多源数据融合下的物联网安全态势评估模型构建

2022-07-21白冰

物联网技术 2022年7期

白冰

（陕西警官职业学院，陕西西安 710021）

0 引言

在物联网感知层面，从其核心组成的情况来看，在网络中以无线传感器作为重要内容时，需要在监测区内布置微传感器节点，并通过无线通信的方式来完成自组织网络，其应用范围广泛，可以在生态监测、健康护理、智慧交通、智能物流等领域发挥重要作用。已知并无过多的节点资源被置于传感器之中，从应用情况来看，考虑到存储能力、电池能量、通信带宽、处理能力等方面，则需要对基站间、节点数据进行调整，使传输量下降，能效提升；对物联网感知情况进行调研后发现冗余性问题比较突出，主要体现在对原始数据的采集方面，因此需要进行融合数据的操作。数据融合技术可以使冗余信息问题得以解决，把数据传输量降下来，把节点能量的消耗降到最低。在一般情况下，如果有大量传感器节点被置于安全敏感区之内，在无监管的恶劣环境中则会造成严重后果，使网络数据陷入危机，存在被伪造、窃听、重放、篡改的可能，处于攻击之下会导致多种信息安全风险出现。由此可知安全的数据整合是必须要进行的重要工作。

学术界的研究力度正在不断加大，主要对数据融合过程中出现的节点被捕获后如何处理的问题进行研究，并对量化数据融合结果不确定的问题展开探讨，制定出各种有效的解决方案。

当前，对网络安全研究主要集中在研究入侵的检测方法上，随着网络不确定性、复杂性的增加，对网络安全态势的研究成为趋势。本次研究是在多源数据融合的基础上展开的，并构建了物联网安全态势评估模型。

1 基于多传感器的多源数据融合技术

多传感器数据融合技术是把多个传感器数据联系起来，对数据实施有效的分类、互联、综合等操作后获取有意义的一组数据，该项技术的基本原理并不复杂，即对人脑综合处理信息的能力进行模拟。为了更好地把各传感器所提供的信息利用起来，要对其进行综合处理，在使用各个传感器和数据时要合理，在对传感器冗余和互补信息优化整合时要从空间和时间上进行，对监测环境生成一致性表述。融合所获取的计算结果与单个传感器相比较显然具有更高的全局性，更加准确。混合式结构是将两种结构的优点进行结合的一种方法，先用传感器预处理收集到的数据，将处理的数据向融合中心传输，可增强系统稳定性，因此本研究采用混合式网络安全态势融合结构。

整个网络安全态势的感知过程如图1所示，可将其理解为数据融合的过程并应用，在多传感器的作用下完成数据的融合，在对这些数据进行关联处理后可以把多个态势要素值确定下来，在此基础上对网络安全态势进行计算并获取相应的结果。

图1 基于多传感器的多源网络安全态势数据融合模型

2 基于集对分析的物联网安全态势评估模型

2.1 集对分析原理

集对分析是一种新的研究方法，以不确定性理论为主要研究内容。将两个具有潜在关系的集合组成对子即称之为集对，以=++来表示，、、有着不同的含义，是同一度、差异度、对立度的代表。因此，可将不确定性理论研究进行转化，使之成为数学问题。集对分析理论是对问题进行全面的研究，并且是在分析两个事件的差异性、同一性、对立性的基础上进行的。基本思路是设存在问题，其中有、两个集合，集对是由其集合组成的；特性总数为个，并分析这些特性。在集合组成集中，相同特性数的数量已知是个，描述问题同一性；有个相反特性个数，描述问题对立性，其余特性不相反、不相同，是对问题差异性的描述，具体见公式（1）：

式中：差异度标识为，∈[-1，1]；联系度为；对立度标识为，=-1；从同一度、差异度、对立度的取值情况来看，一般情况下=/、=/、=/，、、达到归一化条件，也就是说++=1是存在的，可简记为公式（2）：

如果组成系统的集合数量超过两个，假设个集合组成，可以对个集合进行处理，使其以个集对的状态出现，并完成不同集对联系度的表达式构建工作。在对整个系统进行研究时把构建数学模型的方式应用于其中，并将其同异之处确定下来。

2.2 应用集对分析态势评估的步骤

在进行态势评估时如果应用集对分析方法，需要完成以下四个步骤操作：

（1）对初始数据进行处理，但要注意的是要把规范性体现出来。在评估网络中假设设置了台服务器，记作={,, ...,M}，每台服务器有指标个，记作={,, ...,I}，其中∈（1, 2, ...,），∈（1, 2, ...,），则=[f]为个服务器的矩阵，由个指标值共同组成。表1所列为网络中主机及指标的关系。

表1 网络中主机及指标的关系

（3）通过计算后把{，}的相关数据确定下来，获取同一度a、差异度b、对立度c。

其中：

（4）计算集对势a/c，三维态势见表2所列。要把对应级别确定下来，在此基础上获取某一时刻某一主机态势级别，并对主机级别与安全性的关系作出界定，前者越高后者则越低。

表2 三维态势表

2.3 网络安全态势评估模型

2.3.1 网络安全态势要素

计算机网络是由多种因素共同组成的，直接影响到网络安全状态。为了使研究更加深入，要区别开网络安全态势要素，将其分为攻击、主机、共有三种要素。其中，主机要素可视为集对分析理论中的同一度，攻击要素可视为对立度，共有要素可视为差异度。图2为网络安全态势的要素。

