第1期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·39· 化，传统以入侵检测系统为核心的单点防御体系 胁、脆弱性和稳定性3个维度评估网络的安全状 暴露出越来越多的弊端。单点检测方式本质上是 况，并在决策层面将结果进行融合来衡量整个网 通过单个节点的信息做出判断，会形成“安全信息 络的安全状况。2020年Zheng Weifa等使用D- 孤岛”，无法从整个网络层面做出准确的决策，因 S证据理论融合主机防火墙数据、wb防火墙数 此面对复杂的网络恶意活动时会产生大量的误 据和入侵检测数据，对网络安全性进行评估。 报、漏报。 通过对以上学术成果的综合分析，本文构成 安全态势评估通过技术手段从时间和空间 出基于多源异构数据融合的网络安全态势评估体 维度来感知并获取安全相关元素，综合分析安全 系，主要工作如下： 信息以准确判断安全状况。随后国内外许多研 1)提出了包含流量探测模块、属性提炼模 究人员将态势评估的思想及方法应用到网络安全 块、决策引擎模块、多源融合模块、态势评估模块 领域，设计和实现了许多高效网络安全态势评估 等5大模块的网铬安全态势评估体系。 系统。 2)以入侵检测系统(Snort)报警规则为标尺， 1995年Endsley"将态势感知概括为态势觉 提炼网络威胁等级划分原则。 察、态势理解、态势投射3个过程。1999年 3)使用层次化网络安全威胁评估方法，依次 Bass)首次提出网络安全态势感知，本质上是融 评估服务层、主机层、网络层态势。 合多源入侵检测系统的结果，识别网络中的攻击 1网络安全态势评估体系 活动，评估网络运行状况。2002年陈继军)提出 权系数理论原则，用于确定各传感器的系数。 本文提出的基于多源异构数据融合的网络安 2005年诸葛建伟等引入D-S证据理论，构建决 全态势评估体系包含流量探侧模块、属性提炼模 策引擎判断网络状况。2006年陈秀真等提出了 块、决策引擎模块、多源融合模块和态势评估模 层次化安全威胁评估模型，通过网络流量信息及 块等5大模块。如图1所示，5个模块构建时吻 入侵检测报警信息，对网络运行状况进行评估。 合信息安全管理中安全基础、识别认定、检测评 2008年马琳茹等通过指数加权规则，将不同的 估、安全防护4个维度，充分考虑可用性、可控 传感器赋予不同的信任以改进D-S证据理论。 性、保密性等信息安全要求。如图2所示：1)流 2009年韦勇等)从节点脆弱性和攻击威胁等角 量探测模块是在网络中部署多个探测器，以全面 度，基于D-S证据理论算法，构建网络安全态势 地获取网络信息；2)属性提炼模块是基于恶意活 评估模型。 动特征，准确地构造有助于提高识别攻击类型的 2016年刘效武等⑧构建了一个融合-感知-决 核心属性；3)决策引擎模块是利用网络数据，科 策-控制的态势认知融合感控模型，对网络状况 学地训练由核心属性到攻击类型的模型；4)多源 进行评估。2018年Wang Huan等9使用混淆矩阵 融合模块是巧妙地融合决策引擎的输出结果，有 最大特征值对应的特征向量确定主机态势的参 效提升识别攻击类型的性能：5)态势评估模块是 数，对网络运行状况进行评估。2018年龚俭等1 基于融合结果，直观地展示网络运行状态。 认为网络安全态势感知(network security situation 可控性 awareness,.NSSA)是认知网络系统安全状态的过 程，包含原始数据测量、语义提取、融合处理、异 可用性 常识别、态势获取等内容。2018年Zhao Dong- 保密性 安全基础 mei等)通过粗糙集属性简约算法提取核心属 令 法 识别认定 性，并使用粒子群优化算法优化径向基神经网络 流量探测模块 提 引 态势评 检测评估 识别网络攻击。2018年陈维鹏等)将网络态势 模块 合 模 安全防护 等级进行划分，通过模拟退火算法优化BP(back 块 propagation)神经网络参数，确定网络空间态势感 知等级。2019年贾焰等1对网络安全态势感知 图1网络安全态势评估体系 概念、网络安全态势关键技术等方面的研究现状 Fig.1 The architecture of network security situation as- 进行深入剖析。2019年Xi Rongrong等从威 sessment化，传统以入侵检测系统为核心的单点防御体系 暴露出越来越多的弊端。单点检测方式本质上是 通过单个节点的信息做出判断，会形成“安全信息 孤岛”，无法从整个网络层面做出准确的决策，因 此面对复杂的网络恶意活动时会产生大量的误 报、漏报。 