多源數(shù)據(jù)融合下的物聯(lián)網(wǎng)安全態(tài)勢評估模型構(gòu)建

白 冰

（陜西警官職業(yè)學院，陜西 西安 710021）

0 引 言

在物聯(lián)網(wǎng)感知層面，從其核心組成的情況來看，在網(wǎng)絡中以無線傳感器作為重要內(nèi)容時，需要在監(jiān)測區(qū)內(nèi)布置微傳感器節(jié)點，并通過無線通信的方式來完成自組織網(wǎng)絡，其應用范圍廣泛，可以在生態(tài)監(jiān)測、健康護理、智慧交通、智能物流等領(lǐng)域發(fā)揮重要作用。已知并無過多的節(jié)點資源被置于傳感器之中，從應用情況來看，考慮到存儲能力、電池能量、通信帶寬、處理能力等方面，則需要對基站間、節(jié)點數(shù)據(jù)進行調(diào)整，使傳輸量下降，能效提升；對物聯(lián)網(wǎng)感知情況進行調(diào)研后發(fā)現(xiàn)冗余性問題比較突出，主要體現(xiàn)在對原始數(shù)據(jù)的采集方面，因此需要進行融合數(shù)據(jù)的操作。數(shù)據(jù)融合技術(shù)可以使冗余信息問題得以解決，把數(shù)據(jù)傳輸量降下來，把節(jié)點能量的消耗降到最低。在一般情況下，如果有大量傳感器節(jié)點被置于安全敏感區(qū)之內(nèi)，在無監(jiān)管的惡劣環(huán)境中則會造成嚴重后果，使網(wǎng)絡數(shù)據(jù)陷入危機，存在被偽造、竊聽、重放、篡改的可能，處于攻擊之下會導致多種信息安全風險出現(xiàn)。由此可知安全的數(shù)據(jù)整合是必須要進行的重要工作。

學術(shù)界的研究力度正在不斷加大，主要對數(shù)據(jù)融合過程中出現(xiàn)的節(jié)點被捕獲后如何處理的問題進行研究，并對量化數(shù)據(jù)融合結(jié)果不確定的問題展開探討，制定出各種有效的解決方案。

當前，對網(wǎng)絡安全研究主要集中在研究入侵的檢測方法上，隨著網(wǎng)絡不確定性、復雜性的增加，對網(wǎng)絡安全態(tài)勢的研究成為趨勢。本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開的，并構(gòu)建了物聯(lián)網(wǎng)安全態(tài)勢評估模型。

1 基于多傳感器的多源數(shù)據(jù)融合技術(shù)

多傳感器數(shù)據(jù)融合技術(shù)是把多個傳感器數(shù)據(jù)聯(lián)系起來，對數(shù)據(jù)實施有效的分類、互聯(lián)、綜合等操作后獲取有意義的一組數(shù)據(jù)，該項技術(shù)的基本原理并不復雜，即對人腦綜合處理信息的能力進行模擬。為了更好地把各傳感器所提供的信息利用起來，要對其進行綜合處理，在使用各個傳感器和數(shù)據(jù)時要合理，在對傳感器冗余和互補信息優(yōu)化整合時要從空間和時間上進行，對監(jiān)測環(huán)境生成一致性表述。融合所獲取的計算結(jié)果與單個傳感器相比較顯然具有更高的全局性，更加準確?；旌鲜浇Y(jié)構(gòu)是將兩種結(jié)構(gòu)的優(yōu)點進行結(jié)合的一種方法，先用傳感器預處理收集到的數(shù)據(jù)，將處理的數(shù)據(jù)向融合中心傳輸，可增強系統(tǒng)穩(wěn)定性，因此本研究采用混合式網(wǎng)絡安全態(tài)勢融合結(jié)構(gòu)。

整個網(wǎng)絡安全態(tài)勢的感知過程如圖1所示，可將其理解為數(shù)據(jù)融合的過程并應用，在多傳感器的作用下完成數(shù)據(jù)的融合，在對這些數(shù)據(jù)進行關(guān)聯(lián)處理后可以把多個態(tài)勢要素值確定下來，在此基礎(chǔ)上對網(wǎng)絡安全態(tài)勢進行計算并獲取相應的結(jié)果。

