◆彭 毅

（天津市电子计算机研究所 天津 300060）

基于多传感的网络安全态势感知系统框架结构

◆彭 毅

（天津市电子计算机研究所 天津 300060）

本文提出了多源异构传感器的NSSAS框架结构，并给出了相应的系统物理概念模型，描述了框架结构设计的思路，为深入研究相关技术提供了科学的指导，对工作人员了解网络情况、及时做出反应提供了有效的依据。

多传感；网络安全；感知系统；框架结构

0 引言

网络安全态势感知系统框架结构是一个开放的、可扩展的环形结构，可以降低系统的复杂性，防止出现单点失效问题，同时，从整体上明确了组件与组件和层次与层次的关系，以指导各项关键技术的进行。

1 网络安全态势感知系统结构

1.1 总体框架结构的概述

如图1为网络安全态势感知系统框架结构图。该结构是分布式开放型结构，共分为三个层次，即：获取信息层、提取要素层、决策态势层。获取信息层在布设所涉及的服务传感器、物类传感器等异构信息；提取要素层依据所获取的异构信息，应用融合方法对异构信息进行精简数据和提取安全事件；决策态势层应用层次评估思想和非在线时间序列预测方法理解和预测多源信息。这三个层次的实现都需要与对应的数据库实施交互。

图1 网络安全态势感知系统框架结构

此系统框架结构形成由安全监控、安全分析、安全决策组合而成的感知环。由多种传感器实现全程监控，每个传感器获取每个设备的安全状态数据，实现监控整个网络运行动态；安全分析通过过滤、验证来分析数据信息；安全决策通过预测和评估整个网络的安全态势。

1.2 系统的概念结构

结合实际的网络安全态势框架结构，并依据与之相应的概念结构，其应用在反映不同感知层次的数据流向。感知层次中的提取网络安全态势对于整个网络而言是非常重要的，如果没有提取出相应的态势要素信息，那么就不能生成合理的安全态势图。评估和预测态势作为感知网络安全态势的中心，是在综合理解整个网络的态势。在识别态势信息安全事件后，结合各个事件的关系，计算和掌握服务、网络、主机所受的威胁，并且生成正确的安全态势图。

1.3 系统的物理结构

在系统物理结构中包括分析器、决策器、传感器等。每个安全域内都有一个分析器和很多个传感器。传感器负责对本地网络和主机进行监控，如果发现有可疑的行为，及时向分析器发送。待分析器接收报告后，在综合分析后将分析结果传输到全局数据库中。决策器根据各个安全域的分析结果实施高级综合处理，明确整个网络系统的安全情况，并存储至数据库中。传感器和传感器间使用环形进行连接，这样做的主要目的在于通过传感器互补信息来加强各个传感器的分析水平，对数据进行进一步的精简，分析器间也可以进行相似的连接。分析器和传感器间使用双向交互的方式，这样传感器可以将提取的信息主动的提交给分析器，并且分析器也能够下发指令对传感器进行重新配置。同时系统物理结构可以动态配置和动态裁剪系统，进而适应多种分布式应用环境的需求。

2 提取要素层

2.1 聚合多源异构安全信息

要素提取层对多源异构安全信息进行聚合操作，安全信息读取模块将数据库中已经格式化的信息输入至相异度计算模块中。结合每一条标准化安全信息的属性与分类模块结果综合对比，将在聚合判决模块中输入结果，将与阈值条件相符的安全信息规划为同种类别。支持数据库包括标准化安全信息库、权值库、阈值库和分类模板库四种。

2.2 融合多源异构安全信息

在聚合安全信息执行后，应用指数加权DS证据理论融合分析结果，目的在于有效的识别攻击行为。在分类信息库中获取安全事件信息后，并根据各个传感器的检测率相对应的布设置信度；传感器权重分配模块结合实际攻击状况，获取出传感器中各个权值；DS推理模块结合每个传感器的重要性的差异，对行为发生率进行理解，在给出推理结果后提交至融合判决模块中，判决模块结合阈值要求得出具体的结果，并存储到数据库中，这个过程就是完成了安全要素的提取。