图2 网络安全态势要素

2.3.2 网络安全态势评估模型

计算机网络的结构比较复杂，是由数量众多的网络组件、主机节点以及各种检测设备组建的。计算机中的检测设备发挥着重要作用，可以有效地监督主机、了解和掌握网络状态，由此报警信息、日志也会大量产生。以上数据信息可分为两种模式：一种是基于系统配置信息；另一种是基于系统运行信息。配置状况、系统设计、服务设置都属于前者；系统所受攻击状况则属于后者。如果在对安全态势进行评估时所采用的是传统方法，即通过单一检测设备分析数据，则可能会导致态势信息、数据源单一的问题出现，这对分析结果显然是不利的，与实际相比会有较大的偏差。在本次研究中充分利用集对分析原理，以此为基础实现对多个数据源信息的融合。

在检测不同的网络安全信息时需要通过多传感器来完成，此操作在网络安全态势评估模型（如图3所示）中进行，首先把主机安全态势确定下来，在确定主机权重后把整个网络的安全态势确定下来，这是个复杂的过程，需要在数据采集、态势要素提取、主机安全态势评估、网络安全态势评估四个模块的共同作用下完成。数据采集模块通过多个传感器对计算机网络运行状况同时监测，收集主机日志、传感器报警信息、网络日志等原始数据；态势要素提取模块在工作时需要对原始数据进行预处理，利用的方法主要有冗余分析、规范化分析、冲突检测等，并完成对相关态势要素的提取；主机安全态势评估模块进入到工作状态时，为了对不同的网络安全态势要素进行深入分析，把集对分析算法应用于其中，能够对主机安全态势值做出定量描述；网络安全态势评估模块与数学分析法结合，并与各主机网络权重、各主机安全态势值结合，从而将整个网络安全态势值计算出来。

图3 网络安全态势评估模型

如果所采用的是集对分析这种方法，则可以确定两个集合对立度、同一度，但是不能确定差异度和差异分析，信息不确定性可采用联系度表达，进行模糊信息的有效处理；在对态势进行研究时，同一度、差异度、对立度是集对分析所要考虑的重点问题，要对网络安全各要素进行全面而系统的研究；在对网络安全态势唯一性进行分析时基于联系度来实施，完成对网络安全级别的划分，网络安全态势危险程度的确定是通过安全态势值来完成的。

3 网络安全态势感知系统实验与结果分析

3.1 实验环境和实验数据

本次研究所有的数据是真实有效的，来自于DARPA2000数据集，提供者是麻省理工大学林肯实验室。从数据集的内部构成来看，涵盖了网络内部的数据信息（Inside Tcpdump file）、网络边界数据信息（DMZ Tcpdump file）、部分主机审计日志；涵盖的攻击场景有两个，即LLDOS1.0、LLDOS2.0，每个攻击场景由五个步骤所组成，针对这2个攻击场景分析网络安全态势。实验利用snort工具和MySQL，在Linux下进行分析，在tcpreplay工具的作用下对数据包进行重放处理，用snort+MySQL收集数据，并将其置于数据库之中存储，将数据导入到MATLAB环境后进行计算和分析。

3.2 实验步骤

3.2.1 要素信息提取

在DARPA2000数据集中，主机服务信息、网络拓扑结构、漏洞信息未提供，本研究从snort收集的信息对DARPA2000进行分析，详情见图4和表3。

图4 DARPA2000的网络拓扑结构

LLDOS1.0、LLDOS2.0共有10个攻击步骤，可以将其视为10个时段，在对每个时段的安全态势值进行分析时把集对分析法应用于其中并获取相应计算结果，见表3所列。

表3 时段1网络安全态势要素的值

在对攻击成功次数和频率、流量信息等数据集信息进行分析时所用的工具是snort日志；要明确攻击的严重性，依据的是snort优先级、攻击分类，针对严重程度进行划分，等级为低、中、高，以3、2、1来表示。

3.2.2 态势评估

对数据进行规范化处理，以=[t]作为规范化矩阵，在第1时段，由于并没有针对主机www.af.mill进行攻击，即以0为www.af.mill态势。

从规范化矩阵可将、提取出来，=（1，1，1，1，1），=（0.2，0，0，0，0）。通过计算后把、、的准确数值确定下来并掌握相应态势值，见表4所列。

表4 时段1各主机的态势分析结果

最后以各主机权值为依据计算网络安全态势，已知0.17是主机locke的权重，主机mill的权重为0.34，主机hume的权重为0.21，主机pascal的权重为0.17，主机robin的权重为0.17，主机www.af.mill的权重为0.06。由此可得时段1的态势值为7.5。在对其余时段态势值进行计算时，所采用的也是这种方法。

3.3 实验结果

以表5中的数据为依据编制完成10个时段网络的安全态势图（如图5所示），并得出态势值越大则网络越不安全的结论。

表5 网络安全态势值

图5 网络安全态势

从第一阶段的情况来看，网络只受IP扫描，态势值较低；在此之后由于遭受DDoS攻击，态势值随之增高。通过本文方法可以把网络状况真实地展示出来。在基于信息融合网络安全态势评估模型的条件下将本实验结果和文献[11]进行比对，把文献[11]实验结果化为1～12区间内值，详情如图6所示。

图6 两种态势评估模型得出的网络安全态势值比较

由图6可知，集对分析模型具有一定的优势，文献[11]的评估模型获得的网络安全态势值较低，不能引起管理员重视；在时段3、时段9出现攻击时，集对分析方法获得的安全态势值显著升高，能很好地区分DDoS等危险性较大攻击和IP扫描等危险性较小攻击；在时段5，对于原始数据未受严重攻击的情况，文献[11]的网络安全态势值却显著升高，这表明集对分析模型感知网络安全态势更稳定。