基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析

彭 鵬

（裝甲兵工程學(xué)院 北京 100072）

0 引言

目前，隨著用戶對(duì)通信要求的逐漸增加，促使通信和計(jì)算機(jī)技術(shù)的發(fā)展非常迅猛，隨之開(kāi)拓了計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍，然而，病毒軟件的出現(xiàn)也使計(jì)算機(jī)的安全形勢(shì)收到壓迫。相較于之前的檢測(cè)設(shè)備和防御系統(tǒng)均已無(wú)法實(shí)現(xiàn)客戶需求。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)針對(duì)以上問(wèn)題可以做到有效的預(yù)警和預(yù)測(cè)，增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性。但該評(píng)估技術(shù)也存在一定的技術(shù)缺陷，例如忽略網(wǎng)絡(luò)本身的特點(diǎn)和性質(zhì)、在大規(guī)模病毒爆發(fā)時(shí)安全態(tài)勢(shì)曲線才能發(fā)揮明顯效果、未全面考慮到網(wǎng)絡(luò)安全因素、評(píng)估指標(biāo)較為單一等。因此，本文提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的量化分析和趨勢(shì)預(yù)測(cè)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

在計(jì)算機(jī)網(wǎng)絡(luò)中網(wǎng)絡(luò)組件和主機(jī)節(jié)點(diǎn)相對(duì)繁多，且包含了大量的各種檢測(cè)設(shè)備，其主要功能在于監(jiān)控網(wǎng)絡(luò)及主機(jī)的實(shí)際運(yùn)行狀況，在此過(guò)程中，其所生成的各種日志與報(bào)警系統(tǒng)密切相關(guān)．在以往對(duì)安全態(tài)勢(shì)進(jìn)行相應(yīng)的評(píng)估時(shí)，往往只是對(duì)一種檢測(cè)設(shè)備所生成的各種日志信息等實(shí)施相應(yīng)的分析和總結(jié)，但是基于檢測(cè)設(shè)備本身的各種不確定因素，其所生成的數(shù)據(jù)信息也比較單一，所以其分析和總結(jié)得出的結(jié)果往往很難站得住腳．基于此，本文目的在于探討網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的有效科學(xué)方法，也即：盡可能多地選取多個(gè)相關(guān)檢測(cè)設(shè)備所生成的日志信息，以此作為數(shù)據(jù)源，然后對(duì)其進(jìn)行分析和融合，以獲得較為全面的外部攻擊信息，在此基礎(chǔ)上，借助于相應(yīng)的服務(wù)信息以及主機(jī)節(jié)點(diǎn)漏洞信息等，分析外部攻擊對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)所產(chǎn)生的相應(yīng)的影響，并通過(guò)時(shí)間序列分析方法進(jìn)行相應(yīng)的預(yù)測(cè)以及分析，以改進(jìn)傳統(tǒng)安全態(tài)勢(shì)評(píng)估方法，增強(qiáng)評(píng)估工作的科學(xué)性和有效性。

2 基于信息融合的態(tài)勢(shì)評(píng)估算法

以信息融合為基礎(chǔ)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估法主要包括：（1）態(tài)勢(shì)要素的融合；（2）數(shù)據(jù)源的融合；（3）節(jié)點(diǎn)態(tài)勢(shì)的融合．首先，態(tài)勢(shì)要素融合指的是借助于攻擊成功支持概率、攻擊發(fā)生支持概率以及攻擊威脅等媒介，進(jìn)而對(duì)主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)進(jìn)行相應(yīng)的評(píng)估；其次，數(shù)據(jù)源的融合指的是這種新型的數(shù)據(jù)源融合方式的基礎(chǔ)便是多個(gè)檢測(cè)設(shè)備所生成的日志信息的充分融合，以獲得較為可靠的攻擊發(fā)生支持概率；最后，節(jié)點(diǎn)態(tài)勢(shì)融合指的是以各個(gè)主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)評(píng)估結(jié)果為基礎(chǔ)，然后對(duì)整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行評(píng)估．態(tài)勢(shì)評(píng)估算法的主要相關(guān)步驟可包括：

2.1 數(shù)據(jù)源融合

信息融合的重要基礎(chǔ)是多源信息，其目的在于獲得更為客觀、準(zhǔn)確的信息處理結(jié)果．在信息融合的過(guò)程中，需要使用相應(yīng)的技術(shù)和方法，常用的包括估計(jì)理論、人工智能方法以及推斷．在實(shí)際運(yùn)行中，數(shù)據(jù)源融合是為了全面地分析多種檢測(cè)設(shè)備所生成的各種日志信息，進(jìn)而獲得更為準(zhǔn)確、可靠的態(tài)勢(shì)評(píng)估結(jié)果．本文中主要以D—S證據(jù)理論方法為研究基礎(chǔ)，借助于態(tài)勢(shì)評(píng)估模型對(duì)各個(gè)檢測(cè)設(shè)備的日志、Log等進(jìn)行分析，以計(jì)算某一檢測(cè)設(shè)備對(duì)這一攻擊發(fā)生的反對(duì)概率或支持概率，經(jīng)過(guò)D—S證據(jù)合成后可獲得整個(gè)網(wǎng)絡(luò)系統(tǒng)的攻擊發(fā)生反對(duì)或支持概率。

