信息融合背景下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型及關(guān)鍵技術(shù)分析

張 宇

（國(guó)能朔黃鐵路發(fā)展有限責(zé)任公司，河北 滄州）

態(tài)勢(shì)感知是在特定的時(shí)間、空間范圍內(nèi)，感知和理解環(huán)境狀況，并對(duì)后續(xù)發(fā)展趨勢(shì)進(jìn)行推算和預(yù)測(cè)。進(jìn)入信息時(shí)代，網(wǎng)絡(luò)已經(jīng)與日常生活、公司運(yùn)營(yíng)甚至是國(guó)家安全等多方面進(jìn)行深度綁定，維護(hù)網(wǎng)絡(luò)安全成為社會(huì)各界共同關(guān)注的焦點(diǎn)話題。網(wǎng)絡(luò)安全態(tài)勢(shì)感知通過(guò)提取可能會(huì)影響網(wǎng)絡(luò)安全的各類(lèi)要素，并對(duì)其進(jìn)行分析、評(píng)估，在此基礎(chǔ)上對(duì)未來(lái)發(fā)展趨勢(shì)作出預(yù)測(cè)，分析結(jié)論和預(yù)測(cè)結(jié)果以可視化方式呈現(xiàn)出來(lái)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)將入侵事件從“事后治理”向“事前預(yù)防”轉(zhuǎn)變，在保障用戶信息隱私與網(wǎng)絡(luò)資產(chǎn)安全方面具有顯著優(yōu)勢(shì)。

1 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的整體架構(gòu)

本文提出基于信息融合的分層次網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，以態(tài)勢(shì)信息為基礎(chǔ)，通過(guò)態(tài)勢(shì)信息的預(yù)處理和評(píng)估，展開(kāi)態(tài)勢(shì)預(yù)測(cè)并使網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行可視化呈現(xiàn)，向管理員展示網(wǎng)絡(luò)存在的潛在風(fēng)險(xiǎn)與安全走勢(shì)，保證管理員能夠及時(shí)、直觀地掌握網(wǎng)絡(luò)安全狀況。該模型的整體架構(gòu)如圖1 所示。

圖1 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是該系統(tǒng)的核心部分，具體又包括了資產(chǎn)價(jià)值評(píng)估、脆弱性評(píng)估、入侵威脅評(píng)估3部分；態(tài)勢(shì)信息分類(lèi)存儲(chǔ)在不同的數(shù)據(jù)庫(kù)中，如資產(chǎn)數(shù)據(jù)庫(kù)、安全事件庫(kù)等，方便數(shù)據(jù)的查找和調(diào)用；網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果在液晶顯示屏上可視化展示[1]。

1.2 態(tài)勢(shì)信息采集

該系統(tǒng)通過(guò)傳感器采集和人工輸入2 種方式獲取態(tài)勢(shì)信息，信息內(nèi)容為影響網(wǎng)絡(luò)環(huán)境的各項(xiàng)安全因素，主要含括4 類(lèi)：（1）資產(chǎn)信息數(shù)據(jù)。如網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備等可見(jiàn)資產(chǎn)信息，系統(tǒng)軟件、應(yīng)用軟件等軟件資產(chǎn)信息；（2）脆弱性信息。結(jié)合網(wǎng)絡(luò)系統(tǒng)的組成架構(gòu)，脆弱性信息的來(lái)源有網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層3個(gè)渠道。以應(yīng)用層為例，應(yīng)用程序存在編程漏洞，如緩沖區(qū)溢出漏洞、跨站點(diǎn)請(qǐng)求偽造漏洞等，都有可能引起網(wǎng)絡(luò)安全問(wèn)題；（3）威脅信息，特指能夠造成資產(chǎn)破壞的網(wǎng)絡(luò)安全事件；（4）網(wǎng)絡(luò)性能信息，如內(nèi)存使用率、帶寬利用率、數(shù)據(jù)包丟包率等信息。不同類(lèi)型的態(tài)勢(shì)信息，采集方式也不盡相同，網(wǎng)絡(luò)性能信息可通過(guò)Hyperic Sigar 類(lèi)集提供的API 完成采集，而威脅信息則是基于IDS 等檢測(cè)設(shè)備進(jìn)行感知[2]。

