网络安全态势分析技术浅议

0引言

网络安全态势分析是一个综合的研究课题，包括对原始事件的收集、事件的关联、安全态势的评估方法、态势结果的存放和展示、态势预测等。它为网络管理人员的决策提供技术支持，在复杂的网络环境下帮助网络管理人员迅速准确的得到网络的整体信息。由于本文需要在特定的网络环境下设计态势预测模型，因此也要对数据的收集处理、态势的评估等进行研究。本文从数据预处理、事件关联、态势评估和态势预测等四方面介绍了态势分析领域的相关技术和研究成果。

1数据预处理

网络安全事件来自于部署在网络中的各种安全设备，它们的工作原理不同，关注的侧重点也不尽相同，因此从这些设备中获取的数据可能存在不完整和不一致，给数据处理工作带来很大的困难。数据预处理能够对不完整的数据进行补充，纠正错误数据并去除冗余数据，将数据转换为统一的格式进行下一步处理。数据预处理包括三部分内容，数据清理、数据转换和数据归并。数据清理的工作包括补充数据中缺失但需要的内容，去除冗余数据。数据清理分为有监督和无监督两种方式，有监督的方式是在相关专家指导下进行的，无监督的方式是通过建立规则库，根据设定好的规则进行的。数据转换是通过一足方法将杂乱无章的数据转换成统一的格式，有以下几种处理方式：数据缩放，同一属性的数据最大值和最小值差距可能很大，这样会对一些算法的性能造成影响，可以将数据按比例缩放从而映射到一个范围较小的区间；数据泛化，采用概念分层的方法将低层的原始数据抽象成高层次的概念，属性构造：根据数据源中己有的一个或者几个属性生成新的属性，有助于理解高维的数据结构的；数据平滑，去除数据中的噪声。数据归并对数据进行整理，去掉与系统关键特征无关的属性，合并同类型的关键数据，在保持数据完整性的基础上使得数据尽可能精炼，方便以后的操作。

2事件关联

事件关联就是对采集到的大量数据进行分析，从各种不同类型的数据中找出他们的联系，从而还原一个攻击行为。事件关联技术通过对收集到的大量的安全事件进行处理，减少了事件的数量，并提高了事件的准确性。事件关联技术：①基于规则的推理（RBR）是最早出现的一种技术。②基于事例的推理（CBR）。③基于模型的推理（MBR）。④代码书关联模型（CCM）。⑤通信有限状态机（CFSM）。

3态势评估

网络安全态势评估是将采集到的大量的网络安全事件进行分析处理，通过相应的模型和算法计算出一组或几组有意义的数值，并据此研究网络的安全态势。

3.1网络安全态势评估标准

国外有以下几种有代表性的评估标准：①可信计算机系统评估准则TCSEC（TrustedComputerSystemEvaluationCriteria）是计算机系统安全评估的第一个正式标准，由美国国防部在1985年12月。TCSEC最初是军用标准，后来使用范围逐渐推广。②信息技术安全评估准则ITSEC（InformationTechnologySecurityEvaluationCriteria），是欧洲的安全评价标准，主要应用在军队、政府部门和商业领域。③信息技术安全评价通用准则CC标准（TheCommonCriteriaforInformationTechnologysecurityEvaluation）1993年6月由美国、加拿大及欧洲共同体起草，并将其推广到国际。国内的有代表性的安全评估标准：①GB17859-1999计算机信息系统安全保护等级划分准则，由国家质量技术监督局于1999年9月。本标准给出了计算机信息系统相关定义，规定了计算机系统安全保护能力的五个等级：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这五个等级对计算机信息系统安全保护能力的要求依次升高。②GBIT18336-2001信息技术安全评估准则，2001年3月，是由国家信息安全测评认证中心主持，联合其他相关单位共同起草的国家标准，等同于ISO/IEC15408，并直接应用于我国的信息安全测评认证工作。该准则定义了评估信息技术产品和系统安全性所需的基础准则，对确定安全态势评估模型以及关键态势因素等具有很强的指导作用。③GB-T20984-2007信息安全风险评估规范，2007年，为网络信息系统的安全态势评估工作提供指导和规范。该标准提出了风险评估的基本概念，给出了系统各要素之间的关系，并介绍了风险评估的分析原理、实施流程和评估方法。

