網絡安全態勢分析技術淺議

導語：網絡安全態勢分析技術淺議一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0引言

網絡安全態勢分析是一個綜合的研究課題，包括對原始事件的收集、事件的關聯、安全態勢的評估方法、態勢結果的存放和展示、態勢預測等。它為網絡管理人員的決策提供技術支持，在復雜的網絡環境下幫助網絡管理人員迅速準確的得到網絡的整體信息。由于本文需要在特定的網絡環境下設計態勢預測模型，因此也要對數據的收集處理、態勢的評估等進行研究。本文從數據預處理、事件關聯、態勢評估和態勢預測等四方面介紹了態勢分析領域的相關技術和研究成果。

1數據預處理

網絡安全事件來自于部署在網絡中的各種安全設備，它們的工作原理不同，關注的側重點也不盡相同，因此從這些設備中獲取的數據可能存在不完整和不一致，給數據處理工作帶來很大的困難。數據預處理能夠對不完整的數據進行補充，糾正錯誤數據并去除冗余數據，將數據轉換為統一的格式進行下一步處理。數據預處理包括三部分內容，數據清理、數據轉換和數據歸并。數據清理的工作包括補充數據中缺失但需要的內容，去除冗余數據。數據清理分為有監督和無監督兩種方式，有監督的方式是在相關專家指導下進行的，無監督的方式是通過建立規則庫，根據設定好的規則進行的。數據轉換是通過一足方法將雜亂無章的數據轉換成統一的格式，有以下幾種處理方式：數據縮放，同一屬性的數據最大值和最小值差距可能很大，這樣會對一些算法的性能造成影響，可以將數據按比例縮放從而映射到一個范圍較小的區間；數據泛化，采用概念分層的方法將低層的原始數據抽象成高層次的概念，屬性構造：根據數據源中己有的一個或者幾個屬性生成新的屬性，有助于理解高維的數據結構的；數據平滑，去除數據中的噪聲。數據歸并對數據進行整理，去掉與系統關鍵特征無關的屬性，合并同類型的關鍵數據，在保持數據完整性的基礎上使得數據盡可能精煉，方便以后的操作。

2事件關聯

事件關聯就是對采集到的大量數據進行分析，從各種不同類型的數據中找出他們的聯系，從而還原一個攻擊行為。事件關聯技術通過對收集到的大量的安全事件進行處理，減少了事件的數量，并提高了事件的準確性。事件關聯技術：①基于規則的推理（RBR）是最早出現的一種技術。②基于事例的推理（CBR）。③基于模型的推理（MBR）。④代碼書關聯模型（CCM）。⑤通信有限狀態機（CFSM）。

3態勢評估

網絡安全態勢評估是將采集到的大量的網絡安全事件進行分析處理，通過相應的模型和算法計算出一組或幾組有意義的數值，并據此研究網絡的安全態勢。

3.1網絡安全態勢評估標準

國外有以下幾種有代表性的評估標準：①可信計算機系統評估準則TCSEC（TrustedComputerSystemEvaluationCriteria）是計算機系統安全評估的第一個正式標準，由美國國防部在1985年12月。TCSEC最初是軍用標準，后來使用范圍逐漸推廣。②信息技術安全評估準則ITSEC（InformationTechnologySecurityEvaluationCriteria），是歐洲的安全評價標準，主要應用在軍隊、政府部門和商業領域。③信息技術安全評價通用準則CC標準（TheCommonCriteriaforInformationTechnologysecurityEvaluation）1993年6月由美國、加拿大及歐洲共同體起草，并將其推廣到國際。國內的有代表性的安全評估標準：①GB17859-1999計算機信息系統安全保護等級劃分準則，由國家質量技術監督局于1999年9月。本標準給出了計算機信息系統相關定義，規定了計算機系統安全保護能力的五個等級：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。這五個等級對計算機信息系統安全保護能力的要求依次升高。②GBIT18336-2001信息技術安全評估準則，2001年3月，是由國家信息安全測評認證中心主持，聯合其他相關單位共同起草的國家標準，等同于ISO/IEC15408，并直接應用于我國的信息安全測評認證工作。該準則定義了評估信息技術產品和系統安全性所需的基礎準則，對確定安全態勢評估模型以及關鍵態勢因素等具有很強的指導作用。③GB-T20984-2007信息安全風險評估規范，2007年，為網絡信息系統的安全態勢評估工作提供指導和規范。該標準提出了風險評估的基本概念，給出了系統各要素之間的關系，并介紹了風險評估的分析原理、實施流程和評估方法。

