摘  要： 針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的多樣性和網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜性,，提出一種基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法,。該方法將網(wǎng)絡(luò)結(jié)構(gòu)抽象成層次化結(jié)構(gòu)，采用專(zhuān)家系統(tǒng)的數(shù)據(jù)融合方法進(jìn)行數(shù)據(jù)融合,。配合層次化的網(wǎng)絡(luò)結(jié)構(gòu)提出合理的層次化評(píng)價(jià)體系,，并進(jìn)行量化計(jì)算。最后通過(guò)實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了該方法的合理性和有效性,。
　　關(guān)鍵詞： 數(shù)據(jù)融合,；專(zhuān)家系統(tǒng)；網(wǎng)絡(luò)安全態(tài)勢(shì)感知,；層次化結(jié)構(gòu)
0 引言
　　網(wǎng)絡(luò)的快速發(fā)展帶來(lái)了巨大的經(jīng)濟(jì)效益,，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越發(fā)嚴(yán)重。傳統(tǒng)的網(wǎng)絡(luò)防御以被動(dòng)式防護(hù)為主,，只能在安全事故發(fā)生后進(jìn)行防護(hù),，阻止再次入侵。為解決日益頻繁的網(wǎng)絡(luò)安全事故,，以預(yù)測(cè)和主動(dòng)防御為主的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)[1]得到了廣泛的應(yīng)用,。
　　態(tài)勢(shì)感知技術(shù)主要分為感知,、理解,、預(yù)測(cè)三個(gè)層次,。其作為近幾年網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)，許多學(xué)者從不同的角度使用不同方法進(jìn)行建模,，主要包括貝葉斯網(wǎng)絡(luò)[2],、模糊推理[3]、博弈論[4],、圖模型[5],、信息融合[6]等方法，旨在解決網(wǎng)絡(luò)安全預(yù)防的問(wèn)題,。
　　賴(lài)積保等人[7]提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu),，系統(tǒng)地分析了多源異構(gòu)傳感器網(wǎng)絡(luò)的特點(diǎn)，從信息獲取,、要素提取,、態(tài)勢(shì)決策三個(gè)層次進(jìn)行系統(tǒng)的結(jié)構(gòu)模型建立；趙穎等人[8]采用對(duì)比堆疊流圖進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的可視化分析,，能夠幫助用戶(hù)快速發(fā)現(xiàn)異常和識(shí)別規(guī)律,；唐成華[9]等人利用DS融合工具進(jìn)行態(tài)勢(shì)的融合和推理，建立評(píng)估準(zhǔn)則并對(duì)其方法進(jìn)行驗(yàn)證,。
　　本文提出的方法采用層次化結(jié)構(gòu)建模,，對(duì)各類(lèi)安全數(shù)據(jù)源進(jìn)行分類(lèi)、選取,。采用專(zhuān)家系統(tǒng)方法將各類(lèi)安全數(shù)據(jù)進(jìn)行層次化的數(shù)據(jù)融合,，合理分配各類(lèi)指標(biāo)的權(quán)值，繪制精確的態(tài)勢(shì)曲線(xiàn),。最后進(jìn)行態(tài)勢(shì)分析,，預(yù)測(cè)態(tài)勢(shì)變化，從而制定相應(yīng)的防御措施,。
1 數(shù)據(jù)融合概要
　　1.1 數(shù)據(jù)融合基本概念
　　數(shù)據(jù)融合技術(shù)[10]-MSIF是指：對(duì)按照時(shí)序獲取的傳感器監(jiān)測(cè)數(shù)據(jù),，利用計(jì)算機(jī)技術(shù)在相關(guān)準(zhǔn)則下進(jìn)行自動(dòng)分析、綜合以完成用戶(hù)所需的數(shù)據(jù)抽象而進(jìn)行的數(shù)據(jù)處理過(guò)程,。
　　根據(jù)信息抽象層次的不同,，數(shù)據(jù)融合可以分為三級(jí)：數(shù)據(jù)級(jí)融合、特征級(jí)融合和決策級(jí)融合[10],。
　　常用的算法有貝葉斯理論,、專(zhuān)家系統(tǒng)、D-S證據(jù)推理,、HIS變換及聚類(lèi)分析方法,。
　　1.2 數(shù)據(jù)融合在網(wǎng)絡(luò)安全方面的應(yīng)用
　　數(shù)據(jù)融合技術(shù)的研究起源于軍事指揮控制智能通信系統(tǒng)[10]的建設(shè)需求，早先的研究多來(lái)自于軍事方面,。
　　由于該技術(shù)在信息處理方面的優(yōu)越性,，不僅在軍事和工業(yè)控制方面得到應(yīng)用,，近些年在網(wǎng)絡(luò)安全方面也得到了廣泛的應(yīng)用。許多學(xué)者[6]提出了各種不同思路的方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的建模,。
2 網(wǎng)絡(luò)安全態(tài)勢(shì)分析建模
　　2.1 層次化的網(wǎng)絡(luò)結(jié)構(gòu)
　　計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)多種多樣,，每種結(jié)構(gòu)都具有其優(yōu)缺點(diǎn)。為了方便進(jìn)行態(tài)勢(shì)評(píng)估,，本文將網(wǎng)絡(luò)結(jié)構(gòu)抽象成為層次化的結(jié)構(gòu),，并進(jìn)行相應(yīng)的結(jié)構(gòu)建模。模型層次結(jié)構(gòu)鮮明,，容易理解,，并且符合實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)層次關(guān)系。層次化的網(wǎng)絡(luò)結(jié)構(gòu)自頂向下包括：Internet網(wǎng)絡(luò),、網(wǎng)絡(luò)中各主機(jī),、主機(jī)中運(yùn)行的各項(xiàng)不同服務(wù)，最底層為針對(duì)服務(wù)進(jìn)行的網(wǎng)絡(luò)攻擊,，如圖1所示,。

