網絡安全態勢感知體系初探

李奎

[摘要]隨著接入互聯網的設備數量的急劇增加，帶來了便利高效，節約了時間和成本，但是網絡復雜度增加，風險更加凸顯。為了保證信息安全，適應更嚴格的網絡安全管理，出現了網絡安全態勢感知技術。

[關鍵詞]網絡安全態勢;模型;感知

引言

目前應用最為廣泛的IDS系統只是運用Agent獲取數據再經過融合分析后檢測到相關攻擊行為，當網絡帶寬提高后，IDS很難檢測到攻擊內容，同時誤報率也較高。而網絡安全態勢感知技術綜合了多種技術更加突出了整體特征，如IDS，殺毒軟件以及防火墻等，對網絡進行實時檢測和快速預警。網絡安全態勢感知評估運行網絡的安全情況并且可以做出未來一段時間的變化趨勢，提高處理安全威脅的能力。

1、網絡安全態勢感知概述

1.1網絡態勢感知定義

1988年，endsley率先提出針對航空領域人為因素的態勢感知的定義，態勢感知是指“在一定的時空范圍內，認知、理解環境因素，并且對未來的發展趨勢進行預測”。直到1999年，bass等指出，“下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態勢感知。常見的網絡態勢主要有安全態勢、拓撲態勢和傳輸態勢等，但目前學者主要研究網絡的安全態勢感知的。

1.2網絡安全態勢概念

所謂網絡安全態勢就是對在多種網絡設備處于工作狀態、網絡變化以及用戶的動作等安全態勢出現變化的狀態信息進行理解，分析處理及評估，從而對發展趨勢進行預測。網絡安全態勢強調的是一個整體的概念，包含了當前的狀態，歷史的狀態和對未來的狀態預測。根據研究重點的不同，給出的概念也不盡一致。

1.3網絡安全態勢感知體系構成

（1）網絡安全態勢要素的提取。要素的提取主要通過殺毒軟件、防火墻、入侵檢測系統、流量控制、日志審計等收集整理數據信息，經篩選后提出特征信息。

（2）網絡安全態勢的評估。根據選擇的指標體系定性和定量分析，搜素其中的關系，得出安全態勢圖，找到薄弱環節并制定出解決方案。

（3）網絡安全態勢的預測。根據已有的安全態勢圖，分析原始的數據信息，預測未來一段時間的運行狀態和趨勢，給出預警方案，達到最終的網絡安全的目的。

2、網絡安全態勢要素提取技術

由于網絡的龐大、復雜以及動態的變化，要素的提取面臨很大的困難，根據要素信息來源的不同進行分類提取，可以分為網絡環境、網絡漏洞和網絡攻擊等，生成網路安全態勢感知指標體系，并根據指標體系來獲取網絡的信息可以有效的保證信息的全面性、準確性和模型化。

安全態勢要素提取技術是態勢感知的第一步，意義重大。TimBasst首先提出了多傳感器數據融合的網絡態勢感知框架，進行數據精煉、對象精煉以及態勢精煉三個步驟的抽象獲取態勢感知要素。卡內基梅隆大學開發了SILK系統，將數據轉化為高效的二進制數據用分析軟件來發現其中的攻擊行為。國內此項研究起步晚，只是在聚類分析和分類分析上取得了一點進展。在提取要素過程中，屬性約簡和分類識別是這一過程中的最基礎的步驟。使用粗糙集等理論對數據進行屬性約簡，并形成了算法。針對神經網絡的收斂慢，易入局部最小值等特點設計了遺傳算法來進行分類識別。

3、網絡安全態勢的評估技術

影響網絡網絡安全的評價有許多因素，各因素的作用不同且具有時變性，相互之間也不具有線性的關系，因此不能用精確的數學模型來表示。分析獲取的要素，必須要對其融合，以便得到整體的安全態勢，需要宏觀上把握網絡安全狀態，獲得有效的綜合評價達到幫助網絡管理人員的目的。從上可以看出融合技術是關鍵。目前常用的數據融合技術有以下幾種：

（1）基于邏輯關系的融合方法根據信息的內在邏輯，對信息進行融和。優點是可以直觀地反映網絡的安全態勢。缺點有確定邏輯難度大，不少如單一來源的數據。

（2）基于數學模型的融合方法綜合考慮影響態勢的各項因素，構造評估函數，建立態勢因素集合到態勢空間映射關系。優點是可以輕松的確定各種態勢因素之間的數值比重關系，但是比重沒有標準。而且獲取的各個態勢因素可能還存在矛盾，無法處理。

（3）基于概率統計的融合方法根據經驗數據的概率特性，結合信息的不確定性，建立的模型然后通過模型評估網絡的安全態勢，貝葉斯網絡、隱馬爾可夫模型最常見。優點是可以融合最新的證據信息和經驗數據，推理過程清晰。但是該模型需要的數據量大易產生維數爆炸進而影響實時性，而且特征的提取及經驗數據的獲取都存在一定的困難。

（4）基于規則推理的融合方法對多類別多屬性信息的不確定性進行量化，再根據已有的規則進行邏輯推理，達到評估目的。目前d-s證據組合方法和模糊邏輯是研究熱點。當經驗數據難以獲取而且不要精準的解概率分布，可以使用，但是需要復雜的計算。

4、網絡安全態勢的預測

預測是根據當前的網絡狀況，找出大量的網絡安全隱患，進行分析，對未來一定時間內的安全趨勢進行判斷，給出相應的解決方法。網絡預測技術目前也取得了重要的進展，主要有神經網絡、時間序列預測法和支持向量機等方法。神經網絡算法參數的選擇缺乏理論基礎，預測精度也不高。時間序列預測法由于網絡狀態的變化不是線性的，而且難以描述當前狀態和未來狀態的關系，導致預測精度不理想。支持向量機基于結構風險最小化原則，解決了小樣本、非線性、高維度問題，絕對誤差小，保證了預測的正確趨勢率，能準確預測網絡態勢的發展趨勢。

5、結束語

本文介紹了網絡安全態勢感知的概念，并分別就要素的獲取、態勢的評估和網絡安全態勢的預測所使用的技術進行了探討，引導網絡安全管理員研究和使用各種新技術關注網絡安全隱患，保證網絡安全運營。

參考文獻

[1]席榮榮，云曉春，金舒原，張永錚.網絡安全態勢感知研究綜述.計算機應用，2012年1期.

[2]郭劍.網絡安全態勢感知中態勢要素獲取技術的研究[學位論文] ?計算機軟件與理論.東北大學，2011.

[3]韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型.計算機研究與發展，2009，46（3）.

[4]肖漢杰，桑秀麗.相關向量機超參數優化的網絡安全態勢預測.計算機應用，2015，35（7）.