郭佳

摘 要：網(wǎng)絡(luò)安全態(tài)勢感知研究對于增強(qiáng)網(wǎng)絡(luò)的安全監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測網(wǎng)絡(luò)安全的態(tài)勢發(fā)展具有重要的作用。本文旨在介紹幾種基于數(shù)學(xué)模型的態(tài)勢感知系統(tǒng)，并針對不同的網(wǎng)絡(luò)環(huán)境進(jìn)行應(yīng)用，講解不同的算法以及各種模型的態(tài)勢感知優(yōu)缺點(diǎn)，并對不同數(shù)學(xué)模型的態(tài)勢感知系統(tǒng)選擇提供建議。

關(guān)鍵詞：態(tài)勢感知；數(shù)學(xué)模型；網(wǎng)絡(luò)安全；態(tài)勢預(yù)測

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

0.引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，各種新型的網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全的問題成為計(jì)算機(jī)網(wǎng)絡(luò)使用者和管理員們高度關(guān)注的問題。由于各行各業(yè)活動都開始線上線下共同發(fā)展，因而網(wǎng)絡(luò)作為現(xiàn)代人們活動的主要場所，其安全性也成為了現(xiàn)代社會關(guān)注的焦點(diǎn)問題之一。由于網(wǎng)絡(luò)信息交流主要依賴于數(shù)字化信息，而數(shù)字信息容易受到攻擊，而被破壞盜用，引發(fā)諸多不安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全防御措施，如：查看安全日志、添加和配置網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器訪問控制列表、IDS等）無法全局地分析網(wǎng)絡(luò)的安全狀況和預(yù)測網(wǎng)絡(luò)安全的態(tài)勢發(fā)展。網(wǎng)絡(luò)安全技術(shù)也在不斷變革，從傳統(tǒng)的入侵檢測、入侵防御到入侵容忍、可生存性研究等。

網(wǎng)絡(luò)安全態(tài)勢是一種通過現(xiàn)有的網(wǎng)絡(luò)信息進(jìn)行實(shí)施評估系統(tǒng)安全的研究領(lǐng)域，通過對信息的分析，為網(wǎng)絡(luò)管理員的操作提供依據(jù)，避免即將到來的網(wǎng)絡(luò)不安因素和風(fēng)險(xiǎn)，將損失降到最低，安全態(tài)勢評估準(zhǔn)確性提高，可以為網(wǎng)絡(luò)管理員決策提供更加有力的信息支持。

網(wǎng)絡(luò)安全態(tài)勢感知NSSA（network security situ-ation awareness）是目前的研究熱點(diǎn)，它能實(shí)時感知安全風(fēng)險(xiǎn)，使安全分析員可以掌握網(wǎng)絡(luò)安全狀況，從而為準(zhǔn)確決策提供可靠依據(jù)，將安全事件帶來的風(fēng)險(xiǎn)和損失降低到最低限度。網(wǎng)絡(luò)安全態(tài)勢感知通過分析威脅傳播對網(wǎng)絡(luò)系統(tǒng)的影響，對系統(tǒng)的安全性進(jìn)行全面、準(zhǔn)確地評估，并提供出對應(yīng)的系統(tǒng)加固方法，通過不同的數(shù)據(jù)模型進(jìn)行相關(guān)算法的優(yōu)化分析，有效地抑制威脅的擴(kuò)散。

1.基于時空維度分析的網(wǎng)絡(luò)安全態(tài)勢感知

空間數(shù)據(jù)發(fā)覺理論是針對實(shí)體的幾何形狀、物理位置、拓?fù)浣Y(jié)構(gòu)、維度等進(jìn)行研究的空間特性的理論和方法，早期主要應(yīng)用于環(huán)境研究、地理信息系統(tǒng)、交通控制、醫(yī)學(xué)影像識別等領(lǐng)域。后來，由于具有空間特性的網(wǎng)絡(luò)數(shù)據(jù)也逐漸被引用到網(wǎng)絡(luò)安全領(lǐng)域中了。

基于時間維度分析的網(wǎng)絡(luò)安全態(tài)勢模型對已經(jīng)出現(xiàn)的攻擊序列Asi進(jìn)行攻擊追蹤分析，在攻已成功實(shí)施攻擊的情況下，不存在繼續(xù)被攻擊序列利用的脆弱性，所以該攻擊序列不會再發(fā)生變化；其次，對已攻擊序列進(jìn)行時間序列的分析，由于時空維度模型（ARMA）在安全態(tài)勢領(lǐng)域的預(yù)測結(jié)果誤差較小，所以選用ARMA模型進(jìn)行分析。ARMA模型首先進(jìn)行平穩(wěn)性檢測。

