網絡安全態勢感知系統研究

劉強

【摘要】 安全態勢感知是形成網絡空間安全狀態“全局視圖”的過程。本文重點講述了安全態勢感知技術的發展，實現網絡安全態勢感知系統的思路以及涉及的各項關鍵技術。

【關鍵詞】 安全態勢感知 數據融合 態勢可視化

引言

隨著信息和網絡技術的快速發展，計算機網絡的重要性及其對社會的影響越來越大，網絡安全問題也越來越突出，并逐漸成為Internet及各項網絡服務和應用進一步發展所亟需解決的關鍵問題。此外，隨著網絡入侵和攻擊行為正向著分布化、規模化、復雜化、間接化等趨勢發展，對安全產品技術提出了更高的要求。網絡安全態勢感知的研究就是在這種背景下產生的，旨在對網絡態勢狀況進行實時監控，并對潛在的、惡意的網絡行為變得無法控制之前進行識別，給出相應的應對策略。

一、網絡安全態勢感知概述

網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。態勢是一種狀態，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。

網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。

基于網絡安全態勢感知的功能，將其研究內容歸結為3個方面：網絡態勢感知、網絡威脅評估和網絡態勢評估。

態勢評估和威脅評估分別是態勢感知過程的一個環節，威脅評估是建立在態勢評估的基礎之上的。態勢評估包括態勢元素提取、當前態勢分析和態勢預測。威脅評估是關于惡意攻擊的破壞能力和對整個網絡威脅程度的估計，是建立在態勢評估的基礎之上的。威脅評估的任務是評估攻擊事件出現的頻度和對網絡威脅程度。態勢評估著重事件的出現，威脅評估則更著重事件和態勢的效果。

2 網絡安全態勢感知關鍵技術

網絡安全態勢感知作為未來保證信息優勢的兩大關鍵技術之一，眾多學者、研究機構紛紛在此領域展開了廣泛的研究，提出了各種各樣的分析模型，其中影響最大，也最被普遍接受的是基于數據融合理念的JDL模型。該模型通用框架主要包括多源異構數據采集、數據預處理、事件關聯與目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等7個部分。

大規模網絡節點眾多，分支復雜，數據流量大，并且包含多個網段，存在多種異構網絡環境和應用平臺。隨著網絡入侵和攻擊正在向分布化、規模化、復雜化、間接化的趨勢發展，為了實時、準確地顯示整個網絡態勢狀況，檢測出潛在、惡意的攻擊行為，網絡安全態勢感知系統必須解決相應的技術問題。

2.1 數據挖掘

數據挖掘是指從大量的數據中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規則規律、模式等形式。數據挖掘是知識發現的核心環節。

從數據挖掘應用到入侵檢測領域的角度來講，目前主要有4種分析方法：關聯分析、序列模式分析、分類分析和聚類分析。關聯分析用于挖掘數據之間的聯系，即在給定的數據集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關聯規則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關聯分析相似，但側重于分析數據間的前后（因果） 關系，即在給定的數據集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過分析訓練集中的數據為每個類別建立分析模型，然后對其它數據庫中的記錄進行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等。與分類分析不同，聚類分析不依賴預先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。關聯分析和序列模式分析主要用于模式發現和特征構造，而分類分析和聚類分析主要用于最后的檢測模型。

2.2 數據融合

通過數據融合方法的引入，網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測，實現對網絡整體安全狀況的掌握。而網絡安全態勢感知系統中的數據融合正是通過如下幾項關鍵技術得以體現的。

（1）特征提取。特征提取是在盡量不降低分類精度同時又減小特征空間維數的前提下，為了避免融合大量數據可能造成系統檢測率不能滿足高速網絡實時檢測需求而提出的。目前有許多特征提取算法，如基于主成分分析的方法，基于信息增益的決策樹學習方法和流形學習方法。主成分分析基于方差最大、偏差最小的思想來發現數據集的主要方向，從而實現約簡。基于信息增益的決策樹學習方法，則引入熵和信息增益的概念，分別作為衡量訓練樣例集合純度的標準和用來定義屬性分類訓練數據的能力。典型的決策樹學習算法，如ID3算法就是根據信息增益標準從候選的屬性中選擇能更好區分訓練樣例的屬性。流形學習是一種新的降維方法，可以有效地發現高維非線性數據集的內在維數。