圖1 基于多傳感器的多源網(wǎng)絡安全態(tài)勢數(shù)據(jù)融合模型

2 基于集對分析的物聯(lián)網(wǎng)安全態(tài)勢評估模型

2.1 集對分析原理

集對分析是一種新的研究方法，以不確定性理論為主要研究內(nèi)容。將兩個具有潛在關(guān)系的集合組成對子即稱之為集對，以=++來表示，、、有著不同的含義，是同一度、差異度、對立度的代表。因此，可將不確定性理論研究進行轉(zhuǎn)化，使之成為數(shù)學問題。集對分析理論是對問題進行全面的研究，并且是在分析兩個事件的差異性、同一性、對立性的基礎(chǔ)上進行的?；舅悸肥窃O存在問題，其中有、兩個集合，集對是由其集合組成的；特性總數(shù)為個，并分析這些特性。在集合組成集中，相同特性數(shù)的數(shù)量已知是個，描述問題同一性；有個相反特性個數(shù)，描述問題對立性，其余特性不相反、不相同，是對問題差異性的描述，具體見公式（1）：

式中：差異度標識為，∈[-1，1]；聯(lián)系度為；對立度標識為，=-1；從同一度、差異度、對立度的取值情況來看，一般情況下=/、=/、=/，、、達到歸一化條件，也就是說++=1是存在的，可簡記為公式（2）：

如果組成系統(tǒng)的集合數(shù)量超過兩個，假設個集合組成，可以對個集合進行處理，使其以個集對的狀態(tài)出現(xiàn)，并完成不同集對聯(lián)系度的表達式構(gòu)建工作。在對整個系統(tǒng)進行研究時把構(gòu)建數(shù)學模型的方式應用于其中，并將其同異之處確定下來。

2.2 應用集對分析態(tài)勢評估的步驟

在進行態(tài)勢評估時如果應用集對分析方法，需要完成以下四個步驟操作：

（1）對初始數(shù)據(jù)進行處理，但要注意的是要把規(guī)范性體現(xiàn)出來。在評估網(wǎng)絡中假設設置了臺服務器，記作={,, ...,M}，每臺服務器有指標個，記作={,, ...,I}，其中∈（1, 2, ...,），∈（1, 2, ...,），則=[f]為個服務器的矩陣，由個指標值共同組成。表1所列為網(wǎng)絡中主機及指標的關(guān)系。

表1 網(wǎng)絡中主機及指標的關(guān)系

（3）通過計算后把{，}的相關(guān)數(shù)據(jù)確定下來，獲取同一度a、差異度b、對立度c。

其中：

（4）計算集對勢a/c，三維態(tài)勢見表2所列。要把對應級別確定下來，在此基礎(chǔ)上獲取某一時刻某一主機態(tài)勢級別，并對主機級別與安全性的關(guān)系作出界定，前者越高后者則越低。

表2 三維態(tài)勢表

2.3 網(wǎng)絡安全態(tài)勢評估模型

2.3.1 網(wǎng)絡安全態(tài)勢要素

計算機網(wǎng)絡是由多種因素共同組成的，直接影響到網(wǎng)絡安全狀態(tài)。為了使研究更加深入，要區(qū)別開網(wǎng)絡安全態(tài)勢要素，將其分為攻擊、主機、共有三種要素。其中，主機要素可視為集對分析理論中的同一度，攻擊要素可視為對立度，共有要素可視為差異度。圖2為網(wǎng)絡安全態(tài)勢的要素。

圖2 網(wǎng)絡安全態(tài)勢要素

2.3.2 網(wǎng)絡安全態(tài)勢評估模型

計算機網(wǎng)絡的結(jié)構(gòu)比較復雜，是由數(shù)量眾多的網(wǎng)絡組件、主機節(jié)點以及各種檢測設備組建的。計算機中的檢測設備發(fā)揮著重要作用，可以有效地監(jiān)督主機、了解和掌握網(wǎng)絡狀態(tài)，由此報警信息、日志也會大量產(chǎn)生。以上數(shù)據(jù)信息可分為兩種模式：一種是基于系統(tǒng)配置信息；另一種是基于系統(tǒng)運行信息。配置狀況、系統(tǒng)設計、服務設置都屬于前者；系統(tǒng)所受攻擊狀況則屬于后者。如果在對安全態(tài)勢進行評估時所采用的是傳統(tǒng)方法，即通過單一檢測設備分析數(shù)據(jù)，則可能會導致態(tài)勢信息、數(shù)據(jù)源單一的問題出現(xiàn)，這對分析結(jié)果顯然是不利的，與實際相比會有較大的偏差。在本次研究中充分利用集對分析原理，以此為基礎(chǔ)實現(xiàn)對多個數(shù)據(jù)源信息的融合。

