邹航菲

摘 要：目的：以安全态势评估概念和预测方法为基础，提出以信息融合为核心的网络安全态势感知模型。方法：首先对网络安全态势感知研究现状展开研究，然后给出相应的感知模型。在此模型中，对多源网络安全信息进行综合考量，并借助于D-S证据理念，得到相应的评估结果，而所涉评估对象包括主机、网络、漏洞和服务等。借助于支持向量回归理论，得到网络安全态势值。结果：本次研究所提出的感知模型，其诸多功能基本实现。结论：与已有的预测和评估法进行对比，以信息融合为核心构建的网络安全态势评估预测模型的结构完整度和预测准确性都具有显著优势。

关键词：信息融合;网络安全态势;感知模型

中图分类号：TP393.08 文献标识码：A 文章编号：1003-5168（2019）22-0020-03

Prediction of Network Security Situation Assessment from

an Information Perspective

ZOU Hangfei

Abstract： Purpose： Based on the concept and prediction method of security situation assessment， a network security situation perception model based on information fusion was proposed. Method： Firstly， the current situation of the research on network security situation perception was analyzed， and then the corresponding perception model was suggested. In this model， the multi-source network security information was considered comprehensively， and the corresponding evaluation results were obtained with the help of D-S evidence concept. The target of evaluation includes host， network， vulnerability and service. With the support vector regression theory， the network security situation value is obtained. Results： Many functions of the perception model proposed by this research are basically realized. Conclusion： Compared with the existing prediction and evaluation methods， the structural integrity and prediction accuracy of the network security situation assessment prediction model based on information fusion have significant advantages.

Keywords： information fusion;network security situation;perception model

隨着信息技术不断发展，计算机网络通信技术的应用范围日益扩大，已经渗透到人们生活和工作的方方面面。计算机网络通信技术在方便人们工作和生活的同时，也因为自身安全技术方面的瓶颈，如黑客和病毒攻击等，给通信安全带来严重影响。传统单一型的防御和检测设备，已经很难满足用户的安全需求。网络安全态势评估技术可以对诸多方面的安全因素进行综合，并能从整体上反映出当前的网络安全现状，进而对其进行预测和报警，从而更好地提升网络安全属性。所以，当前网络安全态势评估模式以及安全技术开始成为安全领域的研究热点。而所谓的安全态势评估，则是基于技术，从时间、空间这两个维度，对影响安全的因素进行分析，并对这些信息进行整合，从而更好地辨识网络的安全状态，进而对其未来发展趋势进行预测[1]。

1 网络安全态势评估

1.1 网络安全态势评估的概念

应用网络安全态势评估，其核心是基于相关技术，对信息系统的安全漏洞进行检测，这种检测所采用的方法具有多元化，能使网络安全态势评估之后的计算机信息系统具有更高的安全性。此外，网络安全态势评估还具有发现计算机信息系统网络安全漏洞的功能，并能根据漏洞信息提出解决措施，因此，其在我国计算机信息系统的网络安全保护中占据着重要地位[2]。

1.2 网络安全态势评估的方法

目前使用的网络安全态势评估方法是基于安全标准的评估法、基于财产价值的评估法、基于漏洞的评估法以及基于安全模型的评估法。基于安全标准的评估法，主要是以国家和行业所给出的相关标准为基础，进而对计算机系统安全漏洞进行排查。而基于财产价值的评估法，则是通过对网络风险加以量化，并分析这些风险可能带来的损失，由此再进行相应的安全隐患排查。而基于漏洞的评估法，则是利用安全技术对系统漏洞进行检测，然后提出相应的解决措施。而基于安全模型的评估法，相关工作者可以利用该系统的安全模型，对网络漏洞进行检查并提出相应的解决措施，这样，信息系统的网络安全和结构性都能得到显著提升。

2 网络安全态势评估的模型设计与应用方法

2.1 基于信息化视角的网络安全态势感知模型

本次研究所涉及的数据对象为多源网络安全信息，并以信息化视角方法和知识作为相应的理论指导，进而完成层次化网络安全态势感知模型的构建。从功能角度来看，该模型由下而上共有三个层次，即多源信息层、网络安全态势评估层和网络安全态势预测层。

在多源信息层中，可以借助差异化的数据接入模式得到丰富的网络信息。

第一，网络拓扑结构信息用[IT]表示，其包括诸多物理链接关系。

第二，主机信息用[IH]表示，其涉及三种内容：其一，主机权重（[WH]）;其二，由主机漏洞以[VH]及漏洞静态严重性[Vs]所构成的二元组，用[（VH，Vs）]表示;其三，由服务[SH]及其权重[WS]所构成的二元组为[（SH，WS）]。

第三，报警信息用[IA]表示。采集诸多入侵检测系统所产生的原始报警信息，并对其进行预处理。将无效的报警信息去除，并对同一种重复报警进行合并，主机报警则是根据漏洞原则对相关信息进行筛选。

