摘  要： 針對網(wǎng)絡(luò)結(jié)構(gòu)的多樣性和網(wǎng)絡(luò)數(shù)據(jù)的復雜性，提出一種基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢分析方法。該方法將網(wǎng)絡(luò)結(jié)構(gòu)抽象成層次化結(jié)構(gòu)，采用專家系統(tǒng)的數(shù)據(jù)融合方法進行數(shù)據(jù)融合。配合層次化的網(wǎng)絡(luò)結(jié)構(gòu)提出合理的層次化評價體系，并進行量化計算。最后通過實驗數(shù)據(jù)驗證了該方法的合理性和有效性。
　　關(guān)鍵詞： 數(shù)據(jù)融合；專家系統(tǒng)；網(wǎng)絡(luò)安全態(tài)勢感知；層次化結(jié)構(gòu)
0 引言
　　網(wǎng)絡(luò)的快速發(fā)展帶來了巨大的經(jīng)濟效益，隨之而來的網(wǎng)絡(luò)安全問題也越發(fā)嚴重。傳統(tǒng)的網(wǎng)絡(luò)防御以被動式防護為主，只能在安全事故發(fā)生后進行防護，阻止再次入侵。為解決日益頻繁的網(wǎng)絡(luò)安全事故，以預測和主動防御為主的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)[1]得到了廣泛的應(yīng)用。
　　態(tài)勢感知技術(shù)主要分為感知、理解、預測三個層次。其作為近幾年網(wǎng)絡(luò)安全領(lǐng)域的一個研究熱點，許多學者從不同的角度使用不同方法進行建模，主要包括貝葉斯網(wǎng)絡(luò)[2]、模糊推理[3]、博弈論[4]、圖模型[5]、信息融合[6]等方法，旨在解決網(wǎng)絡(luò)安全預防的問題。
　　賴積保等人[7]提出的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)，系統(tǒng)地分析了多源異構(gòu)傳感器網(wǎng)絡(luò)的特點，從信息獲取、要素提取、態(tài)勢決策三個層次進行系統(tǒng)的結(jié)構(gòu)模型建立；趙穎等人[8]采用對比堆疊流圖進行網(wǎng)絡(luò)態(tài)勢的可視化分析，能夠幫助用戶快速發(fā)現(xiàn)異常和識別規(guī)律；唐成華[9]等人利用DS融合工具進行態(tài)勢的融合和推理，建立評估準則并對其方法進行驗證。
　　本文提出的方法采用層次化結(jié)構(gòu)建模，對各類安全數(shù)據(jù)源進行分類、選取。采用專家系統(tǒng)方法將各類安全數(shù)據(jù)進行層次化的數(shù)據(jù)融合，合理分配各類指標的權(quán)值，繪制精確的態(tài)勢曲線。最后進行態(tài)勢分析，預測態(tài)勢變化，從而制定相應(yīng)的防御措施。
1 數(shù)據(jù)融合概要
　　1.1 數(shù)據(jù)融合基本概念
　　數(shù)據(jù)融合技術(shù)[10]-MSIF是指：對按照時序獲取的傳感器監(jiān)測數(shù)據(jù)，利用計算機技術(shù)在相關(guān)準則下進行自動分析、綜合以完成用戶所需的數(shù)據(jù)抽象而進行的數(shù)據(jù)處理過程。
　　根據(jù)信息抽象層次的不同，數(shù)據(jù)融合可以分為三級：數(shù)據(jù)級融合、特征級融合和決策級融合[10]。
　　常用的算法有貝葉斯理論、專家系統(tǒng)、D-S證據(jù)推理、HIS變換及聚類分析方法。
　　1.2 數(shù)據(jù)融合在網(wǎng)絡(luò)安全方面的應(yīng)用
　　數(shù)據(jù)融合技術(shù)的研究起源于軍事指揮控制智能通信系統(tǒng)[10]的建設(shè)需求，早先的研究多來自于軍事方面。
　　由于該技術(shù)在信息處理方面的優(yōu)越性，不僅在軍事和工業(yè)控制方面得到應(yīng)用，近些年在網(wǎng)絡(luò)安全方面也得到了廣泛的應(yīng)用。許多學者[6]提出了各種不同思路的方法進行網(wǎng)絡(luò)安全態(tài)勢的建模。
2 網(wǎng)絡(luò)安全態(tài)勢分析建模
　　2.1 層次化的網(wǎng)絡(luò)結(jié)構(gòu)
　　計算機網(wǎng)絡(luò)的結(jié)構(gòu)多種多樣，每種結(jié)構(gòu)都具有其優(yōu)缺點。為了方便進行態(tài)勢評估，本文將網(wǎng)絡(luò)結(jié)構(gòu)抽象成為層次化的結(jié)構(gòu)，并進行相應(yīng)的結(jié)構(gòu)建模。模型層次結(jié)構(gòu)鮮明，容易理解，并且符合實際的網(wǎng)絡(luò)結(jié)構(gòu)層次關(guān)系。層次化的網(wǎng)絡(luò)結(jié)構(gòu)自頂向下包括：Internet網(wǎng)絡(luò)、網(wǎng)絡(luò)中各主機、主機中運行的各項不同服務(wù)，最底層為針對服務(wù)進行的網(wǎng)絡(luò)攻擊，如圖1所示。