在檢測不同的網(wǎng)絡安全信息時需要通過多傳感器來完成，此操作在網(wǎng)絡安全態(tài)勢評估模型（如圖3所示）中進行，首先把主機安全態(tài)勢確定下來，在確定主機權(quán)重后把整個網(wǎng)絡的安全態(tài)勢確定下來，這是個復雜的過程，需要在數(shù)據(jù)采集、態(tài)勢要素提取、主機安全態(tài)勢評估、網(wǎng)絡安全態(tài)勢評估四個模塊的共同作用下完成。數(shù)據(jù)采集模塊通過多個傳感器對計算機網(wǎng)絡運行狀況同時監(jiān)測，收集主機日志、傳感器報警信息、網(wǎng)絡日志等原始數(shù)據(jù)；態(tài)勢要素提取模塊在工作時需要對原始數(shù)據(jù)進行預處理，利用的方法主要有冗余分析、規(guī)范化分析、沖突檢測等，并完成對相關(guān)態(tài)勢要素的提??；主機安全態(tài)勢評估模塊進入到工作狀態(tài)時，為了對不同的網(wǎng)絡安全態(tài)勢要素進行深入分析，把集對分析算法應用于其中，能夠?qū)χ鳈C安全態(tài)勢值做出定量描述；網(wǎng)絡安全態(tài)勢評估模塊與數(shù)學分析法結(jié)合，并與各主機網(wǎng)絡權(quán)重、各主機安全態(tài)勢值結(jié)合，從而將整個網(wǎng)絡安全態(tài)勢值計算出來。

圖3 網(wǎng)絡安全態(tài)勢評估模型

如果所采用的是集對分析這種方法，則可以確定兩個集合對立度、同一度，但是不能確定差異度和差異分析，信息不確定性可采用聯(lián)系度表達，進行模糊信息的有效處理；在對態(tài)勢進行研究時，同一度、差異度、對立度是集對分析所要考慮的重點問題，要對網(wǎng)絡安全各要素進行全面而系統(tǒng)的研究；在對網(wǎng)絡安全態(tài)勢唯一性進行分析時基于聯(lián)系度來實施，完成對網(wǎng)絡安全級別的劃分，網(wǎng)絡安全態(tài)勢危險程度的確定是通過安全態(tài)勢值來完成的。

3 網(wǎng)絡安全態(tài)勢感知系統(tǒng)實驗與結(jié)果分析

3.1 實驗環(huán)境和實驗數(shù)據(jù)

本次研究所有的數(shù)據(jù)是真實有效的，來自于DARPA2000數(shù)據(jù)集，提供者是麻省理工大學林肯實驗室。從數(shù)據(jù)集的內(nèi)部構(gòu)成來看，涵蓋了網(wǎng)絡內(nèi)部的數(shù)據(jù)信息（Inside Tcpdump file）、網(wǎng)絡邊界數(shù)據(jù)信息（DMZ Tcpdump file）、部分主機審計日志；涵蓋的攻擊場景有兩個，即LLDOS1.0、LLDOS2.0，每個攻擊場景由五個步驟所組成，針對這2個攻擊場景分析網(wǎng)絡安全態(tài)勢。實驗利用snort工具和MySQL，在Linux下進行分析，在tcpreplay工具的作用下對數(shù)據(jù)包進行重放處理，用snort+MySQL收集數(shù)據(jù)，并將其置于數(shù)據(jù)庫之中存儲，將數(shù)據(jù)導入到MATLAB環(huán)境后進行計算和分析。

3.2 實驗步驟

3.2.1 要素信息提取

在DARPA2000數(shù)據(jù)集中，主機服務信息、網(wǎng)絡拓撲結(jié)構(gòu)、漏洞信息未提供，本研究從snort收集的信息對DARPA2000進行分析，詳情見圖4和表3。

圖4 DARPA2000的網(wǎng)絡拓撲結(jié)構(gòu)

LLDOS1.0、LLDOS2.0共有10個攻擊步驟，可以將其視為10個時段，在對每個時段的安全態(tài)勢值進行分析時把集對分析法應用于其中并獲取相應計算結(jié)果，見表3所列。

