安全感知方法，賈焰等開發實現了YHSSAS系統，韋勇等提出了運用D-S證據理論將多源信息融合的網絡態勢評估方法，王慧強等提出了NSSAS模型。綜上，國內外學者提出了很多網絡安全態勢感知模型，為下一步的研究工作奠定了基礎。但同時，上述模型還存在一些不足，例如態勢要素獲取不全面，無法適應大規模網絡態勢感知需求等。

2 層次化網絡安全態勢評估模型

2.1 模型設計

在充分借鑒吸收上述模型優點的基礎上，面向多源異構數據和大規模骨干網絡安全需求，設計了基于信息融合的層次化網絡安全態勢評估模型，如圖2所示。該模型自下而上由要素提取、態勢評估和態勢預測三個模塊構成。在要素提取階段，提取來自IDS、Firewall、Snort等多源異類數據，對獲取的海量數據進行預處理和數據集成。在態勢評估階段，采用從服務層、主機層到網絡系統層的層次化態勢評估方法，分別對網絡基礎運行態勢、威脅態勢、脆弱性態勢和風險態勢進行專項態勢評估，在此基礎上綜合分析得到網絡安全的整體態勢。在態勢預測階段，運用可視化的方式展示當前的網絡態勢，利用態勢預測算法對未來的態勢進行預測。

圖2 層次化網絡安全態勢評估模型

2.2 模塊分析

下面分別對該模型的三個模塊--要素提取、態勢評估和態勢預測進行分析，提出態勢要素提取的方法，給出評估的步驟、方法和算法，分析態勢的可視化展示方案和態勢預測算法。

2.2.1 要素提取

全面而準確地提取網絡安全態勢要素是進行網絡安全態勢評估的重要基礎和前提。網絡安全態勢要素主要包括靜態的網絡環境配置信息、動態的網絡運行信息和網絡流量信息等。

網絡安全態勢評估系統輸入的數據來自多樣化的數據源，通常具有不同的數據格式，因此需要對數據進行預處理和數據集成操作。具體來說，首先需要提取來自IDS、Firewall、Snort、Ntop、NetFlow等安全設備日志和掃描信息，以及實時報警、病毒日志、設備狀態、用戶上報信息等多源異類數據。在此基礎上，對獲取的海量數據進行預處理，主要包括數據分類、歸并、去重和去噪等，并轉換為便于處理的統一格式。

2.2.2 態勢評估

(1) 評估步驟

態勢評估是態勢感知的核心，網絡安全態勢評估重點關注網絡的機密性、完整性和可用性。在態勢評估階段，首先對獲取的海量網絡安全態勢要素數據進行關聯分析，然后分別對網絡基礎運行態勢、威脅態勢、脆弱性態勢和風險態勢進行專項態勢評估，在此基礎上采用基于指數對數的分析技術，合理分配各因素權重，最終形成網絡安全的整體態勢。

同時，借鑒陳秀真等提出的層次化網絡安全威脅量化評估方法，采用自下而上，從局部到整體的層次化評估方法。合理確定服務重要性、主機重要性和網絡帶寬占有率等參數，自下而上分別從服務層、主機層和網絡系統層進行態勢評估，及時掌握網絡安全的整體態勢。

(2) 評估指標

全面、準確地選取網絡安全態勢的要素指標，建立科學、合理的網絡安全態勢評估指標體系是網絡安全態勢量化評估的重要基礎。我們設計了由三級指標構成的層次化網絡安全態勢評估指標體系，如圖3所示。該指標體系涵蓋了反映網絡安全態勢的主要因素，整體上自上而下分別設計了網絡安全態勢評估綜合指標一級指標，由網絡基礎運行指標、網絡威脅指標和網絡脆弱性指標等構成的二級指標，以及由網絡流量、網絡狀態、病毒攻擊、DDoS攻擊、關鍵設備健康指數等構成的三級指標。

