蘇小玉,徐奎奎

(河北經(jīng)貿(mào)大學(xué) 信息技術(shù)學(xué)院，河北 石家莊 050000)

0 引言

隨著我國網(wǎng)絡(luò)發(fā)展規(guī)模和現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展,國家網(wǎng)絡(luò)大數(shù)據(jù)信息資源安全面臨著各種安全威脅。個人信息和重要數(shù)據(jù)泄露風(fēng)險嚴(yán)峻；多個高危漏洞曝出給我國網(wǎng)絡(luò)安全造成嚴(yán)重安全隱患；針對我國重要網(wǎng)站的DDoS攻擊事件高發(fā)；利用釣魚郵件發(fā)起有針對性的攻擊頻發(fā)。因此，網(wǎng)絡(luò)安全狀態(tài)下的大數(shù)據(jù)具有潛在的要素獲取、評估和預(yù)測的方法，這是大數(shù)據(jù)資源安全的保障。許多研究學(xué)者開始注意到，只是依賴單個的網(wǎng)絡(luò)安全設(shè)備不能做到有效地保護(hù)整個網(wǎng)絡(luò)的安全以及管理人員不能及時作出決策。因此，我們亟需構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全管理平臺，針對分布式部署的異構(gòu)安全設(shè)備存在的信息處理問題，能夠做到及時響應(yīng)和處理。

網(wǎng)絡(luò)安全領(lǐng)域中大多數(shù)的安全設(shè)備都處于被動的靜態(tài)防護(hù)，各種設(shè)備之間缺乏有效的管理調(diào)度機(jī)制，使得網(wǎng)絡(luò)安全防護(hù)在面對日益嚴(yán)峻的安全威脅時顯得力不從心。態(tài)勢感知技術(shù)綜合了網(wǎng)絡(luò)監(jiān)控設(shè)備、網(wǎng)絡(luò)物理設(shè)備的數(shù)據(jù)，實現(xiàn)多源異構(gòu)數(shù)據(jù)之間的連接。在實際中,告警提示事件不是孤立性地存在的,其中可能存在一定的空間時序或者一定因果間的關(guān)系。利用數(shù)據(jù)融合處理技術(shù)、可視化分析技術(shù)等手段融合處理異構(gòu)化的數(shù)據(jù)。數(shù)據(jù)融合的主要基本原理[1]與利用人腦綜合智能處理環(huán)境信息的操作過程相同,充分利用各種環(huán)境信息源的資源,根據(jù)信息優(yōu)化計算準(zhǔn)則,將各種環(huán)境信息源在知識空間和思維時間上充分結(jié)合利用起來,對我們觀測到的環(huán)境信息產(chǎn)生一致的科學(xué)解釋和準(zhǔn)確描述。同時,利用多樣化的安全信息提供多樣化的數(shù)據(jù)分析,進(jìn)而通過多樣化的安全視角,幫助安全系統(tǒng)管理員更好地正確制定安全策略并有效提高網(wǎng)絡(luò)安全性。

1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

國內(nèi)外研究網(wǎng)絡(luò)安全態(tài)勢感知模型主要有JDL模型[2]、Endsley模型和Tim Bass模型。態(tài)勢感知是由M.R.Endsly[3]在1958年提出的，定義為“在一定時間和空間內(nèi)對環(huán)境中元素的感知，對其意義的理解，以及在不久的將來對其意義的理解，以及在不久的將來對其狀態(tài)的預(yù)測”。T.Bass[4]提出一種基于多傳感器數(shù)據(jù)融合的入侵檢測框架，并將框架應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。

本文基于Endsly模型進(jìn)行進(jìn)一步研究。多源異構(gòu)數(shù)據(jù)環(huán)境下的態(tài)勢感知系統(tǒng)，采用了層次化的設(shè)計思想，建立了一個層次化的網(wǎng)絡(luò)安全態(tài)勢感知模型。該模型分為三個功能層，分別為多源信息層、網(wǎng)絡(luò)安全態(tài)勢評估層和網(wǎng)絡(luò)安全態(tài)勢預(yù)測層，如圖1所示。

