◆夏 飞



基于信息融合的网络安全态势评估运用分析

◆夏 飞

（国网江苏省电力有限公司信息通信分公司 江苏 210008）

安全态势评估的重要性已经随着网络安全问题的逐年扩大成长为当前国内外的热门研究问题。现有安全态势评估方法难以赶上日新月异的网络发展现状，因此本文针对网络安全问题提出了基于信息融合的网络安全态势评估模型。通过D-S证据理论将多台检测设备生成的数据源信息进行融合，利用漏洞信息和服务信息,经过融合态势要素和节点态势对计算网络安全态势做出合理评估。同时简单介绍时间序列分析极其用到的数据分析方式，双管齐下实现对网络安全趋势的预测。为网络管理人员提供合理数据提高其工作效率和效果。

网络；安全态势评估；信息融合；时间序列分析

0 前言

目前，人们对于前沿通信和计算机技术的需求越来越高，相应地通信及信息技术发展也越来越快，计算机网络的应用范围也越来越广，而此时病毒软件的出现使得计算机网络的安全形式受到威胁，此前的相关病毒检测设备及杀毒软件已无法实现人们的需求。针对以上问题，网络安全态势评估技术能够有效地起到预警的作用。但是忽略网络自身特点；在大规模病毒爆发时才能产生作用；未对网络安全问题考虑全面和单一化的评估指标等都成为了网络评估技术的缺点。因此本文意图解决此类缺陷造成的问题，因此提出了基于信息融合的网络安全态势评估模型。

1 网络安全态势评估模型

计算机网络组建囊括了大量的主机节点和检测设备，监控网络和主机的运作状况是它的主要公共功能。以往对检测设备生成的日志信息进行分析总结是主要的网络安全态势评估方式。此类方式基于的数据信息单一，检测内容往往难以得出有效结果。此类方式方法过于关注检测设备生成的信息报告而忽略检测设备本身可能产生的一系列问题。因此，本文旨于探讨科学有效的网络安全态势评估方式。也即：分析融合多个检测设备获取的日志信息，以此信息源为基础获得遭受外部攻击的细节信息，分析相应供给对网络安全造成的影响，并以时间序列分析法为基础对网络安全态势做出适当合理地预测，从科学性和有效性两方面改进传统评估方式。

2 基于信息融合的态势评估算法

融合态势要素、融合数据源、融合节点态势是信息融合网络安全态势评估法的主要内容

2.1 融合态势要素

融合态势要素是指基于外部攻击成功支持的概率、外部攻击发生的概率以及外部攻击的威胁等对主机的网络安全态势进行相应的评估。对检测设备产生的日志信息进行分析只能取得外部攻击发生的概率，而主机节点所受到的影响是多种媒介共同作用的结果，例如主机节点内部的相关信息以及由外部攻击携带的威胁信息等。经过充分融合的信息报告才能对主机节点的安全态势做出全面完整的估算和分析。

2.2 融合数据源

融合数据源是指通过充分融合多个检测设备产生的日志信息以达到可靠估算外部攻击发生支持概率的目的方法。为获取到更客观、更准确的信息吃力结果，多元化信息的获取是数据源融合的重要基础。因此估计理论、人工智能等技术方法在数据源融合过程中扮演了重要的角色。融合数据源最主要的目的是通过分析多台设备生成的日志报告准确可靠地分析主机节点态势评估的结果。D-S证据理论方法是本文的研究基础，在D-S证据理论中，单一检测设备生成的日志报告将被收集用于分析该设备对于本次攻击的反对及支持概率，随后多台检测设备的日志报告将以同样的方式进行反对支持概率的统计及分析，而后总体报告将通过D-S数据合成来取得整个网络系统对于外部攻击的反对或支持概率。

