白 冰

（陜西警官職業(yè)學(xué)院，陜西 西安 710021）

0 引 言

在物聯(lián)網(wǎng)感知層面，從其核心組成的情況來看，在網(wǎng)絡(luò)中以無線傳感器作為重要內(nèi)容時，需要在監(jiān)測區(qū)內(nèi)布置微傳感器節(jié)點(diǎn)，并通過無線通信的方式來完成自組織網(wǎng)絡(luò)，其應(yīng)用范圍廣泛，可以在生態(tài)監(jiān)測、健康護(hù)理、智慧交通、智能物流等領(lǐng)域發(fā)揮重要作用。已知并無過多的節(jié)點(diǎn)資源被置于傳感器之中，從應(yīng)用情況來看，考慮到存儲能力、電池能量、通信帶寬、處理能力等方面，則需要對基站間、節(jié)點(diǎn)數(shù)據(jù)進(jìn)行調(diào)整，使傳輸量下降，能效提升；對物聯(lián)網(wǎng)感知情況進(jìn)行調(diào)研后發(fā)現(xiàn)冗余性問題比較突出，主要體現(xiàn)在對原始數(shù)據(jù)的采集方面，因此需要進(jìn)行融合數(shù)據(jù)的操作。數(shù)據(jù)融合技術(shù)可以使冗余信息問題得以解決，把數(shù)據(jù)傳輸量降下來，把節(jié)點(diǎn)能量的消耗降到最低。在一般情況下，如果有大量傳感器節(jié)點(diǎn)被置于安全敏感區(qū)之內(nèi)，在無監(jiān)管的惡劣環(huán)境中則會造成嚴(yán)重后果，使網(wǎng)絡(luò)數(shù)據(jù)陷入危機(jī)，存在被偽造、竊聽、重放、篡改的可能，處于攻擊之下會導(dǎo)致多種信息安全風(fēng)險出現(xiàn)。由此可知安全的數(shù)據(jù)整合是必須要進(jìn)行的重要工作。

學(xué)術(shù)界的研究力度正在不斷加大，主要對數(shù)據(jù)融合過程中出現(xiàn)的節(jié)點(diǎn)被捕獲后如何處理的問題進(jìn)行研究，并對量化數(shù)據(jù)融合結(jié)果不確定的問題展開探討，制定出各種有效的解決方案。

當(dāng)前，對網(wǎng)絡(luò)安全研究主要集中在研究入侵的檢測方法上，隨著網(wǎng)絡(luò)不確定性、復(fù)雜性的增加，對網(wǎng)絡(luò)安全態(tài)勢的研究成為趨勢。本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開的，并構(gòu)建了物聯(lián)網(wǎng)安全態(tài)勢評估模型。

1 基于多傳感器的多源數(shù)據(jù)融合技術(shù)

多傳感器數(shù)據(jù)融合技術(shù)是把多個傳感器數(shù)據(jù)聯(lián)系起來，對數(shù)據(jù)實(shí)施有效的分類、互聯(lián)、綜合等操作后獲取有意義的一組數(shù)據(jù)，該項(xiàng)技術(shù)的基本原理并不復(fù)雜，即對人腦綜合處理信息的能力進(jìn)行模擬。為了更好地把各傳感器所提供的信息利用起來，要對其進(jìn)行綜合處理，在使用各個傳感器和數(shù)據(jù)時要合理，在對傳感器冗余和互補(bǔ)信息優(yōu)化整合時要從空間和時間上進(jìn)行，對監(jiān)測環(huán)境生成一致性表述。融合所獲取的計算結(jié)果與單個傳感器相比較顯然具有更高的全局性，更加準(zhǔn)確?；旌鲜浇Y(jié)構(gòu)是將兩種結(jié)構(gòu)的優(yōu)點(diǎn)進(jìn)行結(jié)合的一種方法，先用傳感器預(yù)處理收集到的數(shù)據(jù)，將處理的數(shù)據(jù)向融合中心傳輸，可增強(qiáng)系統(tǒng)穩(wěn)定性，因此本研究采用混合式網(wǎng)絡(luò)安全態(tài)勢融合結(jié)構(gòu)。

