童 菲 朱詩兵

（中國人民解放軍裝備學(xué)院 中國 北京 101416）

0 引言

信息技術(shù)的發(fā)展，使計算機網(wǎng)絡(luò)在很多領(lǐng)域得到了廣泛應(yīng)用，但網(wǎng)絡(luò)的安全性卻令人擔(dān)憂。 近年來，隨著網(wǎng)絡(luò)規(guī)模的增大，復(fù)雜程度的增強，由計算機系統(tǒng)遭到破壞所造成的損失急劇上升，計算機網(wǎng)絡(luò)存在極大的風(fēng)險。 為了更有效的管理網(wǎng)絡(luò)，多種安全設(shè)備被布署在網(wǎng)絡(luò)中，構(gòu)成了網(wǎng)絡(luò)中的多信息源，通過采用信息融合技術(shù)，可以提高單個安全設(shè)備的性能，增強整個網(wǎng)絡(luò)的可靠性，更好地維護(hù)信息系統(tǒng)的安全。

1 信息融合技術(shù)

1.1 信息融合的概念

信息融合一詞最早出現(xiàn)在七十年代末期， 在軍事C3I 系統(tǒng)中被首先提出，由于信息融合涉及的內(nèi)容具有廣泛性和多樣性，并且在不同時期所賦予的含義又不盡相同，因此，信息融合的定義可以概括為：充分利用不同時間和空間的多傳感器信息資源，采用計算機技術(shù)對按時序獲得的若干傳感器的觀測信息在一定準(zhǔn)則下加以自動分析、優(yōu)化綜合以完成所需的決策和估計任務(wù)而進(jìn)行的信息處理過程[1]。

1.2 信息融合的方法

信息融合作為一種對數(shù)據(jù)資源進(jìn)行綜合處理的技術(shù)，已成功的應(yīng)用于眾多研究領(lǐng)域，具體的融合方法很多，應(yīng)用在網(wǎng)絡(luò)安全方面的主要有：

1.2.1 D-S 證據(jù)理論：將待分析的問題或者命題分解為各個子問題、子命題，分別對各子問題、子命題單獨進(jìn)行相應(yīng)的處理，然后應(yīng)用Dempster 合成規(guī)則實現(xiàn)信息的融合，再按照決策規(guī)則得到處理結(jié)果。

1.2.2 模糊集理論：基本思想是把普通集合中的絕對隸屬關(guān)系靈活化，使元素對集合的隸屬度從原來能取{0，1}中的值擴(kuò)充到可以取[0，1]區(qū)間的任一數(shù)值，因此很適合用來對傳感器信息的不確定性進(jìn)行描述和處理。

1.2.3 粗糙集理論：是一種研究不完整數(shù)據(jù)和不確定性知識的強有力的數(shù)學(xué)工具，其優(yōu)點是不需要預(yù)先給定檢測對象的某些屬性或特征的數(shù)學(xué)描述，而是直接從給定問題的知識分類出發(fā)，通過不可分辨關(guān)系和不可分辨類確定對象的知識約簡，導(dǎo)出問題的決策規(guī)則。

1.2.4 神經(jīng)網(wǎng)絡(luò)法： 神經(jīng)網(wǎng)絡(luò)具有較強的容錯性和自組織、自學(xué)習(xí)、自適應(yīng)能力，能夠?qū)崿F(xiàn)復(fù)雜的映射。 神經(jīng)網(wǎng)絡(luò)的優(yōu)越性和強大的非線性處理能力，能夠很好的滿足多傳感器信息融合技術(shù)的要求。

2 信息融合技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

表1 傳統(tǒng)技術(shù)措施的優(yōu)點和不足

2.1 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)措施和不足

為了實現(xiàn)計算機網(wǎng)絡(luò)的安全性， 針對網(wǎng)絡(luò)帶來的威脅，目前國內(nèi)外采取的技術(shù)措施主要有：防火墻技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、反病毒技術(shù)等[2]。 這些措施在一定程度上保護(hù)了網(wǎng)絡(luò)的安全，但仍存在不足，具體分析見表1。