多源信息層，多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)通過網(wǎng)絡(luò)的關(guān)鍵設(shè)備Snort入侵檢測系統(tǒng)中獲得。一級指標(biāo)包括網(wǎng)絡(luò)拓?fù)湫畔?、主機(jī)信息、報警信息。其中主機(jī)信息二級指標(biāo)包括主機(jī)權(quán)重、主機(jī)漏洞和漏洞靜態(tài)嚴(yán)重性、服務(wù)和服務(wù)權(quán)重。

網(wǎng)絡(luò)安全態(tài)勢評估作為網(wǎng)絡(luò)安全態(tài)勢感知的中間層，有著承上啟下的作用。評估層通過收集信息層的安全要素，將安全要素量化為具體的值，為網(wǎng)絡(luò)安全態(tài)勢預(yù)測提供歷史數(shù)據(jù)。

網(wǎng)絡(luò)安全態(tài)勢預(yù)測層級是根據(jù)網(wǎng)絡(luò)上一層安全態(tài)勢評估的分析結(jié)果,預(yù)測未來一段時間內(nèi)的安全發(fā)展?fàn)顟B(tài)。管理人員根據(jù)預(yù)測分析結(jié)果可以提前做出預(yù)警并且及時主動作出合理決策,采取一些相應(yīng)措施可以避免造成損失。

安全態(tài)勢感知體系運行主要有四個環(huán)節(jié)：態(tài)勢感知要素信息提取、態(tài)勢評估(信息融合態(tài)勢分析)、態(tài)勢變化預(yù)測、可視化態(tài)勢分析。本文重點闡述多源異構(gòu)數(shù)據(jù)的融合，即態(tài)勢評估。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知模型

2 多源異構(gòu)數(shù)據(jù)及態(tài)勢指標(biāo)的建立

安全態(tài)勢感知系統(tǒng)建設(shè)的難點之一是多源異構(gòu)數(shù)據(jù)的收集、集成、驗證和協(xié)同處理。多源數(shù)據(jù)異構(gòu)性是指生成數(shù)據(jù)的設(shè)備和系統(tǒng)之間以及數(shù)據(jù)類型本身之間的差異。

威脅性數(shù)據(jù)，即報警信息。在網(wǎng)絡(luò)內(nèi)部條件不變時，各類的網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)產(chǎn)生的危害程度。通常采用Snort入侵檢測管理系統(tǒng)、漏洞分析掃描器、防火墻等手段獲取告警信息、流量監(jiān)測信息、漏洞分析信息等。不同安全設(shè)備提供的數(shù)據(jù)存在內(nèi)容和格式不同的問題。這類數(shù)據(jù)的類型包括DOS攻擊、蠕蟲攻擊、木馬病毒等。

基礎(chǔ)性數(shù)據(jù)，即主機(jī)設(shè)備數(shù)據(jù)，這類數(shù)據(jù)的類型包括CPU利用率、占用內(nèi)存的大小、網(wǎng)絡(luò)流量等。其中網(wǎng)絡(luò)流量數(shù)據(jù)的數(shù)據(jù)格式多變，一般可以劃分為三種：基于網(wǎng)絡(luò)協(xié)議的流量數(shù)據(jù)；基于主機(jī)的流量數(shù)據(jù)；基于時間的流量數(shù)據(jù)。

脆弱性數(shù)據(jù)，即網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)。在網(wǎng)絡(luò)上沒有受到攻擊時網(wǎng)絡(luò)中的配置信息，這類數(shù)據(jù)的類型包括漏洞、系統(tǒng)配置、防護(hù)軟件等。