整個網(wǎng)絡(luò)安全態(tài)勢的感知過程如圖1所示，可將其理解為數(shù)據(jù)融合的過程并應(yīng)用，在多傳感器的作用下完成數(shù)據(jù)的融合，在對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理后可以把多個態(tài)勢要素值確定下來，在此基礎(chǔ)上對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行計算并獲取相應(yīng)的結(jié)果。

圖1 基于多傳感器的多源網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)融合模型

2 基于集對分析的物聯(lián)網(wǎng)安全態(tài)勢評估模型

2.1 集對分析原理

集對分析是一種新的研究方法，以不確定性理論為主要研究內(nèi)容。將兩個具有潛在關(guān)系的集合組成對子即稱之為集對，以=++來表示，、、有著不同的含義，是同一度、差異度、對立度的代表。因此，可將不確定性理論研究進(jìn)行轉(zhuǎn)化，使之成為數(shù)學(xué)問題。集對分析理論是對問題進(jìn)行全面的研究，并且是在分析兩個事件的差異性、同一性、對立性的基礎(chǔ)上進(jìn)行的?；舅悸肥窃O(shè)存在問題，其中有、兩個集合，集對是由其集合組成的；特性總數(shù)為個，并分析這些特性。在集合組成集中，相同特性數(shù)的數(shù)量已知是個，描述問題同一性；有個相反特性個數(shù)，描述問題對立性，其余特性不相反、不相同，是對問題差異性的描述，具體見公式（1）：

式中：差異度標(biāo)識為，∈[-1，1]；聯(lián)系度為；對立度標(biāo)識為，=-1；從同一度、差異度、對立度的取值情況來看，一般情況下=/、=/、=/，、、達(dá)到歸一化條件，也就是說++=1是存在的，可簡記為公式（2）：

如果組成系統(tǒng)的集合數(shù)量超過兩個，假設(shè)個集合組成，可以對個集合進(jìn)行處理，使其以個集對的狀態(tài)出現(xiàn)，并完成不同集對聯(lián)系度的表達(dá)式構(gòu)建工作。在對整個系統(tǒng)進(jìn)行研究時把構(gòu)建數(shù)學(xué)模型的方式應(yīng)用于其中，并將其同異之處確定下來。

2.2 應(yīng)用集對分析態(tài)勢評估的步驟

在進(jìn)行態(tài)勢評估時如果應(yīng)用集對分析方法，需要完成以下四個步驟操作：

（1）對初始數(shù)據(jù)進(jìn)行處理，但要注意的是要把規(guī)范性體現(xiàn)出來。在評估網(wǎng)絡(luò)中假設(shè)設(shè)置了臺服務(wù)器，記作={,, ...,M}，每臺服務(wù)器有指標(biāo)個，記作={,, ...,I}，其中∈（1, 2, ...,），∈（1, 2, ...,），則=[f]為個服務(wù)器的矩陣，由個指標(biāo)值共同組成。表1所列為網(wǎng)絡(luò)中主機(jī)及指標(biāo)的關(guān)系。

表1 網(wǎng)絡(luò)中主機(jī)及指標(biāo)的關(guān)系

（3）通過計算后把{，}的相關(guān)數(shù)據(jù)確定下來，獲取同一度a、差異度b、對立度c。

其中：

（4）計算集對勢a/c，三維態(tài)勢見表2所列。要把對應(yīng)級別確定下來，在此基礎(chǔ)上獲取某一時刻某一主機(jī)態(tài)勢級別，并對主機(jī)級別與安全性的關(guān)系作出界定，前者越高后者則越低。

