基于信息融合的网络安全态势评估模型

蒙晶++杨淼生

摘 要：信息融合技术是指将多层次信息进行关联处理的一种技术方法。随着信息技术的不断发展和网络信息量的不断增加，网络安全正在不断受到新的挑战。而在网络安全态势的评估中采用信息融合技术，可以提高评估的准确性，进而保障网络使用的安全性。网络安全评估中，要充分考虑到攻击频率、攻击的难易程度以及危害程度等评估指标，采用数据源融合、态势要素融合、关键节点融合等方法进行模型和算法的设计，以充分保障网络安全评估的准确性。

关键词：信息融合 网络安全态势 评估模型

中图分类号：TP393.08 文献标识码：A 文章编号：1672-3791（2017）03（b）-0018-02

随着信息技术的不断发展，随之而来的网络安全威胁也在不断增加。人们在日常网络使用过程中，无时无刻不面临着网络安全威胁。由于当前的网络安全威胁逐渐呈现出规模化、隐蔽化等特点，导致传统的网络安全评估、检测、防御模式已经不能满足要求，因此结合信息融合等新型分析技术，建立更加可靠的网络安全态势评估模型，成为了相关领域的研究热点。

1 信息融合及网络安全态势评估的基本概念

1.1 基于信息融合的基本思想

信息融合是信息处理领域的一门对多源数据进行获取、分析、分类和决策的重要技术，随着当今的网络信息数据量猛增，包括身份信息和应用信息在内的数据结构和类型也更加丰富，对于信息处理的效率和安全性提出了更高的要求。在网络安全态势中应用信息评估，主要基于3个方面的思想：第一是基于信息融合的信息筛选思想，由于网络安全事件的发生原因相对复杂，不同采集和检测工具所反馈的信息也较为多样，其中既包含了对安全评估有利的有效信息，又包含了大量无效信息，因此信息精简化是十分必要的；第二是利用信息融合技术的信息处理思想，信息融合技术在此的主要作用是分析信息的關联性；第三是筛选和处理后的信息融合为新的完整信息库，为评估和决策工作提供参考。

1.2 网络安全态势评估的主要步骤

基于信息融合的网络安全态势评估主要分为3个步骤，首先是在数据采集阶段，使用信息融合技术可以更加方便地在分布式网络数据库中进行初步采集，并对其中的相关信息进行辨识和分析，经过初步筛选和修正以后可以形成有效信息库；其次是对安全相关信息进行进一步提取分析，找出有关网络系统漏洞的相关信息；最后通过相关算法对网络安全态势进行评估，从而建立起一个安全高效的网络安全态势评估体系，保证网络系统的安全运行与维护。

2 网络安全态势评估的模型设计与应用方法

一般情况下，基于信息融合的网络安全态势评估工作，主要分为数据源信息融合、态势要素融合以及关键节点态势的融合3个部分。他们各自起到攻击概率检测、安全态势评估和综合计算等作用。在进行算法设计之前，首先要明确评估模型的结构以及进行网络安全评估的主要指标。

2.1 网络安全态势评估模型及其设计

为了更好地应用信息融合技术，满足多源数据结构的分析和评估要求，应当建立合理的安全态势评估模型。该模型由主机、网络和用户3个层次构成，分别负责分析主机系统的运行状态、挖掘与关联网络安全信息以及对用户端进行网络安全警告等。在主机层中，评估模型是根据主机系统遭受攻击和威胁的数据进行漏洞分析的；将主机层中的威胁数据融合汇集以后，模型会将其送入网络层，以威胁数据为参照对象对存在威胁特征的网络信息进行分析，对网络信息中潜在的危险特征和危险关联信息进行建模和评估；得出安全态势评估结果以后，将信息汇总至用户层，方便安全管理人员对网络安全形势进行准确把握。

2.2 安全态势评估的主要方法

建立网络安全态势的评估模型以后，就要根据安全需要来确定态势的评估方法。在网络安全领域有四类常用的评估标准，包括基于安全的各类安全标准方法、基于财产价值的评估方法、基于漏洞检测的评估方法、基于安全模型的评估方法。自从网络安全概念诞生以来，包括欧美和我国在内的网络大国都先后制定了各自的网络安全标准。而其中以美国、加拿大和欧盟共同发布的“通用准则”（Common Criteria，简称CC）的评估标准最为全面，它包含了对操作系统、计算机网络、分布式系统和应用程序等各方面的评估，是比较各类评估标准的通用准则；基于财产价值的评估方法则更为量化直观，它通过财产敏感性分析，可以对网络安全事件所造成的财产损失进行评估，从而对安全风险进行分级并采取措施；基于漏洞检测的方法，是指对于前述网络安全态势模型中的主机、网络、用户层面的漏洞情况进行评估，并根据测出漏洞的数量、严重性的权重计算网络安全态势；而基于安全模型的方法则更为全面，它是根据已经发生过的网络安全事件，对网络体系建立安全评估模型，通过模型分析和测试达到对系统整体进行评估的目的，这样不仅可以对已知的网络薄弱结构进行评估，还可以发现和预测未知的安全漏洞，具有十分广阔的应用前景。

