網絡安全態勢感知系統的研究

于瀅

摘要：近年來各種網絡安全事件頻繁發生，人們越發關注網絡安全防御體系的建設，對安全防護工作愈發重視，堅強的網絡安全防御體系已經成為眾多企事業單位構建信息內網的目標。網絡安全態勢感知是信息安全管理方面的一項重要技術，是多項安全技術的復合與增強，它強調對網絡安全態勢變化的實時捕獲，并據此評估網絡安全情況。具體來說，是通過技術手段從時間和空間維度來感知并獲取安全相關元數據，通過數據信息的融合分析動態反映網絡安全狀況并預測其未來的發展趨勢，最終為增強網絡安全性提供可靠的決策支持。

關鍵詞： 網絡安全態勢感知；多源數據融合；態勢評估；態勢預測

中圖分類號：TP181 文獻標識碼：A 文章編號：1009-3044（2017）34-0012-04

Abstract：After analyzing and comparing the existing security situation assessment method， the author proposes a network security situation assessment method Based on time dimension， which focused on the necessity of using different method for short-term and long-term assessment. The short-term assessment Based on the alarm information that came from security device such as firewall and Intrusion Detection Systems （IDS）， and got the whole short-term situation according the score of destination host. Long-term assessment system included result of short-term assessment and static index which the weight of it was determined with entropy method. This model has divided network security situation into short-term and long-term， and has made up for the lack of setting situation assessment boundaries in terms.

Key words：network security situation awareness； multi-source data fusion； situation assessment； situation forecast

1 概述

隨著計算機和通信技術的不斷發展，計算機網絡向著更大規模、更高復雜度的方向演進，與此同時，針對計算機與網絡系統的攻擊行為也向著自動化、分布式方向發展，這就對信息安全管理提出了進一步的要求。各種網絡安全技術相繼出現，如防火墻技術、入侵檢測技術（Intrusion Detection Technology）、可信計算技術、漏洞掃描等，但是這些技術也并不能完全保證網絡系統的萬無一失，它們僅面向某一特定方面的安全問題，僅對部分安全數據進行了采集和處理，未能實現對全局網絡安全狀況的全面保護。

網絡安全態勢感知技術是上述提到的多項安全技術的復合與增強[1]，它依靠其他安全設備、軟件系統，同時凌駕其上，對信息安全管理技術進行了擴展。它能夠實時地、主動地監測網絡狀態，得到更為精準的攻擊威脅行為的描述，并對網絡進行全面的安全狀態估計，使得信息安全工作人員能夠在攻擊發生或造成進一步損失之前，對攻擊威脅進行預測，從而預先采取相應的措施來提高網絡的安全等級[2]。

2 相關研究

2.1 數據融合技術

數據融合，即多傳感器數據融合，又稱為信息融合（Information Fusion），是利用計算機技術對按時間順序得到的多個傳感器的信息在一定的規則下自動分析、綜合以完成所需的決策任務而進行的數據信息處理過程。數據融合的概念最早應用在軍事領域，80年代以后，基于多傳感器的數據融合技術得到了眾多應用領域的關注，包括：機器人與智能系統、目標檢測、多源數據融合等。

一般來講，數據融合就是對信息進行綜合、處理的過程，即為了完成某一個特定的決策與評估目標，而對來自不同系統、不同模式、不同時間及不同表示方式的數據信息按照一定的規則進行綜合分析，最后得到該特定目標的更為精確地描述。

在多傳感器數據融合中，數據融合主要是對來自不同數據源的多源數據進行分層級處理，每一個層級都代表了對原始數據的不同程度的抽象。按照數據抽象程度的不同，可以將融合層級分為三層：數據層（像素層）融合、特征層融合和決策層融合[3]。如圖1所示數據融合一般模型，本文提出的信息安全數據融合模型也是基于此通用框架。框架中的層次對應于Rotle提出的數據融合演進圖（圖2）中的一步，其粒度由細到粗，由最低層次的數據存在性合并到最終的態勢分析。

2.2 網絡安全態勢評估技術

網絡安全態勢評估模型及關鍵技術是目前信息安全領域的研究熱點，國內外的研究人員已經取得一些進展，無論是在態勢評估方法上還是評估指標體系的構建上都有比較優秀的模型提出；這些方法為網絡安全態勢評估的研究提供了更高的起點，為實用性模型的構建奠定了良好的理論基礎[4]。

