基于多傳感的網絡安全態勢感知系統框架結構

◆彭 毅

（天津市電子計算機研究所 天津 300060）

基于多傳感的網絡安全態勢感知系統框架結構

◆彭 毅

（天津市電子計算機研究所 天津 300060）

本文提出了多源異構傳感器的NSSAS框架結構，并給出了相應的系統物理概念模型，描述了框架結構設計的思路，為深入研究相關技術提供了科學的指導，對工作人員了解網絡情況、及時做出反應提供了有效的依據。

多傳感；網絡安全；感知系統；框架結構

0 引言

網絡安全態勢感知系統框架結構是一個開放的、可擴展的環形結構，可以降低系統的復雜性，防止出現單點失效問題，同時，從整體上明確了組件與組件和層次與層次的關系，以指導各項關鍵技術的進行。

1 網絡安全態勢感知系統結構

1.1 總體框架結構的概述

如圖1為網絡安全態勢感知系統框架結構圖。該結構是分布式開放型結構，共分為三個層次，即：獲取信息層、提取要素層、決策態勢層。獲取信息層在布設所涉及的服務傳感器、物類傳感器等異構信息；提取要素層依據所獲取的異構信息，應用融合方法對異構信息進行精簡數據和提取安全事件；決策態勢層應用層次評估思想和非在線時間序列預測方法理解和預測多源信息。這三個層次的實現都需要與對應的數據庫實施交互。

圖1 網絡安全態勢感知系統框架結構

此系統框架結構形成由安全監控、安全分析、安全決策組合而成的感知環。由多種傳感器實現全程監控，每個傳感器獲取每個設備的安全狀態數據，實現監控整個網絡運行動態；安全分析通過過濾、驗證來分析數據信息；安全決策通過預測和評估整個網絡的安全態勢。

1.2 系統的概念結構

結合實際的網絡安全態勢框架結構，并依據與之相應的概念結構，其應用在反映不同感知層次的數據流向。感知層次中的提取網絡安全態勢對于整個網絡而言是非常重要的，如果沒有提取出相應的態勢要素信息，那么就不能生成合理的安全態勢圖。評估和預測態勢作為感知網絡安全態勢的中心，是在綜合理解整個網絡的態勢。在識別態勢信息安全事件后，結合各個事件的關系，計算和掌握服務、網絡、主機所受的威脅，并且生成正確的安全態勢圖。

1.3 系統的物理結構

在系統物理結構中包括分析器、決策器、傳感器等。每個安全域內都有一個分析器和很多個傳感器。傳感器負責對本地網絡和主機進行監控，如果發現有可疑的行為，及時向分析器發送。待分析器接收報告后，在綜合分析后將分析結果傳輸到全局數據庫中。決策器根據各個安全域的分析結果實施高級綜合處理，明確整個網絡系統的安全情況，并存儲至數據庫中。傳感器和傳感器間使用環形進行連接，這樣做的主要目的在于通過傳感器互補信息來加強各個傳感器的分析水平，對數據進行進一步的精簡，分析器間也可以進行相似的連接。分析器和傳感器間使用雙向交互的方式，這樣傳感器可以將提取的信息主動的提交給分析器，并且分析器也能夠下發指令對傳感器進行重新配置。同時系統物理結構可以動態配置和動態裁剪系統，進而適應多種分布式應用環境的需求。

2 提取要素層

2.1 聚合多源異構安全信息

要素提取層對多源異構安全信息進行聚合操作，安全信息讀取模塊將數據庫中已經格式化的信息輸入至相異度計算模塊中。結合每一條標準化安全信息的屬性與分類模塊結果綜合對比，將在聚合判決模塊中輸入結果，將與閾值條件相符的安全信息規劃為同種類別。支持數據庫包括標準化安全信息庫、權值庫、閾值庫和分類模板庫四種。

2.2 融合多源異構安全信息

在聚合安全信息執行后，應用指數加權DS證據理論融合分析結果，目的在于有效的識別攻擊行為。在分類信息庫中獲取安全事件信息后，并根據各個傳感器的檢測率相對應的布設置信度；傳感器權重分配模塊結合實際攻擊狀況，獲取出傳感器中各個權值；DS推理模塊結合每個傳感器的重要性的差異，對行為發生率進行理解，在給出推理結果后提交至融合判決模塊中，判決模塊結合閾值要求得出具體的結果，并存儲到數據庫中，這個過程就是完成了安全要素的提取。

