網絡安全態勢感知系統關鍵技術研究

李程雄

（廣東能源集團科學技術研究院有限公司 廣東省廣州市 510630）

近年來，計算機與網絡技術逐漸普及，而網絡安全問題愈加常見，特別是網絡攻擊對于企業運作的影響較大，甚至會使社會穩定性受到影響。為此，有必要針對網絡安全態勢展開研究，選擇針對性手段以優化網絡安全水平，為網絡運行創設理想外部環境。

1 研究目的與意義

1.1 研究目的

網絡安全態勢感知具體指的就是基于大規模網絡環境對采集、評估、預測網絡安全要素產生影響的過程。本文研究的主要目的就是依托系統結構探究網絡安全態勢感知模型、評估方法與態勢預測等關鍵性技術，使網絡安全態勢感知更加具有時效性與準確性。

1.2 研究意義

系統研究網絡安全態勢問題，使管理者能夠對網絡安全狀況予以預先發現并作出判別，以免出現網絡安全事件，盡可能減少信息系統安全風險。以傳統安全測評和風險評估為基礎評估并預測網絡安全態勢，經有效融合對信息系統安全狀況作出評估，并對未來變化進行預測，保證管理者對網絡安全狀況和變化趨勢予以感知，以及時處理安全問題，對網絡安全問題予以有效解決。

2 研究內容與創新點

2.1 研究內容

此研究針對網絡安全態勢感知系統關鍵技術展開了深入分析，以既有研究成果為依據，結合系統結構提出多種關鍵技術，主要包括感知模型、評估方法、預測方法。

2.2 創新點

（1）構建網絡安全態勢感知模型與指標體系，并提出以層次化為基礎的態勢感知模型。

（2）以態勢評估方法參數優化問題為依據，優化SVM模型參數，提出網絡安全態勢評估法并開展仿真測試。

（3）結合態勢預測方法權重優化問題，優化神經網絡模型參數并確定安全態勢預測法，開展仿真測試。

3 網絡安全態勢感知系統結構研究

3.1 系統框架

網絡安全態勢感知系統的基礎就是通信系統，而以數據處理流程為參考，一般涵括了采集、融合、分析、預測與展示環節，具備收集功能、預處理功能、分析功能、評估功能、預測功能。以上環節間互相獨立且與網絡安全感知系統內的流程相對應。網絡安全態勢感知系統框架示意圖如圖1。

圖1：網絡安全態勢感知系統框架示意圖

采集環節主要負責數據的采集、傳輸與適時存儲，對網絡安全狀況信息傳輸等，而信息的內容則含括IT資產信息、拓撲信息與漏洞信息等等。在融合環節，則主要是解析所收集和存儲數據，合理去除冗余信息，實現多源數據的融合。此環節的內容主要由數據歸一化、事件預處理組成。其中，數據歸一化具體指的就是實現采集數據的歸一化與標準化，使事件的相關屬性得到擴展。事件預處理指的則是針對所采集的重要數據實施歸一化與標準化處理。分析環節具體指的則是對專家系統和相關知識庫加以利用，并根據服務器內所存儲的事件和安全數據系統分析網絡安全態勢。預測環節則主要對各類信息要素進行分析，通過對相關理論方法的運用，對網絡后期安全形勢進行歸納和判斷。展示環節指的則是向響應模塊、預警模塊中輸入業務與態勢評估結果，可實現和預警系統的對接，同樣基于人工判讀可參與態勢響應操作過程中。