將現有的網絡安全態勢評估方面取得的研究成果進行分類，按照評估數據源可以分為基于配置信息與基于運行信息兩類，所謂基于配置信息是指網絡構建、設備配置，漏洞情況等；基于運行信息是指系統所受動態攻擊的情況，主要來自于流量信息、設備日志信息等[5]。endprint

基于系統配置的網絡安全態勢評估是目前態勢評估的重要研究內容，這方面研究成果比較多。Ortalo使用Markov模型計算攻擊者攻擊成果所需付出的代價，以定量的方式計算系統安全情況，并給出了系統安全的演化圖。馮登國對信息安全風險評估領域的模型、標準、方法、工具等進行了綜合闡述，但主要集中在使用漏洞掃描等技術手段上 [6]。肖道舉等人提出了一種綜合評估模型，模型主要基于主機提供的服務在網絡系統中的重要程度以及主機漏洞威脅程度。

基于運行信息的網絡安全態勢評估方法也在近些年引起了大范圍的關注。Bass提出利用多源傳感器的數據融合建立網絡空間態勢意識的框架，通過推理識別攻擊者身份、攻擊目標以及攻擊威脅性，進而評估網絡體系的安全態勢，但Bass并沒有將理論實現具體原型系統。Porras提出基于系統任務影響的報警優先級評估方法，結合報警造成的損失的嚴重性、攻擊目標的關鍵性等因素，為報警流中的每個報警進行優先級排序。但是此方法只是孤立地分析每條日志、每個告警。陳秀真等人提出了一種層次化網絡安全態勢量化評估方法，結合服務、主機自身的重要性，采用自上而下的層次化安全威脅態勢量化評估模型能夠提供服務、主機和網絡系統三個層次的安全威脅態勢[7]，但是她沒有從整體性上對攻擊進行分析，沒有考慮攻擊之間的聯系。

通過對現有網絡安全態勢評估方法的比較分析，發現其中均存在一些不足之處：

1） 將短期的網絡安全態勢評估與中期、長期網絡安全態勢評估方法不予區分，籠統的使用同一種方法；

2） 評估數據源過于單一，綜合性差，導致評估結果偏于片面；忽略多個數據源之間的內在聯系，致使評估結果不夠精準；

3） 建立的評估指標體系中，靜態指標（如設備數量等長期不變的指標）比重過大，難以實現對網絡狀態的動態性的掌控；

4） 并未對網絡安全狀況進行持續性的評估及預測。

這些問題極大削弱了網絡安全態勢評估模型的準確性及實用性，導致構建的模型并不能夠對網絡安全態勢進行完整有效的描述。針對上述不足之處，本文提出了一種層次化的網絡安全態勢評估模型，模型將短期態勢評估和長期態勢評估區分開來，對于短期態勢評估著重強調評估結果能夠對網絡安全態勢的變化進行高靈敏度的反應，評估指標應具有波動性強、實時性好的特點。而對于網絡安全態勢長期評估模型更強調安全態勢評估的整體性，突出入侵、攻擊等安全事件對網絡系統的綜合影響分析，側重對網絡穩定性、可靠性的描述。

在網絡安全體系建設過程中，網絡中會部署各種不同功能的安全防護設備，如防火墻、入侵防御系統（IPS）、入侵檢測系統（IDS）、漏洞掃描、堡壘主機等，這些設備針對不同的網絡安全問題從多個側面對網絡運行情況進行了描述，產生的告警數據、監測數據等能夠基本囊括網絡全方位信息，但是由于缺乏不同設備間的互聯分析機制，導致這些數據的分析挖掘并不到位。本文構建的網絡安全態勢感知框架將多源信息放到統一的平臺上進行分析處理，將此分析結果作為短期評估的數據基礎；在進行中長期評估時首先將短期評估數據全部引入，在此基礎上加入更多的靜態指標和全局指標，全方位的對網絡安全態勢進行評分。

2.3 網絡安全態勢預測技術

網絡安全態勢預測是信息安全管理的最高表現形式，準確有效地預測安全態勢，能夠使得信息安全管理由被動變為主動。態勢預測可以使網絡管理人員判斷網絡當前的狀態以及未來的趨勢，能在網絡受到大規模攻擊或造成更嚴重損失之前及時采取措施，加強網絡設備和安全設備的安全策略，著重監測敏感網段，真正達到網絡安全主動防御的目的。

