網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)淺議

導(dǎo)語：網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)淺議一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

網(wǎng)絡(luò)安全態(tài)勢分析是一個綜合的研究課題，包括對原始事件的收集、事件的關(guān)聯(lián)、安全態(tài)勢的評估方法、態(tài)勢結(jié)果的存放和展示、態(tài)勢預(yù)測等。它為網(wǎng)絡(luò)管理人員的決策提供技術(shù)支持，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下幫助網(wǎng)絡(luò)管理人員迅速準(zhǔn)確的得到網(wǎng)絡(luò)的整體信息。由于本文需要在特定的網(wǎng)絡(luò)環(huán)境下設(shè)計態(tài)勢預(yù)測模型，因此也要對數(shù)據(jù)的收集處理、態(tài)勢的評估等進(jìn)行研究。本文從數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)、態(tài)勢評估和態(tài)勢預(yù)測等四方面介紹了態(tài)勢分析領(lǐng)域的相關(guān)技術(shù)和研究成果。

1數(shù)據(jù)預(yù)處理

網(wǎng)絡(luò)安全事件來自于部署在網(wǎng)絡(luò)中的各種安全設(shè)備，它們的工作原理不同，關(guān)注的側(cè)重點也不盡相同，因此從這些設(shè)備中獲取的數(shù)據(jù)可能存在不完整和不一致，給數(shù)據(jù)處理工作帶來很大的困難。數(shù)據(jù)預(yù)處理能夠?qū)Σ煌暾臄?shù)據(jù)進(jìn)行補(bǔ)充，糾正錯誤數(shù)據(jù)并去除冗余數(shù)據(jù)，將數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的格式進(jìn)行下一步處理。數(shù)據(jù)預(yù)處理包括三部分內(nèi)容，數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)歸并。數(shù)據(jù)清理的工作包括補(bǔ)充數(shù)據(jù)中缺失但需要的內(nèi)容，去除冗余數(shù)據(jù)。數(shù)據(jù)清理分為有監(jiān)督和無監(jiān)督兩種方式，有監(jiān)督的方式是在相關(guān)專家指導(dǎo)下進(jìn)行的，無監(jiān)督的方式是通過建立規(guī)則庫，根據(jù)設(shè)定好的規(guī)則進(jìn)行的。數(shù)據(jù)轉(zhuǎn)換是通過一足方法將雜亂無章的數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的格式，有以下幾種處理方式：數(shù)據(jù)縮放，同一屬性的數(shù)據(jù)最大值和最小值差距可能很大，這樣會對一些算法的性能造成影響，可以將數(shù)據(jù)按比例縮放從而映射到一個范圍較小的區(qū)間；數(shù)據(jù)泛化，采用概念分層的方法將低層的原始數(shù)據(jù)抽象成高層次的概念，屬性構(gòu)造：根據(jù)數(shù)據(jù)源中己有的一個或者幾個屬性生成新的屬性，有助于理解高維的數(shù)據(jù)結(jié)構(gòu)的；數(shù)據(jù)平滑，去除數(shù)據(jù)中的噪聲。數(shù)據(jù)歸并對數(shù)據(jù)進(jìn)行整理，去掉與系統(tǒng)關(guān)鍵特征無關(guān)的屬性，合并同類型的關(guān)鍵數(shù)據(jù)，在保持?jǐn)?shù)據(jù)完整性的基礎(chǔ)上使得數(shù)據(jù)盡可能精煉，方便以后的操作。

2事件關(guān)聯(lián)

事件關(guān)聯(lián)就是對采集到的大量數(shù)據(jù)進(jìn)行分析，從各種不同類型的數(shù)據(jù)中找出他們的聯(lián)系，從而還原一個攻擊行為。事件關(guān)聯(lián)技術(shù)通過對收集到的大量的安全事件進(jìn)行處理，減少了事件的數(shù)量，并提高了事件的準(zhǔn)確性。事件關(guān)聯(lián)技術(shù)：①基于規(guī)則的推理（RBR）是最早出現(xiàn)的一種技術(shù)。②基于事例的推理（CBR）。③基于模型的推理（MBR）。④代碼書關(guān)聯(lián)模型（CCM）。⑤通信有限狀態(tài)機(jī)（CFSM）。

3態(tài)勢評估

網(wǎng)絡(luò)安全態(tài)勢評估是將采集到的大量的網(wǎng)絡(luò)安全事件進(jìn)行分析處理，通過相應(yīng)的模型和算法計算出一組或幾組有意義的數(shù)值，并據(jù)此研究網(wǎng)絡(luò)的安全態(tài)勢。

