基于貝葉斯方法的網絡安全態勢感知模型

葉健健，文志誠，吳欣欣

（湖南工業大學計算機與通信學院，湖南株洲412007）

基于貝葉斯方法的網絡安全態勢感知模型

葉健健，文志誠，吳欣欣

（湖南工業大學計算機與通信學院，湖南株洲412007）

提出了一種基于貝葉斯方法的網絡安全態勢感知模型。分析了目前國內外NSSA模型的研究現狀。本模型先對歷史監測數據進行分析，得到先驗概率，隨后以構建的時序模型為時間推進過程，利用貝葉斯方法對數據進行處理，將歷史的統計數據與監測數據相結合，進行有效的安全預測。在網絡結構的構建上，采用層次化結構，配合較合理的評價體系，使得該模型能夠準確、快速、合理的對網絡安全狀態進行預測，并且具有較好的實時性。

貝葉斯分析方法；網絡安全態勢感知；時序分析

1 相關研究

網絡的快速發展給人們帶來了便利，但隨之而來的網絡安全問題也越來越突出。網絡攻擊普遍存在于各種環境中，并且日趨規模化、分布化、復雜化，破壞性也越來越強，還能造成巨大的經濟損失。

傳統的安全手段主要以被動式防御為主，一般是在發生網絡安全事故后，才進行防御。這種方法已經很難滿足新形勢下的安全需求。在這種情況下，迫切需要一種新的安全技術來保障網絡的安全。網絡安全態勢感知（network security situation awareness，NSSA）[1]能夠實時地感知網絡威脅和風險，使得安全分析員能夠準確地感知網絡安全狀況，從而及時、準確地作出決策，將網絡中不安定因素帶來的風險和損失降到最低限度。針對不同的網絡安全問題，國內外研究學者提出了多種網絡安全態勢評估方法。

SIFT（security incident fusion tool）項目組研制了Nvision IP[2]和Vis-Flow Connect[3]2種可視化工具。Nvision IP可以顯示一個B類網絡的連接狀態，并且提供了3種不同精度的視圖；Vis-Flow Connect能顯示一個局域網絡內、外各主機之間的通訊連接信息，該類工具僅反映了網絡連接狀態，評估指標較為單一，對管理員的經驗水平要求較高。

T. Bass[4]提出了利用入侵檢測系統（intrusion detection systems，IDS）的分布式傳感器進行數據融合的方法，對計算機網絡安全態勢進行評估，通過數據融合和數據挖掘的方法評估計算機網絡的安全性，但沒有實現具體的原型系統。

Information Extraction & Transport開發了SSARE（security situation assessment and response evaluation）系統[5]，用于廣域網的攻擊檢測、態勢評估和響應評估。該系統實現了入侵檢測、態勢評估和響應評估的有機結合，但是信息獲取方式較為單一。

V. Gorodetsky等人[6]提出了基于異步數據流的網絡安全態勢評估方法，利用多代理異常檢測網絡的數據流并進行分析，獲取安全態勢。但是，該方法只考慮攻擊信息，而忽略了網絡本身的特性。

V. Yegneswaran等人[7]提出了利用Honeynets進行安全態勢評估的方法。該方法利用Honeynets提供的大量網絡活動信息，根據入侵檢測工具Bro對這些活動產生的報警信息來構建安全態勢曲線，但只有在大規模病毒或蠕蟲爆發時，該曲線才能體現出明顯的效果。

陳秀真等人[8]提出了層次化網絡安全威脅態勢量化評估方法。該方法利用IDS的報警信息和網絡性能指標，結合服務、主機本身的重要性及網絡系統的組織結構，采用自下而上、先局部后整體的評估策略，將網絡分為服務、主機、系統來進行分層計算；最后，通過綜合分析，得到網絡安全態勢圖，并有集成化的系統實現，其具有較好的理論和實用價值。

張海霞等人[9]提出了基于攻擊能力增長的網絡安全分析模型。該模型將攻擊能力增長表示攻擊者的最終目標，使得攻擊圖的表示更為準確，并以此分析攻擊路徑，從而進行網絡安全性的分析。

