信息融合背景下的網絡安全態勢感知模型及關鍵技術分析

張 宇

（國能朔黃鐵路發展有限責任公司，河北 滄州）

態勢感知是在特定的時間、空間范圍內，感知和理解環境狀況，并對后續發展趨勢進行推算和預測。進入信息時代，網絡已經與日常生活、公司運營甚至是國家安全等多方面進行深度綁定，維護網絡安全成為社會各界共同關注的焦點話題。網絡安全態勢感知通過提取可能會影響網絡安全的各類要素，并對其進行分析、評估，在此基礎上對未來發展趨勢作出預測，分析結論和預測結果以可視化方式呈現出來。網絡安全態勢感知技術將入侵事件從“事后治理”向“事前預防”轉變，在保障用戶信息隱私與網絡資產安全方面具有顯著優勢。

1 基于信息融合的網絡安全態勢感知模型

1.1 網絡安全態勢感知模型的整體架構

本文提出基于信息融合的分層次網絡安全態勢感知模型，以態勢信息為基礎，通過態勢信息的預處理和評估，展開態勢預測并使網絡安全態勢進行可視化呈現，向管理員展示網絡存在的潛在風險與安全走勢，保證管理員能夠及時、直觀地掌握網絡安全狀況。該模型的整體架構如圖1 所示。

圖1 基于信息融合的網絡安全態勢感知系統框架

網絡安全態勢評估是該系統的核心部分，具體又包括了資產價值評估、脆弱性評估、入侵威脅評估3部分；態勢信息分類存儲在不同的數據庫中，如資產數據庫、安全事件庫等，方便數據的查找和調用；網絡安全態勢預測結果在液晶顯示屏上可視化展示[1]。

1.2 態勢信息采集

該系統通過傳感器采集和人工輸入2 種方式獲取態勢信息，信息內容為影響網絡環境的各項安全因素，主要含括4 類：（1）資產信息數據。如網絡設備、存儲設備等可見資產信息，系統軟件、應用軟件等軟件資產信息；（2）脆弱性信息。結合網絡系統的組成架構，脆弱性信息的來源有網絡層、系統層和應用層3個渠道。以應用層為例，應用程序存在編程漏洞，如緩沖區溢出漏洞、跨站點請求偽造漏洞等，都有可能引起網絡安全問題；（3）威脅信息，特指能夠造成資產破壞的網絡安全事件；（4）網絡性能信息，如內存使用率、帶寬利用率、數據包丟包率等信息。不同類型的態勢信息，采集方式也不盡相同，網絡性能信息可通過Hyperic Sigar 類集提供的API 完成采集，而威脅信息則是基于IDS 等檢測設備進行感知[2]。

1.3 態勢預處理

不同類型傳感器采集到的信息存在異構性，如果將這些信息直接傳遞給終端處理器，一方面是占用較多的帶寬資源，容易發生信道堵塞的情況，不利于突顯態勢感知的即時性；另一方面也會增加信息分析與處理的負擔，甚至會因為數據信息無法兼容而出現分析錯誤。因此，本文在設計基于信息融合的網絡安全態勢感知模型時，加入了態勢預處理環節。基于NSSAP 數據交換協議，將來自于不同傳感器的數據轉換成統一的格式，從而大幅度降低了不同模塊之間的耦合度。通過態勢預處理，態勢信息的復雜度降低，系統終端對異構信息處理的開銷明顯減少，對提高系統整體的響應速度也有積極幫助。經過預處理后的態勢信息分類存儲到數據庫中。

1.4 態勢融合

態勢融合的目的是基于多源異構數據的綜合分析，從完成對某類事件的精準識別與判斷。現階段常用的態勢融合算法有多種，如基于數學模型的算法、基于邏輯關系的算法、基于規則推理的算法等[3]。本文選擇基于數學模型的融合算法，其原理是：匯總各類影響網絡安全的態勢信息，并構建態勢要素集合P={p1,p2…pn}，并尋找P 與態勢值m 之間的映射關系，表示為：

采用加權平均法求出權值，根據權值的高低反映網絡安全態勢。該方法的優勢在于計算量較小，并且較為直觀地表示網絡安全態勢；但是需要保證收集到的網絡安全態勢信息完整、準確，因此態勢融合前的態勢信息采集和預處理顯得十分重要。

1.5 態勢評估與預測

評估安全態勢是基于信息融合的網絡安全態勢感知模型的核心功能，本文在設計態勢評估模塊時，分別選取3 個角度展開評估：（1）資產評估，評估對象是網絡中全部的資產設備。在發生入侵事件后，資產設備受到威脅，通過資產評估可以量化表示計算機網絡安全的受影響程度；（2）脆弱性評估，發生在網絡環境下的入侵事件，是通過特定的脆弱性（如系統漏洞）竊取、篡改資產數據，脆弱性評估可以量化表示網絡中資產設備的弱點、缺陷，為下一步開展維護優化提供指導；（3）威脅評估，對網絡中可能破壞資產設備的潛在威脅作出評估，并對其進行分類。在態勢評估的就上，利用合適的預測模型算法，以歷史態勢信息和當前態勢信息作為訓練樣本，對未來一段時間內的安全態勢發展進行推算、預測。同時，態勢評估和預測結果都會以可視化形式呈現。