3.1網(wǎng)絡(luò)安全態(tài)勢評估標(biāo)準(zhǔn)

國外有以下幾種有代表性的評估標(biāo)準(zhǔn)：①可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC（TrustedComputerSystemEvaluationCriteria）是計算機(jī)系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，由美國國防部在1985年12月。TCSEC最初是軍用標(biāo)準(zhǔn)，后來使用范圍逐漸推廣。②信息技術(shù)安全評估準(zhǔn)則ITSEC（InformationTechnologySecurityEvaluationCriteria），是歐洲的安全評價標(biāo)準(zhǔn)，主要應(yīng)用在軍隊、政府部門和商業(yè)領(lǐng)域。③信息技術(shù)安全評價通用準(zhǔn)則CC標(biāo)準(zhǔn)（TheCommonCriteriaforInformationTechnologysecurityEvaluation）1993年6月由美國、加拿大及歐洲共同體起草，并將其推廣到國際。國內(nèi)的有代表性的安全評估標(biāo)準(zhǔn)：①GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則，由國家質(zhì)量技術(shù)監(jiān)督局于1999年9月。本標(biāo)準(zhǔn)給出了計算機(jī)信息系統(tǒng)相關(guān)定義，規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級：用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級。這五個等級對計算機(jī)信息系統(tǒng)安全保護(hù)能力的要求依次升高。②GBIT18336-2001信息技術(shù)安全評估準(zhǔn)則，2001年3月，是由國家信息安全測評認(rèn)證中心主持，聯(lián)合其他相關(guān)單位共同起草的國家標(biāo)準(zhǔn)，等同于ISO/IEC15408，并直接應(yīng)用于我國的信息安全測評認(rèn)證工作。該準(zhǔn)則定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，對確定安全態(tài)勢評估模型以及關(guān)鍵態(tài)勢因素等具有很強(qiáng)的指導(dǎo)作用。③GB-T20984-2007信息安全風(fēng)險評估規(guī)范，2007年，為網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢評估工作提供指導(dǎo)和規(guī)范。該標(biāo)準(zhǔn)提出了風(fēng)險評估的基本概念，給出了系統(tǒng)各要素之間的關(guān)系，并介紹了風(fēng)險評估的分析原理、實施流程和評估方法。

3.2網(wǎng)絡(luò)安全態(tài)勢評估方法

在一定時間內(nèi)不同的網(wǎng)絡(luò)安全設(shè)備提供的安全事件往往存在著內(nèi)在的聯(lián)系，態(tài)勢評估就是要通過一定的模型和算法分析這些安全事件得出態(tài)勢值來衡量網(wǎng)絡(luò)的安全狀況。

3.2.1層次分析法

層次分析法（AnalyticHierarchyProcess，簡稱AHP）是一種定性與定量相結(jié)合的分析方法，由美國運(yùn)籌學(xué)家T.L.Satty在上個世紀(jì)70年代提出。這種方法將與決策有關(guān)的元素分解成目標(biāo)、準(zhǔn)則、方案等層次，使決策的思維過程模型化，從而為復(fù)雜的決策問題提供簡便決策。

3.2.2數(shù)據(jù)融合

由于數(shù)據(jù)融合技術(shù)的研究內(nèi)容廣泛且復(fù)雜多樣，目前對數(shù)據(jù)融合還沒有統(tǒng)一的定義，一般認(rèn)為，數(shù)據(jù)融合技術(shù)是指利用計算機(jī)將按時序獲得的若干觀測是數(shù)據(jù)根據(jù)一定標(biāo)準(zhǔn)自動分析、綜合，以完成所需決策和評估的信息處理技術(shù)。數(shù)據(jù)融合包含如下三個層次：數(shù)據(jù)層融合，是在原始數(shù)據(jù)層進(jìn)行融合，即對采集的數(shù)據(jù)直接進(jìn)行融合，這是低層次的融合；特征層融合，先對采集到的原始數(shù)據(jù)進(jìn)行特征提取，然后對提取的特征進(jìn)行融合，屬于中間層次的融合。這種融合方式壓縮了數(shù)據(jù)量，有利于對信息的實時處理。特征層融合一般采用分布式或集中式的融合體系，可分為目標(biāo)狀態(tài)融合和目標(biāo)特性融合；決策層融合，先對采集的數(shù)據(jù)進(jìn)行預(yù)處理、特征提取、識別或判決等，然后將決策層的判決通過一定的關(guān)聯(lián)分析進(jìn)行融合，是最高層次的融合。

