基于信息交融的网络平安态势评价模型.docVIP

基于信息交融的网络平安态势评价模型 　　随着计算机技术和通信技术的迅速发展，伴随着用户需求的不断增加，计算机网络的应用越来越广泛，其规模也越来越庞大。同时，网络安全事件层出不穷，使得计算机网络面临着严峻的信息安全形势，传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势评估技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对安全状况的发展趋势进行预测和预警，为增强网络安全性提供可靠的参照依据。因此，针对网络的安全态势评估模型及关键技术已经成为目前网络安全领域的研究热点。 　　安全态势评估（securitysituationalawareness）是指通过技术手段从时间和空间纬度来感知并获取安全相关元素，通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。态势评估最初出现在航空领域和军事领域，后来逐渐推广到各个技术领域，包括交通管理、生产控制、物流管理、医学研究和人类丁程学等。近年来，态势评估技术开始在计算机网络领域得到应用，国内外的研究人员依据不同的技术思路，设计并实现了大量针对计算机网络的安全态势评估方法。 　　SIFT项目组研制了NVisionlP[13和VisEowEonnect[2J两种可视化工具。NVisionlP可以显示一个B类网络的连接状态，并且提供了3种不同精度的视图；VisFlowConnect能动态显示网络连接状态和网络流量，并且具有数据过滤能力[3]，该类工具仅反映了网络连接状态，评估指标较为单一，对管理员经验水平要求也很高。 　　Bass[41提出了利用入侵检测系统的分布式传感器进行数据融合的方法，对计算机网络安全态势进行评估。通过数据融合和数据挖掘的方法评估计算机网络的安全性，但没有实现具体的原型系统。 　　InformationExtractionTransport开发了SSARE系统[5]，用于广域网的攻击检测、态势评估和响应评估。该系统实现了入侵检测、态势评估和响应评估的有机结合，但是信息获取方式较为单一。 　　Gorodetsky等人[6]提出了基于异步数据流的网络安全态势评估方法，利用多代理异常检测网络的数据流并进行分析，获取安全态势，但是这种方法只考虑了攻击信息而忽略了网络本身的特性。 　　Yegneswaran等人[71提出了利用Honeynets进行安全态势评估的方法，利用Honeynets提供的大量网络活动信息，根据入侵检测工具Bro对这些活动产生的报警信息来构建安全态势曲线，但该曲线只有在大规模病毒或蠕虫爆发时才能体现出明显效果。 　　陈秀真等人[81提出了层次化网络安全威胁态势量化评估方法，利用IDS报警信息和网络性能指标，结合主机的漏洞信息，对服务、主机和网络进行层次化的安全定量评估，得到直观的安全态势图。 　　张海霞等人[91提出了基于攻击能力增长的网络安全分析模型，使用攻击能力增长表示攻击者的最终目标使得攻击图的表示更为准确，并以此分析攻击路径，从而进行网络安全性的分析。 　　以上方法为网络安全态势评估工作提供了可行的解决思路，为评估模型及算法的研究奠定了良好的基础，但也普遍存在着一些技术缺陷。例如，缺乏对网络安全冈素的全面考虑，评估数据源单一，使得评估结果缺乏全面性；忽略了数据源之间的互补性和冗余性等内在联系，使得评估结果不够准确；所采用的量化算法存在一定缺陷，导致量化结果与实际结果出现偏差；另外，这些方法无法对安全状况的发展趋势进行预测分析。针对上述问题，本文提出了基于信息融合的网络安全态势评估模型，利用改进的D-S证据理论[10] 　　将多数据源态势信息进行融合，利用漏洞及服务信息，经过态势要素融合和节点态势融合计算网络安全态势，绘制态势曲线图，在此基础上对安全态势值进行时间序列分析，从而实现网络安全态势的量化分析和趋势预测。 　　1网络安全态势评估模型 　　计算机网络包含了大量的主机节点、网络组件和各种检测设备，这些检测设备承担着从不同角度对网络及主机运行状况进行监控的任务，它们所产生的日志和报警之间存在着大量的关联性。传统的安全态势评估方法通常是利用单一检测设备所提供的日志信息进行分析，由于检测设备本身的不确定性以及数据来源的单一性，导致安全态势分析结果的准确性出现较大偏差。因此本文提出基于信息融合的网络安全态势评估模型及量化算法，以多个相关检测设备的日志为数据源，对多源信息进行融合得到外部攻击信息，然后利用主机节点漏洞信息和服务信息，进一步关联计算外部攻击对网络造成的安全态势影响，并利用时间序列分析方法对安全态势的趋势进行预测分析，从而有效弥补传统安全态势评估方法的不足。下面首先给出本评估模型中定义的一些术语： 　　定义1.攻击发生支持概率（happenprobability）。 　　是指将多个相关检测设备的日志进行信息融合得到