基于時空維度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)體系中的進(jìn)攻方、防御方、環(huán)境三方進(jìn)行安全態(tài)勢的要素集收集，然后在時空維度上進(jìn)行對未來各個時間段內(nèi)的網(wǎng)絡(luò)安全態(tài)勢要素集的預(yù)測，并根據(jù)要素集之間的關(guān)聯(lián)性在空間維度模型上進(jìn)行數(shù)據(jù)發(fā)掘計(jì)算網(wǎng)絡(luò)的安全態(tài)勢。最后利用公用數(shù)據(jù)集DARPA進(jìn)行結(jié)果驗(yàn)證，證明基于時間維度的感知模型是可以提高安全態(tài)勢的預(yù)測能力的。

2.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知

傳統(tǒng)認(rèn)知態(tài)勢感知的核心是對態(tài)勢量化進(jìn)行評估。我們首先要對數(shù)據(jù)進(jìn)行采集，將其中檢測出的安全類數(shù)據(jù)進(jìn)行融合并進(jìn)行歸類，如：威脅集合、信息集合、脆弱性集合和網(wǎng)絡(luò)架構(gòu)等信息。將這部分?jǐn)?shù)據(jù)進(jìn)行格式規(guī)范化并保存在數(shù)據(jù)庫中，這樣就可以進(jìn)行數(shù)據(jù)地實(shí)時操作了；其次，對集合中的每個威脅元素建立TPN；并對用戶、管理者、威脅進(jìn)行Markov模型的博弈分析，評估單個威脅的保密性態(tài)勢以此來給出優(yōu)化的系統(tǒng)加固方案；最終，對威脅集合中的保密性態(tài)勢進(jìn)行綜合分析進(jìn)而評估系統(tǒng)的保密性安全態(tài)勢；同理，我們可以評估系統(tǒng)的可用性態(tài)勢和完整性態(tài)勢。針對不同的網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境和需求，對系統(tǒng)的完整性、保密性、安全性、可用性態(tài)勢加權(quán)，以此評估整個系統(tǒng)當(dāng)前的安全態(tài)勢情況。

系統(tǒng)在不同的時間段內(nèi)安全態(tài)勢是相互關(guān)聯(lián)的，態(tài)勢預(yù)測模塊以態(tài)勢評估結(jié)果為基礎(chǔ)。我們可以利用此種相關(guān)聯(lián)的態(tài)勢變化規(guī)律結(jié)果進(jìn)行分析和預(yù)測。

Markov博弈模型通過態(tài)勢評估將資產(chǎn)、威脅、脆弱性之間的關(guān)系進(jìn)行了詳細(xì)地描述，評估結(jié)果準(zhǔn)確、全面、具有科學(xué)客觀性，為管理者提供的系統(tǒng)加固方案能很好地針對具體的某個威脅找到其路徑和節(jié)點(diǎn)，有效地提供了系統(tǒng)安全性、抑制了威脅的擴(kuò)散。

3.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知

BP神經(jīng)網(wǎng)絡(luò)模型的并行處理能力，自適應(yīng)性相對較強(qiáng)，因而靈活性相對較高，能夠利用任意精度處理函數(shù)關(guān)系。除此之外，由于不確定的非線性態(tài)勢值，傳統(tǒng)模型的預(yù)測結(jié)果誤差相對較大。RBF網(wǎng)絡(luò)在對復(fù)雜系統(tǒng)的描述中，可以進(jìn)行非線性系統(tǒng)描述，因而在網(wǎng)絡(luò)安全預(yù)測中可以發(fā)揮巨大的作用，因此神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化可以通過遺傳算法進(jìn)行。

RBF態(tài)勢預(yù)測模型最主要進(jìn)行基函數(shù)中心、寬度的計(jì)算以及隱節(jié)點(diǎn)數(shù)目和隱層的計(jì)算，從而降低預(yù)測誤差，建立相對精確到網(wǎng)絡(luò)。遺傳算法的全局搜索性相對較高，因而局部極值出現(xiàn)的可能性有效降低，基于這一點(diǎn)，RBF網(wǎng)絡(luò)利用遺傳算法可以有效優(yōu)化參數(shù)、結(jié)構(gòu)。

基于BP神經(jīng)網(wǎng)絡(luò)評估模型，引入了遺傳算法，對網(wǎng)絡(luò)態(tài)勢預(yù)測相關(guān)參數(shù)進(jìn)行有效優(yōu)化，從而提高態(tài)勢預(yù)測的準(zhǔn)確性、有效性。

結(jié)語

本文綜述了3種基于數(shù)學(xué)模型建立的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)安全態(tài)勢感知的預(yù)測、發(fā)現(xiàn)、解決、系統(tǒng)的加固給出了具體的方法，針對不同算法的優(yōu)化進(jìn)行了簡要的描述。在實(shí)際網(wǎng)絡(luò)應(yīng)用中應(yīng)根據(jù)不同的情況進(jìn)行感知系統(tǒng)的選擇。

參考文獻(xiàn)

[1]張勇.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].軟件學(xué)報(bào)，2011，22（3）：495-508.

[2]韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計(jì)算機(jī)研究與發(fā)展，2009（3）：393.

[3]劉玉嶺.基于時空維度分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].計(jì)算機(jī)研究與發(fā)展，2014，51（8）：187-189.