王超等人[10]提出了一種基于隱馬爾可夫模型（hidden markov model，HMM）的內部人員資源濫用行為檢測方法。該方法以信息系統的敏感文件夾作為模型的狀態，以用戶的事務處理操作作為觀測符號，采用Baum Welch算法確定模型參數，基于該模型建立內部人員訪問行為的HMM模型，并用于資源濫用行為檢測。

此外，還有其他學者從不同的思路建立了NSSA模型。有的從層次化模型[11]進行分析，模型邏輯清晰；有的對數據的融合[12-14]進行研究，具有獨到的特色。

以上這些國外內學者為網絡安全態勢評估提供了有效的解決方法，為評估模型及算法的研究奠定了良好的基礎。但是，這些方法都具有片面性，例如：缺乏對網絡安全因素的全面考慮，評估數據源單一，使得評估結果缺乏全面性；忽略了數據源之間的互補性和冗余性等內在聯系，使得評估結果不夠準確；另外，這些方法無法對安全狀況的發展趨勢進行預測分析。

本文提出了一種基于貝葉斯方法的網絡安全態勢感知模型。該模型在時序模型的基礎上，利用貝葉斯方法將歷史的統計數據與檢測數據相結合，進行有效地安全預測，具有較好的實時性。該方法不僅具有清晰的網絡構造，而且可以對數據進行快速、準確地處理，對未知數據的預測可靠性更高。

2 NSSA模型概述

2.1 態勢感知系統框架

態勢感知（situation awareness）這一概念源于航天飛行的人因（human factors）研究[1]，此后，被廣泛應用于軍事戰場、核反應控制、空中交通監管（air traffic control，ATC）以及醫療應急調度等領域。態勢感知這項課題越來越被人重視，是因為在動態復雜的環境中，決策者需要借助態勢感知的方法和工具，顯示當前環境的連續變化狀況，以便準確地作出決策。

1988年，M. R. Endsley在文獻[15]中將態勢感知定義為“在一定的時空條件下，對環境因素的獲取、理解以及對未來狀態的預測”。整個態勢感知過程可由態勢要素獲取、態勢理解和態勢預測3級模型表示，如圖1所示。

圖1 態勢感知過程圖Fig.1Diagram of situational awareness process

2.2 網絡安全態勢感知的相關技術

根據態勢感知模型結構的3個層次的劃分，在網絡安全態勢感知領域中也將可以借鑒。由此所產生的問題，可利用以下幾種相關的技術來解決。

數據采集：數據采集屬于底層部分，通過多傳感器監測網絡系統的運行狀況，檢測和收集大量的原始安全數據。

態勢理解：收集原始數據之后，需要對數據進行詮釋，可采用規范化分析、冗余檢測和沖突檢測等方法，分析原始數據，得到規范化的數據集。

態勢評估：采用態勢評估算法，分析態勢理解模塊的數據，定量描述系統的安全態勢，并構建合理的評價體系，對態勢給出一個定量的評估。

態勢預測：采用態勢預測算法，分析態勢的變化規律，預測系統安全態勢變化趨勢。

2.3 貝葉斯分析方法

貝葉斯分析方法（Bayesian analysis）提供了一種計算假設概率的方法，這種方法是基于假設的先驗概率、給定假設下觀察到不同數據的概率以及觀察到的數據本身而得出的。該方法是，將關于未知參數的先驗信息與樣本信息綜合，再根據貝葉斯公式，得出后驗信息，然后根據后驗信息去推斷未知參數。貝葉斯公式為

數據處理步驟如下：首先，統計歷史數據，得到每種威脅發生的頻率，將其作為先驗概率；然后，利用貝葉斯公式將先驗概率與樣本信息綜合，得到后驗概率，其中，樣本信息為實時監控得到的數據；以不同時段為分隔計算點，將得到的后驗概率作為新一輪計算的先驗概率，與進一步獲得的樣本信息綜合，求得后驗概率，其計算過程是迭代的。隨著迭代過程的繼續，后驗概率將越來越復合實際情況。本文通過各種威脅發生的概率對網絡安全進行評估，并對未來時刻的網絡安全狀態作出預測，以便更改相應的安全防護策略。