表2 三維態(tài)勢表

2.3 網(wǎng)絡(luò)安全態(tài)勢評估模型

2.3.1 網(wǎng)絡(luò)安全態(tài)勢要素

計算機(jī)網(wǎng)絡(luò)是由多種因素共同組成的，直接影響到網(wǎng)絡(luò)安全狀態(tài)。為了使研究更加深入，要區(qū)別開網(wǎng)絡(luò)安全態(tài)勢要素，將其分為攻擊、主機(jī)、共有三種要素。其中，主機(jī)要素可視為集對分析理論中的同一度，攻擊要素可視為對立度，共有要素可視為差異度。圖2為網(wǎng)絡(luò)安全態(tài)勢的要素。

圖2 網(wǎng)絡(luò)安全態(tài)勢要素

2.3.2 網(wǎng)絡(luò)安全態(tài)勢評估模型

計算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)比較復(fù)雜，是由數(shù)量眾多的網(wǎng)絡(luò)組件、主機(jī)節(jié)點(diǎn)以及各種檢測設(shè)備組建的。計算機(jī)中的檢測設(shè)備發(fā)揮著重要作用，可以有效地監(jiān)督主機(jī)、了解和掌握網(wǎng)絡(luò)狀態(tài)，由此報警信息、日志也會大量產(chǎn)生。以上數(shù)據(jù)信息可分為兩種模式：一種是基于系統(tǒng)配置信息；另一種是基于系統(tǒng)運(yùn)行信息。配置狀況、系統(tǒng)設(shè)計、服務(wù)設(shè)置都屬于前者；系統(tǒng)所受攻擊狀況則屬于后者。如果在對安全態(tài)勢進(jìn)行評估時所采用的是傳統(tǒng)方法，即通過單一檢測設(shè)備分析數(shù)據(jù)，則可能會導(dǎo)致態(tài)勢信息、數(shù)據(jù)源單一的問題出現(xiàn)，這對分析結(jié)果顯然是不利的，與實(shí)際相比會有較大的偏差。在本次研究中充分利用集對分析原理，以此為基礎(chǔ)實(shí)現(xiàn)對多個數(shù)據(jù)源信息的融合。

在檢測不同的網(wǎng)絡(luò)安全信息時需要通過多傳感器來完成，此操作在網(wǎng)絡(luò)安全態(tài)勢評估模型（如圖3所示）中進(jìn)行，首先把主機(jī)安全態(tài)勢確定下來，在確定主機(jī)權(quán)重后把整個網(wǎng)絡(luò)的安全態(tài)勢確定下來，這是個復(fù)雜的過程，需要在數(shù)據(jù)采集、態(tài)勢要素提取、主機(jī)安全態(tài)勢評估、網(wǎng)絡(luò)安全態(tài)勢評估四個模塊的共同作用下完成。數(shù)據(jù)采集模塊通過多個傳感器對計算機(jī)網(wǎng)絡(luò)運(yùn)行狀況同時監(jiān)測，收集主機(jī)日志、傳感器報警信息、網(wǎng)絡(luò)日志等原始數(shù)據(jù)；態(tài)勢要素提取模塊在工作時需要對原始數(shù)據(jù)進(jìn)行預(yù)處理，利用的方法主要有冗余分析、規(guī)范化分析、沖突檢測等，并完成對相關(guān)態(tài)勢要素的提?。恢鳈C(jī)安全態(tài)勢評估模塊進(jìn)入到工作狀態(tài)時，為了對不同的網(wǎng)絡(luò)安全態(tài)勢要素進(jìn)行深入分析，把集對分析算法應(yīng)用于其中，能夠?qū)χ鳈C(jī)安全態(tài)勢值做出定量描述；網(wǎng)絡(luò)安全態(tài)勢評估模塊與數(shù)學(xué)分析法結(jié)合，并與各主機(jī)網(wǎng)絡(luò)權(quán)重、各主機(jī)安全態(tài)勢值結(jié)合，從而將整個網(wǎng)絡(luò)安全態(tài)勢值計算出來。

