摘  要： 針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的多樣性和網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜性，提出一種基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法。該方法將網(wǎng)絡(luò)結(jié)構(gòu)抽象成層次化結(jié)構(gòu)，采用專(zhuān)家系統(tǒng)的數(shù)據(jù)融合方法進(jìn)行數(shù)據(jù)融合。配合層次化的網(wǎng)絡(luò)結(jié)構(gòu)提出合理的層次化評(píng)價(jià)體系，并進(jìn)行量化計(jì)算。最后通過(guò)實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了該方法的合理性和有效性。
　　關(guān)鍵詞： 數(shù)據(jù)融合；專(zhuān)家系統(tǒng)；網(wǎng)絡(luò)安全態(tài)勢(shì)感知；層次化結(jié)構(gòu)
0 引言
　　網(wǎng)絡(luò)的快速發(fā)展帶來(lái)了巨大的經(jīng)濟(jì)效益，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越發(fā)嚴(yán)重。傳統(tǒng)的網(wǎng)絡(luò)防御以被動(dòng)式防護(hù)為主，只能在安全事故發(fā)生后進(jìn)行防護(hù)，阻止再次入侵。為解決日益頻繁的網(wǎng)絡(luò)安全事故，以預(yù)測(cè)和主動(dòng)防御為主的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)[1]得到了廣泛的應(yīng)用。
　　態(tài)勢(shì)感知技術(shù)主要分為感知、理解、預(yù)測(cè)三個(gè)層次。其作為近幾年網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)，許多學(xué)者從不同的角度使用不同方法進(jìn)行建模，主要包括貝葉斯網(wǎng)絡(luò)[2]、模糊推理[3]、博弈論[4]、圖模型[5]、信息融合[6]等方法，旨在解決網(wǎng)絡(luò)安全預(yù)防的問(wèn)題。
　　賴(lài)積保等人[7]提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)，系統(tǒng)地分析了多源異構(gòu)傳感器網(wǎng)絡(luò)的特點(diǎn)，從信息獲取、要素提取、態(tài)勢(shì)決策三個(gè)層次進(jìn)行系統(tǒng)的結(jié)構(gòu)模型建立；趙穎等人[8]采用對(duì)比堆疊流圖進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的可視化分析，能夠幫助用戶(hù)快速發(fā)現(xiàn)異常和識(shí)別規(guī)律；唐成華[9]等人利用DS融合工具進(jìn)行態(tài)勢(shì)的融合和推理，建立評(píng)估準(zhǔn)則并對(duì)其方法進(jìn)行驗(yàn)證。
　　本文提出的方法采用層次化結(jié)構(gòu)建模，對(duì)各類(lèi)安全數(shù)據(jù)源進(jìn)行分類(lèi)、選取。采用專(zhuān)家系統(tǒng)方法將各類(lèi)安全數(shù)據(jù)進(jìn)行層次化的數(shù)據(jù)融合，合理分配各類(lèi)指標(biāo)的權(quán)值，繪制精確的態(tài)勢(shì)曲線。最后進(jìn)行態(tài)勢(shì)分析，預(yù)測(cè)態(tài)勢(shì)變化，從而制定相應(yīng)的防御措施。
1 數(shù)據(jù)融合概要
　　1.1 數(shù)據(jù)融合基本概念
　　數(shù)據(jù)融合技術(shù)[10]-MSIF是指：對(duì)按照時(shí)序獲取的傳感器監(jiān)測(cè)數(shù)據(jù)，利用計(jì)算機(jī)技術(shù)在相關(guān)準(zhǔn)則下進(jìn)行自動(dòng)分析、綜合以完成用戶(hù)所需的數(shù)據(jù)抽象而進(jìn)行的數(shù)據(jù)處理過(guò)程。
　　根據(jù)信息抽象層次的不同，數(shù)據(jù)融合可以分為三級(jí)：數(shù)據(jù)級(jí)融合、特征級(jí)融合和決策級(jí)融合[10]。
　　常用的算法有貝葉斯理論、專(zhuān)家系統(tǒng)、D-S證據(jù)推理、HIS變換及聚類(lèi)分析方法。
　　1.2 數(shù)據(jù)融合在網(wǎng)絡(luò)安全方面的應(yīng)用
　　數(shù)據(jù)融合技術(shù)的研究起源于軍事指揮控制智能通信系統(tǒng)[10]的建設(shè)需求，早先的研究多來(lái)自于軍事方面。
　　由于該技術(shù)在信息處理方面的優(yōu)越性，不僅在軍事和工業(yè)控制方面得到應(yīng)用，近些年在網(wǎng)絡(luò)安全方面也得到了廣泛的應(yīng)用。許多學(xué)者[6]提出了各種不同思路的方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的建模。
2 網(wǎng)絡(luò)安全態(tài)勢(shì)分析建模
　　2.1 層次化的網(wǎng)絡(luò)結(jié)構(gòu)
　　計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)多種多樣，每種結(jié)構(gòu)都具有其優(yōu)缺點(diǎn)。為了方便進(jìn)行態(tài)勢(shì)評(píng)估，本文將網(wǎng)絡(luò)結(jié)構(gòu)抽象成為層次化的結(jié)構(gòu)，并進(jìn)行相應(yīng)的結(jié)構(gòu)建模。模型層次結(jié)構(gòu)鮮明，容易理解，并且符合實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)層次關(guān)系。層次化的網(wǎng)絡(luò)結(jié)構(gòu)自頂向下包括：Internet網(wǎng)絡(luò)、網(wǎng)絡(luò)中各主機(jī)、主機(jī)中運(yùn)行的各項(xiàng)不同服務(wù)，最底層為針對(duì)服務(wù)進(jìn)行的網(wǎng)絡(luò)攻擊，如圖1所示。