3 基于時序分析模型

時間序列分析技術是通過對預測目標自身時間序列的處理，來研究其變化趨勢的方法。本文對歷史的監測數據進行分析，將數據中各種攻擊發生的時間作為時間序列，對一天的時間進行合理地分割，按照時間序列的時序建立模型。

3.1 模型的相關定義

網絡攻擊A：對引發IDS 產生報警的黑客攻擊行為表示為A={Name, Time, Type, SIP, DIP, SP, DP, Pro, Priority}，其中Name, Time, Type分別表示為攻擊名稱、發生時間以及攻擊類型，SIP和DIP代表源地址和目的地址；SP，DP代表源端口和目的端口；Pro表示協議類型；Priority代表攻擊威脅級別。

威脅指數R：攻擊A對主機的安全威脅程度，攻擊的威脅指數和攻擊的成功與否、攻擊帶來的后果有直接關系。

主機的安全性H：每臺主機存在多個不同的服務程序，不同的服務程序所受到的攻擊類型及其帶來的后果不盡相同。在給予不同的服務不同的權限下，所有攻擊對主機的危害程度決定其安全性。

成本函數C：不同的服務所帶來的效益不同，在受到攻擊時，所產生的損失也不一樣。攻擊成功后，所有有效的攻擊給主機造成的損失為成本。

網絡安全系數L：網絡中有各類不同功能的主機，他們有不同的權重系數。通過給定的安全閥值來判斷網絡狀態，得到網絡安全系數。該系數有助于網絡管理員進行有效的策略制定，從而預防接下來發生的安全事故。

3.2 網絡結構建模

網絡的結構按照模型的相關定義進行層次化建模。該模型具有鮮明的層次結構，比較容易理解，并且符合實際的結構關系，自頂向下包括Internet網絡、網絡中的各個主機、每臺主機中運行的各項服務，最底層為網絡攻擊，這些攻擊針對不同的服務，如圖2所示。

圖2 網絡整體結構圖Fig.2The overall network structure

3.3 時序分析方法

本文將一天的時間劃分為24等份，即時間粒度為一小時，分別為T1, T2,…, T24。歷史統計數據為當前歷史狀態Pp，如果下一刻主機收到攻擊，則重新計算當前的安全系數Pn。例如：當前歷史狀態由指數1描述，實時監測的樣本數據由樣本1描述，由這2個數據可得下一刻的歷史狀態即指數2。一般，攻擊具有連續性，因此，一次攻擊發生后，下一時刻再次攻擊的可能性比較大。故而，數據處理應保持連續性。具體的系數計算流程如圖3所示。

圖3 系數計算流程Fig.3Coefficient calculation process

3.4 量化分析公式

為方便分析網絡的安全態勢，必須對數據進行量化處理。構建評價體系[16]的具體實現如下。

1）攻擊A的發生概率

2）攻擊A的威脅指數R

3）主機的安全性H

4 測試結果與分析

本文以DARPA1999入侵檢測數據集為基礎，進行實驗分析。以1999年3月1日—3月7日一個星期的監測數據為例，運用本算法對其進行安全威脅態勢評估，分析這一個星期的各項主機服務、每臺主機以及整個系統的安全威脅狀態。

由于主機A中運行的主要是郵件服務和時間服務程序，故其它程序所受到的警報數量相對很少，本文只考慮這2種服務。以3月1日的數據為例，主機A發生警報按照24 h作圖，如圖4～5所示。由圖4可知，在這一天中，郵件服務器發生警報的次數總體上保持平衡，都在100以內，只有在20～22 h時突發性地增加，由此可見，這個時間段是郵件服務器的危險高峰期。在圖5中，時間在0～19 h，時間服務程序的警報量保持在一定的范圍內，無太大波動，而19 h后，報警量有些增加。