不同安全設(shè)備采集網(wǎng)絡(luò)安全日志，例如主機(jī)漏洞掃描軟件Nessus,網(wǎng)絡(luò)漏洞掃描軟件Nessus掃描網(wǎng)段的主機(jī)，開放的端口和網(wǎng)絡(luò)服務(wù)，以及網(wǎng)絡(luò)服務(wù)是否存在漏洞，將掃描的結(jié)果記錄到日志中，這些日志包括體現(xiàn)威脅性的Snort報警日志、基礎(chǔ)性數(shù)據(jù)的流量日志、脆弱性數(shù)據(jù)的漏洞日志等。這些日志信息體現(xiàn)了真實網(wǎng)絡(luò)的運行狀態(tài)，包含大量結(jié)構(gòu)化、半結(jié)構(gòu)化數(shù)據(jù)。針對此問題,學(xué)術(shù)界關(guān)注提高網(wǎng)絡(luò)安全管理的效率。通對對安全監(jiān)測設(shè)備進(jìn)行數(shù)據(jù)采集，數(shù)據(jù)的預(yù)處理，這其中涉及很多相關(guān)的技術(shù)，主要包括數(shù)據(jù)融合、數(shù)據(jù)挖掘、特征提取等技術(shù)[5]。利用這些技術(shù)手段，從海量的日志和告警數(shù)據(jù)中提取真正的危害事件，并通過數(shù)據(jù)融合技術(shù)感知整個網(wǎng)絡(luò)安全的態(tài)勢。

3 多源異構(gòu)數(shù)據(jù)融合算法

多源數(shù)據(jù)融合是針對單一數(shù)據(jù)源無法有效感知態(tài)勢信息的問題，通過數(shù)據(jù)融合技術(shù)提取有效特征，挖掘數(shù)據(jù)信息，評估網(wǎng)絡(luò)安全態(tài)勢，進(jìn)而預(yù)測網(wǎng)絡(luò)安全態(tài)勢，構(gòu)建整體的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。數(shù)據(jù)融合分析技術(shù)主要模型包含貝葉斯網(wǎng)絡(luò)、D-S證據(jù)融合理論、粗糙集理論、神經(jīng)網(wǎng)絡(luò)、隱馬爾科夫模型等幾種融合方法。

3.1 基于貝葉斯網(wǎng)絡(luò)的態(tài)勢感知

貝葉斯網(wǎng)絡(luò)模型是基于概率分析的一種數(shù)學(xué)網(wǎng)絡(luò)模型。為了解決理論不確定性和不完整性知識表示而提出的推理模型,表現(xiàn)為一個賦值且具有復(fù)雜因果關(guān)系的圖形化網(wǎng)絡(luò)，有關(guān)貝葉斯網(wǎng)絡(luò)內(nèi)容參見文獻(xiàn)[6]。

Bode等人[7]為了確定網(wǎng)絡(luò)環(huán)境中風(fēng)險的結(jié)果，檢測不可預(yù)測的網(wǎng)絡(luò)攻擊和威脅，使用貝葉斯網(wǎng)絡(luò)分類方法對正常網(wǎng)絡(luò)流量數(shù)據(jù)集上的攻擊或威脅進(jìn)行良好的篩選，以減少不確定性，利用改進(jìn)的風(fēng)險矩陣準(zhǔn)則進(jìn)一步分析了風(fēng)險水平。采用開源KDDCUP99數(shù)據(jù)集進(jìn)行實驗，數(shù)據(jù)集中所有重要屬性采用風(fēng)險矩陣對攻擊的風(fēng)險區(qū)域進(jìn)行分析，從分類結(jié)果看，貝葉斯網(wǎng)路分類器適合于網(wǎng)絡(luò)安全的分類模型。

劉飛飛等人[8]通過動態(tài)貝葉斯網(wǎng)絡(luò)方法對網(wǎng)絡(luò)攻擊中各種因素進(jìn)行綜合分析，建立了評估指標(biāo)體系，對網(wǎng)絡(luò)中攻擊的效果進(jìn)行動態(tài)的評估，克服以往依靠拓?fù)鋯我恢笜?biāo)的缺點。仿真結(jié)果表明，該方法綜合了攻擊中的多節(jié)點和觀測信息，提高了攻擊的精度，使得攻擊效能更高。

Wu Y[9]提出基于貝葉斯網(wǎng)絡(luò)的安全態(tài)勢感知模型。首先采用層次化和時間序列相結(jié)合，既符合實際需要，又可以進(jìn)行時間的動態(tài)調(diào)整。其次采用貝葉斯方法，結(jié)合歷史數(shù)據(jù)和實驗數(shù)據(jù)進(jìn)行有效預(yù)測。實驗結(jié)果表明，該方法具有較高的準(zhǔn)確性。

