信息融合背景下的网络安全态势感知模型及关键技术分析

张 宇

（国能朔黄铁路发展有限责任公司，河北 沧州）

态势感知是在特定的时间、空间范围内，感知和理解环境状况，并对后续发展趋势进行推算和预测。进入信息时代，网络已经与日常生活、公司运营甚至是国家安全等多方面进行深度绑定，维护网络安全成为社会各界共同关注的焦点话题。网络安全态势感知通过提取可能会影响网络安全的各类要素，并对其进行分析、评估，在此基础上对未来发展趋势作出预测，分析结论和预测结果以可视化方式呈现出来。网络安全态势感知技术将入侵事件从“事后治理”向“事前预防”转变，在保障用户信息隐私与网络资产安全方面具有显著优势。

1 基于信息融合的网络安全态势感知模型

1.1 网络安全态势感知模型的整体架构

本文提出基于信息融合的分层次网络安全态势感知模型，以态势信息为基础，通过态势信息的预处理和评估，展开态势预测并使网络安全态势进行可视化呈现，向管理员展示网络存在的潜在风险与安全走势，保证管理员能够及时、直观地掌握网络安全状况。该模型的整体架构如图1 所示。

图1 基于信息融合的网络安全态势感知系统框架

网络安全态势评估是该系统的核心部分，具体又包括了资产价值评估、脆弱性评估、入侵威胁评估3部分；态势信息分类存储在不同的数据库中，如资产数据库、安全事件库等，方便数据的查找和调用；网络安全态势预测结果在液晶显示屏上可视化展示[1]。

1.2 态势信息采集

该系统通过传感器采集和人工输入2 种方式获取态势信息，信息内容为影响网络环境的各项安全因素，主要含括4 类：（1）资产信息数据。如网络设备、存储设备等可见资产信息，系统软件、应用软件等软件资产信息；（2）脆弱性信息。结合网络系统的组成架构，脆弱性信息的来源有网络层、系统层和应用层3个渠道。以应用层为例，应用程序存在编程漏洞，如缓冲区溢出漏洞、跨站点请求伪造漏洞等，都有可能引起网络安全问题；（3）威胁信息，特指能够造成资产破坏的网络安全事件；（4）网络性能信息，如内存使用率、带宽利用率、数据包丢包率等信息。不同类型的态势信息，采集方式也不尽相同，网络性能信息可通过Hyperic Sigar 类集提供的API 完成采集，而威胁信息则是基于IDS 等检测设备进行感知[2]。

1.3 态势预处理

不同类型传感器采集到的信息存在异构性，如果将这些信息直接传递给终端处理器，一方面是占用较多的带宽资源，容易发生信道堵塞的情况，不利于突显态势感知的即时性；另一方面也会增加信息分析与处理的负担，甚至会因为数据信息无法兼容而出现分析错误。因此，本文在设计基于信息融合的网络安全态势感知模型时，加入了态势预处理环节。基于NSSAP 数据交换协议，将来自于不同传感器的数据转换成统一的格式，从而大幅度降低了不同模块之间的耦合度。通过态势预处理，态势信息的复杂度降低，系统终端对异构信息处理的开销明显减少，对提高系统整体的响应速度也有积极帮助。经过预处理后的态势信息分类存储到数据库中。

1.4 态势融合

态势融合的目的是基于多源异构数据的综合分析，从完成对某类事件的精准识别与判断。现阶段常用的态势融合算法有多种，如基于数学模型的算法、基于逻辑关系的算法、基于规则推理的算法等[3]。本文选择基于数学模型的融合算法，其原理是：汇总各类影响网络安全的态势信息，并构建态势要素集合P={p1,p2…pn}，并寻找P 与态势值m 之间的映射关系，表示为：

采用加权平均法求出权值，根据权值的高低反映网络安全态势。该方法的优势在于计算量较小，并且较为直观地表示网络安全态势；但是需要保证收集到的网络安全态势信息完整、准确，因此态势融合前的态势信息采集和预处理显得十分重要。

1.5 态势评估与预测

评估安全态势是基于信息融合的网络安全态势感知模型的核心功能，本文在设计态势评估模块时，分别选取3 个角度展开评估：（1）资产评估，评估对象是网络中全部的资产设备。在发生入侵事件后，资产设备受到威胁，通过资产评估可以量化表示计算机网络安全的受影响程度；（2）脆弱性评估，发生在网络环境下的入侵事件，是通过特定的脆弱性（如系统漏洞）窃取、篡改资产数据，脆弱性评估可以量化表示网络中资产设备的弱点、缺陷，为下一步开展维护优化提供指导；（3）威胁评估，对网络中可能破坏资产设备的潜在威胁作出评估，并对其进行分类。在态势评估的就上，利用合适的预测模型算法，以历史态势信息和当前态势信息作为训练样本，对未来一段时间内的安全态势发展进行推算、预测。同时，态势评估和预测结果都会以可视化形式呈现。

