试析网络安全中多源传感器数据融合技术
2016-11-24沈迎春王首人邵龙
沈迎春++王首人++邵龙
摘要:多源传感器数据融合主要指的是由多个传感器单元所获得的信息采取综合性处理和分析的技术,这一技术有效弥补了单源传感器造成的局限,可以更为准确、全面进行信息的估计。当前网络得到了迅速普及,同时在此过程中对网络安全问题也越发引起更多人的关注和重视,采取了多种手段保障对网络安全予以保障。当从目前的形势看,网络安全问题依然是不容乐观,因为目前所采取的网络安全保障措施,比如,杀毒软件、防火墙、流量检测系统、入侵检测工具等,然而每项措施只是针对某一问题或者某一部位进行保障,并不能对整个网络的安全进行有效的保障,对此我们必须加强对网络融合的研究。
关键词:网络安全;多源传感器;数据融合技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)26-0056-02
在网络普及的今天,网络安全尤为重要,现在市场上已经出现了多种网络安全保障系统和工具,比如杀毒软件、防火墙、入侵检测工具等,但是这些安全保障工具只能针对网络安全的单一的问题进行防范,无法从整体对网络安全进行高效的保障。而多源传感数据融合技术可以将对信息进行综合性的分析和处理,可以很好地解决单源传感器所具有的局限性。由此我们可以对网络安全中多源传感器数据融合技术进行深入的分析和研究,为了更好的保障网络的安全,为网络用户提供了一个安全的网络环境。
1多源传感器数据融合的基本原理
多源传感器数据融合属于一项人类同其他生物系统普遍具有的功能。人类本能对身体的各项器官检测来的信息同已经验证的知识融合的能力,由此合理的估计周围环境以及事件。多源传感器数据融合基本原理同人脑进行信息处理的流程是相似的,合理地支配和运用多项传感器以及由传感器获得各项信息,根据一定的规则对其空间以及时间上的冗余以及互补加以综合,由此获取被测对象的统一的描述,使得这一系统获得的较之构成部分组成的系统具有更强的性能。详细地讲,多源传感器融合基本原理如下:
1)多想类型不同的传感器取得目标数据;
2)提出输出数据特点,由此取得特征矢量;
3)模式识别特征矢量,对各个传感器目标属性说明工作;
4)根据同一目标对各个传感器的目标属性说明信息予以分组,也就是关联;
5)通过融合算法合成各个目标对应的传感器数据,获得这一目标统一的描述和解释。
因为被测对象很多都是特点存在差异的非电量,比如灰度、色彩、温度等,所以首先需要将转化为电信号,而多源传感器的应用是为了进行信号检测。
2 多源传感器数据融合特点
在各个系统中,依靠单一的传感器是难以实现对环境、目标的识别以及控制目标。如果对各个传感器获得的信息进行单独的分析处理,一方面会是信息处理工作量进一步增加,另一方面业使传感器信息间的联系被割裂,严重地浪费了信息资源[1]。所以,应当综合多源传感器进行处理,这也就是数据融合,由此可以获得更加可靠、稳定的分析结论,系统可以更加完美的完成相关操作任务。总的来说,多源传感器数据融合具有以下几项主要的特点:1)环境描述能力得到了增强;2)系统的辨识以及运行能力得到了显著提升;3)系统自身的容错能力以及可靠性均得以显著提高;4)观测范围得到了时间和空间上的拓展;5)信息的可信度得以增强,同时系统成本得以降低[2]。
3网络安全中多源传感器数据融合技术应用现状
在网络安全保障过程中,数据融合技术通常是在分布式入侵检测系统(Ditributed Intrusion Detection System,DIDS)以及网络安全形态感知系统(NetworkSecurity Situa-tion Awareness,NSSA)中使用【3】。势态感知最早出现在航天飞行人为因素的研究中。在军事战场、核反应控制、空中交通管制等多个领域的同样也存在非常广泛的研究。势态感知指的是在特定时空条件下,对环境因素的采集、了解和对未来情况的预测【4】。Bass T认为DIDS指的是在层次化模式下进行多源传感器数据融合的问题,同时引入JDL融合处理模型,将势态感知引进网络安全中来,进而设计出了在多源传感器数据融合基础上的网络态势感知系统模型框架,这也叫做网络安全势态感知(NSSA)[5]。
我国对于NSSA的研究相对较晚,近几年的研究取得了较为显著的成就,是现阶段网络管理以及安全领域重要的研究课题。NSSA和DIDS二者存在诸多的不同之处,更多地反映在数据来源和系统功能存在差异。DIDS是在网络中部署入侵检测Agent,进而利用入侵检测Agent来取得各项网络信息,同时采取综合性分析,由此对被监控网络进行有效的检测,查看其中是否存在任何攻击行为,从而确保网络预计主体的安全。而NSSA则是运用多项安全系统(杀毒软件、防火墙、系统审计日志)等形成数据结果以及Netflow采集的网络信息以及性能指标等数据,进而计算出网络当前的安全势态,并及时向网络管理员传递网络势态同时提交相关数据等,为确保网络运行正常提供数据参考,其中涉及DIDS的功能。此外,NSSA还具备可预测性以及可评价性,现阶段更多单位进一步加强对网络安全势态预警系统的研究。
4 网络安全中多源传感器数据融合技术
4.1提高时间分辨率的多源数据融合技术