安全态势评估通过技术手段从时间和空间 维度来感知并获取安全相关元素，综合分析安全 信息以准确判断安全状况。随后国内外许多研 究人员将态势评估的思想及方法应用到网络安全 领域，设计和实现了许多高效网络安全态势评估 系统。 1995 年 Endsley[1] 将态势感知概括为态势觉 察、态势理解、态势投 射 3 个过程。 199 9 年 Bass[2] 首次提出网络安全态势感知，本质上是融 合多源入侵检测系统的结果，识别网络中的攻击 活动，评估网络运行状况。2002 年陈继军[3] 提出 权系数理论原则，用于确定各传感器的系数。 2005 年诸葛建伟等[4] 引入 D-S 证据理论，构建决 策引擎判断网络状况。2006 年陈秀真等[5] 提出了 层次化安全威胁评估模型，通过网络流量信息及 入侵检测报警信息，对网络运行状况进行评估。 2008 年马琳茹等[6] 通过指数加权规则，将不同的 传感器赋予不同的信任以改进 D-S 证据理论。 2009 年韦勇等[7] 从节点脆弱性和攻击威胁等角 度，基于 D-S 证据理论算法，构建网络安全态势 评估模型。 2016 年刘效武等[8] 构建了一个融合−感知−决 策−控制的态势认知融合感控模型，对网络状况 进行评估。2018 年 Wang Huan 等 [9] 使用混淆矩阵 最大特征值对应的特征向量确定主机态势的参 数，对网络运行状况进行评估。2018 年龚俭等[10] 认为网络安全态势感知 (network security situation awareness, NSSA) 是认知网络系统安全状态的过 程，包含原始数据测量、语义提取、融合处理、异 常识别、态势获取等内容。2018 年 Zhao Dong￾mei 等 [11] 通过粗糙集属性简约算法提取核心属 性，并使用粒子群优化算法优化径向基神经网络 识别网络攻击。2018 年陈维鹏等[12] 将网络态势 等级进行划分，通过模拟退火算法优化 BP(back propagation) 神经网络参数，确定网络空间态势感 知等级。2019 年贾焰等[13] 对网络安全态势感知 概念、网络安全态势关键技术等方面的研究现状 进行深入剖析。2019 年 Xi Rongrong 等 [14] 从威 胁、脆弱性和稳定性 3 个维度评估网络的安全状 况，并在决策层面将结果进行融合来衡量整个网 络的安全状况。2020 年 Zheng Weifa 等 [15] 使用 D￾S 证据理论融合主机防火墙数据、web 防火墙数 据和入侵检测数据，对网络安全性进行评估。 通过对以上学术成果的综合分析，本文构成 出基于多源异构数据融合的网络安全态势评估体 系，主要工作如下： 1) 提出了包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块、态势评估模块 等 5 大模块的网络安全态势评估体系。 2) 以入侵检测系统 (Snort) 报警规则为标尺， 提炼网络威胁等级划分原则。 3) 使用层次化网络安全威胁评估方法，依次 评估服务层、主机层、网络层态势。 1 网络安全态势评估体系 本文提出的基于多源异构数据融合的网络安 全态势评估体系包含流量探测模块、属性提炼模 块、决策引擎模块、多源融合模块和态势评估模 块等 5 大模块。如图 1 所示，5 个模块构建时吻 合信息安全管理中安全基础、识别认定、检测评 估、安全防护 4 个维度，充分考虑可用性、可控 性、保密性等信息安全要求。如图 2 所示：1) 流 量探测模块是在网络中部署多个探测器，以全面 地获取网络信息；2) 属性提炼模块是基于恶意活 动特征，准确地构造有助于提高识别攻击类型的 核心属性；3) 决策引擎模块是利用网络数据，科 学地训练由核心属性到攻击类型的模型；4) 多源 融合模块是巧妙地融合决策引擎的输出结果，有 效提升识别攻击类型的性能；5) 态势评估模块是 基于融合结果，直观地展示网络运行状态。 可控性 可用性 保密性 安全基础 识别认定 检测评估 安全防护 流 量 探 测 模 块 属 性 提 炼 模 块 决 策 引 擎 模 块 多 源 融 合 模 块 态 势 评 估 模 块 图 1 网络安全态势评估体系 Fig. 1 The architecture of network security situation as￾sessment 第 1 期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·39·