基于DS 证据网络安全威胁态势评估模型分析与改进.docVIP

基于DS 证据网络安全威胁态势评估模型分析与改进 　　摘要：随着美国“监控门”丑闻的曝光，网络安全在国家层面上受到越来越高的重视，网络中的安全问题各种各样，为了对付这些问题，网络安全态势的感知解决了单一的或者多个单一的防御问题的新技术逐步成为目前研究的重点。该文分析以后的层次化威胁态势评估模型的基础上，针对应用D-S证据理论，通过引入时间参数，给出基于D-S证据理论的融合方法，改进了该模型中的信息融合层，进一步探讨和完善该模型。 　　关键词：安全态势；D-S证据；信息融合；态势时序 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）32-7210-03 　　由于网络系统建设水平、从业人员素质、系统提供商等因素，网络安全问题层出不穷，有来至于应用系统本身，有来至于操作系统，有来至于网络攻击，网络的脆弱性数量不断增长，“监控门”时间的曝光在更高层次上敲响了网络安全的警钟。表1揭示了这种脆弱性逐年增加。 　　对付这种威胁市场上出现各种各样的硬软件产品，但是由于技术能力、市场等多种因素，这些产品很难在整体上同意调度管理，无法协同作业，设备之间没有太多的有效沟通。所以很难通过所有安全因素来追踪攻击源，一些相互关联的攻击现象被多种设备的日志中难以纵向分析，该文在这方面基于D-S证据理论做一些探讨。 　　1 层次化态势评估方法 　　层次化态势评估是一种基于intrusion detection system（IDS）的网络参数指标和检测报警信息，它结合了网络拓扑结构、主机和服务，提出了采用先局部后整体、由底层到上层的评估策略的模型。该方法首先统计攻击和严重性和频率，然后对服务和主机继续加权计算，得出服务和主机以及整个的网络的威胁指数，从而得出威胁态势的整体评估。在《层次化网络安全威胁态势量化评估方法》（软件学报）一文中，作者综合分析网络安全威胁态势，给出了具体的模型示意图，如图1所示。 　　图1中将威胁分层确定，以IDS的报警和漏洞信息为数据来源，综合网络资源的占用情况，发现各个中级提供的服务所存在的弱点，在攻击层统计分析攻击的频率、带宽占用率等信息，劲儿评估各项服务的安全状况。给出主机的安全状况，给出整体网络的态势。 　　对应服务、主机和网络，在威胁态势的量化方面有三个指标指数，通过是计算得出网络系统安全威胁态势图，如图2所示： 　　通过实验证实，层次化模型的运用确实能减少人工参与，自动化分析和筛选报警信息。层次化模型量化评估方法提供了随时间变化的态势演化，网管员可以通过态势图了解当前状况，为安全策略的调整提供参考。 　　2 多源信息融合 　　2.1 多源信息融合概念 　　在《信息融合理论的基本方法与进展》一文中给出了信息融合的定义：信息融合形式上是一种框架，该框架通过特定的数据方法和技术工具对多元信息继续组织、关联和综合，以得到有效信息。 　　在实际应用中，由于信息源来之不同的主体，并参杂着各种因素，所以实现多源信息融合需要合适的算法，使用何种算法直接决定了融合效率和收敛速度。目前这些算法有D-S证据理论、Choquet分发、神经网络等。 　　2.2时变D-S证据理论 　　该理论是由Dempste与1967年在《Upper and Low Probabilities Induced by a Multi-valued Mappomg》一文中提出。在该文中首次给出了不满足可加性的概率[3]。Dempste在《A generalization of Bayesian inference》中有进一步的探讨了统计推力的一般化问题。D-S证据理论在处理数据融合中有着很多优势：①可以通过积累证据不断的缩小假设的范围；②对因为随机和模糊产生的不确定性有较好的处理能力；③可以不需要条件概率和先验概率的密度。其中，最大优势就在于解决了不确定性计算的问题。 　　不同的传感器对威胁的检测精度也各不相同，因此需要对D-S证据理论给出的概率予以不同的加权：定义可得辨识框架[Θ=h，h]，得出幂集[2Θ=Φ，h，h，H]，[Φ]：将要发生的威胁；h：已经发生的威胁；[h]：未发生威胁；H：可能发生的威胁。传感器i的基本概率分配函数可以表示为：[mi（φ）=0]；[mi（h）]；[mi（h）]；[mi（H）=0]。基于D-S证据理论的多传感器融合过程如图3所示： 　　但经典的算法理论中存在一些缺陷，因为各传感器对威胁的发生的支持率随着人们对问题的认知深度而发生变化。为此解决此问题，该文提出了加入时间参数的方法。假设证据可行度按规律衰减，由此得出新的分配函数m： 　　在上述公式中，[ΔT]表示证据衰减速度，t0表示证据生成时间。 　　2.3 建立威胁评估模型 　　基于上文的公式推算建立评估模