2.3 融合节点态势

获得网络安全态势值SA，该公式中wi的数值沿用上一个公式中计算的服务数加权比重，而Ei代表各主机点在网络环境中的加权对应权重。通过共同使用两个公式获取网络安全系统的整体实际情况的态势值SA。网络管理人员可以通过制作分析结果曲线图获取网络运营安全的整体情况并及时获取外部信息，实时监控外部攻击支持概率并对可能发生的外部攻击做出及时关键的预防措施，若未能及时阻止恶意攻击的发生，该方法也有助于网络管理人员及时作出应对措施以防更多主机节点受到攻击导致瘫痪。

3 基于时间序列分析的态势预测算法

时间序列分析旨于分析过去及当前多个时间节点的网络安全态势报告，从而对未来网络安全趋势做出合理预测。而本节将把重点放在介绍这种极具可靠性的预测算法。曲线拟合和参数估计的数学建模方法将被有效利用在时间序列分析中，其原料是来自于各检测设备得到的日志报告数据。当前时间序列分析算法被广泛应用于经济、城建、天气预报等多个领域。

时间序列分析的第一步是平稳性检验。其目的在于确保时间序列的平稳性，若时间序列的平稳性受到质疑，则该建模方式将失去其最基本的理论依据。而平稳性检验又包括参数检验法和非参数检验法。参数检验（parameter test）全称参数假设检验，是指对参数平均值、方差进行的统计检验。参数检验是推断统计的重要组成部分。当总体分布已知（如总体为正态分布），根据样本数据对总体分布的统计参数进行推断。而非参数检验也(Nonparametric tests)是统计分析方法的重要组成部分，它与参数检验共同构成统计推断的基本内容。非参数检验是在总体方差未知或知道甚少的情况下，利用样本数据对总体分布形态等进行推断的方法。由于非参数检验方法在推断过程中不涉及有关总体分布的参数，因而得名为“非参数”检验。第二步是计算样本自相关系数和偏自相关系数。相关系数度量指的是两个不同事件彼此之间的相互影响程度；而自相关系数度量的是同一事件在两个不同时期之间的相关程度，形象的讲就是度量自己过去的行为对自己现在的影响。在了解此类基本概念后确定模型、模型计算及模型检验的步骤将不再在此文中进行细节的讨论。时间序列的分析有助于网络管理人员绘制网络安全态势预测图，而该预测图有助于管理人员更深入掌握整个网络环境的过去式、现在式及将来式，并协助管理人员针对相突发安全事件采取及时且恰当的防御措施以避免外部攻击造成的损失进一步扩大。

4 结语

原有网络安全态势评估技术缺陷明显，其局限性难以保证外部攻击的有效数据被发现并整合，网络整体安全现状在缺乏与时俱进的态势评估技术下显得漏洞百出。而本文在原有网络安全态势评估技术基础上介绍了态势要素、数据源和节点态势三种融合方式，同时介绍了时间序列分析中用到的基础知识及其可能带来的良性反映，从而实现了对网络安全态势的有效预测，为网络管理人员及时准确地提供安全保证提供了理论支持。然而，网络世界的技术日新月异，针对网络安全管理的技术需要不断与时俱进。当前关于保证安全态势的相关方法及指标依然缺乏全面性，同时应当整理各类外部攻击事件的特点并整理归档，确保对于威胁来源的预测更加可靠。随着网络的普及度以及人们对于网络的依赖度越来越高，一个好的网络安全环境将为使用者提供无形的便利，因此当前社会各界密切关注网络安全态势保护措施的发展，加强此领域的研究具有时代意义。

[1]文志诚,陈志刚,唐军.基于信息融合的网络安全态势量化评估方法[J].北京航空航天大学学报,2016.

[2]李方伟,张新跃,朱江,张海波.基于信息融合的网络安全态势评估模型[J].计算机应用,2015.

[3]彭鹏.基于信息融合的网络安全态势评估模型分析[J].网络安全技术与应用,2015.

[4]张新刚,王保平,程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用,2012.

[5]韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009.