　　2.2 多源數(shù)據(jù)的分類(lèi)和選取
　　網(wǎng)絡(luò)系統(tǒng)越發(fā)龐大和復(fù)雜，擁有種類(lèi)繁多的設(shè)備，并且標(biāo)準(zhǔn)不統(tǒng)一，運(yùn)行中往往產(chǎn)生海量的多源異構(gòu)數(shù)據(jù)。為提高執(zhí)行效率，減少數(shù)據(jù)的冗余，應(yīng)選取那些具有代表性、信息量豐富、可靠度較高、實(shí)時(shí)性較強(qiáng)的數(shù)據(jù)作為態(tài)勢(shì)分析的數(shù)據(jù)源[7]。還需考慮數(shù)據(jù)的交叉性與互補(bǔ)性。依據(jù)選取原則進(jìn)行數(shù)據(jù)選取，確定了4類(lèi)數(shù)據(jù)源，如表1所列。表中給出了每種數(shù)據(jù)源對(duì)應(yīng)的數(shù)據(jù)類(lèi)型、來(lái)源設(shè)備、具體分類(lèi)和信息獲取方式。

　　2.3 利用專(zhuān)家系統(tǒng)方法進(jìn)行數(shù)據(jù)轉(zhuǎn)化
　　網(wǎng)絡(luò)安全評(píng)估數(shù)據(jù)包括定量的數(shù)據(jù)和定性的數(shù)據(jù)。為了使評(píng)估結(jié)果能夠進(jìn)行定量分析，需要將日志文件的定性數(shù)據(jù)進(jìn)行量化。同時(shí)，有些數(shù)據(jù)也需要進(jìn)行定性的評(píng)估。本文將采用基于專(zhuān)家系統(tǒng)的定性數(shù)據(jù)量化方法進(jìn)行數(shù)據(jù)處理。以下是綜合后得到的數(shù)據(jù)轉(zhuǎn)換映射關(guān)系，其中服務(wù)訪問(wèn)量評(píng)估指數(shù)的具體數(shù)值視具體的服務(wù)類(lèi)型與時(shí)間而定。

　　2.4 評(píng)價(jià)體系的建立與計(jì)算
　　按照層次化網(wǎng)絡(luò)結(jié)構(gòu)模型構(gòu)建合理的層次化評(píng)價(jià)體系，自下而上有網(wǎng)絡(luò)攻擊層、主機(jī)層、網(wǎng)絡(luò)整體層三個(gè)層次。定義如下：
　?。?）網(wǎng)絡(luò)攻擊A的威脅指數(shù)R
　　威脅指數(shù)R與攻擊是否成功和攻擊帶來(lái)的后果有直接關(guān)系，是對(duì)網(wǎng)絡(luò)攻擊危害程度的直接描述。其量化計(jì)算公式如下：