3.2 基于D-S證據(jù)理論的態(tài)勢感知

Dempster-Shafer理論(D-S證據(jù)理論)通過各個網(wǎng)絡(luò)安全設(shè)備提供的日志數(shù)據(jù)來進(jìn)行挖掘。有關(guān) D-S理論內(nèi)容參見文獻(xiàn)[10]。

許多研究人員已經(jīng)將D-S證據(jù)理論應(yīng)用于網(wǎng)絡(luò)異常檢測，態(tài)勢評估中。

Zhang W[11]提出了一種基于改進(jìn)D-S證據(jù)理論的數(shù)據(jù)融合方法。通過計算證據(jù)之間的Bhattacharyya距離，得到各證據(jù)的置信度，減少了復(fù)雜環(huán)境中負(fù)面因素的影響，進(jìn)一步解決證據(jù)沖突問題，提高了融合結(jié)果的準(zhǔn)確性和有效性。實驗分析結(jié)果表明,該分析方法不僅可以有效解決真實證據(jù)之間沖突大的問題,而且可以得到充分反映真實情況的證據(jù)融合分析結(jié)果。

王法玉[12]提出一種多源事件融合的網(wǎng)絡(luò)安全態(tài)勢評估方法。將數(shù)據(jù)屬性相似度分析算法與D-S證據(jù)融合理論算法相結(jié)合,對相關(guān)事件數(shù)據(jù)進(jìn)行屬性關(guān)聯(lián)和數(shù)據(jù)融合;利用模型和層次分析法確定權(quán)重系數(shù)，融合攻擊信息和漏洞信息得到網(wǎng)絡(luò)安全態(tài)勢圖。

Li L[13]提出一種將遞歸神經(jīng)網(wǎng)絡(luò)(RNN)與改進(jìn)D-S證據(jù)理論相結(jié)合的新模型。為了克服傳統(tǒng)證據(jù)理論的不足，提出了兩種改進(jìn)策略。一方面，在證據(jù)理論中對水質(zhì)時間序列的相關(guān)關(guān)系進(jìn)行了分析，并利用相關(guān)系數(shù)來確定證據(jù)數(shù)量，有效地減少了證據(jù)選擇中的不確定性。另一方面，為了減少證據(jù)沖突的可能性，避免歷史預(yù)測殘差為零時模型失效的發(fā)生，提出了一種改進(jìn)的基本概率分配函數(shù)，新函數(shù)能有效地解決傳統(tǒng)函數(shù)中權(quán)重分配失敗的問題。將改進(jìn)的D-S證據(jù)理論應(yīng)用于水質(zhì)監(jiān)測，對提出的模型進(jìn)行驗證，與SVR、BPNN等相比，新模型具有較高的精度和較好的穩(wěn)定性。

3.3 基于粗糙集理論的態(tài)勢感知

粗糙集理論(Rough Set Theory)由1982年由波蘭著名學(xué)者Z.Pawlak提出，該理論借助信息系統(tǒng)處理知識的方法，對提取的有關(guān)網(wǎng)絡(luò)安全性的要素參數(shù)進(jìn)行高度冗余并將要素參數(shù)約簡,將安全性的要素參數(shù)進(jìn)行高度量化。網(wǎng)絡(luò)安全態(tài)勢感知可以通過關(guān)聯(lián)安全事件和不同安全設(shè)備生成的日志來發(fā)現(xiàn)真正的威脅，并準(zhǔn)確地感測網(wǎng)絡(luò)安全狀態(tài)。

Liu J[14]提出了一種基于粗糙集的網(wǎng)絡(luò)安全態(tài)勢關(guān)聯(lián)方案，將粗糙集理論引入網(wǎng)絡(luò)安全態(tài)勢感知中，分析了多種網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的海量審計信息。利用粗糙集理論中的約簡方法對冗余數(shù)據(jù)特征進(jìn)行約簡，然后利用序列模式挖掘算法生成考慮網(wǎng)絡(luò)安全事件時間序列特征的相關(guān)規(guī)則，它可以在不需要任何先驗知識的情況下生成相關(guān)規(guī)則，解決了大規(guī)模安全事件的簡化和關(guān)聯(lián)問題。但是該方法還存在一些不足之處，由于屬性約簡處理的原因，該方法具有稍高的誤報率。基于粗糙集理論的方法可以大大減少計算量，但可能帶來更高的誤報率。因此，未來方向可以圍繞基于粗糙集理論的屬性約簡精度與異常行為識別率之間的關(guān)系做研究。