1.3 態(tài)勢(shì)預(yù)處理

不同類(lèi)型傳感器采集到的信息存在異構(gòu)性，如果將這些信息直接傳遞給終端處理器，一方面是占用較多的帶寬資源，容易發(fā)生信道堵塞的情況，不利于突顯態(tài)勢(shì)感知的即時(shí)性；另一方面也會(huì)增加信息分析與處理的負(fù)擔(dān)，甚至?xí)驗(yàn)閿?shù)據(jù)信息無(wú)法兼容而出現(xiàn)分析錯(cuò)誤。因此，本文在設(shè)計(jì)基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型時(shí)，加入了態(tài)勢(shì)預(yù)處理環(huán)節(jié)?；贜SSAP 數(shù)據(jù)交換協(xié)議，將來(lái)自于不同傳感器的數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的格式，從而大幅度降低了不同模塊之間的耦合度。通過(guò)態(tài)勢(shì)預(yù)處理，態(tài)勢(shì)信息的復(fù)雜度降低，系統(tǒng)終端對(duì)異構(gòu)信息處理的開(kāi)銷(xiāo)明顯減少，對(duì)提高系統(tǒng)整體的響應(yīng)速度也有積極幫助。經(jīng)過(guò)預(yù)處理后的態(tài)勢(shì)信息分類(lèi)存儲(chǔ)到數(shù)據(jù)庫(kù)中。

1.4 態(tài)勢(shì)融合

態(tài)勢(shì)融合的目的是基于多源異構(gòu)數(shù)據(jù)的綜合分析，從完成對(duì)某類(lèi)事件的精準(zhǔn)識(shí)別與判斷。現(xiàn)階段常用的態(tài)勢(shì)融合算法有多種，如基于數(shù)學(xué)模型的算法、基于邏輯關(guān)系的算法、基于規(guī)則推理的算法等[3]。本文選擇基于數(shù)學(xué)模型的融合算法，其原理是：匯總各類(lèi)影響網(wǎng)絡(luò)安全的態(tài)勢(shì)信息，并構(gòu)建態(tài)勢(shì)要素集合P={p1,p2…pn}，并尋找P 與態(tài)勢(shì)值m 之間的映射關(guān)系，表示為：

采用加權(quán)平均法求出權(quán)值，根據(jù)權(quán)值的高低反映網(wǎng)絡(luò)安全態(tài)勢(shì)。該方法的優(yōu)勢(shì)在于計(jì)算量較小，并且較為直觀地表示網(wǎng)絡(luò)安全態(tài)勢(shì)；但是需要保證收集到的網(wǎng)絡(luò)安全態(tài)勢(shì)信息完整、準(zhǔn)確，因此態(tài)勢(shì)融合前的態(tài)勢(shì)信息采集和預(yù)處理顯得十分重要。

1.5 態(tài)勢(shì)評(píng)估與預(yù)測(cè)

評(píng)估安全態(tài)勢(shì)是基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的核心功能，本文在設(shè)計(jì)態(tài)勢(shì)評(píng)估模塊時(shí)，分別選取3 個(gè)角度展開(kāi)評(píng)估：（1）資產(chǎn)評(píng)估，評(píng)估對(duì)象是網(wǎng)絡(luò)中全部的資產(chǎn)設(shè)備。在發(fā)生入侵事件后，資產(chǎn)設(shè)備受到威脅，通過(guò)資產(chǎn)評(píng)估可以量化表示計(jì)算機(jī)網(wǎng)絡(luò)安全的受影響程度；（2）脆弱性評(píng)估，發(fā)生在網(wǎng)絡(luò)環(huán)境下的入侵事件，是通過(guò)特定的脆弱性（如系統(tǒng)漏洞）竊取、篡改資產(chǎn)數(shù)據(jù)，脆弱性評(píng)估可以量化表示網(wǎng)絡(luò)中資產(chǎn)設(shè)備的弱點(diǎn)、缺陷，為下一步開(kāi)展維護(hù)優(yōu)化提供指導(dǎo)；（3）威脅評(píng)估，對(duì)網(wǎng)絡(luò)中可能破壞資產(chǎn)設(shè)備的潛在威脅作出評(píng)估，并對(duì)其進(jìn)行分類(lèi)。在態(tài)勢(shì)評(píng)估的就上，利用合適的預(yù)測(cè)模型算法，以歷史態(tài)勢(shì)信息和當(dāng)前態(tài)勢(shì)信息作為訓(xùn)練樣本，對(duì)未來(lái)一段時(shí)間內(nèi)的安全態(tài)勢(shì)發(fā)展進(jìn)行推算、預(yù)測(cè)。同時(shí)，態(tài)勢(shì)評(píng)估和預(yù)測(cè)結(jié)果都會(huì)以可視化形式呈現(xiàn)。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)采集與傳輸技術(shù)