（2）事件聚類。聚類是將物理或抽象的數據對象，按照對象間的相似性進行分組或分類的過程。聚類是一種無監督學習的過程。不同的數據類型，相應的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網格的方法以及其他類型的聚類算法?；趯哟蔚木垲愃惴ㄖ饕詷颖局g的相似度（或距離）為基礎，根據類間相似度的大小對不同類進行合并或分裂，從而逐步完成對數據集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見算法有COBWEB，BIRCH，ROCK和Chameleon等?；趧澐值木垲愃惴ㄒ詷颖九c類（原型）之間的距離為基礎，且通常將聚類結果的評判標準定義為一個目標函數。典型算法有k一均值法，k一中心點法，CLARANS等。除了層次和劃分聚類方法外，比較有影響力的算法還有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于網格的方法。另外還可以借助其他領域的方法，如神經網絡方法，SOM，演化計算法，遺傳算法，模擬退火法等。

（3）事件關聯。事件關聯是指將多個安全事件聯系在一起進行綜合評判，重建攻擊過程并實現對整體網絡安全狀況的判定。對安全事件進行關聯處理的方法大致可分為兩類：一類是借助于專家知識構建安全事件關聯專家系統。典型的如：Valdes等提出的基于概率相似度的入侵告警關聯系統，Peng等基于邏輯謂詞的方法，將前提和目的吻合的入侵事件關聯形成入侵者攻擊軌跡等。另一類是借助于自動知識發現或者機器學習的辦法來發現事件間的隱含關系并實現入侵事件的關聯分析。典型例子有：Stefanos將關聯技術用于入侵檢測報警信息的頻繁模式提取，Klaus也將此思想用到了多個異類IDS報警信息的關聯中，穆成坡w提出用模糊綜合評判的方法進行入侵檢測報警信息的關聯處理，集成不同的安全產品信息，以發現入侵者的行為序列。前者用專家系統的方式實現事件關聯，高效且直觀，但是關聯需要的知識依賴人工完成，效率低下；后者獲取知識比較容易，但沒有人工參與的情況下獲得的知識質量不高，難以滿足要求。

2.3 態勢可視化

態勢可視化的目的是生成網絡安全綜合態勢圖，以多視圖、多角度、多尺度的方式與用戶進行交互，使網絡安全產品分析處理能力在多個指標有較大幅度的提高。

對數據進行可視化是一個層層遞進的過程，包括了數據轉化、圖像映射、視圖變換三個部分：數據轉化是把原始數據映射為數據表，將數據的相關性描述以關系表的形式存儲起來；圖像映射是把數據表轉換為對應圖像的結構，圖像由空間基及屬性進行標識；視圖變換則是通過對坐標位置、縮放比例、圖形著色等方面來創建能夠可視化的視圖。此外，用戶與可視化系統的交互也是必不可少的，用戶通過調控參數，完成對可視化進程的控制。

態勢可視化的方法有很多，根據顯示效果，可以分為動態可視化和靜態可視化。根據顯示數據緯度，可以分為二維、三緯以及多緯可視化。根據現實數據內容，可以分為內容可視化、行為可視化和結構可視化。

三、結束語

為了保障網絡信息安全，開展大規模網絡態勢感知是十分必要的。網絡態勢感知對于提高網絡系統的應急響應能力、緩解網絡攻擊所造成的危害、發現潛在惡意的入侵行為、提高系統的反擊能力等具有十分重要的意義，對于軍事信息戰意義更為重大。網絡安全態勢感知研究剛剛起步，目前大量的研究工作還只處于對網絡安全態勢的定性分析階段，缺乏標準的概念描述和具體的定量解決方法，但它已經毫無疑問的成為網絡安全領域一個新的研究方向。

參 考 文 獻

[1] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網絡安全威脅態勢量化評估方法.軟件學報.2006，17（4）.

[2] 北京理工大學信息安全與對抗技術研究中心.網絡安全態勢評估系統技術白皮書.網絡安全態勢評估系統技術白皮書，2005.

[3] 潘泉，于聽，程詠梅，張洪才.信息融合理論的基本方法與進展.自動化·學報.2003，29（4）.

[4] 郁文賢，雍少為，郭桂蓉.多傳感器信息融合技術評述.國防科技大學學報.1994，16（3）.

[5] 管天云.多傳感器信息融合研究.浙江大學博士學位論文.1998.

[6] 唐菲.網絡安全態勢感知可視化的研究與實現.電子科技大學碩士學位論文.2009.