趙冬梅[15]提出一種基于特征屬性重要度和熵矩陣的并行屬性約簡算法。該算法引入了一種并行屬性約簡的計算思想,首先將單個的特征屬性信息通過表達(dá)式擴(kuò)展區(qū)分為多個,其次通過利用條件熵計算特征的重要度,最后依據(jù)并行約簡計算規(guī)則進(jìn)行刪除冗余項。實驗分析結(jié)果表明,該分析算法經(jīng)過約簡之后的數(shù)據(jù)特征不僅具有更高的數(shù)據(jù)分類分析性能,同時它還可以有效實現(xiàn)網(wǎng)絡(luò)安全發(fā)展態(tài)勢相關(guān)要素的高效分析獲取。

3.4 基于神經(jīng)網(wǎng)絡(luò)的態(tài)勢感知

人工神經(jīng)網(wǎng)絡(luò)(ANN)通過抽象人腦神經(jīng)元處理信息的方式構(gòu)建神經(jīng)網(wǎng)絡(luò)模型。目前，神經(jīng)網(wǎng)絡(luò)模型在態(tài)勢評估和預(yù)測中取得了大量的新研究成果。

Xiao P[16]提出了一種基于MEA-BP網(wǎng)絡(luò)模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。根據(jù)網(wǎng)絡(luò)安全發(fā)展態(tài)勢的數(shù)值非線性化和時間變量序列的計算特點，研究者在采用BP算法時，發(fā)現(xiàn)該方法具有局部最優(yōu)解、迭代次數(shù)多、效率低的問題。為了克服這些缺點，研究者利用智能進(jìn)化算法優(yōu)化BP網(wǎng)絡(luò)的權(quán)值和閾值，并利用MEA開發(fā)了一個MEA-BP模型來預(yù)測網(wǎng)絡(luò)安全狀況。以蜜網(wǎng)的實際數(shù)據(jù)作為樣本，對結(jié)果進(jìn)行檢驗，驗證模型的準(zhǔn)確性。結(jié)果表明，該方法能提高檢測精度和效率。

Wei F[17]針對傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)預(yù)測方法在預(yù)測精度、魯棒性、效率等方面存在的不足，提出了一種基于門控遞歸單元(GRU)的遞歸神經(jīng)網(wǎng)絡(luò)(RNN)預(yù)測的新方法。深度RNN模型充分利用了時間域、光譜域和空間域的多源異構(gòu)信息。該方法首次從原始時間序列網(wǎng)絡(luò)數(shù)據(jù)中提取內(nèi)部和外部信息特征。NSS經(jīng)過時間、空間和光譜特征將由內(nèi)部和外部信息特征表示，時間特征將由GRU-RNN提取。然后，將提取的特征應(yīng)用到深度RNN模型中進(jìn)行訓(xùn)練和驗證。經(jīng)過迭代和優(yōu)化，訓(xùn)練的模型可以獲得網(wǎng)絡(luò)安全態(tài)勢預(yù)測的準(zhǔn)確性，對于不穩(wěn)定的網(wǎng)絡(luò)數(shù)據(jù)發(fā)現(xiàn)，該模型具有較強(qiáng)的魯棒性。雖然深度RNN模型需要更多的訓(xùn)練時間，但它們保證了預(yù)測的準(zhǔn)確性和魯棒性。

Jiang Y[18]對RBF神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，找出前N數(shù)據(jù)與后M數(shù)據(jù)之間的非線性映射關(guān)系，并通過改變N值來研究不同的態(tài)勢預(yù)測結(jié)果。實驗結(jié)果表明，預(yù)測效果良好。

Lison P[19]提出一種基于遞歸神經(jīng)網(wǎng)絡(luò)的模型，用于檢測惡意軟件生成的域名，更精確的感知網(wǎng)絡(luò)的攻擊和安全狀態(tài)，該模型在由各種惡意軟件生成的大型訓(xùn)練集上進(jìn)行測試，檢測精度很高。