為了采集到更加完整的安全態(tài)勢(shì)信息，本文選用了Hyperic-Sigar 技術(shù)，該技術(shù)能直接通過(guò)本地接口調(diào)用地層API，進(jìn)而得到網(wǎng)絡(luò)內(nèi)部的資產(chǎn)數(shù)據(jù)。Hyperic-Sigar 技術(shù)可適用于目前主流的多種平臺(tái)，如Windows、Linux、Macos、AIX 等；同時(shí)對(duì)外提供多樣的應(yīng)用程序接口，如Java、Python、Ruby 等。

前端傳感器會(huì)不間斷的采集網(wǎng)絡(luò)態(tài)勢(shì)信息，這些信息具有數(shù)據(jù)量大、多源異構(gòu)等特點(diǎn)。為了減輕傳輸壓力和減少帶寬資源的消耗，本文運(yùn)用了NSSAP 數(shù)據(jù)交換協(xié)議技術(shù)。該協(xié)議采用Base64 編碼機(jī)制對(duì)多源異構(gòu)數(shù)據(jù)的格式進(jìn)行規(guī)范化處理，最后得到標(biāo)準(zhǔn)的JSON 格式數(shù)據(jù)[4]。NSSAP 傳輸報(bào)文由頭部信息和正文信息組成，報(bào)文格式見(jiàn)表1。

表1 NSSAP 傳輸報(bào)文格式

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)信息融合技術(shù)

將網(wǎng)絡(luò)安全態(tài)勢(shì)信息按照某種規(guī)則進(jìn)行融合，不僅能夠大幅度減小數(shù)據(jù)體量，降低了后期數(shù)據(jù)運(yùn)算處理的難度，而且還能提高系統(tǒng)識(shí)別入侵事件或安全威脅的精確度。鑒于前端傳感器數(shù)據(jù)源形式各異，其融合過(guò)程中也被劃分為多個(gè)層級(jí)，如像素級(jí)、特征級(jí)、決策級(jí)。

2.2.1 像素級(jí)數(shù)據(jù)融合

像素級(jí)融合傳感器采集到的原始數(shù)據(jù)在不經(jīng)過(guò)處理的情況下直接進(jìn)行融合，完成融合后再?gòu)臄?shù)據(jù)中提取出特征像素進(jìn)行威脅識(shí)別，數(shù)據(jù)融合過(guò)程如圖2所示。

圖2 像素級(jí)數(shù)據(jù)融合過(guò)程

像素級(jí)數(shù)據(jù)融合是最低層級(jí)的融合，主要用于圖像的分析與理解，經(jīng)過(guò)融合處理后的安全態(tài)勢(shì)信息可以將數(shù)據(jù)表征層次從低級(jí)提升為高級(jí)，當(dāng)是仍然存在處理效率不高、容易受到干擾等缺陷。

2.2.2 特征級(jí)數(shù)據(jù)融合

特征級(jí)數(shù)據(jù)融合在像素級(jí)數(shù)據(jù)融合的基礎(chǔ)上進(jìn)行了改良，接收到傳感器采集到的數(shù)據(jù)后，從原始數(shù)據(jù)進(jìn)行特征提取，以便于實(shí)現(xiàn)數(shù)據(jù)壓縮，從何源頭上縮減了數(shù)據(jù)體量。對(duì)提取出來(lái)的特征值做特征級(jí)融合，最后進(jìn)行識(shí)別、決策，整個(gè)融合過(guò)程如圖3 所示。