2 网络安全态势感知模型的关键技术

2.1 网络安全态势采集与传输技术

为了采集到更加完整的安全态势信息，本文选用了Hyperic-Sigar 技术，该技术能直接通过本地接口调用地层API，进而得到网络内部的资产数据。Hyperic-Sigar 技术可适用于目前主流的多种平台，如Windows、Linux、Macos、AIX 等；同时对外提供多样的应用程序接口，如Java、Python、Ruby 等。

前端传感器会不间断的采集网络态势信息，这些信息具有数据量大、多源异构等特点。为了减轻传输压力和减少带宽资源的消耗，本文运用了NSSAP 数据交换协议技术。该协议采用Base64 编码机制对多源异构数据的格式进行规范化处理，最后得到标准的JSON 格式数据[4]。NSSAP 传输报文由头部信息和正文信息组成，报文格式见表1。

表1 NSSAP 传输报文格式

2.2 网络安全态势信息融合技术

将网络安全态势信息按照某种规则进行融合，不仅能够大幅度减小数据体量，降低了后期数据运算处理的难度，而且还能提高系统识别入侵事件或安全威胁的精确度。鉴于前端传感器数据源形式各异，其融合过程中也被划分为多个层级，如像素级、特征级、决策级。

2.2.1 像素级数据融合

像素级融合传感器采集到的原始数据在不经过处理的情况下直接进行融合，完成融合后再从数据中提取出特征像素进行威胁识别，数据融合过程如图2所示。

图2 像素级数据融合过程

像素级数据融合是最低层级的融合，主要用于图像的分析与理解，经过融合处理后的安全态势信息可以将数据表征层次从低级提升为高级，当是仍然存在处理效率不高、容易受到干扰等缺陷。

2.2.2 特征级数据融合

特征级数据融合在像素级数据融合的基础上进行了改良，接收到传感器采集到的数据后，从原始数据进行特征提取，以便于实现数据压缩，从何源头上缩减了数据体量。对提取出来的特征值做特征级融合，最后进行识别、决策，整个融合过程如图3 所示。

图3 特征级数据融合过程

特征级数据融合主要应用于多源传感器的目标跟踪，由于将特征提取步骤从融合后转移到融合前，减轻了终端处理器的数据处理强度，对提高网络态势感知系统的响应速度有一定效果。在应用该融合方法时，特征属性的选择与提取是决定决策水平的关键因素。

2.2.3 决策级数据融合

决策级数据融合是在传感器内独立完成特征信息的提取、识别与决策，是一种高层次的数据融合方式，其融合过程如图4 所示。

图4 决策级数据融合过程

在决策级数据融合中，首先遵循某种特定规则为前端传感器赋予可信度权值，分别对每一个传感器上的态势信息作特征提取与威胁识别处理。识别结果经过决策级融合后，可以得到全局最优决策[5]。相比于像素级和特征级数据融合，决策级数据融合对数据信息的压缩率最高，降低了数据传输对带宽的要求，提高了系统响应速度，可以做到入侵事件的同步响应，在保证网络安全方面效果显著。

2.3 网络安全态势评估技术

本文使用“矩阵法”对网络安全态势进行计算、评估，以入侵威胁评估为例，评估过程氛围可信度评估、支持度评估、严重度评估3 部分，评估过程如图5 所示。

图5 入侵威胁评估过程

图5 中，可信度用于表示入侵事件发生的真实性，本文使用D-S 证据理论对入侵威胁的可信度进行评估；支持度用于表示入侵攻击的成功概率，本文使用Bayesian 网络方法综合分析影响攻击成功实施的多个因素，进而求出安全威胁的支持度；严重度用于表示入侵攻击的威胁程度，本文按照攻击意图对目标网络环境的危害程度将攻击严重度划分为10 个等级，等级越高则表示入侵攻击产生的严重度越高。

结束语

在互联网时代，网络结构呈现出复杂化、大规模的发展趋势，暴露出的脆弱点也相应增加。传统网络安全技术大多是在入侵行为发生后采取被动保护，无法保证网络资产设备的完整性和安全性。基于信息融合的网络安全态势感知模型，则是以传感器采集态势信息，并经过预处理、融合、评估等一系列处理后得出最优决策，预测入侵事件的真实性、成功概率和严重程度。网络管理员根据决策结果在入侵事件发生前采取应对措施，切实保障了网络资产设备的安全性。