2.2 信息融合技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

2.2.1 將信息融合應(yīng)用到網(wǎng)絡(luò)安全中的必要性

目前，信息融合技術(shù)已成為國內(nèi)外學(xué)者在網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點之一，只有充分發(fā)揮信息融合的優(yōu)勢，才能使決策者有所依據(jù)，才能使網(wǎng)絡(luò)防御更加主動。

（1）單一功能的網(wǎng)絡(luò)安全設(shè)備已無法應(yīng)對眾多復(fù)雜多變的網(wǎng)絡(luò)攻擊。 比如單獨在網(wǎng)絡(luò)中配置防火墻，它不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊；基于病毒碼的防病毒軟件無法及時識別新的蠕蟲攻擊；入侵檢測系統(tǒng)易產(chǎn)生誤報，易受拒絕服務(wù)攻擊。 此時，網(wǎng)絡(luò)管理員只能孤立地對網(wǎng)絡(luò)安全設(shè)備所產(chǎn)生的報警事件進(jìn)行分析和處理，而無法對網(wǎng)絡(luò)的總體安全狀況做出合理的分析與判斷。

（2）海量信息呼吁更加有效便捷地處理方法和管理平臺。為了應(yīng)對各種網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)中配置了多種安全設(shè)備，但這些安全設(shè)備會產(chǎn)生大量的、不確定的、具有不同形式的安全信息，這些海量信息使網(wǎng)絡(luò)管理人員無法對網(wǎng)絡(luò)的安全性進(jìn)行有效分析， 且對各種安全設(shè)備的配置和管理太過繁瑣，這使得整個網(wǎng)絡(luò)系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理領(lǐng)域的研究難點。

（3）網(wǎng)絡(luò)攻擊手段的融合推動了網(wǎng)絡(luò)安全防御技術(shù)的融合。 隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，網(wǎng)絡(luò)受到的攻擊往往采用的是多步驟、多層次的攻擊方法，只有將網(wǎng)絡(luò)安全防御技術(shù)有效融合，才能共同對抗網(wǎng)絡(luò)威脅，提高對網(wǎng)絡(luò)安全事件的綜合分析處理能力。

2.2.2 將信息融合應(yīng)用到網(wǎng)絡(luò)安全中的可行性

伴隨著網(wǎng)絡(luò)攻擊的復(fù)雜化， 網(wǎng)絡(luò)安全技術(shù)也在不斷發(fā)展， 這為信息融合的加入奠定了較好的技術(shù)和應(yīng)用基礎(chǔ)，信息融合技術(shù)將為網(wǎng)絡(luò)安全聯(lián)動、事前預(yù)警、評估分析提供手段，其應(yīng)用也是可行的。

（1）信息融合技術(shù)的應(yīng)用將克服單個網(wǎng)絡(luò)安全設(shè)備的不確定和局限性，提高整個網(wǎng)絡(luò)的有效性能，全面準(zhǔn)確地描述網(wǎng)絡(luò)狀態(tài)。

（2）信息融合技術(shù)的應(yīng)用將增加網(wǎng)絡(luò)安全設(shè)備的可信度，可有效提高所得結(jié)論正確性的概率。

（3）信息融合技術(shù)的應(yīng)用將減少網(wǎng)絡(luò)安全信息的模糊程度，降低所處理安全事件的不確定性。

（4）信息融合技術(shù)的應(yīng)用將提升整個網(wǎng)絡(luò)的檢測能力，利用多個網(wǎng)絡(luò)安全設(shè)備的檢測信息和安全事件進(jìn)行綜合處理與評判，可提高網(wǎng)絡(luò)有效信息的發(fā)現(xiàn)概率。