3.2 態勢評估流程

在評估網絡安全態勢方面，通常需按照以下流程開展：

（1）并通過對網絡數據感知元件內獲取網絡數據信息的監測，開展去噪處理加以分析。與趨勢知識庫和數據挖掘成果相結合，對網絡安全趨勢做出評估。

（2）對各環節情況予以熟練掌握，并將特定數值分配給網絡安全態勢，在貝葉斯網絡技術的作用下評價備選態勢可信度并獲取最終結果。

以網絡安全形勢為切入點評估網絡安全態勢，主要步驟體現在以下幾個方面：

（1）監測。對數據感知組件進行監測，收集并整理監測數據，為感知安全事件進行提供必要保障。

（2）覺察。基于實際采集的網絡安全態勢數據，對具體情況作出評估并判定安全事件的發生與否，如果有異常應及時對安全事件情況作出報告。

（3）傳播。結合所獲取數據安全事件狀況評估各部分未來發展趨勢。

（4）理解。以安全形勢為依據更新態勢數據信息，完成全新局勢評估演化模型。

（5）反饋。并對數據感知組件領先在線目的地進行收集，科學評估數據更新數值。

（6）分析。以網絡安全態勢類型為更新確認數值的支持可行性做出判斷。如果不支持，則要求網絡數據感知元件繼續監測網絡安全態勢數據信息。

（7）決策。系統評估網絡安全形勢數據模型以及特點，合理預測演變趨勢并探索積極措施，使管理人員獲得必要引導并作出決策。

3.3 數據決策方法

現階段，自適應數據決策算法諸多，以最小均方差算法、子帶濾波以及遞推最小二乘算法等為主，而典型性最強的就是最小均方差算法與遞推最小二乘算法。

（1）最小均方誤差算法。運用此方法估計時需借助瞬時值對梯度矢量，而具體公式：

以梯度矢量估計和自適應濾波器濾波系數矢量變化知識為依據，即可對遞推最小二乘算法對濾波器的調整系數公式做出推算：

根據以上公式內容，其中μ代表了步長因子，此數值越大即表明算法收斂速度越大，而穩態誤差也越大。相關，此數值越小，那么算法的收斂速度也會更慢，但穩態誤差會更小。要想使算法收斂處于穩態狀態，要保證μ的數值選取處于以下范圍：

（2）遞推最小二乘算法。此數據決策方法的計算公式如下：

在上述公式中，K(n)代表Kalman增益向量，而加權因子需保證在此算法初始化過程中，要求δ是最小正整數。

通過兩者收斂速度的比較發現，第一種算法要比第二種更理想，但復雜度較高。要想使此方法的計算復雜度降低，同時保證其收斂性能，需對其進行優化處理，快速橫向濾波器算法與漸變格子算法應運而生。第二種算法的操作簡單，但所能夠調節的參數僅為一個。

4 網絡安全態勢感知系統中的關鍵技術

4.1 網絡安全態勢感知模式

4.1.1 感知指標體系

網絡信息系統的安全性會受系統內關鍵主機與核心服務直接影響，攻擊者一般會借助網絡主機/服務漏洞向目標系統滲透，竊取信息并破壞數據。而對網絡安全狀態產生影響的關鍵要素則含括威脅程度、資產脆弱度、資產價值與威脅發生可能性等，所以要對其進行系統考慮并構成網絡安全態勢感知的一級指標。

（1）資產重要性。針對資產重要性賦值，內容包括網絡內服務器與終端等，一般在完整性、機密性與可用性方面賦值，對重要性權重進行量化計算。

（2）威脅指數。針對網絡威脅賦值，威脅所指的就是會破壞資產的不安全因素，而威脅指數則代表了網絡信息系統被威脅程度。

（3）脆弱性指數。針對資產脆弱性賦值，所謂脆弱性即系統軟件、主機、網絡設備與服務的缺陷，容易被攻擊者利用。在計算脆弱性指數時需抽取網絡信息系統內不同資產脆弱性要素，并根據節點與網絡層次逐級完成量化運算，獲得網絡整體脆弱性指數。

綜合安全態勢是對網絡整體安全狀態與趨勢的一種反映，在分析以上三方面內容的基礎上獲取，因而可通過數值表現出不同安全態勢加權和。在評估網絡安全態勢時，一定要細化資產的威脅、脆弱性與重要性等要素，以構成評估網絡安全態勢的二級指標體系：

（1）資產信息。以《信息安全風險評估規范》為參考對主機、網絡設備與服務器軟硬件資源展開重要性賦值。

（2）系統配置信息。主要內容包括軟硬件配置狀況、主機/服務器系統漏洞以及端口、服務開放狀況，以上可對系統內部脆弱性予以真實反映。

（3）系統運行信息。內容含括帶寬、內存與CPU利用狀況、系統受攻擊狀況、頻率等，通過以上信息可對系統安全威脅加以反應。

4.1.2 感知模型

通過研究態勢感知與風險評估，并以國家標準規范為依據，可將安全態勢感知流程作為核心，對態勢理解、評估與預測環節加以考慮，借助網絡安全態勢評估技術、態勢預測技術創建網絡安全態勢感知模型，如圖2所示。

圖2：層次化網絡安全態勢感知模型圖示

4.2 網絡安全態勢評估方法

4.2.1 以SVM為基礎量化網絡態勢評估指標

以量化對象性質的差異為依據，通常可將指標量化方法劃分成定量指標歸一化處理、量化。

在歸一化處理方面，常用方法：

（1）不規范數據經歸一化處理后，取值在（0,1）區間；

（2）有量綱表達式向無量綱表達式的轉變。而具體方法有三種：

第二種：對數函數轉換：y=log10(x)。

在定性指標量化方面，量化指標可通過最大隸屬度進行表示，而求解的方法包括四種：

第一種，模糊統計方法。需對論域中確定元素ai與可變動模糊集合A的隸屬關系作出判斷，通過對A邊界的修改重新判定ai，根據模糊集合A中該元素出現次數對ai相對于A隸屬度進行計算。

