戴祥華 張?zhí)K炯

一、數(shù)據(jù)融合技術(shù)的特點(diǎn)

（一）數(shù)據(jù)融合技術(shù)的發(fā)展概況

數(shù)據(jù)融合技術(shù)是一種先進(jìn)的技術(shù)，起源于軍事領(lǐng)域，可以實(shí)現(xiàn)對各種數(shù)據(jù)的檢測、分析以及整合工作，并得出系統(tǒng)的安全態(tài)勢評估結(jié)果。我國已經(jīng)研制出多種數(shù)據(jù)融合技術(shù)，如多航管雷達(dá)數(shù)據(jù)融合系統(tǒng)與圖像數(shù)據(jù)融合技術(shù)。但是，目前數(shù)據(jù)融合技術(shù)還不夠完善，主要表現(xiàn)在實(shí)際應(yīng)用模型技術(shù)仍存在著一定的滯后性，需要在后期工作中不斷完善與改進(jìn)。

根據(jù)抽象層次進(jìn)行區(qū)分，可以將數(shù)據(jù)融合技術(shù)分為3個等級：數(shù)據(jù)級、特征級和決策級。數(shù)據(jù)級是層次最低的數(shù)據(jù)融合技術(shù)，通常被應(yīng)用于處理原始圖像信息中。特征級融合技術(shù)級別高于數(shù)據(jù)級融合技術(shù)，通過數(shù)據(jù)級的融合技術(shù)可以在所有的原始信息中提取出有效的信息，帶有特征的信息即為有效信息，將信息準(zhǔn)確提取出來后便可以實(shí)現(xiàn)信息的統(tǒng)一處理，得出的結(jié)果為最后的決策結(jié)果提供了重要依據(jù)。決策級是層次最高的數(shù)據(jù)融合技術(shù)，主要用來處理具體的決策問題。在安全態(tài)勢感知工作中，特征級的融合技術(shù)應(yīng)用最廣泛，其中常用的技術(shù)有表決法等算法、神經(jīng)網(wǎng)絡(luò)以及D-S證據(jù)理論等。

（二）安全態(tài)勢感知下數(shù)據(jù)融合技術(shù)的應(yīng)用概況

技術(shù)指標(biāo)包含多方面內(nèi)容，主要有網(wǎng)絡(luò)攻擊次數(shù)和僵尸網(wǎng)絡(luò)的規(guī)模等。資金指標(biāo)包含網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失量和在網(wǎng)絡(luò)安全防御系統(tǒng)上的資金投入等。網(wǎng)絡(luò)安全態(tài)勢感知是一項(xiàng)復(fù)雜性較高的工作，由專門的管理人員負(fù)責(zé)，并借助相關(guān)的技術(shù)指標(biāo)，科學(xué)有效地進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的評估。此外需要與現(xiàn)實(shí)情況相結(jié)合，采用多種數(shù)據(jù)融合算法，完成網(wǎng)絡(luò)安全態(tài)勢的分析工作。常用的數(shù)據(jù)融合算法有層次分析模型、模糊集理論以及D-S證據(jù)理論等。為了提高數(shù)據(jù)結(jié)果的準(zhǔn)確性，可以單獨(dú)使用某一算法或者多種算法結(jié)合使用。但是，目前國際上數(shù)據(jù)融合技術(shù)大多還不成熟，處于實(shí)驗(yàn)研究階段，仍需要進(jìn)一步研究和改善。我國接觸數(shù)據(jù)決策管理理念較晚，與發(fā)達(dá)國家還有較大差距，所得出的數(shù)據(jù)目前只能起到輔助決策作用。

二、數(shù)據(jù)融合技術(shù)的特點(diǎn)網(wǎng)絡(luò)安全態(tài)勢感知過程中數(shù)據(jù)融合的應(yīng)用過程

（一）安全數(shù)據(jù)采集

進(jìn)行安全數(shù)據(jù)的采集是安全態(tài)勢感知工作的首要步驟。安全數(shù)據(jù)的來源主要可以分為三類：第一類是安全設(shè)備中得出的數(shù)據(jù)，可以從防火墻、4A系統(tǒng)以及流量采集器等設(shè)備中產(chǎn)生一些安全數(shù)據(jù)信息；第二類是在運(yùn)行和維護(hù)過程中產(chǎn)生的數(shù)據(jù)，可以得出故障處理記錄和風(fēng)險評估記錄等數(shù)據(jù)信息；第三類是外部攻擊數(shù)據(jù)，主要指攻擊方式和特點(diǎn)、攻擊的漏洞等數(shù)據(jù)。

