基于信息融合的網絡安全態勢評估模型分析

彭 鵬

（裝甲兵工程學院 北京 100072）

0 引言

目前，隨著用戶對通信要求的逐漸增加，促使通信和計算機技術的發展非常迅猛，隨之開拓了計算機網絡應用范圍，然而，病毒軟件的出現也使計算機的安全形勢收到壓迫。相較于之前的檢測設備和防御系統均已無法實現客戶需求。網絡安全態勢評估技術針對以上問題可以做到有效的預警和預測，增強網絡的安全性和可靠性。但該評估技術也存在一定的技術缺陷，例如忽略網絡本身的特點和性質、在大規模病毒爆發時安全態勢曲線才能發揮明顯效果、未全面考慮到網絡安全因素、評估指標較為單一等。因此，本文提出了基于信息融合的網絡安全態勢評估模型，從而實現網絡安全態勢的量化分析和趨勢預測。

1 網絡安全態勢評估模型

在計算機網絡中網絡組件和主機節點相對繁多，且包含了大量的各種檢測設備，其主要功能在于監控網絡及主機的實際運行狀況，在此過程中，其所生成的各種日志與報警系統密切相關．在以往對安全態勢進行相應的評估時，往往只是對一種檢測設備所生成的各種日志信息等實施相應的分析和總結，但是基于檢測設備本身的各種不確定因素，其所生成的數據信息也比較單一，所以其分析和總結得出的結果往往很難站得住腳．基于此，本文目的在于探討網絡安全態勢評估的有效科學方法，也即：盡可能多地選取多個相關檢測設備所生成的日志信息，以此作為數據源，然后對其進行分析和融合，以獲得較為全面的外部攻擊信息，在此基礎上，借助于相應的服務信息以及主機節點漏洞信息等，分析外部攻擊對網絡安全態勢所產生的相應的影響，并通過時間序列分析方法進行相應的預測以及分析，以改進傳統安全態勢評估方法，增強評估工作的科學性和有效性。

2 基于信息融合的態勢評估算法

以信息融合為基礎的網絡安全態勢評估法主要包括：（1）態勢要素的融合；（2）數據源的融合；（3）節點態勢的融合．首先，態勢要素融合指的是借助于攻擊成功支持概率、攻擊發生支持概率以及攻擊威脅等媒介，進而對主機節點的安全態勢進行相應的評估；其次，數據源的融合指的是這種新型的數據源融合方式的基礎便是多個檢測設備所生成的日志信息的充分融合，以獲得較為可靠的攻擊發生支持概率；最后，節點態勢融合指的是以各個主機節點的安全態勢評估結果為基礎，然后對整個網絡的安全態勢進行評估．態勢評估算法的主要相關步驟可包括：

2.1 數據源融合

信息融合的重要基礎是多源信息，其目的在于獲得更為客觀、準確的信息處理結果．在信息融合的過程中，需要使用相應的技術和方法，常用的包括估計理論、人工智能方法以及推斷．在實際運行中，數據源融合是為了全面地分析多種檢測設備所生成的各種日志信息，進而獲得更為準確、可靠的態勢評估結果．本文中主要以D—S證據理論方法為研究基礎，借助于態勢評估模型對各個檢測設備的日志、Log等進行分析，以計算某一檢測設備對這一攻擊發生的反對概率或支持概率，經過D—S證據合成后可獲得整個網絡系統的攻擊發生反對或支持概率。

2.2 態勢要素融合

對各個檢測設備的信息進行分析的結果主要是外部攻擊發生的概率，但是其對主機節點所產生的相關影響是憑借多種媒介產生的，如主機節點的內部相關信息、外部攻擊信息以及攻擊攜帶的各種威脅信息等，這就要求我們要全面分析攻擊成功支持概率、攻擊發生支持概率和攻擊威脅，然后經過充分的融合，以對主機節點的安全態勢進行全面的估算．其中，攻擊成功支持概率主要來源于對攻擊依賴漏洞信息以及主機漏洞信息的評估結果．而攻擊依賴漏洞信息往往可分為兩種，一種是必要漏洞，另一種便是其他漏洞，其中，前者指的是某一攻擊成功需要依賴的相應漏洞，而后者則往往會影響其攻擊是否成功，其有著各自的權重，而總和則為1。

2.3 節點態勢融合

3 實例分析

為了對本次研究的模型以及計算方法的適用性進行驗證，在林肯實驗室在2000年提供的DARPA評估數據集中選擇一部分，作為本次研究的數據。該數據不僅包含了網絡內部和網絡邊界詳細的數據信息，還提供了部分主機的審計日志，使其成為信息融合的多源數據。這個數據集主要提供了兩個攻擊場景，分別是LLDOS2.0.2和LLDOS1.0，每個攻擊場景中都包含了五個步驟的攻擊，本文就針對這兩個攻擊場景來對網絡安全態勢進行深入的分析。由于這個數據集中沒有提供主機的漏洞信息和服務信息以及網絡拓撲結構，所以安全態勢在分析過程中會遇到一定的困難。

而借助于報警信息所得到的網絡主機的服務信息和漏洞信息如圖1所示。

圖1 網絡主機的服務信息和漏洞信息

根據審計日志、報警信息以及相關的數據，可以將LLDOS2.0.2和LLDOS1.0這兩個攻擊場景的10個攻擊步驟劃分為10個時段，利用態勢評估算法，一次按照節點態勢融合、態勢要素融合、數據源融合三個步驟，對不同時段的安全態勢值進行準確的計算。本文以第一時段的主機mill為例，其檢測信息主要包含審計日志信息、網絡內部檢測信息、網絡邊界檢測信息等，將這個三個數據源進行有效的融合，計算第一時段，主機節點的安全態勢。然后根據相應的權重和計算方法，計算第一時段的網絡安全態勢值，進行繪圖，得到的網絡安全態勢曲線圖，時間為橫軸，每個時段都分別對應著兩個時間單位，網絡安全態勢值為縱軸，如果網絡安全態勢值越大，就說明網絡安全狀況越嚴重。

4 結束語

本次研究通過在原有網絡安全態勢評估技術基礎上進行再次信息融合，實現了網絡安全趨勢的有效預測，但隨著后期的發展，該技術仍需要不斷的完善，尤其在保證安全態勢的表示方法和相關指標的全面性方面，同時，對詳細研究和探析各類網絡安全事件的特點，從而保證網絡安全威脅來源的預測準確度更高，為用戶提供良好的網絡安全保障。隨著互聯網的普及，基于信息融合的網絡安全態勢評估模型分析已經引起社會各界的普遍關注，所以加強對基于信息融合網絡安全態勢評估模型分析的研究力度具有非常重要的意義，不僅是該領域目前的主要任務，也是未來幾年主要的發展方向。

[1]張新剛，王保平，程新黨.基于信息融合的層次化網絡安全態勢評估模型[J].網絡安全技術與應用.2012.

[2]楊進，李蕓潔，李勤.基于多元信息融合的網絡安全評估模型[J].電腦編程技巧與維護.2014.

[3]黃光球，朱擎.基于信息融合技術的動態安全態勢評估模型[J].微計算機信息.2010.

[4]李鵬.基于 D-S證據的網絡安全威脅態勢評估模型分析與改進[J].電腦知識與技術.2013.