2 網絡安全態勢感知模型的關鍵技術

2.1 網絡安全態勢采集與傳輸技術

為了采集到更加完整的安全態勢信息，本文選用了Hyperic-Sigar 技術，該技術能直接通過本地接口調用地層API，進而得到網絡內部的資產數據。Hyperic-Sigar 技術可適用于目前主流的多種平臺，如Windows、Linux、Macos、AIX 等；同時對外提供多樣的應用程序接口，如Java、Python、Ruby 等。

前端傳感器會不間斷的采集網絡態勢信息，這些信息具有數據量大、多源異構等特點。為了減輕傳輸壓力和減少帶寬資源的消耗，本文運用了NSSAP 數據交換協議技術。該協議采用Base64 編碼機制對多源異構數據的格式進行規范化處理，最后得到標準的JSON 格式數據[4]。NSSAP 傳輸報文由頭部信息和正文信息組成，報文格式見表1。

表1 NSSAP 傳輸報文格式

2.2 網絡安全態勢信息融合技術

將網絡安全態勢信息按照某種規則進行融合，不僅能夠大幅度減小數據體量，降低了后期數據運算處理的難度，而且還能提高系統識別入侵事件或安全威脅的精確度。鑒于前端傳感器數據源形式各異，其融合過程中也被劃分為多個層級，如像素級、特征級、決策級。

2.2.1 像素級數據融合

像素級融合傳感器采集到的原始數據在不經過處理的情況下直接進行融合，完成融合后再從數據中提取出特征像素進行威脅識別，數據融合過程如圖2所示。

圖2 像素級數據融合過程

像素級數據融合是最低層級的融合，主要用于圖像的分析與理解，經過融合處理后的安全態勢信息可以將數據表征層次從低級提升為高級，當是仍然存在處理效率不高、容易受到干擾等缺陷。

2.2.2 特征級數據融合

特征級數據融合在像素級數據融合的基礎上進行了改良，接收到傳感器采集到的數據后，從原始數據進行特征提取，以便于實現數據壓縮，從何源頭上縮減了數據體量。對提取出來的特征值做特征級融合，最后進行識別、決策，整個融合過程如圖3 所示。

圖3 特征級數據融合過程

特征級數據融合主要應用于多源傳感器的目標跟蹤，由于將特征提取步驟從融合后轉移到融合前，減輕了終端處理器的數據處理強度，對提高網絡態勢感知系統的響應速度有一定效果。在應用該融合方法時，特征屬性的選擇與提取是決定決策水平的關鍵因素。

2.2.3 決策級數據融合

決策級數據融合是在傳感器內獨立完成特征信息的提取、識別與決策，是一種高層次的數據融合方式，其融合過程如圖4 所示。

圖4 決策級數據融合過程

在決策級數據融合中，首先遵循某種特定規則為前端傳感器賦予可信度權值，分別對每一個傳感器上的態勢信息作特征提取與威脅識別處理。識別結果經過決策級融合后，可以得到全局最優決策[5]。相比于像素級和特征級數據融合，決策級數據融合對數據信息的壓縮率最高，降低了數據傳輸對帶寬的要求，提高了系統響應速度，可以做到入侵事件的同步響應，在保證網絡安全方面效果顯著。

2.3 網絡安全態勢評估技術

本文使用“矩陣法”對網絡安全態勢進行計算、評估，以入侵威脅評估為例，評估過程氛圍可信度評估、支持度評估、嚴重度評估3 部分，評估過程如圖5 所示。

圖5 入侵威脅評估過程

圖5 中，可信度用于表示入侵事件發生的真實性，本文使用D-S 證據理論對入侵威脅的可信度進行評估；支持度用于表示入侵攻擊的成功概率，本文使用Bayesian 網絡方法綜合分析影響攻擊成功實施的多個因素，進而求出安全威脅的支持度；嚴重度用于表示入侵攻擊的威脅程度，本文按照攻擊意圖對目標網絡環境的危害程度將攻擊嚴重度劃分為10 個等級，等級越高則表示入侵攻擊產生的嚴重度越高。

結束語

在互聯網時代，網絡結構呈現出復雜化、大規模的發展趨勢，暴露出的脆弱點也相應增加。傳統網絡安全技術大多是在入侵行為發生后采取被動保護，無法保證網絡資產設備的完整性和安全性。基于信息融合的網絡安全態勢感知模型，則是以傳感器采集態勢信息，并經過預處理、融合、評估等一系列處理后得出最優決策，預測入侵事件的真實性、成功概率和嚴重程度。網絡管理員根據決策結果在入侵事件發生前采取應對措施，切實保障了網絡資產設備的安全性。