基于因子加权网络安全态势感知方法.docVIP

基于因子加权网络安全态势感知方法 　　摘要：针对目前安全态势感知（SA）范围局限、信息来源单一、时空复杂度较高且准确性偏差较大等问题，提出了一个全方位因子加权感知网络安全态势框架，充分考虑了多信息源与多层次异构信息融合，从整体动态上展示出网络当前安全状况，准确地反映了网络安全态势。最后利用网络实例数据，对所提出的因子加权的网络安全态势感知模型和算法进行了验证，实验结果表明了所提方法的正确性。 　　关键词：多源信息；信息融合；加权因子；安全态势感知 　　中图分类号： TP311 文献标志码：A 　　Abstract：Concerning the problem of present network security Situation Awareness （SA） that scope is limited， time and space complexity is high with the issues of single source information and accuracy deflection， a framework of network security situational awareness with comprehensive factor weighted factor was presented. It fully considered the multiplesource and multilevel heterogeneous information fusion， thus displayed the network current security situation overall and reflected it accurately. Finally from instance data of network， the proposed model and algorithm of weighted factor network security situational awareness were verified， and the experimental results showed the validity of the proposed method. 　　Key words： multisource information； information fusion； weighted factor； security Situation Awareness （SA） 　　0 引言 　　随着Internet的普及与发展，人们对网络的依赖越来越严重，然而网络攻击手段日趋多元化，安全问题日益突出，安全漏洞和安全事件随之大幅度增加，主要表现为网络入侵与攻击正朝着分布化、协同化、规模化、复杂化与间接化等趋势发展。传统的网络安全设备（如入侵检测系统（Intrusion Detection Systems，IDS）、防火墙（Firewall）、安全扫描器等）基本上处于独立的工作状态，信息之间基本没什么关联性，对于所保护的网络资源的状态没有共同认知。而这种认知上的脱节大大地延迟了管理员所作出判断的时间，贻误了处理威胁的最佳时机。为了帮助网管人员尽快对所监管网络的情况有一个清楚全局的认知，需对网络安全态势进行感知，对网络状况有一个整体认识，及时作出相应的决策，解决网络安全问题。 　　态势感知（Situation Awareness， SA）源自于航天飞行中对人因研究，此后在军事战场、核反应控制系统、空中交通监管以及医疗应急调度等领域中被广泛应用与研究。1999年， Bass[1]首次提出了网络态势感知（Cyberspace Situation Awareness， CSA）的概念，并指出“基于融合的网络态势感知”将成为网络管理的发展方向。态势强调环境、动态性以及实体之间的联系，是一种状态、一种趋势、一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。态势感知之所以目前成为一项热门研究课题，是因为在动态复杂的网络环境中，决策者需要借助于态势感知工具掌握全局变化规律，才能作出正确的决策。 　　目前，对网络安全态势感知还未能给出一个统一、全面的定义。网络安全态势感知主要是提取网络中与安全相关联的要素分析、理解整个网络安全状态，并且预测未来网络安全态势发展方向。它的研究重点在于各种复杂信息的高效组织与整体评估，目的是缩短从获得到信息到作出决策之前的时间，主要应用信息融合技术处理包括入侵检测日志、防火墙日志、病毒日志、网络扫描、非法外联、设备运行状态和实时报警在内的多源异质观测数据。 　　传统的网络安全态势感知为安全管理员的分析提供诸多便利，但大多是基于对系统日志的分析