表3 時段1網(wǎng)絡安全態(tài)勢要素的值

在對攻擊成功次數(shù)和頻率、流量信息等數(shù)據(jù)集信息進行分析時所用的工具是snort日志；要明確攻擊的嚴重性，依據(jù)的是snort優(yōu)先級、攻擊分類，針對嚴重程度進行劃分，等級為低、中、高，以3、2、1來表示。

3.2.2 態(tài)勢評估

對數(shù)據(jù)進行規(guī)范化處理，以=[t]作為規(guī)范化矩陣，在第1時段，由于并沒有針對主機www.af.mill進行攻擊，即以0為www.af.mill態(tài)勢。

從規(guī)范化矩陣可將、提取出來，=（1，1，1，1，1），=（0.2，0，0，0，0）。通過計算后把、、的準確數(shù)值確定下來并掌握相應態(tài)勢值，見表4所列。

表4 時段1各主機的態(tài)勢分析結(jié)果

最后以各主機權(quán)值為依據(jù)計算網(wǎng)絡安全態(tài)勢，已知0.17是主機locke的權(quán)重，主機mill的權(quán)重為0.34，主機hume的權(quán)重為0.21，主機pascal的權(quán)重為0.17，主機robin的權(quán)重為0.17，主機www.af.mill的權(quán)重為0.06。由此可得時段1的態(tài)勢值為7.5。在對其余時段態(tài)勢值進行計算時，所采用的也是這種方法。

3.3 實驗結(jié)果

以表5中的數(shù)據(jù)為依據(jù)編制完成10個時段網(wǎng)絡的安全態(tài)勢圖（如圖5所示），并得出態(tài)勢值越大則網(wǎng)絡越不安全的結(jié)論。

表5 網(wǎng)絡安全態(tài)勢值

圖5 網(wǎng)絡安全態(tài)勢

從第一階段的情況來看，網(wǎng)絡只受IP掃描，態(tài)勢值較低；在此之后由于遭受DDoS攻擊，態(tài)勢值隨之增高。通過本文方法可以把網(wǎng)絡狀況真實地展示出來。在基于信息融合網(wǎng)絡安全態(tài)勢評估模型的條件下將本實驗結(jié)果和文獻[11]進行比對，把文獻[11]實驗結(jié)果化為1～12區(qū)間內(nèi)值，詳情如圖6所示。

圖6 兩種態(tài)勢評估模型得出的網(wǎng)絡安全態(tài)勢值比較

由圖6可知，集對分析模型具有一定的優(yōu)勢，文獻[11]的評估模型獲得的網(wǎng)絡安全態(tài)勢值較低，不能引起管理員重視；在時段3、時段9出現(xiàn)攻擊時，集對分析方法獲得的安全態(tài)勢值顯著升高，能很好地區(qū)分DDoS等危險性較大攻擊和IP掃描等危險性較小攻擊；在時段5，對于原始數(shù)據(jù)未受嚴重攻擊的情況，文獻[11]的網(wǎng)絡安全態(tài)勢值卻顯著升高，這表明集對分析模型感知網(wǎng)絡安全態(tài)勢更穩(wěn)定。

4 結(jié) 語

本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開的，由于物聯(lián)網(wǎng)安全態(tài)勢評估模型具有較強的功效而對其進行了構(gòu)建，并得出以下結(jié)論：

（1）以多傳感器數(shù)據(jù)融合技術(shù)為基礎(chǔ)對網(wǎng)絡安全態(tài)勢要素進行劃分，可以分為攻擊要素、主機要素、共有要素三種。

（2）通過構(gòu)建網(wǎng)絡安全態(tài)勢評估模型，檢測網(wǎng)絡各類型的安全信息。此操作是通過傳感器來完成的，由此把主機安全態(tài)勢確定下來。以主機權(quán)重為依據(jù)確定網(wǎng)絡整體安全態(tài)勢，此過程復雜程度較高，主要由數(shù)據(jù)采集、態(tài)勢要素提取、主機安全態(tài)勢評估、網(wǎng)絡安全態(tài)勢評估四種模塊組成。

（3）集對分析模型具在自身特有的優(yōu)勢。在時段3、時段9出現(xiàn)攻擊時，集對分析方法獲得的安全態(tài)勢值顯著升高，能很好地區(qū)分DDOS等危險性較大攻擊和IP掃描等危險性較小的攻擊。通過集對分析模型進行研究，可以更加準確地感知網(wǎng)絡安全態(tài)勢。