2.2 態(tài)勢(shì)要素融合

對(duì)各個(gè)檢測(cè)設(shè)備的信息進(jìn)行分析的結(jié)果主要是外部攻擊發(fā)生的概率，但是其對(duì)主機(jī)節(jié)點(diǎn)所產(chǎn)生的相關(guān)影響是憑借多種媒介產(chǎn)生的，如主機(jī)節(jié)點(diǎn)的內(nèi)部相關(guān)信息、外部攻擊信息以及攻擊攜帶的各種威脅信息等，這就要求我們要全面分析攻擊成功支持概率、攻擊發(fā)生支持概率和攻擊威脅，然后經(jīng)過(guò)充分的融合，以對(duì)主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)進(jìn)行全面的估算．其中，攻擊成功支持概率主要來(lái)源于對(duì)攻擊依賴漏洞信息以及主機(jī)漏洞信息的評(píng)估結(jié)果．而攻擊依賴漏洞信息往往可分為兩種，一種是必要漏洞，另一種便是其他漏洞，其中，前者指的是某一攻擊成功需要依賴的相應(yīng)漏洞，而后者則往往會(huì)影響其攻擊是否成功，其有著各自的權(quán)重，而總和則為1。

2.3 節(jié)點(diǎn)態(tài)勢(shì)融合

3 實(shí)例分析

為了對(duì)本次研究的模型以及計(jì)算方法的適用性進(jìn)行驗(yàn)證，在林肯實(shí)驗(yàn)室在2000年提供的DARPA評(píng)估數(shù)據(jù)集中選擇一部分，作為本次研究的數(shù)據(jù)。該數(shù)據(jù)不僅包含了網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)邊界詳細(xì)的數(shù)據(jù)信息，還提供了部分主機(jī)的審計(jì)日志，使其成為信息融合的多源數(shù)據(jù)。這個(gè)數(shù)據(jù)集主要提供了兩個(gè)攻擊場(chǎng)景，分別是LLDOS2.0.2和LLDOS1.0，每個(gè)攻擊場(chǎng)景中都包含了五個(gè)步驟的攻擊，本文就針對(duì)這兩個(gè)攻擊場(chǎng)景來(lái)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行深入的分析。由于這個(gè)數(shù)據(jù)集中沒(méi)有提供主機(jī)的漏洞信息和服務(wù)信息以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，所以安全態(tài)勢(shì)在分析過(guò)程中會(huì)遇到一定的困難。

而借助于報(bào)警信息所得到的網(wǎng)絡(luò)主機(jī)的服務(wù)信息和漏洞信息如圖1所示。

圖1 網(wǎng)絡(luò)主機(jī)的服務(wù)信息和漏洞信息

根據(jù)審計(jì)日志、報(bào)警信息以及相關(guān)的數(shù)據(jù)，可以將LLDOS2.0.2和LLDOS1.0這兩個(gè)攻擊場(chǎng)景的10個(gè)攻擊步驟劃分為10個(gè)時(shí)段，利用態(tài)勢(shì)評(píng)估算法，一次按照節(jié)點(diǎn)態(tài)勢(shì)融合、態(tài)勢(shì)要素融合、數(shù)據(jù)源融合三個(gè)步驟，對(duì)不同時(shí)段的安全態(tài)勢(shì)值進(jìn)行準(zhǔn)確的計(jì)算。本文以第一時(shí)段的主機(jī)mill為例，其檢測(cè)信息主要包含審計(jì)日志信息、網(wǎng)絡(luò)內(nèi)部檢測(cè)信息、網(wǎng)絡(luò)邊界檢測(cè)信息等，將這個(gè)三個(gè)數(shù)據(jù)源進(jìn)行有效的融合，計(jì)算第一時(shí)段，主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)。然后根據(jù)相應(yīng)的權(quán)重和計(jì)算方法，計(jì)算第一時(shí)段的網(wǎng)絡(luò)安全態(tài)勢(shì)值，進(jìn)行繪圖，得到的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線圖，時(shí)間為橫軸，每個(gè)時(shí)段都分別對(duì)應(yīng)著兩個(gè)時(shí)間單位，網(wǎng)絡(luò)安全態(tài)勢(shì)值為縱軸，如果網(wǎng)絡(luò)安全態(tài)勢(shì)值越大，就說(shuō)明網(wǎng)絡(luò)安全狀況越嚴(yán)重。

4 結(jié)束語(yǔ)

本次研究通過(guò)在原有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)基礎(chǔ)上進(jìn)行再次信息融合，實(shí)現(xiàn)了網(wǎng)絡(luò)安全趨勢(shì)的有效預(yù)測(cè)，但隨著后期的發(fā)展，該技術(shù)仍需要不斷的完善，尤其在保證安全態(tài)勢(shì)的表示方法和相關(guān)指標(biāo)的全面性方面，同時(shí)，對(duì)詳細(xì)研究和探析各類網(wǎng)絡(luò)安全事件的特點(diǎn)，從而保證網(wǎng)絡(luò)安全威脅來(lái)源的預(yù)測(cè)準(zhǔn)確度更高，為用戶提供良好的網(wǎng)絡(luò)安全保障。隨著互聯(lián)網(wǎng)的普及，基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析已經(jīng)引起社會(huì)各界的普遍關(guān)注，所以加強(qiáng)對(duì)基于信息融合網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析的研究力度具有非常重要的意義，不僅是該領(lǐng)域目前的主要任務(wù)，也是未來(lái)幾年主要的發(fā)展方向。

[1]張新剛，王保平，程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2012.

[2]楊進(jìn)，李蕓潔，李勤.基于多元信息融合的網(wǎng)絡(luò)安全評(píng)估模型[J].電腦編程技巧與維護(hù).2014.

[3]黃光球，朱擎.基于信息融合技術(shù)的動(dòng)態(tài)安全態(tài)勢(shì)評(píng)估模型[J].微計(jì)算機(jī)信息.2010.

[4]李鵬.基于 D-S證據(jù)的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)評(píng)估模型分析與改進(jìn)[J].電腦知識(shí)與技術(shù).2013.