3 獲取信息層

3.1 選擇數據源

因為網絡系統過于復雜，在實際運行中會出現很多的多源異構數據，系統在多種因素的限制，不能準確的、全面的獲取數據。所以，只能選取出信息量豐富、可靠性很高、冗余度較低的數據作為系統數據源。在數據源選取中，還需要考慮到各個數據源間的互補性和交叉性，在不斷擴大覆蓋面的基礎上，防止出現過度重復的情況。

3.2 NetFlow傳感器的應用

NetFlow傳感器負責采集和分析NetFlow數據。因為這類傳感器不需要分析網絡數據包內容，減少了預算和處理傳感器的工作量，所以很適宜在全局上進行對高速網絡的監測。同時此傳感器可以實時的提供出很多流量信息和網絡連接信息，具備信息量大、視角度廣泛等優勢。

3.3 日志類傳感器的應用

日志類傳感器可以采集出多源日志并對其進行分析，最終形成格式統一的安全事件格式。日常采集器在日志采集代理、安全設備日志輸出接口、專用日志訪問協議等方式方法采集安全設備和關鍵主機等。采集器具有自動的完成采集信息的功能。但日志文件很容易被損壞，在入侵者入侵后會對日志進行修改或者刪除，所以在采集器中加入檢測日志完整性模塊，在設備日志系統中融入檢測日志完整性的方法，檢測日志的有效性和完整性。

3.4 SNMP傳感器的應用

SNMP傳感器依據SNMP協議及時的、有效的采集可控設備MIB庫中的數據信息，并分析數據信息，這樣可獲得網絡拓撲信息、安全事件信息等，并以統一的格式上交給網絡管理員。SNMP數據采集模塊主要對MIB庫的數據進行采集，獲取MIB中態勢數據，并將數據傳遞給數據分析模塊。

3.5 多源安全信息的格式化

每一種傳感器獲取到的數據和初步分析得到的安全信息，這兩種信息格式差異很大，如果將其直接進行提交，那么會給上層應用數據統一存儲帶來很多困難。所以應使用統一的、合理的態勢信息模型，這種模型的建立具有如下幾點優勢：一是，提供出統一的、完善的數據結構，降低系統處理難度；二是，確定多源異構傳感器的提交數據需求，指導傳感器的設計；三是，為應用上層程序提供出完整的數據格式。

3.6 服務類傳感器的應用

此傳感器負責采集安全狀態的一系列數據。在服務出現失效時，以事件形式上報給網絡管理員。服務傳感器作為系統中最關鍵的信息獲取部件，可以向上層管理人員提供出關服務的運行情況，同時還能為分析其他傳感器數據作參考依據。

4 分析態勢決策層

4.1 動態預測模塊

此模塊通常用于預測整個網絡的安全態勢，獲取模塊從態勢庫中讀取歷史態勢數據、網絡安全數據；歷史數據負責提交給態勢預測訓練模塊；評價優化模塊根據訓練與測試評價結果，應用改進遺傳算法，直到滿足訓練結果的誤差要求，才能明確態勢預測模型，將模型的預測結果提供給安全管理工作者，用于決策分析中。

4.2 評估安全態勢量化

安全態勢量化評估模塊主要評估整個網絡安全態勢，安全威脅統計模塊根據在某段時間內提取出的安全事件分析威脅度，得出各個主機服務在各個時間段中所受到的安全事件數量。服務安全態勢評估模塊結合各個時間間隔的情況，計算出相對應的服務安全態勢，并將實際情況存儲在態勢庫中。網絡安全態勢評估模塊結合權值，對整個網絡安全態勢狀況進行計算，并將最終結果提交到態勢中呈現模塊，將評估結果提交給決策者。

5 結語

總而言之，在網絡技術的快速發展下，隨之而來的網絡安全問題越來越多，為了解決網絡安全問題，提高網絡系統的反擊能力，基于多傳感的網絡安全態勢感知系統框架結構能夠很好的解決網絡安全問題，進一步保證網絡系統和計算機隱私信息的安全。

[1]馬龍，孫江輝，杜程.基于流量分析的網絡態勢感知系統研究[J].信息技術，2016.

[2]劉尚東，龔儉，楊望.態勢感知技術在網絡安全中的應用[J].中國教育網絡，2013.