2.2.3 信息融合在網(wǎng)絡(luò)安全中的應(yīng)用

隨著科技的發(fā)展，網(wǎng)絡(luò)“攻”與“防”的博弈不斷升級，單一網(wǎng)絡(luò)安全設(shè)備已不能應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)威脅的挑戰(zhàn)，信息融合與網(wǎng)絡(luò)安全的結(jié)合給國內(nèi)外學(xué)者帶來新的希望。 目前， 信息融合在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)有了一定應(yīng)用，Jason Shifflet 在文獻(xiàn)[5]指出利用數(shù)據(jù)融合可實現(xiàn)異質(zhì)數(shù)據(jù)的集中和關(guān)聯(lián)，并指出要建立一個能反映當(dāng)前網(wǎng)絡(luò)態(tài)勢的模型必須要有某種形式的數(shù)據(jù)融合；Salerno 和M.Hinman 等也深入分析和研究了數(shù)據(jù)融合和態(tài)勢感知兩個概念模型，構(gòu)建了態(tài)勢感知的一般框架，并驗證了將數(shù)據(jù)融合用于態(tài)勢感知能更好地獲取網(wǎng)絡(luò)安全態(tài)勢，并能對未來決策提供有力支持[6]；文獻(xiàn)[7]利用粗糙集理論屬性重要性度量的思想，對構(gòu)成網(wǎng)絡(luò)安全態(tài)勢的基本單位—態(tài)勢要素進(jìn)行了安全重要性權(quán)重的計算，在此基礎(chǔ)上，實現(xiàn)了對網(wǎng)絡(luò)安全態(tài)勢的定量計算；文獻(xiàn)[8]引用DS 證據(jù)理論對某一主機上的多源攻擊數(shù)據(jù)進(jìn)行融合分析，并量化出具體的風(fēng)險值，通過分析得出網(wǎng)絡(luò)的整體風(fēng)險，從而幫助網(wǎng)絡(luò)管理人員從整體上把握一段時間內(nèi)的網(wǎng)絡(luò)的風(fēng)險狀況。

雖然信息融合的很多理論和技術(shù)方法在網(wǎng)絡(luò)安全中得到了一定的研究和應(yīng)用，但在總體設(shè)計和方案選擇等方面仍有可提高之處。

（1）在信息融合方法的選擇上，可以將兩種或多種方法相結(jié)合，克服單一理論的誤差，提高結(jié)果的正確率。

（2）在具體應(yīng)用模型的選擇上，多數(shù)只是針對某一種網(wǎng)絡(luò)安全問題（如漏洞的檢測）所提出，對于網(wǎng)絡(luò)整體安全狀況的研究，基本上沒有涉及到。

（3）在網(wǎng)絡(luò)安全中的具體應(yīng)用上，應(yīng)通過不斷訓(xùn)練和完善，降低主觀因素的影響，使融合結(jié)果對網(wǎng)絡(luò)環(huán)境的變化和攻擊手段的演變具備適應(yīng)性， 實時反映安全威脅和風(fēng)險狀況。

3 結(jié)束語

隨著科技的發(fā)展與創(chuàng)新，信息融合技術(shù)將能更好地應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，使功能各異的安全設(shè)備充分發(fā)揮各自的作用，為網(wǎng)絡(luò)安全聯(lián)動、評估分析提供手段，為決策者提供依據(jù)，起到1+1>2 的保護(hù)作用，最終實現(xiàn)單機—區(qū)域網(wǎng)—整個網(wǎng)絡(luò)安全性能的提高。

［1］彭冬亮.多傳感器多源信息融合理論及應(yīng)用[M].北京:科學(xué)出版社，2010.

［2］研究報告：軍隊院校信息安全保障體系與機制研究[R].2010.

［3］胡道元，閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2004.

［4］趙宗貴.信息融合技術(shù)現(xiàn)狀、概念與結(jié)構(gòu)模型[J].中國電子科學(xué)研究院學(xué)報，2006，1（4）:305－312.

［5］Jason Shifflet.A Technique Independent Fusion Model for Network Intrusion Deteetion. Proeeedings of the Midstates Conference on Undergraduate Researeh in Computer Seience and Math ematies,University of Denison,2005.America:Denison University Pr,2003（1）:13－19.

［6］J.Salerno,M.Hinman, D.Boulware.Building A Framework ForSituation Awareness.http://www.fusion 2004.foi.se/papers/IF04－0219.pdf.

［7］梁穎.基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢定量感知方法研究[D].哈爾濱:哈爾濱工程大學(xué)，2006.

［8］郭俊穎.基于多源數(shù)據(jù)融合的網(wǎng)絡(luò)風(fēng)險評估研究[D].武漢:華中師范大學(xué)，2010.