大數據網絡安全態勢感知中數據融合技術的研究

戴祥華 張蘇炯

一、數據融合技術的特點

（一）數據融合技術的發展概況

數據融合技術是一種先進的技術，起源于軍事領域，可以實現對各種數據的檢測、分析以及整合工作，并得出系統的安全態勢評估結果。我國已經研制出多種數據融合技術，如多航管雷達數據融合系統與圖像數據融合技術。但是，目前數據融合技術還不夠完善，主要表現在實際應用模型技術仍存在著一定的滯后性，需要在后期工作中不斷完善與改進。

根據抽象層次進行區分，可以將數據融合技術分為3個等級：數據級、特征級和決策級。數據級是層次最低的數據融合技術，通常被應用于處理原始圖像信息中。特征級融合技術級別高于數據級融合技術，通過數據級的融合技術可以在所有的原始信息中提取出有效的信息，帶有特征的信息即為有效信息，將信息準確提取出來后便可以實現信息的統一處理，得出的結果為最后的決策結果提供了重要依據。決策級是層次最高的數據融合技術，主要用來處理具體的決策問題。在安全態勢感知工作中，特征級的融合技術應用最廣泛，其中常用的技術有表決法等算法、神經網絡以及D-S證據理論等。

（二）安全態勢感知下數據融合技術的應用概況

技術指標包含多方面內容，主要有網絡攻擊次數和僵尸網絡的規模等。資金指標包含網絡攻擊造成的經濟損失量和在網絡安全防御系統上的資金投入等。網絡安全態勢感知是一項復雜性較高的工作，由專門的管理人員負責，并借助相關的技術指標，科學有效地進行網絡安全態勢的評估。此外需要與現實情況相結合，采用多種數據融合算法，完成網絡安全態勢的分析工作。常用的數據融合算法有層次分析模型、模糊集理論以及D-S證據理論等。為了提高數據結果的準確性，可以單獨使用某一算法或者多種算法結合使用。但是，目前國際上數據融合技術大多還不成熟，處于實驗研究階段，仍需要進一步研究和改善。我國接觸數據決策管理理念較晚，與發達國家還有較大差距，所得出的數據目前只能起到輔助決策作用。

二、數據融合技術的特點網絡安全態勢感知過程中數據融合的應用過程

（一）安全數據采集

進行安全數據的采集是安全態勢感知工作的首要步驟。安全數據的來源主要可以分為三類：第一類是安全設備中得出的數據，可以從防火墻、4A系統以及流量采集器等設備中產生一些安全數據信息；第二類是在運行和維護過程中產生的數據，可以得出故障處理記錄和風險評估記錄等數據信息；第三類是外部攻擊數據，主要指攻擊方式和特點、攻擊的漏洞等數據。

（二）對數據進行預處理

通過數據采集可以得到一些安全數據，這些都是非結構化數據，有著價值密度低的共同特點。因此須事先做必要處理，才可以對有價值的數據進行有效識別和修復，并及時刪除存在重復、錯誤的數據，當完成以上操作才可以繼續開展后期的數據挖掘工作。經過預處理后的數據，在進行統一存儲時可以采用自定義的格式。如果出現不同來源的數據，要及時進行標注工作，含設備的來源、時間等。如果在不同設備中發現同一時間的記錄信息，可以將其進行合并處理，并刪除重復的信息。如果發現由于誤報產生的孤立安全事件報告，可以采取重新清洗的方式進行處理。一般來說，經過預處理后的數據，價值密度會得到較大提升，有助于提升數據后期挖掘和分析工作效率。

（三）建立安全態勢感知指標體系

為了提升安全數值的精準性，可以深入分析網絡安全管理的現實需求，并建立高效的安全態勢感知指標體系。網絡安全態勢主要由網絡運行、網絡脆弱性、網絡攻擊、異常行為和管理行為5類子態勢組成，其中管理行為與其他子態勢之間存在較大差異，在建立指標體系時需要有ISO27002標準作參考，并對ISO27002標準下的控制目標和控制域進行分析；而前4類子態勢需要考慮多方面設備的運行狀況，如計算機、網絡設備，并建立指標體系。

