基于信息融合的網絡安全態勢評估模型

蒙晶++楊淼生

摘 要：信息融合技術是指將多層次信息進行關聯處理的一種技術方法。隨著信息技術的不斷發展和網絡信息量的不斷增加，網絡安全正在不斷受到新的挑戰。而在網絡安全態勢的評估中采用信息融合技術，可以提高評估的準確性，進而保障網絡使用的安全性。網絡安全評估中，要充分考慮到攻擊頻率、攻擊的難易程度以及危害程度等評估指標，采用數據源融合、態勢要素融合、關鍵節點融合等方法進行模型和算法的設計，以充分保障網絡安全評估的準確性。

關鍵詞：信息融合 網絡安全態勢 評估模型

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2017）03（b）-0018-02

隨著信息技術的不斷發展，隨之而來的網絡安全威脅也在不斷增加。人們在日常網絡使用過程中，無時無刻不面臨著網絡安全威脅。由于當前的網絡安全威脅逐漸呈現出規模化、隱蔽化等特點，導致傳統的網絡安全評估、檢測、防御模式已經不能滿足要求，因此結合信息融合等新型分析技術，建立更加可靠的網絡安全態勢評估模型，成為了相關領域的研究熱點。

1 信息融合及網絡安全態勢評估的基本概念

1.1 基于信息融合的基本思想

信息融合是信息處理領域的一門對多源數據進行獲取、分析、分類和決策的重要技術，隨著當今的網絡信息數據量猛增，包括身份信息和應用信息在內的數據結構和類型也更加豐富，對于信息處理的效率和安全性提出了更高的要求。在網絡安全態勢中應用信息評估，主要基于3個方面的思想：第一是基于信息融合的信息篩選思想，由于網絡安全事件的發生原因相對復雜，不同采集和檢測工具所反饋的信息也較為多樣，其中既包含了對安全評估有利的有效信息，又包含了大量無效信息，因此信息精簡化是十分必要的；第二是利用信息融合技術的信息處理思想，信息融合技術在此的主要作用是分析信息的關聯性；第三是篩選和處理后的信息融合為新的完整信息庫，為評估和決策工作提供參考。

1.2 網絡安全態勢評估的主要步驟

基于信息融合的網絡安全態勢評估主要分為3個步驟，首先是在數據采集階段，使用信息融合技術可以更加方便地在分布式網絡數據庫中進行初步采集，并對其中的相關信息進行辨識和分析，經過初步篩選和修正以后可以形成有效信息庫；其次是對安全相關信息進行進一步提取分析，找出有關網絡系統漏洞的相關信息；最后通過相關算法對網絡安全態勢進行評估，從而建立起一個安全高效的網絡安全態勢評估體系，保證網絡系統的安全運行與維護。

2 網絡安全態勢評估的模型設計與應用方法

一般情況下，基于信息融合的網絡安全態勢評估工作，主要分為數據源信息融合、態勢要素融合以及關鍵節點態勢的融合3個部分。他們各自起到攻擊概率檢測、安全態勢評估和綜合計算等作用。在進行算法設計之前，首先要明確評估模型的結構以及進行網絡安全評估的主要指標。

2.1 網絡安全態勢評估模型及其設計

為了更好地應用信息融合技術，滿足多源數據結構的分析和評估要求，應當建立合理的安全態勢評估模型。該模型由主機、網絡和用戶3個層次構成，分別負責分析主機系統的運行狀態、挖掘與關聯網絡安全信息以及對用戶端進行網絡安全警告等。在主機層中，評估模型是根據主機系統遭受攻擊和威脅的數據進行漏洞分析的；將主機層中的威脅數據融合匯集以后，模型會將其送入網絡層，以威脅數據為參照對象對存在威脅特征的網絡信息進行分析，對網絡信息中潛在的危險特征和危險關聯信息進行建模和評估；得出安全態勢評估結果以后，將信息匯總至用戶層，方便安全管理人員對網絡安全形勢進行準確把握。

2.2 安全態勢評估的主要方法

建立網絡安全態勢的評估模型以后，就要根據安全需要來確定態勢的評估方法。在網絡安全領域有四類常用的評估標準，包括基于安全的各類安全標準方法、基于財產價值的評估方法、基于漏洞檢測的評估方法、基于安全模型的評估方法。自從網絡安全概念誕生以來，包括歐美和我國在內的網絡大國都先后制定了各自的網絡安全標準。而其中以美國、加拿大和歐盟共同發布的“通用準則”（Common Criteria，簡稱CC）的評估標準最為全面，它包含了對操作系統、計算機網絡、分布式系統和應用程序等各方面的評估，是比較各類評估標準的通用準則；基于財產價值的評估方法則更為量化直觀，它通過財產敏感性分析，可以對網絡安全事件所造成的財產損失進行評估，從而對安全風險進行分級并采取措施；基于漏洞檢測的方法，是指對于前述網絡安全態勢模型中的主機、網絡、用戶層面的漏洞情況進行評估，并根據測出漏洞的數量、嚴重性的權重計算網絡安全態勢；而基于安全模型的方法則更為全面，它是根據已經發生過的網絡安全事件，對網絡體系建立安全評估模型，通過模型分析和測試達到對系統整體進行評估的目的，這樣不僅可以對已知的網絡薄弱結構進行評估，還可以發現和預測未知的安全漏洞，具有十分廣闊的應用前景。