在时间基础上的数据融合指的是针对单一或多项数据源获得的数据实施融合,在网络安全保障中对应相关的网络安全事件。时间基础上的数据融合必须预先针对需要检测的攻击及其意图建模,比如攻击图建模;进而给模型中各个节点对应的攻击事件进行赋值。最后,通过贝叶斯推理、加权决策法等方法实施融合决策。贝叶斯推理主要的是概率论基础上的贝叶斯订立,必须预先提出先验和条件概率。D-S证据理论用辨识框架表示的是构成假设空间相关元素的集合,其中各个元素对应的要求互相之间排斥,同时在基础上定义一个分配函数概念。有框架中任何一个元素概念赋值,由此可以获得相应的信任函数(Bel)以及似真度函数(BPA),简称为PI,通过Bel以及BPA可以获得这一命题的信任度空间。而后,通过Dempster合成原则融合多项似真度函数。
Liu Mixia通过D-S证据理论针对DARPA数据统一DDoS攻击对应的5个环节信息实施融合决策。其一,定义一个辨识框架= {Normal, Probe, u2r(user to root),r2l(remote to local),DoS, Uncertain};进而针对各个事件采用合适的BPA,针对相关命题配置相应的概率值,同时根据合成规则针对到来的事件采取融合决策;最后取得各个命题对应的最终概率值。伴随事件的不断来临,命题的不确定性也会渐渐降低,判断也会更加准确,由此结合判断结果获得网络安全势态信息。
韦勇在D-S证据理论的指导下有效融合检测和预知日志集合,同时根据漏洞信息获得攻击成功支持力等信息,最终通过加权决策法获得节点势态。
4.2 拓展空间的多源数据融合技术
在空间基础上的数据融合主要是指针对网络中各个部位的传感器形成的安全信息加以融合。因为每个不同传感器其相应的功能存在差异,侧重点也具有一定的差异,所以在空间基础上的数据融合可以将各个数据源的互补性以及冗余性进行很好的利用,得到较之单一数据源更加可靠、更加全面、更加准确的信息,由此进行更为正确的判断。在网络中装置的功能、类型各异的Agent,比如防火墙、入侵检测系统、杀毒软件等,单独进行数据收集以及分析活动。而后不仅能够运用集中式融合结构,将各个Agent采集的数据集中发送至数据融合中心加以融合,同时也可以通过分布式融合结构,使Agent之间自行进行互通互信,由此取得相应的数据同时采取融合决策,对入侵行为进行判断等。
为了实现Agent之间的互通互信,彼此之间进行信息的交流,必须统一信息表达格式及其数据交换安全协议。在此过程中,最为著名有公共入侵规范语言(Common Intrusion Specif-ication Language,CISL),入侵检测交互协议(Intrusion Detection Exchange Protocol, IDXP) 、入侵检测消息交互格式(Intrusion DetecionMessage Exchange Format, IDMEF)等。
在空间基础上的数据融合技术通常运用神经网络、贝叶斯推理、SVM、D-S证据理论等计算方法。SVM以及神经网络等融合算法需要预先从多源传感器所形成的数据进行特征的提取,同时构成独立的特征向量,由此将其键入模式识别过程中分类识别。
RST主要是指基于分类而建立的,将分类看作在一定空间条件下的等价关系,进而组成了对这一空间进行划分。其重要的思想在于通过已知的知识库来对不确定或不精准的知识进行近似的刻画。
王慧强等人指出在多源传感器数据融合基础上构建网络势态感知模型,通过神经网络以及SVM等算法针对Snort以及Netflow传感器形成的信息进行特征向量的提取,之后采取特征降维,进而实施融合分类,最终通过分类结果得出相应的网络安全势态信息。
Siaterlis在D-S证据理论的指导下设计检测DoS攻击模型,需要预先定义辨识框架,通过Snort插件取得报文输入与输出之间的比重、通过Cisco对应的Netflow以及SNMP协议采集网络流量信息,而后针对取得的两种信息采用合适的BPA,然后对两个BPA实施融合,由此获得最终的融合决策数据。这一模型促进对DoS攻击检测效率的显著提升,使其报误率大大降低。
Zhuo Ying等人将JDL数据融合模型以及Endsley态势感知模型进行有机结合,集中了数据融合挖掘技术,通过RST科学的评估网络安全势态。
5 结束语
综上,数据融合并非独立的技术,而是一项跨多学科的综合性方法,同时处在持续变化发展当中。伴随相关研究的进一步深入,该技术取得了很多的发展。较之单一传感器的信息处理,多源传感器数据融合技术具有非常显著的优势,突破了以往单一传感器信息处理造成的局限。而该技术应用于网络安全防护中,可以有效提升网络安全保障体系的安全系数,使得各项安全系统和工具实现有机融合,从整体上确保网络的安全,更好地保护了网络用户的利益。
参考文献:
[1] 胡传奇,王檄,侯家槐.多传感器图像融合技术及其进展[J].测绘与空间地理信息,2010(2):159-162.
[2] 林加润,殷建平,程杰仁,等.网络安全中多源传感器数据融合技术研究[J].计算机工程与科学,2010(6):30-33.
[3] 黄漫国,樊尚春,郑德智,等.多传感器数据融合技术研究进展[J].传感器与微系统,2010(3):5-8+12.
[4] 朱泽君,黄涛,刘曦霞,等.多传感器数据融合技术研究现状及发展方向[J].舰船电子工程,2009(2):13-16.
[5] 张延龙,王俊勇.多传感器数据融合技术概述[J].舰船电子工程,2013(2):41-44.