　　2.2 多源數(shù)據(jù)的分類(lèi)和選取
　　網(wǎng)絡(luò)系統(tǒng)越發(fā)龐大和復(fù)雜，擁有種類(lèi)繁多的設(shè)備,，并且標(biāo)準(zhǔn)不統(tǒng)一,，運(yùn)行中往往產(chǎn)生海量的多源異構(gòu)數(shù)據(jù)。為提高執(zhí)行效率,，減少數(shù)據(jù)的冗余,，應(yīng)選取那些具有代表性、信息量豐富,、可靠度較高,、實(shí)時(shí)性較強(qiáng)的數(shù)據(jù)作為態(tài)勢(shì)分析的數(shù)據(jù)源[7]。還需考慮數(shù)據(jù)的交叉性與互補(bǔ)性,。依據(jù)選取原則進(jìn)行數(shù)據(jù)選取,，確定了4類(lèi)數(shù)據(jù)源，如表1所列,。表中給出了每種數(shù)據(jù)源對(duì)應(yīng)的數(shù)據(jù)類(lèi)型,、來(lái)源設(shè)備、具體分類(lèi)和信息獲取方式,。

　　2.3 利用專(zhuān)家系統(tǒng)方法進(jìn)行數(shù)據(jù)轉(zhuǎn)化
　　網(wǎng)絡(luò)安全評(píng)估數(shù)據(jù)包括定量的數(shù)據(jù)和定性的數(shù)據(jù),。為了使評(píng)估結(jié)果能夠進(jìn)行定量分析，需要將日志文件的定性數(shù)據(jù)進(jìn)行量化,。同時(shí),，有些數(shù)據(jù)也需要進(jìn)行定性的評(píng)估。本文將采用基于專(zhuān)家系統(tǒng)的定性數(shù)據(jù)量化方法進(jìn)行數(shù)據(jù)處理。以下是綜合后得到的數(shù)據(jù)轉(zhuǎn)換映射關(guān)系,，其中服務(wù)訪(fǎng)問(wèn)量評(píng)估指數(shù)的具體數(shù)值視具體的服務(wù)類(lèi)型與時(shí)間而定,。

　　2.4 評(píng)價(jià)體系的建立與計(jì)算
　　按照層次化網(wǎng)絡(luò)結(jié)構(gòu)模型構(gòu)建合理的層次化評(píng)價(jià)體系，自下而上有網(wǎng)絡(luò)攻擊層,、主機(jī)層,、網(wǎng)絡(luò)整體層三個(gè)層次,。定義如下：
　?。?）網(wǎng)絡(luò)攻擊A的威脅指數(shù)R
　　威脅指數(shù)R與攻擊是否成功和攻擊帶來(lái)的后果有直接關(guān)系，是對(duì)網(wǎng)絡(luò)攻擊危害程度的直接描述,。其量化計(jì)算公式如下：