第二種，專家經驗方法。以專家經驗知識為依據，對各模糊信息處理算式以及權值系數加以確定，在初始數值固定的基礎上可反復學習、實踐以實現修改、完善的目的。

第三種，二元對比排序方法。兩兩比較若干事物，明確事物特征順序，在獲取相應特征的基礎上明確事物隸屬度的函數。以對比測度差異為參考，采用針對性排序方法。

第四種，舉證方法。此方法基本思想就是對于評價等級論域集合V，其各元素Vi均為模糊子集。若選擇予以學標度對各模糊子集加以表示，則各標度均具備特定邊界范圍，可使用真值進行表示。在確定各元素所屬邊界范圍的情況下，即可對其所屬模糊子集加以判斷，并將其真值向此元素進行賦予。

4.2.2 實驗驗證

（1）實驗環境、數據源。

對此模型性能進行測試的過程中開展以下實驗，實驗數據選擇DARPA2000，而具體環境配置包括PC機、CPU主頻、專用寬帶（4Mbps）、4G內存、四核i5-2300；軟件環境則含括工具箱（MATLAB7.0）、操作系統（Win7）。在實驗過程中，需對網絡安全態勢評估指標集合加以確定，對威脅數據庫內實驗數據獲取后實施預處理操作。通過層次分析方法明確不同評估指標權重，在灰色關聯分析模型作用下對指標權重進行再次確定，對比層次分析法評估指標權重數值。

（2）實驗結果。

以SVM為基礎的網絡態勢評估模型要求選擇灰色關聯方法對不同評估指標權值進行分析與確定，在粒子群優化支持向量機的作用下客觀評估網絡安全態勢，以能量值為參考繪制網絡攻擊狀態下能量的變化曲線。

結合網絡安全態勢的評估結果與繪制曲線發現，兩者基本吻合且變化趨勢類似。由此說明，通過此評估方法的運用，能夠正確且合理地評估網絡安全威脅態勢，所以說，權重確定的方法與綜合評價算法均準確、有效。

4.3 網絡安全態勢預測方法

4.3.1 以神經網絡為基礎的網絡安全態勢模型

通常可將神經網絡細化成前饋型神經網絡與反饋型神經網絡。Elman神經網絡以Elman神經網絡態勢預測方法為基礎，數據局部回歸網絡的典型，也是前饋型神經網絡，可有效處理連續型數據，所以應用于態勢感知領域的前景可觀。

4.3.2 雙反饋Elman神經網絡優化方法

傳統的Elman神經網絡模型算法以梯度下降法為主，而網絡輸出和歷史狀態存在密切關聯，所以學習速度較慢且存在極大的初始誤差，最終處于局部極小值的狀態，實際的優化效果差強人意。

為彌補以上模型的缺陷，將雙反饋Elman神經網絡模型引入其中。此模型將反饋功能添加至輸出層節點，并把承接層單元、輸出層反饋、輸入層單元當做隱含層的輸入，能夠有效修正誤差，一定程度上加快了學習速度，也使此神經網絡處理信息的能力明顯提高。

4.3.3 實驗驗證

（1）實驗環境、數據源。

仿真硬件環境包括PC機、CPU主頻、專用寬帶（4Mbps）、4G內存、四核i5-2300；軟件環境則含括工具箱（MATLAB7.0）、操作系統（Win7）。

具體的實驗數據選擇使用辦公局域網內120天網絡狀態數據，并合理預測此網絡安全態勢，并創建指標體系，結合以上計算態勢值計算態勢數值。

（2）實驗結果。

對上述兩種模型進行使用并預測態勢值發現，經優化處理后的模型，其預測精準度比傳統模型更高，且算法的運行時間也更短。由此證實，此研究優化后的Elman神經網絡具有一定可行性，可更好地預測網絡安全態勢，因而可在實際網絡中運用。

5 結束語

綜上所述，網絡安全事件的發生率較高，很容易增加社會損失，為此，有必要準確評估并感知網絡安全態勢。作為網絡安全部門需對網絡安全態勢感知系統結構展開深入研究，借助現代化技術加以優化。在研究網絡安全態勢感知系統關鍵技術的基礎上，以確保系統穩定性與準確性的增強。此外，需結合網絡運行狀況運用防火墻與檢測設備，對網絡安全行為予以及時發現并加以定位，科學選用相應措施規避攻擊行為的發生，營造運行可靠的網絡環境。