圖3 特征級(jí)數(shù)據(jù)融合過(guò)程

特征級(jí)數(shù)據(jù)融合主要應(yīng)用于多源傳感器的目標(biāo)跟蹤，由于將特征提取步驟從融合后轉(zhuǎn)移到融合前，減輕了終端處理器的數(shù)據(jù)處理強(qiáng)度，對(duì)提高網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的響應(yīng)速度有一定效果。在應(yīng)用該融合方法時(shí)，特征屬性的選擇與提取是決定決策水平的關(guān)鍵因素。

2.2.3 決策級(jí)數(shù)據(jù)融合

決策級(jí)數(shù)據(jù)融合是在傳感器內(nèi)獨(dú)立完成特征信息的提取、識(shí)別與決策，是一種高層次的數(shù)據(jù)融合方式，其融合過(guò)程如圖4 所示。

圖4 決策級(jí)數(shù)據(jù)融合過(guò)程

在決策級(jí)數(shù)據(jù)融合中，首先遵循某種特定規(guī)則為前端傳感器賦予可信度權(quán)值，分別對(duì)每一個(gè)傳感器上的態(tài)勢(shì)信息作特征提取與威脅識(shí)別處理。識(shí)別結(jié)果經(jīng)過(guò)決策級(jí)融合后，可以得到全局最優(yōu)決策[5]。相比于像素級(jí)和特征級(jí)數(shù)據(jù)融合，決策級(jí)數(shù)據(jù)融合對(duì)數(shù)據(jù)信息的壓縮率最高，降低了數(shù)據(jù)傳輸對(duì)帶寬的要求，提高了系統(tǒng)響應(yīng)速度，可以做到入侵事件的同步響應(yīng)，在保證網(wǎng)絡(luò)安全方面效果顯著。

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)

本文使用“矩陣法”對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行計(jì)算、評(píng)估，以入侵威脅評(píng)估為例，評(píng)估過(guò)程氛圍可信度評(píng)估、支持度評(píng)估、嚴(yán)重度評(píng)估3 部分，評(píng)估過(guò)程如圖5 所示。

圖5 入侵威脅評(píng)估過(guò)程

圖5 中，可信度用于表示入侵事件發(fā)生的真實(shí)性，本文使用D-S 證據(jù)理論對(duì)入侵威脅的可信度進(jìn)行評(píng)估；支持度用于表示入侵攻擊的成功概率，本文使用Bayesian 網(wǎng)絡(luò)方法綜合分析影響攻擊成功實(shí)施的多個(gè)因素，進(jìn)而求出安全威脅的支持度；嚴(yán)重度用于表示入侵攻擊的威脅程度，本文按照攻擊意圖對(duì)目標(biāo)網(wǎng)絡(luò)環(huán)境的危害程度將攻擊嚴(yán)重度劃分為10 個(gè)等級(jí)，等級(jí)越高則表示入侵攻擊產(chǎn)生的嚴(yán)重度越高。

結(jié)束語(yǔ)

在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出復(fù)雜化、大規(guī)模的發(fā)展趨勢(shì)，暴露出的脆弱點(diǎn)也相應(yīng)增加。傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)大多是在入侵行為發(fā)生后采取被動(dòng)保護(hù)，無(wú)法保證網(wǎng)絡(luò)資產(chǎn)設(shè)備的完整性和安全性?；谛畔⑷诤系木W(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，則是以傳感器采集態(tài)勢(shì)信息，并經(jīng)過(guò)預(yù)處理、融合、評(píng)估等一系列處理后得出最優(yōu)決策，預(yù)測(cè)入侵事件的真實(shí)性、成功概率和嚴(yán)重程度。網(wǎng)絡(luò)管理員根據(jù)決策結(jié)果在入侵事件發(fā)生前采取應(yīng)對(duì)措施，切實(shí)保障了網(wǎng)絡(luò)資產(chǎn)設(shè)備的安全性。