Haibo Zhang[20]為了提高網(wǎng)絡(luò)安全態(tài)勢的預(yù)測精度，提出利用改進(jìn)的小生境遺傳算法(INGA)，建立了基于小波神經(jīng)網(wǎng)絡(luò)(WNN)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。該模型采用非線性能力強(qiáng)、容錯率和性能好的小波神經(jīng)網(wǎng)絡(luò)。考慮到傳統(tǒng)自適應(yīng)遺傳算法動態(tài)收斂速度慢，容易陷入早熟收斂的問題，為了有效解決遺傳算法的早熟收斂問題，引入了一種新的小生境技術(shù)和動態(tài)模糊聚類消除機(jī)制，最后的仿真結(jié)果表明所提出的INGA-WNN預(yù)測模型具有更快的收斂速度和更高的預(yù)測精度。

3.5 基于HMM的態(tài)勢感知

隱馬爾科夫模型(HMM)是馬爾科夫模型的推廣。有關(guān)馬爾科夫模型及隱馬爾科夫模型內(nèi)容參見文獻(xiàn)[21]。

目前，基于隱馬爾可夫模型的預(yù)測是通過已知狀態(tài)來預(yù)測未知狀態(tài)，但是現(xiàn)有的方法不能很好地利用歷史數(shù)據(jù)來預(yù)測未來的形勢變化。Liang W[22]提出了一種基于加權(quán)隱馬爾可夫模型(HMM)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型。該方法利用多尺度熵信息來解決訓(xùn)練數(shù)據(jù)的問題。利用多尺度熵方法選取合適的數(shù)據(jù)尺度因子，將其作為隱馬爾科夫模型的訓(xùn)練數(shù)據(jù)，得到狀態(tài)轉(zhuǎn)移概率矩陣。對隱馬爾可夫轉(zhuǎn)移矩陣的參數(shù)訓(xùn)練進(jìn)行了優(yōu)化。將相關(guān)系數(shù)作為預(yù)測網(wǎng)絡(luò)安全形勢變化的權(quán)重，相關(guān)系數(shù)可以合理地利用歷史數(shù)據(jù)特征之間的關(guān)聯(lián)來預(yù)測未來的安全形勢。結(jié)果表明，該方法準(zhǔn)確有效。

Li X等人[23]提出在基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估方法中，建立時間段大小提取模型的觀測值和參數(shù)是影響評估實時性和準(zhǔn)確性的重要因素。由于在網(wǎng)絡(luò)安全性和實時性的有效表征上無法達(dá)到均衡。而且狀態(tài)轉(zhuǎn)移矩陣和觀測符號矩陣往往是經(jīng)驗確定的，具有很強(qiáng)的主觀性。為了解決上述問題，作者利用滑動時間窗機(jī)制提取觀測值，并采用混合多種群遺傳算法(MPGA)對HMM模型參數(shù)進(jìn)行訓(xùn)練，以提高參數(shù)的可靠性。實驗表明，該方法能有效、準(zhǔn)確地反映當(dāng)前的網(wǎng)絡(luò)安全狀況。

Liu SC[24]針對在我國網(wǎng)絡(luò)安全攻擊風(fēng)險因果評估中,多個網(wǎng)絡(luò)攻擊活動步驟之間的風(fēng)險因果相互關(guān)系是否可以用網(wǎng)絡(luò)攻擊曲線圖評估模型很好地準(zhǔn)確描述這一關(guān)鍵問題,提出了網(wǎng)絡(luò)攻擊圖模型和隱馬爾可夫攻擊模型(HMM)的一種融合評估方法。首先,利用網(wǎng)絡(luò)攻擊圖的模型提取計算網(wǎng)絡(luò)攻擊環(huán)境和攻擊者的攻擊活動行為;其次,利用隱馬爾可夫模型算法建立計算網(wǎng)絡(luò)環(huán)境觀察與狀態(tài)攻擊行為狀態(tài)之間的攻擊概率關(guān)系映射;最后,利用維特比微分算法建立計算最大攻擊概率值與狀態(tài)攻擊轉(zhuǎn)移率的序列。實驗研究結(jié)果表明,該分析模型能有效地計算出網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)移因子序列的最大攻擊概率,進(jìn)而準(zhǔn)確地幫助指出網(wǎng)絡(luò)攻擊者的意圖。

