信息系統的態勢感知研究

摘要：近年，隨著計算機和網絡技術的快速發展，尤其是針對信息系統的攻擊和威脅變得多而復雜。當前迫切需要統籌各部門力量，通過系統的態勢感知來感知威脅，將整個信息系統的網絡安全態勢呈現出來，對呈現的威脅進行溯源，控制和消除查找到的威脅源，達到控制整個網絡態勢的要求。

關鍵詞：系統態勢感知;數據融合;關聯分析;可視化

引言

隨著計算機和網絡技術的快速發展，給我們帶來了很多便利，同時也帶來了很多的安全問題，比如互聯網遭受攻擊事件和黑客入侵事件頻繁發生等，這都嚴重威脅到國家、社會和經濟的安全與穩定。

要保證信息系統所在的網絡安全，以政務信息系統為例，我們所采用的網絡安全態勢感知系統必須能夠快速的響應復雜且變化的網絡環境，能夠高效的組織、管理和分析不確定的信息，并提供詳細的安全管理策略和方法，幫助態勢感知管理人員快速的了解整個信息系統的網絡安全態勢，幫助安全人員迅速、準確的做出決策和響應。

1 基礎知識

1.1 態勢感知相關技術基本概念

態勢感知就是在一定的空間和時間條件下，對所在的系統網絡環境的感知、理解和對未來發展趨勢的預測。態勢感知把數據流程分為了數據采集、融合、分析、評估、預測和展示幾個層次，并分別完成了數據收集、存儲、預處理、分類、分析、評估、預測、系統管理等功能。

2 基于特征值的多源數據融合

2.1 基于特征值的多源數據融合技術

特征值融合是在數據層融合的基礎上，數據源根據自身情況的需要設置多個指標參數，利用層次分析法對候選數據匯聚點進行評定，在這里面選取綜合分數最高的作為數據匯聚點，每個指標的份數都是根據節點獲得各種信息提取的特征計算出來的。這樣在原始數據的基礎上提取數據信息，提高了數據的準確性，同時也是最后的態勢結果也比原始數據數量少。

3 基于統計分析的態勢評估技術

3.1 態勢評估技術研究

在態勢感知系統中，態勢評估是很重要的，它主要是通過數據挖掘中的關聯來分析攻擊中的因果和時序關系，通過不同的數據源的相互關系形成網絡協防，然后通過專家庫進行對比評估，最終可視化顯示，就像安檢一樣，對每個關聯數據進行檢測，對檢查內容中的參數與規則庫比對，如果確定存在威脅就會啟動報警裝置，并在網頁上以可視化的形式顯示。

3.2 基于統計分析的態勢評估技術

在經濟學中有統計分析的方法，它是對收集到的資料進行整理歸類并進行解釋的過程，主要是用在專題評估中，對于態勢得到的資產、威脅、脆弱性等數據集，進行統計分析，得到對網絡中數據的評估信息。

關聯分析，也就是分析來自一個或多個設備/應用的多條日志，通過他們的關聯找到異常。因為每套管理系統都有自己的安全防護措施，只不過都是安全孤島，但是萬事萬物之間都是有一定聯系的，將這些日志聯系在一起分析就是所說的關聯分析，關聯的好壞取決于關聯庫、關聯規則和知識庫。在計算系統風險時采用的算法是CALM（損害與攻擊級監控）。

4 系統態勢感知的可視化實現

4.1 體系結構及系統部署

對信息系統的攻擊、網絡安全防護、態勢感知技術、評估技術等內容進行了詳細的介紹，接下來要對用到的開源實驗平臺進行分析，根據前文內容和研究需要給出一個通用保密系統態勢感知的整體框架[1]。

我們根據密碼設備的通用部署來部署態勢系統，進而對整個設備進行感知、評估和關聯顯示，具體的部署架構還要考慮密碼設備的結構，應用感知體系結構如圖1所示：

4.2 系統測試與仿真

由于在研究過程中，不能滿足在信息系統密碼設備環境下進行測試，我們首先在網絡環境下進行實驗，找到通用的框架，然后再應用到密碼設備中。

具體的測試內容主要是攻擊者利用Windows 平臺下局域網劫持測試工具EvilFoca進行模擬中間人攻擊，通過ARP欺騙進行Dos攻擊等攻擊方式，被攻擊者采用GPG開源電子郵件加密軟件進行數據傳輸。

同時還可以DDOS攻擊和ARP欺騙攻擊等攻擊，當攻擊者進行這些相關攻擊時，探測器會探測到相關信息的改變，并在控制臺進行呈現，利用OSSIM中集成的arpwatch進行監聽區域網絡中的ARP數據包并記錄，同時將監聽到的變化記錄到日志中[2]。這就會產生大量的警告，顯示網關地址發生改變，雖然這些告警信息單獨出現時不會引起注意，但是當大量信息同時顯示就會引起管理員的注意，并與其他特征進行關聯，顯示出risk值的變化趨勢，從而使關聯管理員對整個系統具有安全的管理和掌握。

5 結束語

本文要研究的是信息系統的態勢感知，要想對信息系統的態勢感知進行研究，首先我們要了解其概念，以及針對信息系統存在哪些攻擊手段及常見的網絡安全防護，在此基礎上需要對態勢感知的系統框架和涉及到的技術進行分析和改變適應當前的環境，并將開源集成軟件OSSIM進行改進，在改進的基礎上，考慮如何接入到信息系統設備中，設計出部署方案，在解決了與信息系統設備的接入問題之后，根據環境需要首先對系統的全英文界面改變為支持中文簡體方式，方便管理人員利用系統或之后進行二次開發，然后根據系統關聯算法和關聯規則對系統關聯規則進行改變和擴充，并將開源軟件Zabbix集成到系統中，從而更好的進行可視化展示。

參考文獻

[1]網絡安全態勢評估模型[J].計算機學報，2009，32（4）：763～772.

[2]李晨光.UNIX/Linux網絡日志分析與流量監控[M].北京：機械出版社，2015：388-39.

作者簡介：吳陽陽（1990.03-），女，山東菏澤人，當前職務：工程師，學歷：碩士，研究方向：計算機，信息安全。