3.2网络安全态势评估方法

在一定时间内不同的网络安全设备提供的安全事件往往存在着内在的联系，态势评估就是要通过一定的模型和算法分析这些安全事件得出态势值来衡量网络的安全状况。

3.2.1层次分析法

层次分析法（AnalyticHierarchyProcess，简称AHP）是一种定性与定量相结合的分析方法，由美国运筹学家T.L.Satty在上个世纪70年代提出。这种方法将与决策有关的元素分解成目标、准则、方案等层次，使决策的思维过程模型化，从而为复杂的决策问题提供简便决策。

3.2.2数据融合

由于数据融合技术的研究内容广泛且复杂多样，目前对数据融合还没有统一的定义，一般认为，数据融合技术是指利用计算机将按时序获得的若干观测是数据根据一定标准自动分析、综合，以完成所需决策和评估的信息处理技术。数据融合包含如下三个层次：数据层融合，是在原始数据层进行融合，即对采集的数据直接进行融合，这是低层次的融合；特征层融合，先对采集到的原始数据进行特征提取，然后对提取的特征进行融合，属于中间层次的融合。这种融合方式压缩了数据量，有利于对信息的实时处理。特征层融合一般采用分布式或集中式的融合体系，可分为目标状态融合和目标特性融合；决策层融合，先对采集的数据进行预处理、特征提取、识别或判决等，然后将决策层的判决通过一定的关联分析进行融合，是最高层次的融合。

3.2.3支持向量机

支持向量机（SupportVectorMachine，SVM）是一种机器学习方法，参照了统计学习理论中的VC维理论和结构风险最小化原理，更适合小样本、非线性和高维模式识别问题，并有效克服了机器学习中维数灾难和过学习等问题。

4态势预测

为了能够准确预测未来的网络安全状况及其变化趋势，研究人员最初从脆弱性、安全威胁等单安全要素的预测分析上开展研究，该方面的研究比较成熟且有了丰富的研究成果。随后研究人员意识到安全管理员的操作和决策更佑赖于网络的整体安全状况，因此目前的研究更侧重于将网络中各安全要素的信息融合，得出网络整体的安全状况后进行预测。

4.1时间序列分析方法

时间序列是依据时间顺序生成的观察值的集合。按集合的连续性和离散性，时间序列可分为连续时间序列和离散时间序列；按是否能用精确的函数数学模型表达，可分为线性时间序列和非线性时间序列。

4.2灰色系统理论

灰色系统是一种既含有己知信息又含有未知或未确知信息的系统。灰色系统理论即是研究对灰色系统的建模、预测和控制等。灰色系统包含的信息是有限且离散的，需要从中找出规律来进行建模。目前最常见的灰色预测模型为GM（1，1）模型。它的特点是算法简单，易于实现，在运行时不需要进行参数设定或者其他的人为操作，速度也比较快，能够体现网络安全趋势，适用于小样本预测。

4.3人工智能方法

人工智能的基本思想是通过建立机器的自动感知和自学习机制，使其具有思维能力和行为能力。由于人工智能方法对非线性时间序列具有很强的逼近和拟合能力，许多研究人员将其应用于非线性时间序列的预侧中，如遗传算法、神经网络和支持向量机等智能预测方法。此类方法的优点是具有自学习能力，中短期预测精度较高，需要较少的人为参与。但是遗传算法的进化学习机制较为简单，神经网络存在泛化能力弱，易陷入局部极小值等问题，而支持向量机的算法性能易受惩罚参数、不敏感损失参数等关键参数的影响。

作者:易静 单位:河北医科大学图书

引用：

[1]彭熙，李艳，肖德宝.网络故障管理中几种事件关联技术的分析与比较[J].计算机应用研究，2003.

[2]中国信息安全产品测评认证中心.GB/T18336-2001.信息技术安全评估准则[S].北京：国家质量技术监督局，2001.

[3]中国信息安全产品测评认证中心.GB/T20984-2007.信息安全风险评估规范[S].北京：国家质量监督检验检疫总局，2007.

[4]徐俊，刘娜.层次分析法的基本思想与实际应用[[J].情报探索，2008.

[5]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009.

[6]丁世飞，齐丙娟，谭红艳.支持向量机理论与算法研究综述[[J].电子科技大学学报，2011.