在網絡安全態勢的量化評估階段，自下而上分別對各級指標進行標準化處理，科學合理確定各級指標的權重，在此基礎上綜合分析得到網絡安全的整體態勢。

(3) 評估等級

借鑒美國信息安全等級劃分情況，將網絡安全態勢評估的等級分為“優、良、中、差、危”五個等級，分別用“綠、藍、黃、橙、紅”五種顏色表示，如表1所示。

(4) 評估方法

數據融合是網絡安全態勢感知的核心。目前用于網絡安全態勢評估的數據融合方法大致分為以下幾種：①基于數學模型的評估方法。綜合考慮影響網絡安全態勢的各種因素進行態勢評估，構造態勢評定函數，建立從態勢要素集合到態勢空間的映射關系。常見的有權重分析法、集對分析法等；②基于模式識別的評估方法。在機器學習的基礎上建立態勢評估模板，然后通過模式匹配完成態勢評估。常見的有聚類分析和灰關聯分析等方法；③基于知識推理的評估方法。在經驗知識的基礎上建立態勢評估模型，運用邏輯推理完成態勢評估。常見的有基于證據理論的概率推理、基于圖模型的推理等方法。

表1 網絡安全態勢評估狀況等級表

2.2.3 態勢預測

(1) 態勢展示

如何將態勢評估的結果以可視化的形式直觀地進行展示是網絡安全態勢感知的重要內容，通常以報表、拓撲、地理地圖等形式展示。研究人員相繼開發了多個網絡安全態勢可視化系統，其中AS網絡圖是由CAIDA研究小組開發的網絡安全可視化工具，該工具能夠直觀展示網絡中的鏈接狀態，如圖4所示。

圖4 主干網絡鏈接狀態圖

SIFT研究小組開發的VisFlowConnect工具能夠在高速數據流環境下進行多尺度的數據展示，能夠動態展示網絡流量。而Stephen Lau開發的Spinning cube of potential doom工具能夠進行三維網絡流量檢測，自動生成網絡鏈接的三維空間狀態圖。

(2) 態勢預測

網絡安全態勢預測能夠為網絡管理員合理制定網絡安全防御方案提供決策支持。網絡安全態勢預測是根據網絡安全的歷史信息和當前狀態，運用態勢預測算法實現對未來的網絡安全趨勢的預測。態勢預測方法主要有基于時間序列的預測、基于神經網絡的預測、基于灰色理論的預測和支持向量機的預測等。

3 結束語

準確評估網絡安全態勢是實施網絡安全主動防御的重要基礎。針對網絡安全中多源信息的特點，面向大規模網絡安全需求，建立了基于信息融合的層次化網絡安全態勢評估模型。未來的努力方向將是對大規模網絡安全事件要素的提取和實時關聯分析，深入研究相應的評估和預測算法，提高態勢評估的實時性和準確率。

[1] 龔正虎,卓瑩.網絡態勢感知研究.軟件學報.2010.

[2] 陳秀真,鄭慶華.層次化網絡安全威脅態勢量化評估方法.軟件學報.2006.

[3] 賈焰,王曉偉.YHSSAS：面向大規模網絡的安全態勢感知系統.計算機科學.2011.

[4] 韋勇,連一峰.基于信息融合的網絡安全態勢評估模型.計算機研究與發展.2009.

[5] 王慧強.網絡安全態勢感知研究新進展.大慶師范學院學報.2010.

[6] 譚小彬,張勇.基于多層次多角度分析的網絡安全態勢感知.信息網絡安全.2008.

[7] 鄭黎明,鄒鵬.面向大規模網絡的安全態勢實時量化感知模型.計算機科學.2011.

[8] 張新剛,王燕.數字化校園主動安全防御體系分析.實驗室研究與探索.2012.

[9] 龔正虎,卓瑩.網絡態勢感知研究.軟件學報.2010.

[10] 席榮榮,云曉春.網絡安全態勢感知研究綜述.計算機應用.2012.

[11] 朱亮,王慧強.網絡安全態勢可視化研究評述.http：//www.paper.edu.cn.