基于信息融合的网络安全态势感知模型

基于信息融合的网络安全态势感知模型基于信息融合的网络安全态势感知模型王选宏�肖�云1(西安邮电学院通信工程系,西安710121;西北大学信息科学与技术学院1,西安710127)摘�要�在分析已有的安全态势评估和预测方法的基础上,提出了基于信息融合的网络安全态势感知模型。该模型采用D-S证据理论对多源网络安全数据进行融合,计算漏洞、服务、主机、网络的安全态势值。同时根据历史安全态势评估结果,利用支持向量回归理论对未来态势进行预测。相比已有的安全态势评估和预测方法,该模型的结构更加完整,结果更为准确有效。关键词�态势评估��预测��D�S证据理论��支持向量回归中图法分类号�TP393.08;����文献标志码�A2010年7月23日收到陕西省教育厅自然科学专项(08JK449)、西安邮电学院中青年科研基金项目(ZL2008�19)资助第一作者简介:王选宏(1977�),陕西武功人,工程师,硕士,研究方向:信号处理与信息安全。随着计算机网络的迅速发展,各种网络攻击事件不断发生,网络安全问题日益成为人们关注的焦点。防火墙、入侵检测系统(IDS)等安全设备每天都会产生海量的告警信息,这样使得网络管理员面对大量的告警信息很难了解系统的安全状况,不能及时采取合适的响应措施。因此如何真实、准确地对网络安全态势感知已经成为网络安全领域的一个研究热点。安全态势感知(securitysituationalawareness)是指通过技术手段从时间和空间纬度来感知并获取全相关元素,通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。近年来,态势评估技术开始在计算机网络领域得到应用,国内外的研究人员依据不同的技术思路,设计并实现了大量针对计算机网络的安全态势感知方法。TimBass提出了基于多传感器数据融合的入侵检测框架,并将该框架应用于下一代入侵检测系统和网络态势感知系统(NetworkSituationAwarenessSystem,NSAS),以实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenLau开发了TheSpinningCubeofPotentialDoom![2]系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络态势感知能力。SIFT[3](SecurityIncidentFusionTool)项目组设计开发一个安全事件融合工具的集成框架,已开发的Internet安全态势感知软件有:NVisio-nIP,VisFlowConnect-IP,UCLog+等。这些软件工具评估指标较为单一,对管理员经验水平要求也很高。目前国内的相关研究主要是围绕网络安全态势评估、大规模网络预警等来开展的。西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台[4,5],该系统实现了态势评估。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统[6],由网络安全风险状态评估和网络威胁发展趋势预测两部分组成,用于评估网络设备及结构的脆弱性、安全威胁水平等。胡华平等人[7]提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。上海交通大学和哈尔滨工程大学分别以RBF[8]和GA�BPNN[9]神经网络的方式来实现态势值的预测,给出了态势预测问题的一个初步解决方案的探讨。韦勇等给出了基于信息融合的网络安全评估模型[10],D�S证据理论和时间序列分析法进行态势评估与预测。以上方法为网络安全态势评估工作提供了可行的解决思路,为评估模型及算法的研究奠定了良好的基础,但也普遍存在着一些技术缺陷。例如,缺乏对网络安全因素的全面考虑,评估数据源单一,使得评估结果缺乏全面性;忽略了数据源之间的互补性和冗余性等内在联系,使得评估结果不够准确;所采用的量化算法存在一定缺陷,导致量化结果与实际结果出现偏差;另外,这些方法无法对安全状况的发展趋势进行准确的预测分析。针对上述问题,本文提出了基于信息融合的网络安全态势感知模型,利用D-S证据理论将多数据源态势信息进行融合,获得多粒度的网络安全态势评估结果,评估对象为漏洞-服务-主机-网络,并绘制出各级对象的态势曲线图;根据获得历史网络安全态势值,使用支持向量回归理论对未来单位时间的安全态势值进行有效预测,从而实现网络安全态势的评估和趋势预测。1基于信息融合的网络安全态势感知模型本文以多源网络安全信息为基本的数据对象,以信息融合的知识和方法为理论指导,建立如图1所示的层次化的网络安全态势感知模型。该模型从功能上自下而上分为三个层次,分别为多源信息层,网络安全态势评估层,和网络安全态势预测层。在多源信息层,可通过不同的数据接入方式,如专门的代理接口等,获取多源网络信息,包括:(1)网络拓扑信息IT,即网络所有物理链接关系集合;(2)主机信息IH,即包括主机权重wH,主机漏洞VH和漏洞静态严重性Vs组成的二元组(VH,Vs),服务SH和服务权重wS组成的二元组(SH,wS);(3)报警信息IA,即对多个入侵检测系统产生的原始报警信息进行预处理,包括剔除无效时间戳报警;合并多个检测器对同一攻击的重复报警;主机报警按照是否存在相应漏洞的原则进行剔除或保留。在网络安全态势评估层,首先使用D�S证据理论对多源信息进行融合处理,得到漏洞评估结果;其次考虑主机上存在的某项服务及其对应的漏洞集,采用求和法获得服务评估结果;再次考虑主机上存在的各项服务及其权重,采用加权求和法获得主机评估结果;最后考虑网络内各主机的权重,采用加权求和法得到网络安全评估结果。在网络安全态势预测层,根据历史态势评估结果,采用支持向量回归理论得到未来单位时间内的态势预测结果。2基于D-S证据理论的网络安全态势评估算法证据理论是由Dempster在1967年首先提出的,1976年Shafer对Dempster的理论进行了扩充,在此基础上形成了一种处理不确定性问题的工具。