對于網絡安全態勢的預測方法目前并沒有統一的方法和模型，但是對于預測已經有非常成熟的方法，例如灰色預測、神經網絡、支持向量機預測等，它們有各自的特點和適用范圍。我們需從眾多預測算法中找到適用于網絡安全態勢預測特性的算法，并針對態勢預測的特點進行相應的調整和改進。

3 多源數據融合模型研究

目前，網絡安全態勢研究的關鍵技術主要有多源傳感器數據融合、態勢評估、態勢預測、數據挖掘、威脅可視化等，如圖3為網絡安全態勢感知框架的一般性結構，也是本文使用的態勢感知框架結構。本章將首先構建框架的第一部分：多傳感器數據融合模型。

安全設備、網絡設備的系統日志、配置信息、流量信息、運行信息等為數據基礎，通過梳理這些網絡安全業務應用系統的數據流及其內在數據傳導機制，參考不同生產廠商的技術規范，統一安全日志的格式，將這些數據進行集中的分析匯總，提取關鍵信息，去除冗余信息，提供一個統一的數據展示平臺接口。通過該數據接口，構建多源數據融合模型。

3.1 多源數據融合模型的構建

由“數據融合”的概念可知，數據融合是一個在多個級別上對數據進行綜合處理的過程，每個處理級別都反映了對原始數據不同程度的抽象。圖4為本文在圖1通用模型的基礎上構建的網絡安全多源數據融合模型。此模型以內網安全設備、網絡設備等提供的日志信息、運行信息、配置信息等為輸入，進行多級的融合分析，最終實現由數據到知識的過渡。

本文將融合分析過程抽象為零級數據預處理→一級數據融合→二級數據分析→三級威脅示警的過程，數據融合后生成目標庫，數據分析后生成狀態庫，最終實現威脅示警及知識積累（進入信息安全知識庫）。

數據融合的目標是為了獲取更高質量的信息，而對于網絡安全態勢感知來說，更高品質意味著圖5所示的四個重要目標。

在實際操作我們根據圖4的演繹路線，將數據融合分為低、中、高三個層次的融合，融合粒度由細到粗，如圖6為數據融合的具體步驟。

低級數據融合主要是對多源數據進行預處理，統一格式，同時使用規則過濾減少數據量；中級數據融合主要使用多樣化的融合手段如抑制、計數、細化、概括等實現高優先級、高信息量信息的提?。桓呒墧祿诤蟿t是指關聯分析，是數據融合最關鍵的一步，其最終挖掘出隱含的高級信息，也就是本文所指的“超告警”。下面詳細闡述三個級別的數據融合模型。endprint

3.2 低級數據融合

第一步是低級數據融合，也就是對數據的預處理過程，這一部分主要是根據收集數據的規則過濾掉部分數據，并將所有數據的格式進行統一。

這里提到的收集規則是指根據需求限定收集數據的IP段、告警等級等，將一些告警等級低、無關IP地址的數據剔除，這樣可以大量減少分析數據的數量，加快融合程序計算速度。如圖7為數據規則過濾流程圖，接收到一條數據后，其分別與規則庫中的所有規則進行比對，當所有比對全部匹配時保留數據，否則剔除數據。

統一數據格式是數據分析的基礎，多源傳感器數據統一數據格式，主要保留關注字段，去除冗余或信息不足的字段，例如對于任意兩個同一廠商的防火墻安全日志信息S1（sid，fw，recorder，src，dst，sport，dport，smac，dmac，proto），S2（sid，fw，recorder，src，dst，sport，dport，smac，dmac，proto），如果其屬性{fw，recorder，src，dst，sport，dport，smac，dmac，proto}的值相同，并且|S1.starttime-S2.starttime|<ε，（ε是事先規定的閾值），則稱S1和S2滿足重復關系。即把最新的產生的安全日志信息替換掉原來的安全日志信息。

3.3 中級數據融合

第二步是中級數據融合，經過低級融合，多源數據已經具有統一的格式，這是中級數據融合的基礎，這一級融合主要是進行冗余歸并的工作。

本文將滑動窗口模型應用于多源數據冗余歸并，如圖8所示為滑動窗口冗余歸并模型流程圖。具體來說，系統一直維持一個N條數據的窗口，將實時新數據與窗口中的N條數據依次比對，根據比對結果來確定對新數據的處理方式是進行歸并還是加入窗口，若加入窗口為保持窗口值不變則必須舍棄一條數據使窗口向前滑動，若進行歸并則使用新數據更新窗口中的數據。文中所提到的窗口值N也就是冗余歸并的計算范圍，當N值越大時歸并程度越深，相應的歸并速度會顯著降低，當對實時處理速度要求較高時N值必須為一個恰當的值，既能夠保證實時性的要求又能夠具有較高的處理精度。