3.2.3支持向量機(jī)

支持向量機(jī)（SupportVectorMachine，SVM）是一種機(jī)器學(xué)習(xí)方法，參照了統(tǒng)計學(xué)習(xí)理論中的VC維理論和結(jié)構(gòu)風(fēng)險最小化原理，更適合小樣本、非線性和高維模式識別問題，并有效克服了機(jī)器學(xué)習(xí)中維數(shù)災(zāi)難和過學(xué)習(xí)等問題。

4態(tài)勢預(yù)測

為了能夠準(zhǔn)確預(yù)測未來的網(wǎng)絡(luò)安全狀況及其變化趨勢，研究人員最初從脆弱性、安全威脅等單安全要素的預(yù)測分析上開展研究，該方面的研究比較成熟且有了豐富的研究成果。隨后研究人員意識到安全管理員的操作和決策更佑賴于網(wǎng)絡(luò)的整體安全狀況，因此目前的研究更側(cè)重于將網(wǎng)絡(luò)中各安全要素的信息融合，得出網(wǎng)絡(luò)整體的安全狀況后進(jìn)行預(yù)測。

4.1時間序列分析方法

時間序列是依據(jù)時間順序生成的觀察值的集合。按集合的連續(xù)性和離散性，時間序列可分為連續(xù)時間序列和離散時間序列；按是否能用精確的函數(shù)數(shù)學(xué)模型表達(dá)，可分為線性時間序列和非線性時間序列。

4.2灰色系統(tǒng)理論

灰色系統(tǒng)是一種既含有己知信息又含有未知或未確知信息的系統(tǒng)。灰色系統(tǒng)理論即是研究對灰色系統(tǒng)的建模、預(yù)測和控制等。灰色系統(tǒng)包含的信息是有限且離散的，需要從中找出規(guī)律來進(jìn)行建模。目前最常見的灰色預(yù)測模型為GM（1，1）模型。它的特點是算法簡單，易于實現(xiàn)，在運(yùn)行時不需要進(jìn)行參數(shù)設(shè)定或者其他的人為操作，速度也比較快，能夠體現(xiàn)網(wǎng)絡(luò)安全趨勢，適用于小樣本預(yù)測。

4.3人工智能方法

人工智能的基本思想是通過建立機(jī)器的自動感知和自學(xué)習(xí)機(jī)制，使其具有思維能力和行為能力。由于人工智能方法對非線性時間序列具有很強(qiáng)的逼近和擬合能力，許多研究人員將其應(yīng)用于非線性時間序列的預(yù)側(cè)中，如遺傳算法、神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)等智能預(yù)測方法。此類方法的優(yōu)點是具有自學(xué)習(xí)能力，中短期預(yù)測精度較高，需要較少的人為參與。但是遺傳算法的進(jìn)化學(xué)習(xí)機(jī)制較為簡單，神經(jīng)網(wǎng)絡(luò)存在泛化能力弱，易陷入局部極小值等問題，而支持向量機(jī)的算法性能易受懲罰參數(shù)、不敏感損失參數(shù)等關(guān)鍵參數(shù)的影響。

作者:易靜 單位:河北醫(yī)科大學(xué)圖書

引用：

[1]彭熙，李艷，肖德寶.網(wǎng)絡(luò)故障管理中幾種事件關(guān)聯(lián)技術(shù)的分析與比較[J].計算機(jī)應(yīng)用研究，2003.

[2]中國信息安全產(chǎn)品測評認(rèn)證中心.GB/T18336-2001.信息技術(shù)安全評估準(zhǔn)則[S].北京：國家質(zhì)量技術(shù)監(jiān)督局，2001.

[3]中國信息安全產(chǎn)品測評認(rèn)證中心.GB/T20984-2007.信息安全風(fēng)險評估規(guī)范[S].北京：國家質(zhì)量監(jiān)督檢驗檢疫總局，2007.

[4]徐俊，劉娜.層次分析法的基本思想與實際應(yīng)用[[J].情報探索，2008.

[5]韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機(jī)研究與發(fā)展，2009.

[6]丁世飛，齊丙娟，譚紅艷.支持向量機(jī)理論與算法研究綜述[[J].電子科技大學(xué)學(xué)報，2011.