　　其中，θ為訪問(wèn)量指數(shù)，由前面所述的對(duì)應(yīng)關(guān)系所得，例如某服務(wù)訪問(wèn)量為每小時(shí)50次，對(duì)應(yīng)的指數(shù)為2（正常）；B（t）為網(wǎng)絡(luò)帶寬占有率；D為威脅等級(jí)。
　?。?）主機(jī)的安全性H
　　給予主機(jī)中運(yùn)行的不同服務(wù)相應(yīng)的權(quán)值，所有攻擊的總和對(duì)主機(jī)帶來(lái)的危害程度決定主機(jī)的安全性。公式如下：
　　

      其中，為t時(shí)刻網(wǎng)絡(luò)攻擊Ai的威脅指數(shù)，由式（1）計(jì)算所得。為所對(duì)應(yīng)服務(wù)的權(quán)重向量。
　　（3）成本函數(shù)C
　　在確定攻擊成功后，所有有效的攻擊給主機(jī)造成的總損失定義為成本C。公式如下：

　　其中，其中為網(wǎng)絡(luò)攻擊Ai發(fā)生的次數(shù)； 為單次網(wǎng)絡(luò)攻擊Ai所造成的損失。成本函數(shù)C（t）描述的是單個(gè)主機(jī)在t時(shí)刻所造成的損失。
　?。?）網(wǎng)絡(luò)安全系數(shù)L
　　用以描述網(wǎng)絡(luò)整體安全態(tài)勢(shì)的一個(gè)指標(biāo)，在給定主機(jī)權(quán)重的情況下，反映網(wǎng)絡(luò)的安全狀態(tài)。公式如下：

　　其中，ω為主機(jī)安全性與成本函數(shù)之間的權(quán)重參數(shù)，用于調(diào)節(jié)兩者之間的重要性權(quán)重。
3 實(shí)驗(yàn)分析
　　3.1 實(shí)驗(yàn)數(shù)據(jù)選取
　　本文將采用可視分析挑戰(zhàn)賽VAST Challenge[11]所提供的2012年的比賽數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)。實(shí)驗(yàn)以60 min為一周期，以不同類(lèi)型的報(bào)警次數(shù)為分析對(duì)象，通過(guò)對(duì)各類(lèi)報(bào)警信息進(jìn)行數(shù)據(jù)融合，繪制網(wǎng)絡(luò)安全態(tài)勢(shì)曲線。
　　3.2 實(shí)驗(yàn)分析
　　實(shí)驗(yàn)數(shù)據(jù)提供了某虛構(gòu)的銀行公司內(nèi)部網(wǎng)絡(luò)2天約4萬(wàn)行IDS日志，包含了多達(dá)20種不同的報(bào)警類(lèi)型。
　　圖2所給出的是第一天IDS日志報(bào)警類(lèi)型的分布圖，從圖中可以看出，只有三種報(bào)警類(lèi)型的數(shù)量比較多，其余17種都比較少。其中類(lèi)型a對(duì)應(yīng)的是“IRC authorization message”，r是“IPC Unicode share access”，t是“NTMLSSP Unicode asn1 overflow attempt”。

　　通過(guò)數(shù)據(jù)分析得知，IP地址為172.23.0.10的主機(jī)所產(chǎn)生的報(bào)警類(lèi)型有5種，且數(shù)量較多，根據(jù)其報(bào)警類(lèi)型可知這臺(tái)主機(jī)為中心服務(wù)器。對(duì)該主機(jī)的IDS日志警報(bào)進(jìn)行安全分析，給出主機(jī)的警報(bào)頻度分布曲線圖，如圖3所示。由圖3可知，警報(bào)類(lèi)型“IPC Unicode share access”和“NTMLSSP Unicode asn1 overflow”的頻度較高，可能是規(guī)則參數(shù)設(shè)置不合理，形成了大量誤報(bào)。其余警報(bào)的次數(shù)較少。只有“DNS Update”在18點(diǎn)左右有較大的變化，可能是外網(wǎng)DNS服務(wù)器有變動(dòng)，也可能是被病毒惡意修改。