　　2.2 多源數(shù)據(jù)的分類和選取
　　網(wǎng)絡(luò)系統(tǒng)越發(fā)龐大和復雜，擁有種類繁多的設(shè)備，并且標準不統(tǒng)一，運行中往往產(chǎn)生海量的多源異構(gòu)數(shù)據(jù)。為提高執(zhí)行效率，減少數(shù)據(jù)的冗余，應(yīng)選取那些具有代表性、信息量豐富、可靠度較高、實時性較強的數(shù)據(jù)作為態(tài)勢分析的數(shù)據(jù)源[7]。還需考慮數(shù)據(jù)的交叉性與互補性。依據(jù)選取原則進行數(shù)據(jù)選取，確定了4類數(shù)據(jù)源，如表1所列。表中給出了每種數(shù)據(jù)源對應(yīng)的數(shù)據(jù)類型、來源設(shè)備、具體分類和信息獲取方式。

　　2.3 利用專家系統(tǒng)方法進行數(shù)據(jù)轉(zhuǎn)化
　　網(wǎng)絡(luò)安全評估數(shù)據(jù)包括定量的數(shù)據(jù)和定性的數(shù)據(jù)。為了使評估結(jié)果能夠進行定量分析，需要將日志文件的定性數(shù)據(jù)進行量化。同時，有些數(shù)據(jù)也需要進行定性的評估。本文將采用基于專家系統(tǒng)的定性數(shù)據(jù)量化方法進行數(shù)據(jù)處理。以下是綜合后得到的數(shù)據(jù)轉(zhuǎn)換映射關(guān)系，其中服務(wù)訪問量評估指數(shù)的具體數(shù)值視具體的服務(wù)類型與時間而定。

　　2.4 評價體系的建立與計算
　　按照層次化網(wǎng)絡(luò)結(jié)構(gòu)模型構(gòu)建合理的層次化評價體系，自下而上有網(wǎng)絡(luò)攻擊層、主機層、網(wǎng)絡(luò)整體層三個層次。定義如下：
　?。?）網(wǎng)絡(luò)攻擊A的威脅指數(shù)R
　　威脅指數(shù)R與攻擊是否成功和攻擊帶來的后果有直接關(guān)系，是對網(wǎng)絡(luò)攻擊危害程度的直接描述。其量化計算公式如下：

　　其中，θ為訪問量指數(shù)，由前面所述的對應(yīng)關(guān)系所得，例如某服務(wù)訪問量為每小時50次，對應(yīng)的指數(shù)為2（正常）；B（t）為網(wǎng)絡(luò)帶寬占有率；D為威脅等級。
　?。?）主機的安全性H
　　給予主機中運行的不同服務(wù)相應(yīng)的權(quán)值，所有攻擊的總和對主機帶來的危害程度決定主機的安全性。公式如下：
　　

      其中，為t時刻網(wǎng)絡(luò)攻擊Ai的威脅指數(shù)，由式（1）計算所得。為所對應(yīng)服務(wù)的權(quán)重向量。
　?。?）成本函數(shù)C
　　在確定攻擊成功后，所有有效的攻擊給主機造成的總損失定義為成本C。公式如下：

　　其中，其中為網(wǎng)絡(luò)攻擊Ai發(fā)生的次數(shù)； 為單次網(wǎng)絡(luò)攻擊Ai所造成的損失。成本函數(shù)C（t）描述的是單個主機在t時刻所造成的損失。
　?。?）網(wǎng)絡(luò)安全系數(shù)L
　　用以描述網(wǎng)絡(luò)整體安全態(tài)勢的一個指標，在給定主機權(quán)重的情況下，反映網(wǎng)絡(luò)的安全狀態(tài)。公式如下：

　　其中，ω為主機安全性與成本函數(shù)之間的權(quán)重參數(shù)，用于調(diào)節(jié)兩者之間的重要性權(quán)重。
3 實驗分析
　　3.1 實驗數(shù)據(jù)選取
　　本文將采用可視分析挑戰(zhàn)賽VAST Challenge[11]所提供的2012年的比賽數(shù)據(jù)作為實驗數(shù)據(jù)。實驗以60 min為一周期，以不同類型的報警次數(shù)為分析對象，通過對各類報警信息進行數(shù)據(jù)融合，繪制網(wǎng)絡(luò)安全態(tài)勢曲線。
　　3.2 實驗分析
　　實驗數(shù)據(jù)提供了某虛構(gòu)的銀行公司內(nèi)部網(wǎng)絡(luò)2天約4萬行IDS日志，包含了多達20種不同的報警類型。
　　圖2所給出的是第一天IDS日志報警類型的分布圖，從圖中可以看出，只有三種報警類型的數(shù)量比較多，其余17種都比較少。其中類型a對應(yīng)的是“IRC authorization message”，r是“IPC Unicode share access”，t是“NTMLSSP Unicode asn1 overflow attempt”。