（二）對數(shù)據(jù)進(jìn)行預(yù)處理

通過數(shù)據(jù)采集可以得到一些安全數(shù)據(jù)，這些都是非結(jié)構(gòu)化數(shù)據(jù)，有著價值密度低的共同特點(diǎn)。因此須事先做必要處理，才可以對有價值的數(shù)據(jù)進(jìn)行有效識別和修復(fù)，并及時刪除存在重復(fù)、錯誤的數(shù)據(jù)，當(dāng)完成以上操作才可以繼續(xù)開展后期的數(shù)據(jù)挖掘工作。經(jīng)過預(yù)處理后的數(shù)據(jù)，在進(jìn)行統(tǒng)一存儲時可以采用自定義的格式。如果出現(xiàn)不同來源的數(shù)據(jù)，要及時進(jìn)行標(biāo)注工作，含設(shè)備的來源、時間等。如果在不同設(shè)備中發(fā)現(xiàn)同一時間的記錄信息，可以將其進(jìn)行合并處理，并刪除重復(fù)的信息。如果發(fā)現(xiàn)由于誤報產(chǎn)生的孤立安全事件報告，可以采取重新清洗的方式進(jìn)行處理。一般來說，經(jīng)過預(yù)處理后的數(shù)據(jù)，價值密度會得到較大提升，有助于提升數(shù)據(jù)后期挖掘和分析工作效率。

（三）建立安全態(tài)勢感知指標(biāo)體系

為了提升安全數(shù)值的精準(zhǔn)性，可以深入分析網(wǎng)絡(luò)安全管理的現(xiàn)實(shí)需求，并建立高效的安全態(tài)勢感知指標(biāo)體系。網(wǎng)絡(luò)安全態(tài)勢主要由網(wǎng)絡(luò)運(yùn)行、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)攻擊、異常行為和管理行為5類子態(tài)勢組成，其中管理行為與其他子態(tài)勢之間存在較大差異，在建立指標(biāo)體系時需要有ISO27002標(biāo)準(zhǔn)作參考，并對ISO27002標(biāo)準(zhǔn)下的控制目標(biāo)和控制域進(jìn)行分析；而前4類子態(tài)勢需要考慮多方面設(shè)備的運(yùn)行狀況，如計算機(jī)、網(wǎng)絡(luò)設(shè)備，并建立指標(biāo)體系。

網(wǎng)絡(luò)行為子態(tài)勢包含的內(nèi)容較為寬泛，既包含在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中所占用的一些儲存資源，又包含一些計算資源和寬帶資源等。如果這些指標(biāo)在短時間內(nèi)急速增加或減少，就可以判斷有其他技術(shù)在攻擊網(wǎng)絡(luò)系統(tǒng)而使網(wǎng)絡(luò)系統(tǒng)發(fā)生不穩(wěn)定情況。網(wǎng)絡(luò)行為子態(tài)勢包含的指標(biāo)一般有磁盤的占用率和內(nèi)存等，是網(wǎng)絡(luò)運(yùn)行子態(tài)勢的下級指標(biāo)。當(dāng)技術(shù)條件達(dá)到要求時，還可以實(shí)現(xiàn)對系統(tǒng)每個程序的數(shù)據(jù)量以及內(nèi)存、CPU占用率的更深層次的采集工作。從計算機(jī)的日志中有效獲取這些指標(biāo)。

對網(wǎng)絡(luò)脆弱性子態(tài)勢進(jìn)行分析，發(fā)現(xiàn)它由多個部分組成，常見的有網(wǎng)絡(luò)系統(tǒng)下計算機(jī)存在的漏洞和網(wǎng)絡(luò)系統(tǒng)下計算機(jī)的風(fēng)險狀況。每個計算機(jī)系統(tǒng)的漏洞數(shù)量及其危險指數(shù)和每個計算機(jī)應(yīng)用程序的安全性能均是網(wǎng)絡(luò)脆弱性子態(tài)勢的下級指標(biāo)。這些指標(biāo)數(shù)據(jù)的得出得益于漏洞掃描軟件在計算機(jī)中的安裝以及計算機(jī)中基線安全的配置。