2.3 网络安全态势评估的主要指标

区别于常规的风险评估，网络安全态势的评估工作还应当包含更加细致的信息，如安全威胁的危害性数据、威胁事件的出现频率以及解决威胁的难易程度等。因此要以信息融合所得到的威胁、漏洞数据库为依据，制定具有代表性的评估指标和指数。典型的评估指数包括主机态势指数（Fhost），主要指在主机层出现的对安全策略的违反程度；服务态势指数（Fs），指在固定攻击数量下，安全威胁对服务器安全策略的违反程度；攻击态势指数（FA）则是针对由黑客所引发的攻击事件而言的，它反应了网络漏洞被黑客利用作为攻击手段的难易程度；以及结合各个指标所得的网络态势威胁综合指数（FNET）等。只有综合考虑各个指标，才能对网络威胁中的各类病毒攻击、黑客威胁、流量态势的参数进行准确评估，了解网络安全态势的实时状况。

3 基于信息融合的网络安全态势评估方法

3.1 信息融合技术的算法分析

在信息融合技术中，要用到大量的数学工具对数据对象进行描述。因此如何在网络安全态势评估中选择合适的算法，对于信息融合和安全评估具有重要的意义。信息融合的常见算法包括基于推理模型的算法，即对数据的置信度、隶属度进行操作，包括最大似然法、卡尔曼滤波等；还有基于特征推理的方法，如贝叶斯推理和神经网络王法；另外还有模糊集理论的感知模型方法。其中，基于特征推理的贝叶斯网络融合算法的应用，在具有内在不确定性的问题中应用较为广泛，在该算法中，网络攻击行为的成功，必须以目标系统存在安全漏洞为前提条件，对漏洞进行挖掘而发起攻击；而由于对网络安全漏洞的评估往往是没有明确量化标准的定性概念，因此基于模糊集理论的感知模型在此应用也较为合适，模糊集是一种边界不明确的模型，在其基础上可以建立起模糊逻辑，其推理结论的真实性都是相对的，因此基于模糊集理论的算法可以很好地解决信息融合中的冲突问题，但这种算法计算量较大，且只能应用于静态环境。

3.2 数据源信息融合

信息融合网络安全态势评估模型中的信息源融合技术，主要针对的是信息来源的不确定性，即由于信息检出设备本身的多样性和不稳定差异，所导致的准确性下降以及无效性增加等情况。数据源融合技术包含了对大量数据的统计推断方法，在进行信息关联性分析时显得更为准確。例如首先通过网络拓扑信息得到攻击发生的链路信息，将该链路中涉及的所有设备列入相关检测设备，再通过D-S证据理论，通过对各个检测设备的检测日志进行计算，得到各个设备对威胁产生的潜在支持概率，便于威胁来源的查找分析。另外，在分析各个设备的日志信息时，应当具有一定的权重性，如对预知日志中的防火墙、IDS日志信息进行检测时，还应当同时匹配其权重，从而分析得出最大概率支持威胁的检测设备。引入推断方法进行的数据源融合，可以得到检测设备对攻击发生的支持概率，便于下一步态势要素融合的进行。

3.3 基于概率的态势要素融合

在这一步中，主要是利用得到的攻击发生支持概率来计算威胁对主机节点攻击的成功支持概率。由于安全威胁发动攻击并成功的前提条件应当是具备网络设备中具备该威胁且主机关键节点有该攻击所利用的安全漏洞，因此要利用安全威胁概率和漏洞数据库进行匹配，以获得攻击成功的支持概率。这一步主要是通过向节点写入检测程序实现的，当程度返回值为1时，证明该节点包含攻击所利用的安全漏洞。将安全漏洞依照其威胁程度权重进行累计，就可以得到系统对网络攻击成功的支持概率。再利用攻击的威胁度参数，结合攻击发生和成功的支持概率，计算得到攻击对系统关键节点的影响值（影响程度），对网络中各个主机的安全影响值进行汇总以后，便可以对关键节点态势进行安全信息融合。

3.4 关键节点态势融合

关键节点态势融合，是网络安全态势信息融合的最后一步，也是最重要的一步。它是将各个主机节点及其所提供的服务按照重要程度分配权重（所有服务的权重和为1），再将每一个关键节点的威胁影响值与其节点权重求乘积，得到单个节点的网络安全态势值（SA），再将所有节点的安全态势值汇总，就可得到网络安全态势的总体值。将一段时间内的安全态势值绘制成时间-安全态势曲线，就可以对该段时间的安全态势状况进行分析，便于网络安全管理人员对过去一段时间的系统网络安全情况进行把握，并对未来一段时间的网络安全情况进行预测和分析。

4 结语

总而言之，随着信息技术的不断发展，网络信息的产生和处理规模将会变得越发庞大，由此带来的网络安全威胁将会随之增加。因此，开发新的网络安全技术，建立高效可靠的网络安全态势分析模型，对于维持网络系统的安全运行，保障网络社会下各类信息的安全具有相当重要的意义。该文仅针对基于信息融合技术的网络安全态势评估模型的建立和分析进行了探究，对于相关网络安全工作的开展具有一定的参考价值。

参考文献

[1] 李方伟，张新跃，朱江，等.基于信息融合的网络安全态势评估模型[J].计算机应用，2015，35（7）：1882-1887.

[2] 任江伟，韩跃龙.基于信息融合的网络安全态势评估模型[J]. 黑龙江科技信息，2015，46（9）：353-362.