圖3 網(wǎng)絡(luò)安全態(tài)勢評估模型

如果所采用的是集對分析這種方法，則可以確定兩個集合對立度、同一度，但是不能確定差異度和差異分析，信息不確定性可采用聯(lián)系度表達(dá)，進(jìn)行模糊信息的有效處理；在對態(tài)勢進(jìn)行研究時，同一度、差異度、對立度是集對分析所要考慮的重點(diǎn)問題，要對網(wǎng)絡(luò)安全各要素進(jìn)行全面而系統(tǒng)的研究；在對網(wǎng)絡(luò)安全態(tài)勢唯一性進(jìn)行分析時基于聯(lián)系度來實(shí)施，完成對網(wǎng)絡(luò)安全級別的劃分，網(wǎng)絡(luò)安全態(tài)勢危險程度的確定是通過安全態(tài)勢值來完成的。

3 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)數(shù)據(jù)

本次研究所有的數(shù)據(jù)是真實(shí)有效的，來自于DARPA2000數(shù)據(jù)集，提供者是麻省理工大學(xué)林肯實(shí)驗(yàn)室。從數(shù)據(jù)集的內(nèi)部構(gòu)成來看，涵蓋了網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)信息（Inside Tcpdump file）、網(wǎng)絡(luò)邊界數(shù)據(jù)信息（DMZ Tcpdump file）、部分主機(jī)審計日志；涵蓋的攻擊場景有兩個，即LLDOS1.0、LLDOS2.0，每個攻擊場景由五個步驟所組成，針對這2個攻擊場景分析網(wǎng)絡(luò)安全態(tài)勢。實(shí)驗(yàn)利用snort工具和MySQL，在Linux下進(jìn)行分析，在tcpreplay工具的作用下對數(shù)據(jù)包進(jìn)行重放處理，用snort+MySQL收集數(shù)據(jù)，并將其置于數(shù)據(jù)庫之中存儲，將數(shù)據(jù)導(dǎo)入到MATLAB環(huán)境后進(jìn)行計算和分析。

3.2 實(shí)驗(yàn)步驟

3.2.1 要素信息提取

在DARPA2000數(shù)據(jù)集中，主機(jī)服務(wù)信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、漏洞信息未提供，本研究從snort收集的信息對DARPA2000進(jìn)行分析，詳情見圖4和表3。

圖4 DARPA2000的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

LLDOS1.0、LLDOS2.0共有10個攻擊步驟，可以將其視為10個時段，在對每個時段的安全態(tài)勢值進(jìn)行分析時把集對分析法應(yīng)用于其中并獲取相應(yīng)計算結(jié)果，見表3所列。

表3 時段1網(wǎng)絡(luò)安全態(tài)勢要素的值

在對攻擊成功次數(shù)和頻率、流量信息等數(shù)據(jù)集信息進(jìn)行分析時所用的工具是snort日志；要明確攻擊的嚴(yán)重性，依據(jù)的是snort優(yōu)先級、攻擊分類，針對嚴(yán)重程度進(jìn)行劃分，等級為低、中、高，以3、2、1來表示。

3.2.2 態(tài)勢評估

對數(shù)據(jù)進(jìn)行規(guī)范化處理，以=[t]作為規(guī)范化矩陣，在第1時段，由于并沒有針對主機(jī)www.af.mill進(jìn)行攻擊，即以0為www.af.mill態(tài)勢。

從規(guī)范化矩陣可將、提取出來，=（1，1，1，1，1），=（0.2，0，0，0，0）。通過計算后把、、的準(zhǔn)確數(shù)值確定下來并掌握相應(yīng)態(tài)勢值，見表4所列。