在网络安全态势评估层，关键需要基于D-S证据理论，对多源信息展开融合分析，进而取得针对漏洞的评估结果。之后，由于主机所对应的某项服务往往会存在相应的漏洞集，此时，就需要应用求和法，获取服务评估结果。然后在此基础上，对其他诸项服务以及权重，应用加权求和法，获得主机的评估结果。最后，结合网络中的诸多主机权重，并借助加权求和法，得到整体的网络安全评估结果。而在网络安全态势预测层，则需要结合评估层给出的结果，并用支持向量回归理论，给出未来单位时间的安全态势预测结果[3]。

2.2 基于支持向量机的网络安全态势预测算法

在数据挖掘技术中，支持向量机是目前较为新颖的一种技术，其英文全称为Support Vector Machine，简称SVM。通过该理论，对安全态势进行预测，即利用过去的安全态势信息所形成的样本，分析当前数值对今后态势值的影响，然后使用前[n-1]时间单位，也就是所谓的小时、天和月等历史值作为相应的训练样本，由此构建相应的动态预测模型。随后，就可以应用此模型，对接下来的时间单位安全态势结果进行预测。此模型使用的回归算法为[ε-SVR]，而RBF则是对应的核函数，而对此模型的预测精度带来显著影响的参数涵盖了RBF中的[σ]参数、[C]（惩罚系数）以及不敏感损失函数[ε]。在本次研究中，引用的[{C，σ，ε}]参数，是由Melssen提供的，这几个参量的取值区间：[C]为1～108;[σ]为0～0.2;[ε]为0.01～2.0。而对于具体参数的明确，则应用了试探法。针对预测结果的评价指标，需要引入MSE均方差概念，其表示的是在[n]次预测下的误差平方均数。基于SVR的网络安全态势预测算法的实现步骤具体如下。

第一步：遴选预测对象，包括网络、服务和主机，结合安全态势信息，构建相应的样本，用[S1，S2，…，Sn]表示。

第二步：将[n-1]个态势值作为相应的训练样本，然后遴选相应的实验参数，进而得出对应的训练模型。

第三步：结合训练样本值，对[n]个态势进行预测，获得[Sn]。

第四步：对多次预测结果的均方误差进行计算，进而得到更为准确的預测结果。

3 基于信息融合的网络安全态势评估方法

3.1 数据源信息融合

信息融合网络安全态势评估模型所涉及的信息源具有多元性，也就是说，信息检索设备具有显著的差异性，这样，无效信息会增多，信息的准确性也会显著下降，这就需要通过多源融合技术来进行处理。数据源信息融合技术包含了对大量数据的统计推断方法，在进行信息关联性分析时准确性更高。譬如，借助网络拓扑信息，可以获取对网络链路进行攻击的信息，然后将该链路上所涉及的设备纳入检测范围，再借助D-S证据理论，对相关设备的日志进行检测，并完成相应计算，以获得相关设备对威胁所产生的潜在支持概率，进而更好地查询威胁源。此外，在对设备的日志信息进行分析时，还需要结合不同的设备赋予差异性权重，如对防火墙、IDS日志进行检测，就需要赋予其相应的权重，进而计算出能支持该威胁的检测设备。在进行数据源融合时，还可以引入推断法，获取检测装置对系统攻击的支持概率，从而为后续的态势要素融合给予支持[4]。

3.2 基于概率的态势要素融合

基于概率的态势要素融合需要借助攻击发生支持概率，算出威胁对相关主机进行攻击的成功支持概率。安全入侵行为之所以能取得成功，一个重要的前提就是该网络设备中已有这样的威胁，同时主机关键节点处有被入侵者所利用的安全漏洞。因此，需要借助威胁概率和漏洞数据库加以匹配，从而计算出攻击成功的支持概率。这主要是通过对相关节点写入相应的入侵检测程序来实现，如果返回值为1，那么此节点拥有被攻击所利用的漏洞。接着将这些漏洞按照威胁程度加以累积，便可计算出成功攻击网络的支持概率。随后，利用攻击威胁度参量，并结合以上支持概率，就能算出攻击对系统关键点的影响程度。对主机所对应的安全影响值进行汇总分析后，就可以实现对关键节点态势的安全融合。

3.3 关键节点态势融合

关键节点态势融合是最为关键的一个环节。其主机节点及相关服务的重要性，为其配置相应的权重。诸多服务权重之和大小为1，然后将该关键节点的威胁影响值和节点权重值进行乘法运算，便能获得对应单节点的SA，也就是网络安全态势值。接着将各个节点的SA值进行汇总，便可得到总值。随后，将一段时间内的SA编绘成时间-安全态势曲线，对此时间范围内的SA状况进行分析，进而让相关管理人员更好地把握相应的网络安全情况，进而对后续网络安全进行更加准确的分析和预测。

参考文献：

[1]谢丽霞，王志华.基于布谷鸟搜索优化BP神经网络的网络安全态势评估方法[J].计算机应用，2017（7）：1926-1930.

[2]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009（3）：353-362.

[3]刘雷雷，臧洌，邱相存.基于Kalman算法的网络安全态势预测[J].计算机与数字工程，2014（1）：99-102.

[4]黄同庆，庄毅.一种实时网络安全态势预测方法[J].小型微型计算机系统，2014（2）：303-306.