基于信息融合的網絡安全態勢評估模型

趙珂

摘 要 隨著信息技術的不斷發展，隨之而來的網絡安全威脅也在不斷增加。人們在日常網絡使用過程中，無時無刻不面臨著網絡安全威脅。由于當前的網絡安全威脅逐漸呈現出規模化、隱蔽化等特點，導致傳統的網絡安全評估、檢測、防御模式已經不能滿足要求，因此結合信息融合等新型分析技術，建立更加可靠的網絡安全態勢評估模型，成為了相關領域的研究熱點。

關鍵詞 信息融合 網絡安全態勢 評估模型

中圖分類號：F27 文獻標識碼：A

1 網絡安全態勢評估模型及其設計

為了更好地應用信息融合技術，滿足多源數據結構的分析和評估要求，應當建立合理的安全態勢評估模型。該模型由主機、網絡和用戶3個層次構成，分別負責分析主機系統的運行狀態、挖掘與關聯網絡安全信息以及對用戶端進行網絡安全警告等。在主機層中，評估模型是根據主機系統遭受攻擊和威脅的數據進行漏洞分析的；將主機層中的威脅數據融合匯集以后，模型會將其送入網絡層，以威脅數據為參照對象對存在威脅特征的網絡信息進行分析，對網絡信息中潛在的危險特征和危險關聯信息進行建模和評估；得出安全態勢評估結果以后，將信息匯總至用戶層，方便安全管理人員對網絡安全形勢進行準確把握。

2基于信息融合的網絡安全態勢評估方法

2.1信息融合技術的算法分析

在信息融合技術中，要用到大量的數學工具對數據對象進行描述。因此如何在網絡安全態勢評估中選擇合適的算法，對于信息融合和安全評估具有重要的意義。信息融合的常見算法包括基于推理模型的算法，即對數據的置信度、隸屬度進行操作，包括最大似然法、卡爾曼濾波等；還有基于特征推理的方法，如貝葉斯推理和神經網絡王法；另外還有模糊集理論的感知模型方法。其中，基于特征推理的貝葉斯網絡融合算法的應用，在具有內在不確定性的問題中應用較為廣泛，在該算法中，網絡攻擊行為的成功，必須以目標系統存在安全漏洞為前提條件，對漏洞進行挖掘而發起攻擊；而由于對網絡安全漏洞的評估往往是沒有明確量化標準的定性概念，因此基于模糊集理論的感知模型在此應用也較為合適，模糊集是一種邊界不明確的模型，在其基礎上可以建立起模糊邏輯，其推理結論的真實性都是相對的，因此基于模糊集理論的算法可以很好地解決信息融合中的沖突問題，但這種算法計算量較大，且只能應用于靜態環境。

2.2數據源信息融合

信息融合網絡安全態勢評估模型中的信息源融合技術，主要針對的是信息來源的不確定性，即由于信息檢出設備本身的多樣性和不穩定差異，所導致的準確性下降以及無效性增加等情況。數據源融合技術包含了對大量數據的統計推斷方法，在進行信息關聯性分析時顯得更為準確。例如首先通過網絡拓撲信息得到攻擊發生的鏈路信息，將該鏈路中涉及的所有設備列入相關檢測設備，再通過D-S證據理論，通過對各個檢測設備的檢測日志進行計算，得到各個設備對威脅產生的潛在支持概率，便于威脅來源的查找分析。另外，在分析各個設備的日志信息時，應當具有一定的權重性，如對預知日志中的防火墻、IDS日志信息進行檢測時，還應當同時匹配其權重，從而分析得出最大概率支持威脅的檢測設備。引入推斷方法進行的數據源融合，可以得到檢測設備對攻擊發生的支持概率，便于下一步態勢要素融合的進行。

2.3基于概率的態勢要素融合

在這一步中，主要是利用得到的攻擊發生支持概率來計算威脅對主機節點攻擊的成功支持概率。由于安全威脅發動攻擊并成功的前提條件應當是具備網絡設備中具備該威脅且主機關鍵節點有該攻擊所利用的安全漏洞，因此要利用安全威脅概率和漏洞數據庫進行匹配，以獲得攻擊成功的支持概率。這一步主要是通過向節點寫入檢測程序實現的，當程度返回值為1時，證明該節點包含攻擊所利用的安全漏洞。將安全漏洞依照其威脅程度權重進行累計，就可以得到系統對網絡攻擊成功的支持概率。再利用攻擊的威脅度參數，結合攻擊發生和成功的支持概率，計算得到攻擊對系統關鍵節點的影響值（影響程度），對網絡中各個主機的安全影響值進行匯總以后，便可以對關鍵節點態勢進行安全信息融合。

2.4關鍵節點態勢融合

關鍵節點態勢融合，是網絡安全態勢信息融合的最后一步，也是最重要的一步。它是將各個主機節點及其所提供的服務按照重要程度分配權重（所有服務的權重和為1），再將每一個關鍵節點的威脅影響值與其節點權重求乘積，得到單個節點的網絡安全態勢值（SA），再將所有節點的安全態勢值匯總，就可得到網絡安全態勢的總體值。將一段時間內的安全態勢值繪制成時間-安全態勢曲線，就可以對該段時間的安全態勢狀況進行分析，便于網絡安全管理人員對過去一段時間的系統網絡安全情況進行把握，并對未來一段時間的網絡安全情況進行預測和分析。

隨著網絡技術的發展，人們的生活、工作與網絡的聯系性越來越強，因此加強網絡安全是發展電子商務經濟的重要內容，但是依靠傳統的網絡安全技術已經不能應對網絡安全隱患，因此網絡安全評估技術作為一種新型網絡安全技術，為實現有效保護網絡信息資產提供了一條嶄新的思路，所以我們要側重對信息融合網絡安全態勢聘雇模型以及量化評價方法的研究。

參考文獻

[1] 楊進，李蕓潔，李勤.基于多元信息融合的網絡安全評估模型[J].電腦編程技巧與維護，2014，（04）.

[2] 任江偉，韓躍龍.基于信息融合的網絡安全態勢評估模型[J].黑龍江科技信息，2015，（03）.endprint