圖4 郵件服務程序發生警報分布圖Fig.4The distribution of mail service procedure in alarm

圖5 時間服務程序發生警報分布圖Fig.5The distribution of time service procedure in alarm

圖6為3月1日主機A的網絡安全態勢整體評價曲線。從圖可以看出，由于郵件服務程序的安全態勢波動較大，故而主機A整體受影響較大，在20～22 h這段時間的安全狀況較差，可進行相應地防護。

圖6 主機A的安全威脅態勢走勢圖Fig.6The trend diagram for security threat of Host A

圖7為整個星期的網絡安全態勢。由圖可知，星期一、星期六和星期天的攻擊指數較高，而星期二～星期五的相對較緩，故而應該在周末前后加強網絡安全的防護。

圖7 網絡安全態勢評估圖Fig.7The assessment diagram for network security situation

通過攻擊數據的分析，可以清楚地了解每一天、每一臺主機所受到的攻擊數量和安全評估指數，通過分析整周的安全態勢評估，發現攻擊的規律。從而根據集中發生攻擊的時間段對主機加強管理，預防網絡安全事故的發生。

在實際的監測應用中，可以根據實時的監測數據調整方案，以便適應動態的網絡環境。

5 結語

本文提出了基于貝葉斯方法的網絡安全態勢感知模型。在結構的劃分上，該模型采用清晰的層次化結構，其符合實際需求，且具有合理性；在數據的處理上，采用時序分析方法，按照時間的推進進行動態地調整，實時性較強，且利用貝葉斯方法，將歷史的統計數據與檢測數據相結合，進行有效地安全預測，具有快速、準確率高和實時性強的特點。

網絡安全問題時刻威脅著我們，網絡的變化也是越來越快，因此，本文收集的數據也是有限的。下一步的工作是，融合各種不同的監測數據進行全面的安全預測，且構建規模更大的網絡結構。

[1]Theureau J. Use of Nuclear-Reactor Control Room Simulators in Research & Development[C]//7th International Federation of Automatic Control Symposium on Analysis，Design and Evaluation of Man-Machine Systems. Kyoto：[s. n.]，1998：425-430.

[2]Lakkaraju K，Yurcik W，Lee A J. NVisionIP：Netflow Visualizations of System State for Security Situational Awareness[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. [S. l.]：ACM，2004：65-72.

[3]Yin X，Yurcik W，Treaster M，et al. VisFlowConnect：Netflow Visualizations of Link Relationships for Security Situational Awareness[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. [S. l.]：ACM，2004：26-34.

[4]Bass T. Intrusion Detection Systems & Multisensor Data Fusion：Creating Cyberspace Situational Awareness[J]. Communications of the ACM ，2000 ，43(4)：99-105.

[5]D′Ambrosio B，Takikawa M，Fitzgerald J，et al. Security Situation Assessment and Response Evaluation (SSARE) [C]//2001 DARPA Information Survivability Conference & Exposition II. Anaheim：IEEE，2001：387-394.

[6]Gorodetsky V，Karsaev O，Samoilov V. On-Line Update of Situation Assessment Based on Asynchronous Data Streams[C]//Knowledge-Based Intelligent Information and Engineering Systems. [S. l.]：Springer Berlin Heidelberg，2004：1136-1142.

[7]Yegneswaran V，Barford P，Paxson V. Using Honeynets for Internet Situational Awareness[C]// Proceedings of the Fourth Workshop on Hot Topics in Networks. Maryland：[s. n.]，2005：17-22.

[8]陳秀真，鄭慶華，管曉宏，等. 層次化網絡安全威脅態勢量化評估方法[J]. 軟件學報，2006，17(4)：885-897. Chen Xiuzhen，Zheng Qinghua，Guan Xiaohong，et al. Quantitative Hierarchical Threat Evaluation Model for Network Security[J]. Journal of Software，2006，17(4)：885-897.

[9]張海霞，蘇璞睿，馮登國. 基于攻擊能力增長的網絡安全分析模型[J]. 計算機研究與發展，2007，44(12)：2012-2019. Zhang Haixia，Su Purui，Feng Dengguo. Network Security Analysis Model Based on the Increase in Attack Ability[J]. Journal of Computer Research and Development，2007，44(12)：2012-2019.