表4 時段1各主機(jī)的態(tài)勢分析結(jié)果

最后以各主機(jī)權(quán)值為依據(jù)計算網(wǎng)絡(luò)安全態(tài)勢，已知0.17是主機(jī)locke的權(quán)重，主機(jī)mill的權(quán)重為0.34，主機(jī)hume的權(quán)重為0.21，主機(jī)pascal的權(quán)重為0.17，主機(jī)robin的權(quán)重為0.17，主機(jī)www.af.mill的權(quán)重為0.06。由此可得時段1的態(tài)勢值為7.5。在對其余時段態(tài)勢值進(jìn)行計算時，所采用的也是這種方法。

3.3 實(shí)驗(yàn)結(jié)果

以表5中的數(shù)據(jù)為依據(jù)編制完成10個時段網(wǎng)絡(luò)的安全態(tài)勢圖（如圖5所示），并得出態(tài)勢值越大則網(wǎng)絡(luò)越不安全的結(jié)論。

表5 網(wǎng)絡(luò)安全態(tài)勢值

圖5 網(wǎng)絡(luò)安全態(tài)勢

從第一階段的情況來看，網(wǎng)絡(luò)只受IP掃描，態(tài)勢值較低；在此之后由于遭受DDoS攻擊，態(tài)勢值隨之增高。通過本文方法可以把網(wǎng)絡(luò)狀況真實(shí)地展示出來。在基于信息融合網(wǎng)絡(luò)安全態(tài)勢評估模型的條件下將本實(shí)驗(yàn)結(jié)果和文獻(xiàn)[11]進(jìn)行比對，把文獻(xiàn)[11]實(shí)驗(yàn)結(jié)果化為1～12區(qū)間內(nèi)值，詳情如圖6所示。

圖6 兩種態(tài)勢評估模型得出的網(wǎng)絡(luò)安全態(tài)勢值比較

由圖6可知，集對分析模型具有一定的優(yōu)勢，文獻(xiàn)[11]的評估模型獲得的網(wǎng)絡(luò)安全態(tài)勢值較低，不能引起管理員重視；在時段3、時段9出現(xiàn)攻擊時，集對分析方法獲得的安全態(tài)勢值顯著升高，能很好地區(qū)分DDoS等危險性較大攻擊和IP掃描等危險性較小攻擊；在時段5，對于原始數(shù)據(jù)未受嚴(yán)重攻擊的情況，文獻(xiàn)[11]的網(wǎng)絡(luò)安全態(tài)勢值卻顯著升高，這表明集對分析模型感知網(wǎng)絡(luò)安全態(tài)勢更穩(wěn)定。

4 結(jié) 語

本次研究是在多源數(shù)據(jù)融合的基礎(chǔ)上展開的，由于物聯(lián)網(wǎng)安全態(tài)勢評估模型具有較強(qiáng)的功效而對其進(jìn)行了構(gòu)建，并得出以下結(jié)論：

（1）以多傳感器數(shù)據(jù)融合技術(shù)為基礎(chǔ)對網(wǎng)絡(luò)安全態(tài)勢要素進(jìn)行劃分，可以分為攻擊要素、主機(jī)要素、共有要素三種。

（2）通過構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估模型，檢測網(wǎng)絡(luò)各類型的安全信息。此操作是通過傳感器來完成的，由此把主機(jī)安全態(tài)勢確定下來。以主機(jī)權(quán)重為依據(jù)確定網(wǎng)絡(luò)整體安全態(tài)勢，此過程復(fù)雜程度較高，主要由數(shù)據(jù)采集、態(tài)勢要素提取、主機(jī)安全態(tài)勢評估、網(wǎng)絡(luò)安全態(tài)勢評估四種模塊組成。

（3）集對分析模型具在自身特有的優(yōu)勢。在時段3、時段9出現(xiàn)攻擊時，集對分析方法獲得的安全態(tài)勢值顯著升高，能很好地區(qū)分DDOS等危險性較大攻擊和IP掃描等危險性較小的攻擊。通過集對分析模型進(jìn)行研究，可以更加準(zhǔn)確地感知網(wǎng)絡(luò)安全態(tài)勢。