3.2網絡安全態勢評估方法

在一定時間內不同的網絡安全設備提供的安全事件往往存在著內在的聯系，態勢評估就是要通過一定的模型和算法分析這些安全事件得出態勢值來衡量網絡的安全狀況。

3.2.1層次分析法

層次分析法（AnalyticHierarchyProcess，簡稱AHP）是一種定性與定量相結合的分析方法，由美國運籌學家T.L.Satty在上個世紀70年代提出。這種方法將與決策有關的元素分解成目標、準則、方案等層次，使決策的思維過程模型化，從而為復雜的決策問題提供簡便決策。

3.2.2數據融合

由于數據融合技術的研究內容廣泛且復雜多樣，目前對數據融合還沒有統一的定義，一般認為，數據融合技術是指利用計算機將按時序獲得的若干觀測是數據根據一定標準自動分析、綜合，以完成所需決策和評估的信息處理技術。數據融合包含如下三個層次：數據層融合，是在原始數據層進行融合，即對采集的數據直接進行融合，這是低層次的融合；特征層融合，先對采集到的原始數據進行特征提取，然后對提取的特征進行融合，屬于中間層次的融合。這種融合方式壓縮了數據量，有利于對信息的實時處理。特征層融合一般采用分布式或集中式的融合體系，可分為目標狀態融合和目標特性融合；決策層融合，先對采集的數據進行預處理、特征提取、識別或判決等，然后將決策層的判決通過一定的關聯分析進行融合，是最高層次的融合。

3.2.3支持向量機

支持向量機（SupportVectorMachine，SVM）是一種機器學習方法，參照了統計學習理論中的VC維理論和結構風險最小化原理，更適合小樣本、非線性和高維模式識別問題，并有效克服了機器學習中維數災難和過學習等問題。

4態勢預測

為了能夠準確預測未來的網絡安全狀況及其變化趨勢，研究人員最初從脆弱性、安全威脅等單安全要素的預測分析上開展研究，該方面的研究比較成熟且有了豐富的研究成果。隨后研究人員意識到安全管理員的操作和決策更佑賴于網絡的整體安全狀況，因此目前的研究更側重于將網絡中各安全要素的信息融合，得出網絡整體的安全狀況后進行預測。

4.1時間序列分析方法

時間序列是依據時間順序生成的觀察值的集合。按集合的連續性和離散性，時間序列可分為連續時間序列和離散時間序列；按是否能用精確的函數數學模型表達，可分為線性時間序列和非線性時間序列。

4.2灰色系統理論

灰色系統是一種既含有己知信息又含有未知或未確知信息的系統。灰色系統理論即是研究對灰色系統的建模、預測和控制等。灰色系統包含的信息是有限且離散的，需要從中找出規律來進行建模。目前最常見的灰色預測模型為GM（1，1）模型。它的特點是算法簡單，易于實現，在運行時不需要進行參數設定或者其他的人為操作，速度也比較快，能夠體現網絡安全趨勢，適用于小樣本預測。

4.3人工智能方法

人工智能的基本思想是通過建立機器的自動感知和自學習機制，使其具有思維能力和行為能力。由于人工智能方法對非線性時間序列具有很強的逼近和擬合能力，許多研究人員將其應用于非線性時間序列的預側中，如遺傳算法、神經網絡和支持向量機等智能預測方法。此類方法的優點是具有自學習能力，中短期預測精度較高，需要較少的人為參與。但是遺傳算法的進化學習機制較為簡單，神經網絡存在泛化能力弱，易陷入局部極小值等問題，而支持向量機的算法性能易受懲罰參數、不敏感損失參數等關鍵參數的影響。

作者:易靜 單位:河北醫科大學圖書

引用：

[1]彭熙，李艷，肖德寶.網絡故障管理中幾種事件關聯技術的分析與比較[J].計算機應用研究，2003.

[2]中國信息安全產品測評認證中心.GB/T18336-2001.信息技術安全評估準則[S].北京：國家質量技術監督局，2001.

[3]中國信息安全產品測評認證中心.GB/T20984-2007.信息安全風險評估規范[S].北京：國家質量監督檢驗檢疫總局，2007.

[4]徐俊，劉娜.層次分析法的基本思想與實際應用[[J].情報探索，2008.

[5]韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展，2009.

[6]丁世飛，齊丙娟，譚紅艷.支持向量機理論與算法研究綜述[[J].電子科技大學學報，2011.