由上面的描述可知滑動窗口模型的重點在于第二步“新的數據于指針指向的數據進行比對”，這是確定窗口是否向前滑動的關鍵。本文采用相似度關聯算法對告警數據進行處理，其功能是融合反映物理世界中同一個安全事件的多個告警為一個告警記錄，在減少告警數量的同時剔除誤報，其主要步驟如下：

（1） 為主要攻擊種類設置期望相似度，最小相似度閾值；

（2） 計算新數據與指針指向數據的屬性相似度；

（3） 判斷是否滿足最小相似度閾值。

3.4 高級數據融合

第三步是高級數據融合，也就是關聯分析。如果以人類自身的生理功能作類比，多源數據關聯分析技術如同把通過人類感覺傳感器（視覺、聽覺、味覺、嗅覺、觸覺）獲得的信息，例如畫面、聲音、氣味等組合起來，并使用先驗知識去理解、判斷周圍情景和正在發生的事情。相對于單一傳感器，多傳感器可以從事物的多個角度、多個層面獲取更豐富的數據信息，也就是經過綜合關聯分析挖掘出全面、真實的結論[8]。

這一步主要是將告警數據上升到攻擊信息的層次，挖掘不同設備產生的告警之間所存在的內在聯系。不同的網絡安全設備，對于同一個安全事件的反饋信息可能是不同的（如圖9所示）。將這些信息關聯起來，能夠更準確定位告警原因。單一設備有可能出現誤報或者漏報；多種設備告警的相互印證，多角度的分析，才有可能準確的甄別告警、定位攻擊[36]。

本文使用交叉關聯方法進行關聯分析，此方法將告警信息與流量信息、漏洞信息、網絡拓撲信息、網絡配置信息進行關聯，從而實現對告警成功率和威脅度的計算，最終實現對真實威脅的甄別以及對誤告警的過濾。如圖10所示為高級數據融合關聯分析步驟，從中級數據融合產生的日志信息中獲取攻擊類型及目的主機，將攻擊依賴環境信息、漏洞信息等與目的主機信息、漏洞信息相比對，并結合拓撲、流量等信息計算告警可信度，按照告警可信度排序輸出，排在最前面的表示威脅值最高，破壞力最大的告警。

本文定義高級數據融合輸出的最終告警稱為“超告警”，并將超告警表示成的形式，其中SID表示的是此告警的具體信息并且包括告警分解向量，它包含著此種告警更為詳細的內容；SrcIP表示攻擊源主機IP地址，DesIP表示攻擊目標主機IP；Times是對發生次數的統計。

4 結論

本文梳理了現有網絡安全技術以及網絡安全態勢評估、多源數據融合模型建立，針對網絡運行中的實際問題，建立了多維度的安全態勢感知技術框架和評估預測模型，最終研制了相應的網絡安全態勢感知系統支撐平臺，將模型付諸實現，以更直觀、更易理解的方式對網絡安全態勢進行展示。

參考文獻；

[1] 胡威. 網絡安全態勢感知若干關鍵性問題研究[D]. 上海： 上海交通大學， 2007.

[2] 王軍英， 馬國青. 企業信息安全分析分析及對策[J]. 農電網絡信息， 2010（7）：71-73.

[3] 韋勇， 連一峰. 基于日志審計與性能修正算法的網絡安全態勢評估模型[J]. 計算機學報， 2009， 32（4）：763-771.

[4] 王晉東， 沈柳青， 王坤. 網絡安全態勢預測及其在智能防護中的應用[J]. 計算機應用， 2010， 30（6）：1480-1488.

[5] 朱麗娜， 張作昌， 馮力. 層次化網絡安全威脅態勢評估技術研[J]. 計算機應用研究， 2011， 28（11）：4303-4306.

[6] 王慧強， 賴積保， 胡明明. 網絡安全態勢感知關鍵實現技術研究[J]. 武漢大學學報信息科學版， 2008， 33（10）：995-998.

[7] 趙國生， 王慧強， 王健. 基于灰色關聯分析的網絡可生存性態勢評估研究[J].小型微型計算機系統， 2006， 27（10）：1861?1864.

[8] 朱周華. 電子政務網絡與信息安全保障體系設計[J]. 微計算機信息， 2009（9）.