3 获取信息层

3.1 选择数据源

因为网络系统过于复杂，在实际运行中会出现很多的多源异构数据，系统在多种因素的限制，不能准确的、全面的获取数据。所以，只能选取出信息量丰富、可靠性很高、冗余度较低的数据作为系统数据源。在数据源选取中，还需要考虑到各个数据源间的互补性和交叉性，在不断扩大覆盖面的基础上，防止出现过度重复的情况。

3.2 NetFlow传感器的应用

NetFlow传感器负责采集和分析NetFlow数据。因为这类传感器不需要分析网络数据包内容，减少了预算和处理传感器的工作量，所以很适宜在全局上进行对高速网络的监测。同时此传感器可以实时的提供出很多流量信息和网络连接信息，具备信息量大、视角度广泛等优势。

3.3 日志类传感器的应用

日志类传感器可以采集出多源日志并对其进行分析，最终形成格式统一的安全事件格式。日常采集器在日志采集代理、安全设备日志输出接口、专用日志访问协议等方式方法采集安全设备和关键主机等。采集器具有自动的完成采集信息的功能。但日志文件很容易被损坏，在入侵者入侵后会对日志进行修改或者删除，所以在采集器中加入检测日志完整性模块，在设备日志系统中融入检测日志完整性的方法，检测日志的有效性和完整性。

3.4 SNMP传感器的应用

SNMP传感器依据SNMP协议及时的、有效的采集可控设备MIB库中的数据信息，并分析数据信息，这样可获得网络拓扑信息、安全事件信息等，并以统一的格式上交给网络管理员。SNMP数据采集模块主要对MIB库的数据进行采集，获取MIB中态势数据，并将数据传递给数据分析模块。

3.5 多源安全信息的格式化

每一种传感器获取到的数据和初步分析得到的安全信息，这两种信息格式差异很大，如果将其直接进行提交，那么会给上层应用数据统一存储带来很多困难。所以应使用统一的、合理的态势信息模型，这种模型的建立具有如下几点优势：一是，提供出统一的、完善的数据结构，降低系统处理难度；二是，确定多源异构传感器的提交数据需求，指导传感器的设计；三是，为应用上层程序提供出完整的数据格式。

3.6 服务类传感器的应用

此传感器负责采集安全状态的一系列数据。在服务出现失效时，以事件形式上报给网络管理员。服务传感器作为系统中最关键的信息获取部件，可以向上层管理人员提供出关服务的运行情况，同时还能为分析其他传感器数据作参考依据。

4 分析态势决策层

4.1 动态预测模块

此模块通常用于预测整个网络的安全态势，获取模块从态势库中读取历史态势数据、网络安全数据；历史数据负责提交给态势预测训练模块；评价优化模块根据训练与测试评价结果，应用改进遗传算法，直到满足训练结果的误差要求，才能明确态势预测模型，将模型的预测结果提供给安全管理工作者，用于决策分析中。

4.2 评估安全态势量化

安全态势量化评估模块主要评估整个网络安全态势，安全威胁统计模块根据在某段时间内提取出的安全事件分析威胁度，得出各个主机服务在各个时间段中所受到的安全事件数量。服务安全态势评估模块结合各个时间间隔的情况，计算出相对应的服务安全态势，并将实际情况存储在态势库中。网络安全态势评估模块结合权值，对整个网络安全态势状况进行计算，并将最终结果提交到态势中呈现模块，将评估结果提交给决策者。

5 结语

总而言之，在网络技术的快速发展下，随之而来的网络安全问题越来越多，为了解决网络安全问题，提高网络系统的反击能力，基于多传感的网络安全态势感知系统框架结构能够很好的解决网络安全问题，进一步保证网络系统和计算机隐私信息的安全。

[1]马龙，孙江辉，杜程.基于流量分析的网络态势感知系统研究[J].信息技术，2016.

[2]刘尚东，龚俭，杨望.态势感知技术在网络安全中的应用[J].中国教育网络，2013.