[10]王超，郭淵博，馬建峰，等. 基于隱馬爾可夫模型的資源濫用行為檢測方法研究[J]. 電子學報，2010，38(6)：1383-1388. Wang Chao，Guo Yuanbo，Ma Jianfeng，et al. HMMBased Detection Method for Resource Misuse in Information Systems[J]. Acta Electronica Sinica，2010，38(6)：1383-1388.

[11]鄭黎明，鄒鵬，賈焰. 多維多層次網絡流量異常檢測研究[J]. 計算機研究與發展，2011，48(8)：1506-1516. Zheng Liming，Zou Peng，Jia Yan. Anomaly Detection Using Multi-Level and Multi-Dimensional Analyzing of Network Traffic[J]. Journal of Computer Research and Development，2011，48(8)：1506-1516.

[12]韋勇，連一峰. 基于日志審計與性能修正算法的網絡安全態勢評估模型[J]. 計算機學報，2009，32(4)：763-772. Wei Yong，Lian Yifeng. A Network Security Situational Awareness Model Based on Log Audit and Performance Correction[J]. Chinese Journal of Computers，2009，32 (4)：763-772.

[13]劉效武，王慧強，賴積保，等. 基于多源異質融合的網絡安全態勢生成與評價[J]. 系統仿真學報，2010，22(6)：1411-1415. Liu Xiaowu，Wang Huiqiang，Lai Jibao，et al. Network Security Situation Generation and Evaluation Based on Heterogeneous Multi-Sensor Fusion[J]. Journal of System Simulation，2010，22(6)：1411-1415.

[14]韋勇，連一峰，馮登國. 基于信息融合的網絡安全態勢評估模型[J]. 計算機研究與發展，2009，46(3)：353-362. Wei Yong，Lian Yifeng，Feng Dengguo. A Network Security Situational Awareness Model Based on Information Fusion[J]. Journal of Computer Research and Development， 2009，46(3)：353-362.

[15]Endsley M R. Design and Evaluation for Situation Awareness Enhancement[C]//Proceedings of the Human Factors and Ergonomics Society Annual Meeting. [S. l.]：SAGE Publications，1988，32(2)：97-101.

[16]王娟，張鳳荔，傅翀，等. 網絡態勢感知中的指標體系研究[J]. 計算機應用，2007，27(8)：1907-1909. Wang Juan，Zhang Fengli，Fu Chong，et al. Study on Index System in Network Situation Awareness[J].Computer Applications，2007，27(8)：1907-1909.

[17]王嶸，劉斌，劉東南，等. 動態網絡分布式控制研究[J]. 湖南工業大學學報，2013，27(2)：63-67. Wang Rong，Liu Bin，Liu Dongnan，et al. Research of Dynamic Distributed Control Networks，2013，27(2)：63-67.

（責任編輯：鄧彬）

The Network Security Situational Awareness Model Based on Bayesian Method

Ye Jianjian，Wen Zhicheng，Wu Xinxin
（School of Computer and Communication，Hunan University of Technology，Zhuzhou Hunan 412007，China）

Proposes a network security situational awareness model based on Bayesian method, and analyzes the research status of NSSA model at home and abroad. Analyzes historical monitoring data and obtains prior probability, and then constructs the time-series model for the process of time, applies Bayesian method to process the data, combines the historical statistical data with monitoring data and conducts the effective safety prediction. On the network structure construction, uses a hierarchical structure and coordinates a reasonable evaluation system for the model accurately, fast and reasonable prediction of network security, and the model has better real-time performance.

Bayesian analysis；network security situational awareness；timing analysis

TP393.08

A

1673-9833(2014)03-0065-06

10.3969/j.issn.1673-9833.2014.03.014

2014-02-30

葉健健（1989-），男，廣東南雄人，湖南工業大學碩士生，主要研究方向為網絡安全態勢感知，E-mail：464669778@qq.com