　　其中,，θ為訪(fǎng)問(wèn)量指數(shù)，由前面所述的對(duì)應(yīng)關(guān)系所得,，例如某服務(wù)訪(fǎng)問(wèn)量為每小時(shí)50次,，對(duì)應(yīng)的指數(shù)為2（正常）；B（t）為網(wǎng)絡(luò)帶寬占有率,；D為威脅等級(jí),。
　　（2）主機(jī)的安全性H
　　給予主機(jī)中運(yùn)行的不同服務(wù)相應(yīng)的權(quán)值,，所有攻擊的總和對(duì)主機(jī)帶來(lái)的危害程度決定主機(jī)的安全性,。公式如下：
　　

      其中，為t時(shí)刻網(wǎng)絡(luò)攻擊Ai的威脅指數(shù),，由式（1）計(jì)算所得,。為所對(duì)應(yīng)服務(wù)的權(quán)重向量。
　?。?）成本函數(shù)C
　　在確定攻擊成功后,，所有有效的攻擊給主機(jī)造成的總損失定義為成本C。公式如下：

　　其中,，其中為網(wǎng)絡(luò)攻擊Ai發(fā)生的次數(shù),； 為單次網(wǎng)絡(luò)攻擊Ai所造成的損失。成本函數(shù)C（t）描述的是單個(gè)主機(jī)在t時(shí)刻所造成的損失,。
　?。?）網(wǎng)絡(luò)安全系數(shù)L
　　用以描述網(wǎng)絡(luò)整體安全態(tài)勢(shì)的一個(gè)指標(biāo)，在給定主機(jī)權(quán)重的情況下,，反映網(wǎng)絡(luò)的安全狀態(tài),。公式如下：

　　其中，ω為主機(jī)安全性與成本函數(shù)之間的權(quán)重參數(shù),，用于調(diào)節(jié)兩者之間的重要性權(quán)重,。
3 實(shí)驗(yàn)分析
　　3.1 實(shí)驗(yàn)數(shù)據(jù)選取
　　本文將采用可視分析挑戰(zhàn)賽VAST Challenge[11]所提供的2012年的比賽數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)。實(shí)驗(yàn)以60 min為一周期，以不同類(lèi)型的報(bào)警次數(shù)為分析對(duì)象,，通過(guò)對(duì)各類(lèi)報(bào)警信息進(jìn)行數(shù)據(jù)融合,，繪制網(wǎng)絡(luò)安全態(tài)勢(shì)曲線(xiàn)。
　　3.2 實(shí)驗(yàn)分析
　　實(shí)驗(yàn)數(shù)據(jù)提供了某虛構(gòu)的銀行公司內(nèi)部網(wǎng)絡(luò)2天約4萬(wàn)行IDS日志,，包含了多達(dá)20種不同的報(bào)警類(lèi)型,。
　　圖2所給出的是第一天IDS日志報(bào)警類(lèi)型的分布圖，從圖中可以看出,，只有三種報(bào)警類(lèi)型的數(shù)量比較多,，其余17種都比較少。其中類(lèi)型a對(duì)應(yīng)的是“IRC authorization message”,，r是“IPC Unicode share access”,，t是“NTMLSSP Unicode asn1 overflow attempt”。

　　通過(guò)數(shù)據(jù)分析得知,，IP地址為172.23.0.10的主機(jī)所產(chǎn)生的報(bào)警類(lèi)型有5種,，且數(shù)量較多，根據(jù)其報(bào)警類(lèi)型可知這臺(tái)主機(jī)為中心服務(wù)器,。對(duì)該主機(jī)的IDS日志警報(bào)進(jìn)行安全分析,，給出主機(jī)的警報(bào)頻度分布曲線(xiàn)圖，如圖3所示,。由圖3可知,，警報(bào)類(lèi)型“IPC Unicode share access”和“NTMLSSP Unicode asn1 overflow”的頻度較高，可能是規(guī)則參數(shù)設(shè)置不合理,，形成了大量誤報(bào),。其余警報(bào)的次數(shù)較少。只有“DNS Update”在18點(diǎn)左右有較大的變化,，可能是外網(wǎng)DNS服務(wù)器有變動(dòng),，也可能是被病毒惡意修改。

　　對(duì)該主機(jī)的5種警報(bào)類(lèi)型進(jìn)行數(shù)據(jù)融合,，取=  （0.1,，0.3，0.15,，0.3,，0.15）得到該主機(jī)第一天的安全態(tài)勢(shì)曲線(xiàn)，如圖4所示,。