4 數(shù)據(jù)融合算法評述及發(fā)展趨勢

數(shù)據(jù)融合技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知的基礎(chǔ)層，算法各有優(yōu)缺點。貝葉斯網(wǎng)絡(luò)模型具有強(qiáng)大的數(shù)據(jù)表達(dá)不確定性相關(guān)知識、進(jìn)行不確定性相關(guān)知識綜合推理的兩大優(yōu)點,使得我們構(gòu)建的數(shù)據(jù)模型對網(wǎng)絡(luò)安全中的態(tài)勢感知處理系統(tǒng)可以進(jìn)行更加準(zhǔn)確的態(tài)勢預(yù)測和數(shù)據(jù)分析。D-S證據(jù)理論因為在不確定性問題的表述的優(yōu)點被應(yīng)用于信息融合、態(tài)勢感知領(lǐng)域。但是該方法多個證據(jù)時存在證據(jù)高度沖突的問題。粗糙集理論的優(yōu)點是從多量異構(gòu)的數(shù)據(jù)中找到有效的規(guī)則，并將其轉(zhuǎn)化為邏輯規(guī)則。 網(wǎng)絡(luò)安全態(tài)勢評估中態(tài)勢值具有非線性時間序列的特點，神經(jīng)網(wǎng)絡(luò)模型對于處理非線性數(shù)據(jù)具有很好的優(yōu)勢。但該方法的不可解釋性的問題依然是各個研究學(xué)者進(jìn)一步的研究方向。當(dāng)網(wǎng)絡(luò)受到威脅時發(fā)現(xiàn)攻擊者對于網(wǎng)絡(luò)的攻擊具有準(zhǔn)確的意圖，融合多源異構(gòu)的網(wǎng)絡(luò)安全數(shù)據(jù)，利用HMM模型進(jìn)行攻擊意圖的識別，進(jìn)而獲得網(wǎng)絡(luò)安全的狀態(tài)。各融合算法的優(yōu)缺點如表1所示。

表1 各融合算法的優(yōu)缺點

在多源異構(gòu)融合信息的分析處理中,已有很多學(xué)術(shù)研究者將多種新型融合分析算法相互結(jié)合在一起來進(jìn)行研究，例如貝葉斯網(wǎng)絡(luò)與攻擊圖[25]的結(jié)合、貝葉斯網(wǎng)絡(luò)與粗糙集理論、貝葉斯網(wǎng)絡(luò)和卡爾曼濾波[26]的結(jié)合，這種算法結(jié)合起來研究也將是一種未來的學(xué)術(shù)研究發(fā)展趨勢；對于數(shù)據(jù)融合算法在時間和空間的復(fù)雜度的優(yōu)化也是一種研究趨勢。目前的網(wǎng)絡(luò)安全態(tài)勢評估中的態(tài)勢值是通過對指標(biāo)要素的多角度融合得出的，但是缺乏計算模塊化的態(tài)勢值。研究模塊化的態(tài)勢值對于網(wǎng)絡(luò)管理人員進(jìn)行及時的決策具有重要意義。

5 結(jié)束語

數(shù)據(jù)的融合分析技術(shù)可以作為網(wǎng)絡(luò)安全態(tài)勢評估預(yù)測系統(tǒng)的一個關(guān)鍵技術(shù),從多維度對網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行綜合評估與分析預(yù)測。本文針對當(dāng)前的研究現(xiàn)狀，構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢感知框架，分析了多源異構(gòu)數(shù)據(jù)的來源并且建立了態(tài)勢指標(biāo)體系。從數(shù)據(jù)融合算法的角度，綜述了現(xiàn)有的幾種主流融合算法，并重點指出各融合算法的不同優(yōu)缺點,為后續(xù)學(xué)術(shù)研究工作奠定起了理論上的基礎(chǔ)。當(dāng)前的國際網(wǎng)絡(luò)安全環(huán)境越來越復(fù)雜,各種新型網(wǎng)絡(luò)攻擊控制手段層出不窮。利用數(shù)據(jù)融合技術(shù)，有效的提高網(wǎng)絡(luò)安全態(tài)勢的分析效率，為安全管理人員提供更準(zhǔn)確的決策具有重要意義。