彭 鹏

（装甲兵工程学院 北京 100072）

0 引言

目前，随着用户对通信要求的逐渐增加，促使通信和计算机技术的发展非常迅猛，随之开拓了计算机网络应用范围，然而，病毒软件的出现也使计算机的安全形势收到压迫。相较于之前的检测设备和防御系统均已无法实现客户需求。网络安全态势评估技术针对以上问题可以做到有效的预警和预测，增强网络的安全性和可靠性。但该评估技术也存在一定的技术缺陷，例如忽略网络本身的特点和性质、在大规模病毒爆发时安全态势曲线才能发挥明显效果、未全面考虑到网络安全因素、评估指标较为单一等。因此，本文提出了基于信息融合的网络安全态势评估模型，从而实现网络安全态势的量化分析和趋势预测。

1 网络安全态势评估模型

在计算机网络中网络组件和主机节点相对繁多，且包含了大量的各种检测设备，其主要功能在于监控网络及主机的实际运行状况，在此过程中，其所生成的各种日志与报警系统密切相关．在以往对安全态势进行相应的评估时，往往只是对一种检测设备所生成的各种日志信息等实施相应的分析和总结，但是基于检测设备本身的各种不确定因素，其所生成的数据信息也比较单一，所以其分析和总结得出的结果往往很难站得住脚．基于此，本文目的在于探讨网络安全态势评估的有效科学方法，也即：尽可能多地选取多个相关检测设备所生成的日志信息，以此作为数据源，然后对其进行分析和融合，以获得较为全面的外部攻击信息，在此基础上，借助于相应的服务信息以及主机节点漏洞信息等，分析外部攻击对网络安全态势所产生的相应的影响，并通过时间序列分析方法进行相应的预测以及分析，以改进传统安全态势评估方法，增强评估工作的科学性和有效性。

2 基于信息融合的态势评估算法

以信息融合为基础的网络安全态势评估法主要包括：（1）态势要素的融合；（2）数据源的融合；（3）节点态势的融合．首先，态势要素融合指的是借助于攻击成功支持概率、攻击发生支持概率以及攻击威胁等媒介，进而对主机节点的安全态势进行相应的评估；其次，数据源的融合指的是这种新型的数据源融合方式的基础便是多个检测设备所生成的日志信息的充分融合，以获得较为可靠的攻击发生支持概率；最后，节点态势融合指的是以各个主机节点的安全态势评估结果为基础，然后对整个网络的安全态势进行评估．态势评估算法的主要相关步骤可包括：

2.1 数据源融合

信息融合的重要基础是多源信息，其目的在于获得更为客观、准确的信息处理结果．在信息融合的过程中，需要使用相应的技术和方法，常用的包括估计理论、人工智能方法以及推断．在实际运行中，数据源融合是为了全面地分析多种检测设备所生成的各种日志信息，进而获得更为准确、可靠的态势评估结果．本文中主要以D—S证据理论方法为研究基础，借助于态势评估模型对各个检测设备的日志、Log等进行分析，以计算某一检测设备对这一攻击发生的反对概率或支持概率，经过D—S证据合成后可获得整个网络系统的攻击发生反对或支持概率。

2.2 态势要素融合

对各个检测设备的信息进行分析的结果主要是外部攻击发生的概率，但是其对主机节点所产生的相关影响是凭借多种媒介产生的，如主机节点的内部相关信息、外部攻击信息以及攻击携带的各种威胁信息等，这就要求我们要全面分析攻击成功支持概率、攻击发生支持概率和攻击威胁，然后经过充分的融合，以对主机节点的安全态势进行全面的估算．其中，攻击成功支持概率主要来源于对攻击依赖漏洞信息以及主机漏洞信息的评估结果．而攻击依赖漏洞信息往往可分为两种，一种是必要漏洞，另一种便是其他漏洞，其中，前者指的是某一攻击成功需要依赖的相应漏洞，而后者则往往会影响其攻击是否成功，其有着各自的权重，而总和则为1。

2.3 节点态势融合

3 实例分析

为了对本次研究的模型以及计算方法的适用性进行验证，在林肯实验室在2000年提供的DARPA评估数据集中选择一部分，作为本次研究的数据。该数据不仅包含了网络内部和网络边界详细的数据信息，还提供了部分主机的审计日志，使其成为信息融合的多源数据。这个数据集主要提供了两个攻击场景，分别是LLDOS2.0.2和LLDOS1.0，每个攻击场景中都包含了五个步骤的攻击，本文就针对这两个攻击场景来对网络安全态势进行深入的分析。由于这个数据集中没有提供主机的漏洞信息和服务信息以及网络拓扑结构，所以安全态势在分析过程中会遇到一定的困难。

而借助于报警信息所得到的网络主机的服务信息和漏洞信息如图1所示。

图1 网络主机的服务信息和漏洞信息

根据审计日志、报警信息以及相关的数据，可以将LLDOS2.0.2和LLDOS1.0这两个攻击场景的10个攻击步骤划分为10个时段，利用态势评估算法，一次按照节点态势融合、态势要素融合、数据源融合三个步骤，对不同时段的安全态势值进行准确的计算。本文以第一时段的主机mill为例，其检测信息主要包含审计日志信息、网络内部检测信息、网络边界检测信息等，将这个三个数据源进行有效的融合，计算第一时段，主机节点的安全态势。然后根据相应的权重和计算方法，计算第一时段的网络安全态势值，进行绘图，得到的网络安全态势曲线图，时间为横轴，每个时段都分别对应着两个时间单位，网络安全态势值为纵轴，如果网络安全态势值越大，就说明网络安全状况越严重。

4 结束语

本次研究通过在原有网络安全态势评估技术基础上进行再次信息融合，实现了网络安全趋势的有效预测，但随着后期的发展，该技术仍需要不断的完善，尤其在保证安全态势的表示方法和相关指标的全面性方面，同时，对详细研究和探析各类网络安全事件的特点，从而保证网络安全威胁来源的预测准确度更高，为用户提供良好的网络安全保障。随着互联网的普及，基于信息融合的网络安全态势评估模型分析已经引起社会各界的普遍关注，所以加强对基于信息融合网络安全态势评估模型分析的研究力度具有非常重要的意义，不仅是该领域目前的主要任务，也是未来几年主要的发展方向。

[1]张新刚，王保平，程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用.2012.

[2]杨进，李芸洁，李勤.基于多元信息融合的网络安全评估模型[J].电脑编程技巧与维护.2014.

[3]黄光球，朱擎.基于信息融合技术的动态安全态势评估模型[J].微计算机信息.2010.

[4]李鹏.基于 D-S证据的网络安全威胁态势评估模型分析与改进[J].电脑知识与技术.2013.