網絡安全態勢感知層次化建模研究

導語：網絡安全態勢感知層次化建模研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

隨著移動網絡的快速發展，網絡規模越來越大，網絡結構越來越復雜，國內的網民數量迅猛增加，網絡安全問題也越來越突出，從分析網絡整體安全狀況入手的網絡安全態勢感知研究也越來越受重視。安全態勢感知是指在一定時間和空間下的大規模網絡環境中，采用綜合防御機制，將網絡中傳感器收集并記載在各個安全設備上的各類網絡狀況信息加以融合，并快速提取從而識別分辨出威脅、攻擊等破壞網絡安全的行為，進而整合分析各個安全要素，得到網絡安全狀況的評估值。在評估網絡安全現狀的基礎上，感知網絡安全的狀態和發展趨勢與變化規律并做出相應的應對策略，也就是嚴謹預測未來一段時間內的網絡安全態勢變化走勢。整個安全態勢感知過程中依次包括覺察、理解、評估、預測和決策等五個因素。網絡安全態勢感知是一種主動的安全防御機制，可以有效地實現深度防御[1]。態勢感知的目標是采用改進的態勢感知算法，實現態勢感知的自動化，自動獲得自我感知，并開展自我保護。

1網絡安全態勢感知模型研究

在研究網絡安全態勢感知的過程中，先要構建出合適的網絡安全態勢感知模型，研究者們在過去的三十多年中先后提出了大約有三十多個適合的態勢感知模型。在這些模型中，應用最廣泛的是1984年美國國防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass針對分布式人侵檢測提出的融合模型TimBass模型[4]，后來提出的感知模型都是在這三個模型上的升華和改進。網絡安全態勢感知的具體實施過程首先是通過傳感器采集網絡安全設備上記載的監測、過濾、防護等信息，再提取態勢要素，進行態勢理解與安全態勢評估，最后再對當前網絡環境未來可能出現的變化趨勢進行預測。網絡安全態勢感知過程如圖1所示。文獻[5]在經過對態勢感知的研究之后將網絡安全態勢感知分為三個部分，即網絡安全態勢覺察、網絡安全態勢理解以及網絡安全態勢投射三個層次。這其中，態勢覺察主要完成對初始數據的提取并分辨初始數據中的關聯信息，即對源數據進行降噪、規范化處理，得到具體有效的信息，其主要目的是辨識出系統中的活動。態勢理解主要是實施對分辨出的關聯信息進行理解的工作，在有關的基礎上分析當前的安全形勢，有無安全攻擊行為的發生以及對安全等級的評定。態勢投射主要完成這些活動意圖是否會產生攻擊的判斷任務，即在前兩步的基礎上分析并評估各個活動對當前系統環境的影響，并進一步判斷是否會對系統環境造成威脅，包括發現已經產生的威脅和預測可能產生的威脅?；诖烁拍?，本文將對源數據的預處理、數據信息的建模、以及模型信息的采集作為態勢覺察層進行分類，而將與信息理解有關的機器學習模塊以及要素提取作為態勢理解層進行分類。需要注意的是，對模型信息的處理和對機器學習的評判這兩者之間需要持續不斷的進行反饋以修正最終的態勢評級，將態勢指標可視化和態勢指標評級作為態勢投射層進行分類，所建立的層次化模型如圖2所示。通常情況下網絡態勢數據中心收集到的安全態勢數據本身并不符合規范，如果直接輸人安全態勢感知源數據會導致計算量過大、數據維數過高而難以處理，因此必須對源數據進行前期處理，提取數據的顯著性特征，將有代表性的樣本態勢感知關鍵字提取為顯著性特征，這樣才能體現出不同情況下不同的網絡狀態特征，由此得到網絡安全態勢感知流程如圖3所示。

2網絡安全態勢要素提取框架

網絡安全態勢理解與評估之后的態勢預測結果的準確度，在很大程度上取決于安全態勢特征要素的提取。安全事件的預處理與態勢要素的提取定位于網絡安全態勢感知底層，其中態勢要素提取性能的優劣在很大程度上決定著安全態勢感知結果的準確度。網絡安全態勢特征要素提取網絡的安全態勢要素主要包括網絡的拓撲信息、脆弱性信息和狀態信息等靜態的配置信息和各種防護措施的日志采集和分析技術獲取的威脅信息等動態的運行信息等[6]。網絡安全態勢要素提取的核心就是準確地分類識別出網絡中記載的海量安全數據，了解把握網絡實時的受攻擊與被威脅的情況，為下一步評估網絡安全狀況提供數據支撐。因此，判斷態勢要素提取方法好壞的標準有兩個：一是識別攻擊數據的準確度；二是消耗時間的收斂度。大多數規模大的網絡都會呈現出節點數量多、拓撲結構復雜、傳輸流量大、子網眾多等特點，并且網絡結構復雜，包括多種不同結構的網絡和不同類型的應用平臺，因此適宜采用層次化態勢要素提取模型，其框架結構如圖4所示。絡全局分析和局部分析組成，提取過程實施先局部后整體的原則，態勢要素的采集是通過融合傳感器傳輸的各類網絡安全數據實現。通過學習輸入匯總到分類器中的歷史安全數據集和當前安全數據集，生成一種學習規則，用這種學習規則來指導網絡局部模塊的數據分析，在局部模塊中經過統計與分析后形成的數據再被反饋傳輸到全局分析模塊，通過這種數據分析機制可以將網絡中的局部態勢要素及全局態勢要素都提取到。目前分類器分類所采用的方法比較多，本文所采用的層次化安全態勢要素提取框架中分類器采用近年來得到深入研究并推廣應用的聚類方法來進行分類特征提取，通過聚類方法將態勢感知數據集分類，從而分辨出正常網絡行為和異常網絡行為。

3網絡安全態勢評估

在態勢感知過程中，網絡安全態勢評估是融合分析各種安全設備在網絡環境中采集到的各類網絡安全監測數據，結合歷史態勢數據及來自網絡安全特征屬性的相關領域知識,借助數學模型對網絡安全態勢感知數據進行綜合評估，得到安全級別劃分和安全分類聚類。人工制定安全級別和對相應的威脅程度進行級別劃分，同時采用聚類的方法施以動態調整進行安全分類，這通常是用概率值或權重值來表示，以便指導網絡安全管理人員有的放矢地作出決策和做好安全防護準備。

4結語

本文采用層次化的機制來研究安全態勢感知的三層模型構建和其技術路線，依據局部與整體相結合的原則來提取安全態勢要素，在此基礎上得出層次化安全態勢要素提取框架圖，進而總結了網絡安全態勢評估過程。由于目前所采用的傳統評估與要素提取框架模型方法逐漸不能滿足需求，因此越來越多的研究正在朝智能化方向發展，也就是在全面準確快速地評估安全態勢的基礎上，實現自動感知與自我保護等智能化的安全態勢感知。

作者:陳宏 單位:湖南女子學院信息科學與工程學