　　通過數(shù)據(jù)分析得知，IP地址為172.23.0.10的主機所產(chǎn)生的報警類型有5種，且數(shù)量較多，根據(jù)其報警類型可知這臺主機為中心服務(wù)器。對該主機的IDS日志警報進行安全分析，給出主機的警報頻度分布曲線圖，如圖3所示。由圖3可知，警報類型“IPC Unicode share access”和“NTMLSSP Unicode asn1 overflow”的頻度較高，可能是規(guī)則參數(shù)設(shè)置不合理，形成了大量誤報。其余警報的次數(shù)較少。只有“DNS Update”在18點左右有較大的變化，可能是外網(wǎng)DNS服務(wù)器有變動，也可能是被病毒惡意修改。

　　對該主機的5種警報類型進行數(shù)據(jù)融合，取=  （0.1，0.3，0.15，0.3，0.15）得到該主機第一天的安全態(tài)勢曲線，如圖4所示。

由圖4可知，受上述兩種警報的影響，態(tài)勢值保持較高水平。須查看是否是設(shè)置問題，并保持高度的警惕。
　　根據(jù)主機172.23.0.1的警報類型可以得知，該主機是銀行系統(tǒng)的數(shù)據(jù)和郵件服務(wù)器。圖5是其安全態(tài)勢曲線圖，由于在22點至3點該主機中數(shù)據(jù)庫服務(wù)器和郵件服務(wù)器警報量突然增加，導致網(wǎng)絡(luò)安全問題嚴重，很可能被黑客攻入，值得高度關(guān)注。
　　其余主機都是普通用戶主機，其IDS日志警報只有一種“IRC authorization”。由于IRC協(xié)議容易被僵尸網(wǎng)絡(luò)利用，大量的IRC報警以及其他報警的關(guān)聯(lián)出現(xiàn)，這種現(xiàn)象說明網(wǎng)絡(luò)很有可能已經(jīng)被入侵，僵尸病毒控制了網(wǎng)絡(luò)中的一些主機，對服務(wù)器進行了惡意攻擊，有可能竊取了敏感數(shù)據(jù)。取=（0.4，0.4，0.2），圖6給出了整個銀行系統(tǒng)整天的安全態(tài)勢曲線圖。

4 結(jié)論
　　本文提出的方法能夠合理地利用網(wǎng)絡(luò)安全日志等原始安全數(shù)據(jù)進行融合。通過專家系統(tǒng)構(gòu)建的數(shù)據(jù)融合方法和層次化的評價體系，能夠較準確地反映網(wǎng)絡(luò)安全態(tài)勢變化。最后通過實驗分析證明了該方法的合理性。后期的工作主要是把該方法應(yīng)用在各種不同的網(wǎng)絡(luò)結(jié)構(gòu)中。
　　參考文獻
　　[1] THEUREAU J. Use of nuclear-reactor control room simulators in research & development[C]. 7th International Federation of Automatic Control Symposium on Analysis， Design and Evaluation of Man-Machine Systems. Kyoto： [s.n.]，1998：425-430.
　　[2] 付鈺，吳曉平，葉清.基于改進FAHP-BN的信息系統(tǒng)安全態(tài)勢評估方法[J].通信學報，2009，30（9）：135-140.
　　[3] Zhao Jinhui， Zhou Yu， Shuo Liangxun. A situation awareness model of system survivability based on variable Fuzzy set[J]. Telkomnika Indonesian Journal of Electrical Engineering， 2012， 10（8）： 2239-2246.
　　[4] 張勇，譚小彬，崔孝林，等.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].軟件學報，2011，22（3）：495-508.
　　[5] JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs[C]. 2011 Proceedings of the 14th International Conference on Information Fusion（FUSION）， IEEE，2011：1-8.
　　[6] 韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展，2009，46（3）：353-362.
　　[7] 賴積保，王穎，王慧強，等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計算機科學，2011，38（3）：144-149，158.
　　[8] 趙穎，樊曉平，周芳芳.多源網(wǎng)絡(luò)安全數(shù)據(jù)時序可視分析方法研究[J].小型微型計算機系統(tǒng)，2014，35（4）：906-910.
　　[9] 唐成華，湯申生，強保華.DS融合知識的網(wǎng)絡(luò)安全態(tài)勢評估及驗證[J].計算機科學，2014，41（4）：107-110，125.
　　[10] 高翔，王勇.數(shù)據(jù)融合技術(shù)綜述[J].計算機測量與控制，2002，10（11）：706-709.
　　[11] VAST challenge homepage in vacommunity [EB/OL].[2012-07-16]（2014-12-30）.