基于信息融合的网络安全态势感知模型(2)

在分析已有的安全态势评估和预测方法的基础上, 提出了基于信息融合的网络安全态势感知模型。该模型采用D??S证据理论对多源网络安全数据进行融合, 计算漏洞、服务、主机、网络的安全态势值。同时根据历史安全态势评估结果, 利用支持向量回归理论对未来态势进行预测。相比已有的安全态势评估和预测方法, 该模型的结构更加完整, 结果更为准确有效。

6900科 学 技 术 与 工 程10卷

以上方法为网络安全态势评估工作提供了可行的解决思路,为评估模型及算法的研究奠定了良好的基础,但也普遍存在着一些技术缺陷。例如,缺乏对网络安全因素的全面考虑,评估数据源单一,使得评估结果缺乏全面性;忽略了数据源之间的互补性和冗余性等内在联系,使得评估结果不够准确;所采用的量化算法存在一定缺陷,导致量化结果与实际结果出现偏差;另外,这些方法无法对安全状况的发展趋势进行准确的预测分析。

针对上述问题,本文提出了基于信息融合的网络安全态势感知模型,利用D S证据理论将多数据源态势信息进行融合,获得多粒度的网络安全态势评估结果,评估对象为漏洞 服务 主机 网络,并绘制出各级对象的态势曲线图;根据获得历史网络安全态势值,使用支持向量回归理论对未来单位时间的安全态势值进行有效预测,从而实现网络安全态势的评估和趋势预测。

在多源信息层,可通过不同的数据接入方式,如专门的代理接口等,获取多源网络信息,包括:

(1)网络拓扑信息IT,即网络所有物理链接关系集合;

(2)主机信息IH,即包括主机权重wH,主机漏洞VH和漏洞静态严重性Vs组成的二元组(VH,Vs),服务SH和服务权重wS组成的二元组(SH,wS);

(3)报警信息IA,即对多个入侵检测系统产生的原始报警信息进行预处理,包括剔除无效时间戳报警;合并多个检测器对同一攻击的重复报警;主机报警按照是否存在相应漏洞的原则进行剔除或保留。

在网络安全态势评估层,首先使用D S证据理论对多源信息进行融合处理,得到漏洞评估结果;其次考虑主机上存在的某项服务及其对应的漏洞集,采用求和法获得服务评估结果;再次考虑主机上存在的各项服务及其权重,采用加权求和法获得主机评估结果;最后考虑网络内各主机的权重,采用加权求和法得到网络安全评估结果。

在网络安全态势预测层,根据历史态势评估结果,采用支持向量回归理论得到未来单位时间内的态势预测结果。

1 基于信息融合的网络安全态势感知模型

本文以多源网络安全信息为基本的数据对象,以信息融合的知识和方法为理论指导,建立如图1所示的层次化的网络安全态势感知模型。该模型从功能上自下而上分为三个层次,分别为多源信息层,网络安全态势评估层,

和网络安全态势预测层。

2 基于D S证据理论的网络安全态势评估算法

证据理论是由Dempster在1967年首先提出的,1976年Shafer对Dempster的理论进行了扩充,在此基础上形成了一种处理不确定性问题的工具。因此,证据理论又称为Dempser Shafer理论,简称D S证据理论或证据理论

[11]

。本文以CERT的漏洞

静态严重性分值和入侵检测系统的报警统计数据作为证据,利用D S证据理论融合后获得漏洞态势值,然后考虑主机存在的服务以及服务的权重获得服务安全态势和主机安全态势值,最后根据主机的安全态势值及权重获得网络安全态势值。

图1 基于信息融合的网络态势感知模型

针对主机Hi的某一漏洞Vi,先对漏洞静态严重

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库基于信息融合的网络安全态势感知模型(2)在线全文阅读。