網(wǎng)絡(luò)攻擊子態(tài)勢主要指的是在網(wǎng)絡(luò)系統(tǒng)運(yùn)行下各類計算機(jī)受到的攻擊狀況。它的下級指標(biāo)眾多，主要為以下兩類：一類是在SQL中注入的攻擊數(shù)量；另一類是各類攻擊的數(shù)量以及危害指標(biāo)。這兩類指標(biāo)數(shù)據(jù)主要由防火墻及WAF等設(shè)備計算而來。在網(wǎng)絡(luò)系統(tǒng)中，各種計算機(jī)發(fā)生的異常操作行為都被稱為異常行為子態(tài)勢。異常的登錄、訪問以及注冊等行為皆是異常行為子態(tài)勢的下級指標(biāo)。這些指標(biāo)數(shù)據(jù)都來源于系統(tǒng)以及計算機(jī)的日志。管理行為子態(tài)勢的概念相對來說更容易理解，主要指在安全管理體系運(yùn)行過程中具有一定的有效性。安全方針和信息安全組織是它的下級指標(biāo)。通過查看系統(tǒng)管理的運(yùn)行記錄，可以從中獲取這些指標(biāo)數(shù)據(jù)。

（四）提取相關(guān)的指標(biāo)數(shù)據(jù)

在完成安全態(tài)勢感知指標(biāo)體系的建立工作后，便可以實(shí)現(xiàn)對各項(xiàng)指標(biāo)的賦值，并追蹤數(shù)據(jù)來源，從中找出有關(guān)的指標(biāo)數(shù)據(jù)并提取出來。通常來說，數(shù)據(jù)提取工作需要事先做些準(zhǔn)備工作，才可以較快地轉(zhuǎn)變成統(tǒng)計數(shù)據(jù)。

（五）數(shù)據(jù)融合的相關(guān)事項(xiàng)

提取指標(biāo)數(shù)據(jù)后會產(chǎn)生一些基礎(chǔ)指標(biāo)值，這些指標(biāo)數(shù)據(jù)非常完善。由于各類數(shù)值在單位和性質(zhì)方面存在差異，不能直接運(yùn)用這類數(shù)據(jù)進(jìn)行計算，需通過數(shù)據(jù)融合技術(shù)解決這一問題，完成各類數(shù)值的計算與處理。當(dāng)前使用頻率較高的數(shù)據(jù)融合算法有D-S證據(jù)理論、粗糙集理論以及神經(jīng)網(wǎng)絡(luò)等。通過這些數(shù)據(jù)融合算法能夠?qū)⒒A(chǔ)指標(biāo)進(jìn)行融合，使基礎(chǔ)指標(biāo)轉(zhuǎn)化為中間指標(biāo)。在完成指標(biāo)的轉(zhuǎn)化后再融合中間指標(biāo)，直至中間指標(biāo)升級為頂層指標(biāo)，最終進(jìn)行頂層指標(biāo)的融合，從而形成單一的態(tài)勢值。通過態(tài)勢值可以直觀、實(shí)時地看到網(wǎng)絡(luò)的安全狀況，其數(shù)值的選擇通常為0-1的任一數(shù)值。通過不同的算法進(jìn)行計算，所得出的態(tài)勢值也有不同的含義。因此，在確定態(tài)勢值的范圍時，需要做好與實(shí)際情況的結(jié)合工作。

（六）態(tài)勢預(yù)測工作

在進(jìn)行態(tài)勢的預(yù)測時，會應(yīng)用一些數(shù)據(jù)融合算法，如灰色數(shù)據(jù)模型、自回歸移動平均模型等。借助于數(shù)據(jù)融合算法，可以更直觀地反映出態(tài)勢的變化。在實(shí)際的預(yù)測過程中，需要找出原有的態(tài)勢數(shù)據(jù)并對其進(jìn)行分類。按照形式區(qū)別分為兩類：輸出數(shù)據(jù)和輸入數(shù)據(jù)。為了使輸出數(shù)據(jù)的數(shù)值漸漸接近輸入數(shù)據(jù)的數(shù)值，可以適當(dāng)調(diào)整模型參數(shù)，最終得到可信度較高的初步預(yù)測模型。在初步預(yù)測模型的基礎(chǔ)上，將機(jī)器學(xué)習(xí)的方式運(yùn)用其中，從而得出相對完善的預(yù)測模型。

三、結(jié)語

信息技術(shù)的快速發(fā)展，一方面使網(wǎng)絡(luò)更加普及，另一方面也給網(wǎng)絡(luò)環(huán)境帶來了一定威脅，網(wǎng)絡(luò)攻擊逐步增加，網(wǎng)絡(luò)攻擊手段不斷更新，使用傳統(tǒng)的安全防御機(jī)制已經(jīng)無法有效抵擋網(wǎng)絡(luò)出現(xiàn)的安全問題。應(yīng)用數(shù)據(jù)融合技術(shù)可以在很大程度上提高網(wǎng)絡(luò)安全態(tài)勢的感知速度，從而使大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)得到進(jìn)一步推廣。

作者單位：戴祥華 四川省公安廳科技信息化處

張?zhí)K炯 北京北信源軟件股份有限公司