基于信息融合网络安全态势评估模型.docVIP

基于信息融合网络安全态势评估模型 　　摘 要：信息融合技术是指将多层次信息进行关联处理的一种技术方法。随着信息技术的不断发展和网络信息量的不断增加，网络安全正在不断受到新的挑战。而在网络安全态势的评估中采用信息融合技术，可以提高评估的准确性，进而保障网络使用的安全性。网络安全评估中，要充分考虑到攻击频率、攻击的难易程度以及危害程度等评估指标，采用数据源融合、态势要素融合、关键节点融合等方法进行模型和算法的设计，以充分保障网络安全评估的准确性 关键词：信息融合 网络安全态势 评估模型 中图分类号：TP393.08 文献标识码：A 文章编号：1672-3791（2017）03（b）-0018-02 随着信息技术的不断发展，随之而来的网络安全威胁也在不断增加。人们在日常网络使用过程中，无时无刻不面临着网络安全威胁。由于当前的网络安全威胁逐渐呈现出规模化、隐蔽化等特点，导致传统的网络安全评估、检测、防御模式已经不能满足要求，因此结合信息融合等新型分析技术，建立更加可靠的网络安全态势评估模型，成为了相关领域的研究热点 1 信息融合及网络安全态势评估的基本概念 1.1 基于信息融合的基本思想 信息融合是信息处理领域的一门对多源数据进行获取、分析、分类和决策的重要技术，随着当今的网络信息数据量猛增，包括身份信息和应用信息在内的数据结构和类型也更加丰富，对于信息处理的效率和安全性提出了更高的要求。在网络安全态势中应用信息评估，主要基于3个方面的思想：第一是基于信息融合的信息筛选思想，由于网络安全事件的发生原因相对复杂，不同采集和检测工具所反馈的信息也较为多样，其中既包含了对安全评估有利的有效信息，又包含了大量无效信息，因此信息精简化是十分必要的；第二是利用信息融合技术的信息处理思想，信息融合技术在此的主要作用是分析信息的?P联性；第三是筛选和处理后的信息融合为新的完整信息库，为评估和决策工作提供参考 1.2 网络安全态势评估的主要步骤 基于信息融合的网络安全态势评估主要分为3个步骤，首先是在数据采集阶段，使用信息融合技术可以更加方便地在分布式网络数据库中进行初步采集，并对其中的相关信息进行辨识和分析，经过初步筛选和修正以后可以形成有效信息库；其次是对安全相关信息进行进一步提取分析，找出有关网络系统漏洞的相关信息；最后通过相关算法对网络安全态势进行评估，从而建立起一个安全高效的网络安全态势评估体系，保证网络系统的安全运行与维护 2 网络安全态势评估的模型设计与应用方法 一般情况下，基于信息融合的网络安全态势评估工作，主要分为数据源信息融合、态势要素融合以及关键节点态势的融合3个部分。他们各自起到攻击概率检测、安全态势评估和综合计算等作用。在进行算法设计之前，首先要明确评估模型的结构以及进行网络安全评估的主要指标 2.1 网络安全态势评估模型及其设计 为了更好地应用信息融合技术，满足多源数据结构的分析和评估要求，应当建立合理的安全态势评估模型。该模型由主机、网络和用户3个层次构成，分别负责分析主机系统的运行状态、挖掘与关联网络安全信息以及对用户端进行网络安全警告等。在主机层中，评估模型是根据主机系统遭受攻击和威胁的数据进行漏洞分析的；将主机层中的威胁数据融合汇集以后，模型会将其送入网络层，以威胁数据为参照对象对存在威胁特征的网络信息进行分析，对网络信息中潜在的危险特征和危险关联信息进行建模和评估；得出安全态势评估结果以后，将信息汇总至用户层，方便安全管理人员对网络安全形势进行准确把握 2.2 安全态势评估的主要方法 建立网络安全态势的评估模型以后，就要根据安全需要来确定态势的评估方法。在网络安全领域有四类常用的评估标准，包括基于安全的各类安全标准方法、基于财产价值的评估方法、基于漏洞检测的评估方法、基于安全模型的评估方法。自从网络安全概念诞生以来，包括欧美和我国在内的网络大国都先后制定了各自的网络安全标准。而其中以美国、加拿大和欧盟共同发布的“通用准则”（Common Criteria，简称CC）的评估标准最为全面，它包含了对操作系统、计算机网络、分布式系统和应用程序等各方面的评估，是比较各类评估标准的通用准则；基于财产价值的评估方法则更为量化直观，它通过财产敏感性分析，可以对网络安全事件所造成的财产损失进行评估，从而对安全风险进行分级并采取措施；基于漏洞检测的方法，是指对于前述网络安全态势模型中的主机、网络、用户层面的漏洞情况进行评估，并根据测出漏洞的数量、严重性的权重计算网络安全态势；而基于安全模型的方法则更为全面，它是根据已经发生过的网络安全事件，对网络体系建立安全评估模型，通过模型分析和测试达到对系统整体进行评估的目的，这样不仅可以对已知的网络薄弱结构进行评估，还可以