基于信息融合的网络安全态势评估模型
2017-11-04赵珂
赵珂
摘 要 随着信息技术的不断发展,随之而来的网络安全威胁也在不断增加。人们在日常网络使用过程中,无时无刻不面临着网络安全威胁。由于当前的网络安全威胁逐渐呈现出规模化、隐蔽化等特点,导致传统的网络安全评估、检测、防御模式已经不能满足要求,因此结合信息融合等新型分析技术,建立更加可靠的网络安全态势评估模型,成为了相关领域的研究热点。
关键词 信息融合 网络安全态势 评估模型
中图分类号:F27 文献标识码:A
1 网络安全态势评估模型及其设计
为了更好地应用信息融合技术,满足多源数据结构的分析和评估要求,应当建立合理的安全态势评估模型。该模型由主机、网络和用户3个层次构成,分别负责分析主机系统的运行状态、挖掘与关联网络安全信息以及对用户端进行网络安全警告等。在主机层中,评估模型是根据主机系统遭受攻击和威胁的数据进行漏洞分析的;将主机层中的威胁数据融合汇集以后,模型会将其送入网络层,以威胁数据为参照对象对存在威胁特征的网络信息进行分析,对网络信息中潜在的危险特征和危险关联信息进行建模和评估;得出安全态势评估结果以后,将信息汇总至用户层,方便安全管理人员对网络安全形势进行准确把握。
2基于信息融合的网络安全态势评估方法
2.1信息融合技术的算法分析
在信息融合技术中,要用到大量的数学工具对数据对象进行描述。因此如何在网络安全态势评估中选择合适的算法,对于信息融合和安全评估具有重要的意义。信息融合的常见算法包括基于推理模型的算法,即对数据的置信度、隶属度进行操作,包括最大似然法、卡尔曼滤波等;还有基于特征推理的方法,如贝叶斯推理和神经网络王法;另外还有模糊集理论的感知模型方法。其中,基于特征推理的贝叶斯网络融合算法的应用,在具有内在不确定性的问题中应用较为广泛,在该算法中,网络攻击行为的成功,必须以目标系统存在安全漏洞为前提条件,对漏洞进行挖掘而发起攻击;而由于对网络安全漏洞的评估往往是没有明确量化标准的定性概念,因此基于模糊集理论的感知模型在此应用也较为合适,模糊集是一种边界不明确的模型,在其基础上可以建立起模糊逻辑,其推理结论的真实性都是相对的,因此基于模糊集理论的算法可以很好地解决信息融合中的冲突问题,但这种算法计算量较大,且只能应用于静态环境。
2.2数据源信息融合
信息融合网络安全态势评估模型中的信息源融合技术,主要针对的是信息来源的不确定性,即由于信息检出设备本身的多样性和不稳定差异,所导致的准确性下降以及无效性增加等情况。数据源融合技术包含了对大量数据的统计推断方法,在进行信息关联性分析时显得更为准确。例如首先通过网络拓扑信息得到攻击发生的链路信息,将该链路中涉及的所有设备列入相关检测设备,再通过D-S证据理论,通过对各个检测设备的检测日志进行计算,得到各个设备对威胁产生的潜在支持概率,便于威胁来源的查找分析。另外,在分析各个设备的日志信息时,应当具有一定的权重性,如对预知日志中的防火墙、IDS日志信息进行检测时,还应当同时匹配其权重,从而分析得出最大概率支持威胁的检测设备。引入推断方法进行的数据源融合,可以得到检测设备对攻击发生的支持概率,便于下一步态势要素融合的进行。
2.3基于概率的态势要素融合
在这一步中,主要是利用得到的攻击发生支持概率来计算威胁对主机节点攻击的成功支持概率。由于安全威胁发动攻擊并成功的前提条件应当是具备网络设备中具备该威胁且主机关键节点有该攻击所利用的安全漏洞,因此要利用安全威胁概率和漏洞数据库进行匹配,以获得攻击成功的支持概率。这一步主要是通过向节点写入检测程序实现的,当程度返回值为1时,证明该节点包含攻击所利用的安全漏洞。将安全漏洞依照其威胁程度权重进行累计,就可以得到系统对网络攻击成功的支持概率。再利用攻击的威胁度参数,结合攻击发生和成功的支持概率,计算得到攻击对系统关键节点的影响值(影响程度),对网络中各个主机的安全影响值进行汇总以后,便可以对关键节点态势进行安全信息融合。
2.4关键节点态势融合
关键节点态势融合,是网络安全态势信息融合的最后一步,也是最重要的一步。它是将各个主机节点及其所提供的服务按照重要程度分配权重(所有服务的权重和为1),再将每一个关键节点的威胁影响值与其节点权重求乘积,得到单个节点的网络安全态势值(SA),再将所有节点的安全态势值汇总,就可得到网络安全态势的总体值。将一段时间内的安全态势值绘制成时间-安全态势曲线,就可以对该段时间的安全态势状况进行分析,便于网络安全管理人员对过去一段时间的系统网络安全情况进行把握,并对未来一段时间的网络安全情况进行预测和分析。
随着网络技术的发展,人们的生活、工作与网络的联系性越来越强,因此加强网络安全是发展电子商务经济的重要内容,但是依靠传统的网络安全技术已经不能应对网络安全隐患,因此网络安全评估技术作为一种新型网络安全技术,为实现有效保护网络信息资产提供了一条崭新的思路,所以我们要侧重对信息融合网络安全态势聘雇模型以及量化评价方法的研究。
参考文献
[1] 杨进,李芸洁,李勤.基于多元信息融合的网络安全评估模型[J].电脑编程技巧与维护,2014,(04).
[2] 任江伟,韩跃龙.基于信息融合的网络安全态势评估模型[J].黑龙江科技信息,2015,(03).endprint