2.3 網絡安全態勢評估的主要指標

區別于常規的風險評估，網絡安全態勢的評估工作還應當包含更加細致的信息，如安全威脅的危害性數據、威脅事件的出現頻率以及解決威脅的難易程度等。因此要以信息融合所得到的威脅、漏洞數據庫為依據，制定具有代表性的評估指標和指數。典型的評估指數包括主機態勢指數（Fhost），主要指在主機層出現的對安全策略的違反程度；服務態勢指數（Fs），指在固定攻擊數量下，安全威脅對服務器安全策略的違反程度；攻擊態勢指數（FA）則是針對由黑客所引發的攻擊事件而言的，它反應了網絡漏洞被黑客利用作為攻擊手段的難易程度；以及結合各個指標所得的網絡態勢威脅綜合指數（FNET）等。只有綜合考慮各個指標，才能對網絡威脅中的各類病毒攻擊、黑客威脅、流量態勢的參數進行準確評估，了解網絡安全態勢的實時狀況。

3 基于信息融合的網絡安全態勢評估方法

3.1 信息融合技術的算法分析

在信息融合技術中，要用到大量的數學工具對數據對象進行描述。因此如何在網絡安全態勢評估中選擇合適的算法，對于信息融合和安全評估具有重要的意義。信息融合的常見算法包括基于推理模型的算法，即對數據的置信度、隸屬度進行操作，包括最大似然法、卡爾曼濾波等；還有基于特征推理的方法，如貝葉斯推理和神經網絡王法；另外還有模糊集理論的感知模型方法。其中，基于特征推理的貝葉斯網絡融合算法的應用，在具有內在不確定性的問題中應用較為廣泛，在該算法中，網絡攻擊行為的成功，必須以目標系統存在安全漏洞為前提條件，對漏洞進行挖掘而發起攻擊；而由于對網絡安全漏洞的評估往往是沒有明確量化標準的定性概念，因此基于模糊集理論的感知模型在此應用也較為合適，模糊集是一種邊界不明確的模型，在其基礎上可以建立起模糊邏輯，其推理結論的真實性都是相對的，因此基于模糊集理論的算法可以很好地解決信息融合中的沖突問題，但這種算法計算量較大，且只能應用于靜態環境。

3.2 數據源信息融合

信息融合網絡安全態勢評估模型中的信息源融合技術，主要針對的是信息來源的不確定性，即由于信息檢出設備本身的多樣性和不穩定差異，所導致的準確性下降以及無效性增加等情況。數據源融合技術包含了對大量數據的統計推斷方法，在進行信息關聯性分析時顯得更為準確。例如首先通過網絡拓撲信息得到攻擊發生的鏈路信息，將該鏈路中涉及的所有設備列入相關檢測設備，再通過D-S證據理論，通過對各個檢測設備的檢測日志進行計算，得到各個設備對威脅產生的潛在支持概率，便于威脅來源的查找分析。另外，在分析各個設備的日志信息時，應當具有一定的權重性，如對預知日志中的防火墻、IDS日志信息進行檢測時，還應當同時匹配其權重，從而分析得出最大概率支持威脅的檢測設備。引入推斷方法進行的數據源融合，可以得到檢測設備對攻擊發生的支持概率，便于下一步態勢要素融合的進行。

3.3 基于概率的態勢要素融合

在這一步中，主要是利用得到的攻擊發生支持概率來計算威脅對主機節點攻擊的成功支持概率。由于安全威脅發動攻擊并成功的前提條件應當是具備網絡設備中具備該威脅且主機關鍵節點有該攻擊所利用的安全漏洞，因此要利用安全威脅概率和漏洞數據庫進行匹配，以獲得攻擊成功的支持概率。這一步主要是通過向節點寫入檢測程序實現的，當程度返回值為1時，證明該節點包含攻擊所利用的安全漏洞。將安全漏洞依照其威脅程度權重進行累計，就可以得到系統對網絡攻擊成功的支持概率。再利用攻擊的威脅度參數，結合攻擊發生和成功的支持概率，計算得到攻擊對系統關鍵節點的影響值（影響程度），對網絡中各個主機的安全影響值進行匯總以后，便可以對關鍵節點態勢進行安全信息融合。

3.4 關鍵節點態勢融合

關鍵節點態勢融合，是網絡安全態勢信息融合的最后一步，也是最重要的一步。它是將各個主機節點及其所提供的服務按照重要程度分配權重（所有服務的權重和為1），再將每一個關鍵節點的威脅影響值與其節點權重求乘積，得到單個節點的網絡安全態勢值（SA），再將所有節點的安全態勢值匯總，就可得到網絡安全態勢的總體值。將一段時間內的安全態勢值繪制成時間-安全態勢曲線，就可以對該段時間的安全態勢狀況進行分析，便于網絡安全管理人員對過去一段時間的系統網絡安全情況進行把握，并對未來一段時間的網絡安全情況進行預測和分析。

4 結語

總而言之，隨著信息技術的不斷發展，網絡信息的產生和處理規模將會變得越發龐大，由此帶來的網絡安全威脅將會隨之增加。因此，開發新的網絡安全技術，建立高效可靠的網絡安全態勢分析模型，對于維持網絡系統的安全運行，保障網絡社會下各類信息的安全具有相當重要的意義。該文僅針對基于信息融合技術的網絡安全態勢評估模型的建立和分析進行了探究，對于相關網絡安全工作的開展具有一定的參考價值。

參考文獻

[1] 李方偉，張新躍，朱江，等.基于信息融合的網絡安全態勢評估模型[J].計算機應用，2015，35（7）：1882-1887.

[2] 任江偉，韓躍龍.基于信息融合的網絡安全態勢評估模型[J]. 黑龍江科技信息，2015，46（9）：353-362.