信息系统的态势感知研究

摘要：近年，随着计算机和网络技术的快速发展，尤其是针对信息系统的攻击和威胁变得多而复杂。当前迫切需要统筹各部门力量，通过系统的态势感知来感知威胁，将整个信息系统的网络安全态势呈现出来，对呈现的威胁进行溯源，控制和消除查找到的威胁源，达到控制整个网络态势的要求。

关键词：系统态势感知;数据融合;关联分析;可视化

引言

随着计算机和网络技术的快速发展，给我们带来了很多便利，同时也带来了很多的安全问题，比如互联网遭受攻击事件和黑客入侵事件频繁发生等，这都严重威胁到国家、社会和经济的安全与稳定。

要保证信息系统所在的网络安全，以政务信息系统为例，我们所采用的网络安全态势感知系统必须能够快速的响应复杂且变化的网络环境，能够高效的组织、管理和分析不确定的信息，并提供详细的安全管理策略和方法，帮助态势感知管理人员快速的了解整个信息系統的网络安全态势，帮助安全人员迅速、准确的做出决策和响应。

1 基础知识

1.1 态势感知相关技术基本概念

态势感知就是在一定的空间和时间条件下，对所在的系统网络环境的感知、理解和对未来发展趋势的预测。态势感知把数据流程分为了数据采集、融合、分析、评估、预测和展示几个层次，并分别完成了数据收集、存储、预处理、分类、分析、评估、预测、系统管理等功能。

2 基于特征值的多源数据融合

2.1 基于特征值的多源数据融合技术

特征值融合是在数据层融合的基础上，数据源根据自身情况的需要设置多个指标参数，利用层次分析法对候选数据汇聚点进行评定，在这里面选取综合分数最高的作为数据汇聚点，每个指标的份数都是根据节点获得各种信息提取的特征计算出来的。这样在原始数据的基础上提取数据信息，提高了数据的准确性，同时也是最后的态势结果也比原始数据数量少。

3 基于统计分析的态势评估技术

3.1 态势评估技术研究

在态势感知系统中，态势评估是很重要的，它主要是通过数据挖掘中的关联来分析攻击中的因果和时序关系，通过不同的数据源的相互关系形成网络协防，然后通过专家库进行对比评估，最终可视化显示，就像安检一样，对每个关联数据进行检测，对检查内容中的参数与规则库比对，如果确定存在威胁就会启动报警装置，并在网页上以可视化的形式显示。

3.2 基于统计分析的态势评估技术

在经济学中有统计分析的方法，它是对收集到的资料进行整理归类并进行解释的过程，主要是用在专题评估中，对于态势得到的资产、威胁、脆弱性等数据集，进行统计分析，得到对网络中数据的评估信息。

关联分析，也就是分析来自一个或多个设备/应用的多条日志，通过他们的关联找到异常。因为每套管理系统都有自己的安全防护措施，只不过都是安全孤岛，但是万事万物之间都是有一定联系的，将这些日志联系在一起分析就是所说的关联分析，关联的好坏取决于关联库、关联规则和知识库。在计算系统风险时采用的算法是CALM（损害与攻击级监控）。

4 系统态势感知的可视化实现

4.1 体系结构及系统部署

对信息系统的攻击、网络安全防护、态势感知技术、评估技术等内容进行了详细的介绍，接下来要对用到的开源实验平台进行分析，根据前文内容和研究需要给出一个通用保密系统态势感知的整体框架[1]。

我们根据密码设备的通用部署来部署态势系统，进而对整个设备进行感知、评估和关联显示，具体的部署架构还要考虑密码设备的结构，应用感知体系结构如图1所示：

4.2 系统测试与仿真

由于在研究过程中，不能满足在信息系统密码设备环境下进行测试，我们首先在网络环境下进行实验，找到通用的框架，然后再应用到密码设备中。

具体的测试内容主要是攻击者利用Windows 平台下局域网劫持测试工具EvilFoca进行模拟中间人攻击，通过ARP欺骗进行Dos攻击等攻击方式，被攻击者采用GPG开源电子邮件加密软件进行数据传输。

同时还可以DDOS攻击和ARP欺骗攻击等攻击，当攻击者进行这些相关攻击时，探测器会探测到相关信息的改变，并在控制台进行呈现，利用OSSIM中集成的arpwatch进行监听区域网络中的ARP数据包并记录，同时将监听到的变化记录到日志中[2]。这就会产生大量的警告，显示网关地址发生改变，虽然这些告警信息单独出现时不会引起注意，但是当大量信息同时显示就会引起管理员的注意，并与其他特征进行关联，显示出risk值的变化趋势，从而使关联管理员对整个系统具有安全的管理和掌握。

5 结束语

本文要研究的是信息系统的态势感知，要想对信息系统的态势感知进行研究，首先我们要了解其概念，以及针对信息系统存在哪些攻击手段及常见的网络安全防护，在此基础上需要对态势感知的系统框架和涉及到的技术进行分析和改变适应当前的环境，并将开源集成软件OSSIM进行改进，在改进的基础上，考虑如何接入到信息系统设备中，设计出部署方案，在解决了与信息系统设备的接入问题之后，根据环境需要首先对系统的全英文界面改变为支持中文简体方式，方便管理人员利用系统或之后进行二次开发，然后根据系统关联算法和关联规则对系统关联规则进行改变和扩充，并将开源软件Zabbix集成到系统中，从而更好的进行可视化展示。

参考文献

[1]网络安全态势评估模型[J].计算机学报，2009，32（4）：763～772.

[2]李晨光.UNIX/Linux网络日志分析与流量监控[M].北京：机械出版社，2015：388-39.

作者简介：吴阳阳（1990.03-），女，山东菏泽人，当前职务：工程师，学历：硕士，研究方向：计算机，信息安全。