網絡行為子態勢包含的內容較為寬泛，既包含在網絡系統運行過程中所占用的一些儲存資源，又包含一些計算資源和寬帶資源等。如果這些指標在短時間內急速增加或減少，就可以判斷有其他技術在攻擊網絡系統而使網絡系統發生不穩定情況。網絡行為子態勢包含的指標一般有磁盤的占用率和內存等，是網絡運行子態勢的下級指標。當技術條件達到要求時，還可以實現對系統每個程序的數據量以及內存、CPU占用率的更深層次的采集工作。從計算機的日志中有效獲取這些指標。

對網絡脆弱性子態勢進行分析，發現它由多個部分組成，常見的有網絡系統下計算機存在的漏洞和網絡系統下計算機的風險狀況。每個計算機系統的漏洞數量及其危險指數和每個計算機應用程序的安全性能均是網絡脆弱性子態勢的下級指標。這些指標數據的得出得益于漏洞掃描軟件在計算機中的安裝以及計算機中基線安全的配置。

網絡攻擊子態勢主要指的是在網絡系統運行下各類計算機受到的攻擊狀況。它的下級指標眾多，主要為以下兩類：一類是在SQL中注入的攻擊數量；另一類是各類攻擊的數量以及危害指標。這兩類指標數據主要由防火墻及WAF等設備計算而來。在網絡系統中，各種計算機發生的異常操作行為都被稱為異常行為子態勢。異常的登錄、訪問以及注冊等行為皆是異常行為子態勢的下級指標。這些指標數據都來源于系統以及計算機的日志。管理行為子態勢的概念相對來說更容易理解，主要指在安全管理體系運行過程中具有一定的有效性。安全方針和信息安全組織是它的下級指標。通過查看系統管理的運行記錄，可以從中獲取這些指標數據。

（四）提取相關的指標數據

在完成安全態勢感知指標體系的建立工作后，便可以實現對各項指標的賦值，并追蹤數據來源，從中找出有關的指標數據并提取出來。通常來說，數據提取工作需要事先做些準備工作，才可以較快地轉變成統計數據。

（五）數據融合的相關事項

提取指標數據后會產生一些基礎指標值，這些指標數據非常完善。由于各類數值在單位和性質方面存在差異，不能直接運用這類數據進行計算，需通過數據融合技術解決這一問題，完成各類數值的計算與處理。當前使用頻率較高的數據融合算法有D-S證據理論、粗糙集理論以及神經網絡等。通過這些數據融合算法能夠將基礎指標進行融合，使基礎指標轉化為中間指標。在完成指標的轉化后再融合中間指標，直至中間指標升級為頂層指標，最終進行頂層指標的融合，從而形成單一的態勢值。通過態勢值可以直觀、實時地看到網絡的安全狀況，其數值的選擇通常為0-1的任一數值。通過不同的算法進行計算，所得出的態勢值也有不同的含義。因此，在確定態勢值的范圍時，需要做好與實際情況的結合工作。

（六）態勢預測工作

在進行態勢的預測時，會應用一些數據融合算法，如灰色數據模型、自回歸移動平均模型等。借助于數據融合算法，可以更直觀地反映出態勢的變化。在實際的預測過程中，需要找出原有的態勢數據并對其進行分類。按照形式區別分為兩類：輸出數據和輸入數據。為了使輸出數據的數值漸漸接近輸入數據的數值，可以適當調整模型參數，最終得到可信度較高的初步預測模型。在初步預測模型的基礎上，將機器學習的方式運用其中，從而得出相對完善的預測模型。

三、結語

信息技術的快速發展，一方面使網絡更加普及，另一方面也給網絡環境帶來了一定威脅，網絡攻擊逐步增加，網絡攻擊手段不斷更新，使用傳統的安全防御機制已經無法有效抵擋網絡出現的安全問題。應用數據融合技術可以在很大程度上提高網絡安全態勢的感知速度，從而使大數據網絡安全態勢感知技術得到進一步推廣。

作者單位：戴祥華 四川省公安廳科技信息化處

張蘇炯 北京北信源軟件股份有限公司