　　對(duì)該主機(jī)的5種警報(bào)類(lèi)型進(jìn)行數(shù)據(jù)融合，取=  （0.1，0.3，0.15，0.3，0.15）得到該主機(jī)第一天的安全態(tài)勢(shì)曲線，如圖4所示。

由圖4可知，受上述兩種警報(bào)的影響，態(tài)勢(shì)值保持較高水平。須查看是否是設(shè)置問(wèn)題，并保持高度的警惕。
　　根據(jù)主機(jī)172.23.0.1的警報(bào)類(lèi)型可以得知，該主機(jī)是銀行系統(tǒng)的數(shù)據(jù)和郵件服務(wù)器。圖5是其安全態(tài)勢(shì)曲線圖，由于在22點(diǎn)至3點(diǎn)該主機(jī)中數(shù)據(jù)庫(kù)服務(wù)器和郵件服務(wù)器警報(bào)量突然增加，導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重，很可能被黑客攻入，值得高度關(guān)注。
　　其余主機(jī)都是普通用戶(hù)主機(jī)，其IDS日志警報(bào)只有一種“IRC authorization”。由于IRC協(xié)議容易被僵尸網(wǎng)絡(luò)利用，大量的IRC報(bào)警以及其他報(bào)警的關(guān)聯(lián)出現(xiàn)，這種現(xiàn)象說(shuō)明網(wǎng)絡(luò)很有可能已經(jīng)被入侵，僵尸病毒控制了網(wǎng)絡(luò)中的一些主機(jī)，對(duì)服務(wù)器進(jìn)行了惡意攻擊，有可能竊取了敏感數(shù)據(jù)。取=（0.4，0.4，0.2），圖6給出了整個(gè)銀行系統(tǒng)整天的安全態(tài)勢(shì)曲線圖。

4 結(jié)論
　　本文提出的方法能夠合理地利用網(wǎng)絡(luò)安全日志等原始安全數(shù)據(jù)進(jìn)行融合。通過(guò)專(zhuān)家系統(tǒng)構(gòu)建的數(shù)據(jù)融合方法和層次化的評(píng)價(jià)體系，能夠較準(zhǔn)確地反映網(wǎng)絡(luò)安全態(tài)勢(shì)變化。最后通過(guò)實(shí)驗(yàn)分析證明了該方法的合理性。后期的工作主要是把該方法應(yīng)用在各種不同的網(wǎng)絡(luò)結(jié)構(gòu)中。
　　參考文獻(xiàn)
　　[1] THEUREAU J. Use of nuclear-reactor control room simulators in research & development[C]. 7th International Federation of Automatic Control Symposium on Analysis， Design and Evaluation of Man-Machine Systems. Kyoto： [s.n.]，1998：425-430.
　　[2] 付鈺，吳曉平，葉清.基于改進(jìn)FAHP-BN的信息系統(tǒng)安全態(tài)勢(shì)評(píng)估方法[J].通信學(xué)報(bào)，2009，30（9）：135-140.
　　[3] Zhao Jinhui， Zhou Yu， Shuo Liangxun. A situation awareness model of system survivability based on variable Fuzzy set[J]. Telkomnika Indonesian Journal of Electrical Engineering， 2012， 10（8）： 2239-2246.
　　[4] 張勇，譚小彬，崔孝林，等.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[J].軟件學(xué)報(bào)，2011，22（3）：495-508.
　　[5] JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs[C]. 2011 Proceedings of the 14th International Conference on Information Fusion（FUSION）， IEEE，2011：1-8.
　　[6] 韋勇，連一峰，馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)研究與發(fā)展，2009，46（3）：353-362.
　　[7] 賴(lài)積保，王穎，王慧強(qiáng)，等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)科學(xué)，2011，38（3）：144-149，158.
　　[8] 趙穎，樊曉平，周芳芳.多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2014，35（4）：906-910.
　　[9] 唐成華，湯申生，強(qiáng)保華.DS融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證[J].計(jì)算機(jī)科學(xué)，2014，41（4）：107-110，125.
　　[10] 高翔，王勇.數(shù)據(jù)融合技術(shù)綜述[J].計(jì)算機(jī)測(cè)量與控制，2002，10（11）：706-709.
　　[11] VAST challenge homepage in vacommunity [EB/OL].[2012-07-16]（2014-12-30）.