由圖4可知,，受上述兩種警報(bào)的影響，態(tài)勢(shì)值保持較高水平,。須查看是否是設(shè)置問(wèn)題,，并保持高度的警惕,。
　　根據(jù)主機(jī)172.23.0.1的警報(bào)類(lèi)型可以得知，該主機(jī)是銀行系統(tǒng)的數(shù)據(jù)和郵件服務(wù)器,。圖5是其安全態(tài)勢(shì)曲線(xiàn)圖,，由于在22點(diǎn)至3點(diǎn)該主機(jī)中數(shù)據(jù)庫(kù)服務(wù)器和郵件服務(wù)器警報(bào)量突然增加，導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重,，很可能被黑客攻入,，值得高度關(guān)注。
　　其余主機(jī)都是普通用戶(hù)主機(jī),，其IDS日志警報(bào)只有一種“IRC authorization”,。由于IRC協(xié)議容易被僵尸網(wǎng)絡(luò)利用，大量的IRC報(bào)警以及其他報(bào)警的關(guān)聯(lián)出現(xiàn),，這種現(xiàn)象說(shuō)明網(wǎng)絡(luò)很有可能已經(jīng)被入侵,，僵尸病毒控制了網(wǎng)絡(luò)中的一些主機(jī),，對(duì)服務(wù)器進(jìn)行了惡意攻擊,，有可能竊取了敏感數(shù)據(jù)。取=（0.4,，0.4,，0.2），圖6給出了整個(gè)銀行系統(tǒng)整天的安全態(tài)勢(shì)曲線(xiàn)圖,。

4 結(jié)論
　　本文提出的方法能夠合理地利用網(wǎng)絡(luò)安全日志等原始安全數(shù)據(jù)進(jìn)行融合,。通過(guò)專(zhuān)家系統(tǒng)構(gòu)建的數(shù)據(jù)融合方法和層次化的評(píng)價(jià)體系，能夠較準(zhǔn)確地反映網(wǎng)絡(luò)安全態(tài)勢(shì)變化,。最后通過(guò)實(shí)驗(yàn)分析證明了該方法的合理性,。后期的工作主要是把該方法應(yīng)用在各種不同的網(wǎng)絡(luò)結(jié)構(gòu)中。
　　參考文獻(xiàn)
　　[1] THEUREAU J. Use of nuclear-reactor control room simulators in research & development[C]. 7th International Federation of Automatic Control Symposium on Analysis,， Design and Evaluation of Man-Machine Systems. Kyoto： [s.n.],，1998：425-430.
　　[2] 付鈺，吳曉平,，葉清.基于改進(jìn)FAHP-BN的信息系統(tǒng)安全態(tài)勢(shì)評(píng)估方法[J].通信學(xué)報(bào),，2009，30（9）：135-140.
　　[3] Zhao Jinhui,， Zhou Yu,， Shuo Liangxun. A situation awareness model of system survivability based on variable Fuzzy set[J]. Telkomnika Indonesian Journal of Electrical Engineering， 2012,， 10（8）： 2239-2246.
　　[4] 張勇,，譚小彬，崔孝林,，等.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[J].軟件學(xué)報(bào),，2011，22（3）：495-508.
　　[5] JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs[C]. 2011 Proceedings of the 14th International Conference on Information Fusion（FUSION）， IEEE,，2011：1-8.
　　[6] 韋勇,，連一峰，馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)研究與發(fā)展,，2009,，46（3）：353-362.
　　[7] 賴(lài)積保，王穎,，王慧強(qiáng),，等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)科學(xué)，2011,，38（3）：144-149,，158.
　　[8] 趙穎，樊曉平,，周芳芳.多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J].小型微型計(jì)算機(jī)系統(tǒng),，2014，35（4）：906-910.
　　[9] 唐成華,，湯申生,，強(qiáng)保華.DS融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證[J].計(jì)算機(jī)科學(xué)，2014,，41（4）：107-110,，125.
　　[10] 高翔，王勇.數(shù)據(jù)融合技術(shù)綜述[J].計(jì)算機(jī)測(cè)量與控制,，2002,，10（11）：706-709.
　　[11] VAST challenge homepage in vacommunity [EB/OL].[2012-07-16]（2014-12-30）.