因此,证据理论又称为Dempser-Shafer理论,简称D-S证据理论或证据理论[11]。本文以CERT的漏洞静态严重性分值和入侵检测系统的报警统计数据作为证据,利用D-S证据理论融合后获得漏洞态势值,然后考虑主机存在的服务以及服务的权重获得服务安全态势和主机安全态势值,最后根据主机的安全态势值及权重获得网络安全态势值。针对主机Hi的某一漏洞Vi,先对漏洞静态严重性证据和报警统计信息证据进行归一化处理。从漏洞数据库查询到漏洞Vi的静态严重性分值,得到漏洞静态严重性证据Svi:(1)式(1)中,SSi表示漏洞Vi的静态严重性分值,0≦SSi≦180。从报警数据库中获得主机Hi使用漏洞Vi的报警统计信息,获得报警统计信息证据AVi:AVi=Nai/NaaX100%(2)式(2)中,NAi表示单位时间内主机Hi上被利用漏洞Vi进行攻击后产生的报警数目,其中的单位时间可根据需要取小时、天、月等;NAa表示单位间内主机Hi上被利用漏洞进行攻击后产生的报警总数目。定义识别框架○={safe,unsafe},其中safe表示在漏洞Vi存在的前提下计算机系统的安全状态,而unsafe表示在漏洞Vi存在的前提下计算机系统的不安全状态。相应的基本可信度分配函数为m1(safe)=1-AVim1(unsafe)=AVim2(safe)=1-SVim2(unsafe)=SVi(3)经过证据合成,m(unsafe)计算公式如式(4)。m(unsafe)=AviSVi/((1-AVi)(1-SVi)+AviSVi)(4)显然m(unsafe)的值越大,系统越不安全,漏洞Vi的态势值应该越高。因此漏洞Vi的态势值EVi可直接用m(unsafe)获取,即有EVi=m(unsafe)×100%(5)基于D-S证据理论的网络安全态势评估方法的步骤归纳如下:Step1对待测主机Hi的某一漏洞Vi到漏洞数据库中查询出所对应的静态严重性分值,并按照式(1)进行归一化处理。Step2读取报警数据库中的报警统计信息,并按照式(2)进行归一化处理。Step3按照式(4)和式(5)计算漏洞Vi的态势值EVi。Step4按照式(6)式获得服务Si安全态势值ESi:式(6)中,Vi∈Si表示服务Si所对应的漏洞集合。Step5按照式(7)获得主机Hi安全态势值EHi:式(7)中,Si∈Hi表示主机Hi所存在的服务集合。Step6按照式(8)获得网络安全态势值E:式(8)中,Hi∈N表示网络N所存在的主机集合。3基于支持向量机的网络安全态势预测算法支持向量机(SupportVectorMachine,SVM)是数据挖掘中的一项新技术,是借助于最优化方法解决机器学习问题的新工具。SVM理论最初于20世纪90年代由Vapnik提出,近年的研究取得了很大进展,在模式识别、时间序列预测、概率密度估计等领域得到了广泛的应用。使用支持向量回归理论[12]对安全态势进行预测,即对于历史安全态势值所构成的样本,考虑先前值对未来值的影响,利用前n�1时间单位(时间单位可选月,天和小时)的历史值作为训练样本,形成动态预测模型,再用模型对下一个单位时间的态势值进行预测。模型选用支持向量回归算法��SVR,核函数选择RBF核函数,实验参数中不敏感损失函数�、惩罚系数C、核函数参数对模型的学习精度和推广能力的好坏起着决定性作用。基于支持向量机的网络安全态势预测算法归纳如下:Step1选择预测对象:服务、主机或网络,根据第2节所获得安全态势值,构造相应的安全态势值样本{S1,S2,…,Sn}。Step2利用前n-1个态势值作为训练样本,并选择合适的实验参数获得训练模型。Step3利用预测模型得到第n个态势预测值Sn。Step4计算多次预测结果的均方误差,评估预测结果的准确性。4结论本文在分析网络安全态势感知研究现状的基础上,提出了一个基于信息融合的网络安全态势感知模型,该模型综合考虑多源网络安全信息,利用D-S证据理论获得网络安全态势评估结果,评估对象为漏洞、服务、主机、网络;利用支持向量回归理论获取未来一个单位时间内网络安全态势值。本文所提出的基于信息融合的网络安全态势感知模型各部分的功能已基本实现,并且在实验室测试环境中可进行准确的评估和预测,取得了预期的效果。下一步的工作包括大流量环境下全面的功能测试,算法的进一步的完善等。参�考�文�献1�BassT.Intrusiondetectionsystemsandmultisensordatafusion:crea�tingcyberspacesituationalawareness.CommunicationsoftheACM,2000;43(4):99�1052�LauS.Thespinningcubeofpotentialdoom.CommunicationsoftheACM,2004;47(6):25�263�YurcikW.VisualizingNetFlowsforsecurityatlinespeed:theSIFTtoolsuite.Proceedingsofthe19thUsenixLargeInstallationSystemAd-ministrationConference(LISA),SanDiego,CAUSA,Dec,2005;169�1764�张慧敏,钱亦萍,郑庆华,等.集成化网络安全监控平台的研究与实现.通信学报,2003;24(7):155�1635�陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法.软件学报,2006;17(4):885�8976�北京理工大学信息安全与对抗技术研究中心.网络安全态势评估系统技术白皮书.网络安全态势评估系统技术白皮书2.doc,20057�胡华平,张�怡,陈海涛,等.面向大规模网络的入侵检测与预警系统研究.国防科技大学学报,2003;25(1):21�258�任�伟,蒋兴浩,锬�锋.基于RBF神经网络的网络安全态势预测方法.计算机工程与应用,20