基于數學模型的網絡安全態勢感知綜述

郭佳

摘 要：網絡安全態勢感知研究對于增強網絡的安全監控能力、應急響應能力和預測網絡安全的態勢發展具有重要的作用。本文旨在介紹幾種基于數學模型的態勢感知系統，并針對不同的網絡環境進行應用，講解不同的算法以及各種模型的態勢感知優缺點，并對不同數學模型的態勢感知系統選擇提供建議。

關鍵詞：態勢感知；數學模型；網絡安全；態勢預測

中圖分類號：TP393 文獻標識碼：A

0.引言

隨著計算機網絡的高速發展，各種新型的網絡攻擊手段不斷出現，網絡安全的問題成為計算機網絡使用者和管理員們高度關注的問題。由于各行各業活動都開始線上線下共同發展，因而網絡作為現代人們活動的主要場所，其安全性也成為了現代社會關注的焦點問題之一。由于網絡信息交流主要依賴于數字化信息，而數字信息容易受到攻擊，而被破壞盜用，引發諸多不安全問題。傳統的網絡安全防御措施，如：查看安全日志、添加和配置網絡安全設備（防火墻、路由器訪問控制列表、IDS等）無法全局地分析網絡的安全狀況和預測網絡安全的態勢發展。網絡安全技術也在不斷變革，從傳統的入侵檢測、入侵防御到入侵容忍、可生存性研究等。

網絡安全態勢是一種通過現有的網絡信息進行實施評估系統安全的研究領域，通過對信息的分析，為網絡管理員的操作提供依據，避免即將到來的網絡不安因素和風險，將損失降到最低，安全態勢評估準確性提高，可以為網絡管理員決策提供更加有力的信息支持。

網絡安全態勢感知NSSA（network security situ-ation awareness）是目前的研究熱點，它能實時感知安全風險，使安全分析員可以掌握網絡安全狀況，從而為準確決策提供可靠依據，將安全事件帶來的風險和損失降低到最低限度。網絡安全態勢感知通過分析威脅傳播對網絡系統的影響，對系統的安全性進行全面、準確地評估，并提供出對應的系統加固方法，通過不同的數據模型進行相關算法的優化分析，有效地抑制威脅的擴散。

1.基于時空維度分析的網絡安全態勢感知

空間數據發覺理論是針對實體的幾何形狀、物理位置、拓撲結構、維度等進行研究的空間特性的理論和方法，早期主要應用于環境研究、地理信息系統、交通控制、醫學影像識別等領域。后來，由于具有空間特性的網絡數據也逐漸被引用到網絡安全領域中了。

基于時間維度分析的網絡安全態勢模型對已經出現的攻擊序列Asi進行攻擊追蹤分析，在攻已成功實施攻擊的情況下，不存在繼續被攻擊序列利用的脆弱性，所以該攻擊序列不會再發生變化；其次，對已攻擊序列進行時間序列的分析，由于時空維度模型（ARMA）在安全態勢領域的預測結果誤差較小，所以選用ARMA模型進行分析。ARMA模型首先進行平穩性檢測。

基于時空維度分析的網絡安全態勢感知系統，從網絡體系中的進攻方、防御方、環境三方進行安全態勢的要素集收集，然后在時空維度上進行對未來各個時間段內的網絡安全態勢要素集的預測，并根據要素集之間的關聯性在空間維度模型上進行數據發掘計算網絡的安全態勢。最后利用公用數據集DARPA進行結果驗證，證明基于時間維度的感知模型是可以提高安全態勢的預測能力的。

2.基于Markov博弈模型的網絡安全態勢感知

傳統認知態勢感知的核心是對態勢量化進行評估。我們首先要對數據進行采集，將其中檢測出的安全類數據進行融合并進行歸類，如：威脅集合、信息集合、脆弱性集合和網絡架構等信息。將這部分數據進行格式規范化并保存在數據庫中，這樣就可以進行數據地實時操作了；其次，對集合中的每個威脅元素建立TPN；并對用戶、管理者、威脅進行Markov模型的博弈分析，評估單個威脅的保密性態勢以此來給出優化的系統加固方案；最終，對威脅集合中的保密性態勢進行綜合分析進而評估系統的保密性安全態勢；同理，我們可以評估系統的可用性態勢和完整性態勢。針對不同的網絡系統應用環境和需求，對系統的完整性、保密性、安全性、可用性態勢加權，以此評估整個系統當前的安全態勢情況。

系統在不同的時間段內安全態勢是相互關聯的，態勢預測模塊以態勢評估結果為基礎。我們可以利用此種相關聯的態勢變化規律結果進行分析和預測。

Markov博弈模型通過態勢評估將資產、威脅、脆弱性之間的關系進行了詳細地描述，評估結果準確、全面、具有科學客觀性，為管理者提供的系統加固方案能很好地針對具體的某個威脅找到其路徑和節點，有效地提供了系統安全性、抑制了威脅的擴散。

3.基于神經網絡的網絡安全態勢感知

BP神經網絡模型的并行處理能力，自適應性相對較強，因而靈活性相對較高，能夠利用任意精度處理函數關系。除此之外，由于不確定的非線性態勢值，傳統模型的預測結果誤差相對較大。RBF網絡在對復雜系統的描述中，可以進行非線性系統描述，因而在網絡安全預測中可以發揮巨大的作用，因此神經網絡參數優化可以通過遺傳算法進行。

RBF態勢預測模型最主要進行基函數中心、寬度的計算以及隱節點數目和隱層的計算，從而降低預測誤差，建立相對精確到網絡。遺傳算法的全局搜索性相對較高，因而局部極值出現的可能性有效降低，基于這一點，RBF網絡利用遺傳算法可以有效優化參數、結構。

基于BP神經網絡評估模型，引入了遺傳算法，對網絡態勢預測相關參數進行有效優化，從而提高態勢預測的準確性、有效性。

結語

本文綜述了3種基于數學模型建立的網絡安全態勢感知系統，從網絡安全態勢感知的預測、發現、解決、系統的加固給出了具體的方法，針對不同算法的優化進行了簡要的描述。在實際網絡應用中應根據不同的情況進行感知系統的選擇。

參考文獻

[1]張勇.基于Markov博弈模型的網絡安全態勢感知方法[J].軟件學報，2011，22（3）：495-508.

[2]韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展，2009（3）：393.

[3]劉玉嶺.基于時空維度分析的網絡安全態勢預測方法[J].計算機研究與發展，2014，51（8）：187-189.