网络安全态势感知系统研究

【摘要】 安全态势感知是形成网络空间安全状态“全局视图”的过程。本文重点讲述了安全态势感知技术的发展，实现网络安全态势感知系统的思路以及涉及的各项关键技术。

【关键词】 安全态势感知 数据融合 态势可视化

引言

随着信息和网络技术的快速发展，计算机网络的重要性及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为Internet及各项网络服务和应用进一步发展所亟需解决的关键问题。此外，随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展，对安全产品技术提出了更高的要求。网络安全态势感知的研究就是在这种背景下产生的，旨在对网络态势状况进行实时监控，并对潜在的、恶意的网络行为变得无法控制之前进行识别，给出相应的应对策略。

一、网络安全态势感知概述

网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和化趋势。态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。

网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

基于网络安全态势感知的功能，将其研究内容归结为3个方面：网络态势感知、网络威胁评估和网络态势评估。

态势评估和威胁评估分别是态势感知过程的一个环节，威胁评估是建立在态势评估的基础之上的。态势评估包括态势元素提取、当前态势分析和态势预测。威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计，是建立在态势评估的基础之上的。威胁评估的任务是评估攻击事件出现的频度和对网络威胁程度。态势评估着重事件的出现，威胁评估则更着重事件和态势的效果。

2 网络安全态势感知关键技术

网络安全态势感知作为未来保证信息优势的两大关键技术之一，众多学者、研究机构纷纷在此领域展开了广泛的研究，提出了各种各样的分析模型，其中影响最大，也最被普遍接受的是基于数据融合理念的JDL模型。该模型通用框架主要包括多源异构数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等7个部分。

大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为，网络安全态势感知系统必须解决相应的技术问题。

2.1 数据挖掘

数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知识的非平凡过程。所提取的知识可表示为概念、规则规律、模式等形式。数据挖掘是知识发现的核心环节。

从数据挖掘应用到入侵检测领域的角度来讲，目前主要有4种分析方法：关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和关联分析相似，但侧重于分析数据间的前后（因果） 关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分类分析就是通过分析训练集中的数据为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式分析主要用于模式发现和特征构造，而分类分析和聚类分析主要用于最后的检测模型。

2.2 数据融合

通过数据融合方法的引入，网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测，实现对网络整体安全状况的掌握。而网络安全态势感知系统中的数据融合正是通过如下几项关键技术得以体现的。

（1）特征提取。特征提取是在尽量不降低分类精度同时又减小特征空间维数的前提下，为了避免融合大量数据可能造成系统检测率不能满足高速网络实时检测需求而提出的。目前有许多特征提取算法，如基于主成分分析的方法，基于信息增益的决策树学习方法和流形学习方法。主成分分析基于方差最大、偏差最小的思想来发现数据集的主要方向，从而实现约简。基于信息增益的决策树学习方法，则引入熵和信息增益的概念，分别作为衡量训练样例集合纯度的标准和用来定义属性分类训练数据的能力。典型的决策树学习算法，如ID3算法就是根据信息增益标准从候选的属性中选择能更好区分训练样例的属性。流形学习是一种新的降维方法，可以有效地发现高维非线性数据集的内在维数。

（2）事件聚类。聚类是将物理或抽象的数据对象，按照对象间的相似性进行分组或分类的过程。聚类是一种无监督学习的过程。不同的数据类型，相应的聚类处理方法也有所不同。目前聚类方法大体上可以分为基于层次的方法、基于划分的方法、基于密度的方法、基于网格的方法以及其他类型的聚类算法。基于层次的聚类算法主要以样本之间的相似度（或距离）为基础，根据类间相似度的大小对不同类进行合并或分裂，从而逐步完成对数据集的聚类。典型的层次聚类方法分为凝聚的方法和分裂的方法。常见算法有COBWEB，BIRCH，ROCK和Chameleon等。基于划分的聚类算法以样本与类（原型）之间的距离为基础，且通常将聚类结果的评判标准定义为一个目标函数。典型算法有k一均值法，k一中心点法，CLARANS等。除了层次和划分聚类方法外，比较有影响力的算法还有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于网格的方法。另外还可以借助其他领域的方法，如神经网络方法，SOM，演化计算法，遗传算法，模拟退火法等。

（3）事件关联。事件关联是指将多个安全事件联系在一起进行综合评判，重建攻击过程并实现对整体网络安全状况的判定。对安全事件进行关联处理的方法大致可分为两类：一类是借助于专家知识构建安全事件关联专家系统。典型的如：Valdes等提出的基于概率相似度的入侵告警关联系统，Peng等基于逻辑谓词的方法，将前提和目的吻合的入侵事件关联形成入侵者攻击轨迹等。另一类是借助于自动知识发现或者机器学习的办法来发现事件间的隐含关系并实现入侵事件的关分析。典型例子有：Stefanos将关联技术用于入侵检测报警信息的频繁模式提取，Klaus也将此思想用到了多个异类IDS报警信息的关联中，穆成坡w提出用模糊综合评判的方法进行入侵检测报警信息的关联处理，集成不同的安全产品信息，以发现入侵者的行为序列。前者用专家系统的方式实现事件关联，高效且直观，但是关联需要的知识依赖人工完成，效率低下；后者获取知识比较容易，但没有人工参与的情况下获得的知识质量不高，难以满足要求。

2.3 态势可视化

态势可视化的目的是生成网络安全综合态势图，以多视图、多角度、多尺度的方式与用户进行交互，使网络安全产品分析处理能力在多个指标有较大幅度的提高。

对数据进行可视化是一个层层递进的过程，包括了数据转化、图像映射、视图变换三个部分：数据转化是把原始数据映射为数据表，将数据的相关性描述以关系表的形式存储起来；图像映射是把数据表转换为对应图像的结构，图像由空间基及属性进行标识；视图变换则是通过对坐标位置、缩放比例、图形着色等方面来创建能够可视化的视图。此外，用户与可视化系统的交互也是必不可少的，用户通过调控参数，完成对可视化进程的控制。

态势可视化的方法有很多，根据显示效果，可以分为动态可视化和静态可视化。根据显示数据纬度，可以分为二维、三纬以及多纬可视化。根据现实数据内容，可以分为内容可视化、行为可视化和结构可视化。

三、结束语

为了保障网络信息安全，开展大规模网络态势感知是十分必要的。网络态势感知对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义，对于军事信息战意义更为重大。网络安全态势感知研究刚刚起步，目前大量的研究工作还只处于对网络安全态势的定性分析阶段，缺乏标准的概念描述和具体的定量解决方法，但它已经毫无疑问的成为网络安全领域一个新的研究方向。

参 考 文 献

[1] 陈秀真，郑庆华，管晓宏，林晨光.层次化网络安全威胁态势量化评估方法.软件学报.2006，17（4）.

[2] 北京理工大学信息安全与对抗技术研究中心.网络安全态势评估系统技术白皮书.网络安全态势评估系统技术白皮书，2005.

[3] 潘泉，于听，程咏梅，张洪才.信息融合理论的基本方法与进展.自动化・学报.2003，29（4）.

[4] 郁文贤，雍少为，郭桂蓉.多传感器信息融合技术评述.国防科技大学学报.1994，16（3）.

[5] 管天云.多传感器信息融合研究.浙江大学博士学位论文.1998.

[6] 唐菲.网络安全态势感知可视化的研究与实现.电子科技大学硕士学位论文.2009.