由 Yan Zhang, Shuguang Huang, Shize Guo, Junmao Zhu 等人撰写,其所属机构分别为 Electronic Engineering Institute (合肥, 230037) 和 Institute of North Electronic Equipment (北京, 100083)。该研究发表于国际学术会议 “3rd International Conference on Environmental Science and Information Application Technology (ESIAT 2011)” 的会议论文集 Procedia Environmental Sciences 第10卷(2011年),页码为1029–1034。
该研究属于计算机网络与信息安全领域。随着计算机网络的发展,信息安全状况迅速恶化。为了应对不同类型的网络攻击,网络管理员通常部署多种安全设备(如防火墙、入侵检测系统等),这些设备被视为网络安全态势感知的“传感器”。然而,对这些设备产生的海量告警信息进行管理面临诸多挑战,包括告警过载、告警冲突以及高误报率等。为了解决这些问题,学术界开始尝试将“态势感知”(Situation Awareness)概念引入信息安全领域,旨在从宏观上理解和评估网络安全状况。然而,当时的研究大多仅能提供宏观的攻击类型信息(如探测、拒绝服务等),无法帮助决策者快速定位系统中最脆弱的部分,从而做出及时有效的响应。因此,本研究旨在提出一种能够精确评估系统安全状况并识别系统弱点的模型,其核心目标是通过融合来自多类异构传感器的安全数据,实现从服务、主机到网络三个层次的精细化网络安全态势评估。
本研究提出并详细阐述了一种名为层次化网络安全态势评估模型(Hierarchical Network Security Situation Assessment Model,简称 HNSSAM)。整个研究工作流程包含几个核心环节:数据预处理、D-S证据理论融合、层次化定量态势评估,以及最后的实验验证。研究对象的样本并非生物或物理实体,而是构建了一个模拟的网络环境及其中的安全数据流。该模拟网络环境包含了部署有不同传感器的多台主机,研究处理的“样本”即是在特定时间段内这些传感器产生的关于模拟攻击的告警数据。
首先,数据预处理模块。 该模块负责从不同的传感器(如防火墙FW、网络入侵检测系统NIDS、主机入侵检测系统HIDS、防病毒软件等)收集原始安全数据。为了减少无效告警数量,模型引入了数据验证机制。该机制通过对比攻击成功所需的条件(如操作系统版本、运行的服务等)与目标主机的实际配置信息,来过滤掉那些不可能成功的攻击告警。例如,针对Windows系统Serv-U软件的目录遍历攻击告警,若目标主机运行的是Linux系统,则该告警将被视为无效并移除。最后,所有有效的安全数据会被转换为统一的格式,以便后续模块处理。
其次,D-S证据理论数据融合。 这是本研究的一个核心创新方法。为了解决多传感器告警冲突和误报率高的问题,研究者采用了Dempster-Shafer(D-S)证据理论进行数据融合。具体流程如下: 1. 定义辨识框架: 针对每个告警,设定其可能的两种状态:{True_Positive(真正例), False_Positive(假正例)}。 2. 确定基本概率分配: 将每个传感器对某个告警的置信度,定义为该传感器在各种攻击下的真正例率(True Positive Rate, TPR)。TPR值通过对各类安全设备在各种攻击场景下进行有监督训练来获得,并存储于知识库中。例如,传感器O1对攻击H的置信度 m1(H) 即为其TPR。 3. 应用融合规则: 当多个传感器对同一事件(如针对同一服务的同种攻击)产生告警时,使用D-S组合规则(文中公式1)对这些传感器的置信度进行融合,得到一个综合的、更可靠的置信度值 m12(H)。这个过程有效降低了单一传感器的误报影响,提升了告警的可信度。
第三,层次化定量态势评估。 这是本研究的另一个核心创新框架。模型采用了自底向上、从局部到全局的评估策略,依次评估服务、主机和网络三个层次的安全态势。 1. 服务安全态势评估: 评估单个服务受攻击的严重程度。研究者提出了一个评估公式(文中公式2)。该公式综合考虑了融合后的攻击置信度(a_j)、攻击本身的威胁指数(b_j,来自知识库) 以及时间权重(w_t)。时间权重的引入是一个重要考量,因为攻击的影响随网络活跃期(如工作时间、夜间)不同而不同。研究者将一天划分为三个时段(如t1:00:00-08:00, t2:08:00-18:00, t3:18:00-24:00),根据各时段流量特征(低、中、高)赋予不同的量化权重,再进行归一化处理。最终计算出的服务安全态势值(ks_ss_i(t))越高,表示该服务在t时刻面临的威胁越大。 2. 主机安全态势评估: 评估一台主机整体的安全状况。公式(文中公式4)考虑了两方面因素:一是该主机上运行的各服务的态势值(ks_ss_i) 及其服务重要性权重(ks_w_i);二是主机自身安全机制(如加密、访问控制)的完备性对各项安全标准(如机密性、可用性、完整性)的保障程度(用sp_pq_ks表示)及其权重(sa_w_p)。通过对这些因素进行加权计算,得到主机安全态势值(h_k_ss(t))。该值越高,表明该主机在t时刻的风险越高。 3. 网络安全态势评估: 评估整个网络的安全状况。这是最高层次的评估,公式(文中公式5)相对简洁,即对网络中所有主机的安全态势值(h_k_ss(t)) 按照各主机在网络中的重要性权重(h_k_w) 进行加权求和,得到整个网络在t时刻的安全态势值(n_ss(t))。
第四,实验验证与结果分析。 为了验证HNSSAM模型的效果,研究团队搭建了一个模拟的多传感器网络环境(拓扑图见文中图3)。实验网络包含多台主机(Host A, B, C),并部署了防火墙、NIDS、HIDS和防病毒软件四种传感器。实验流程分为几个阶段: 1. 数据收集(Section 1): 将一天划分为三个时段并赋予不同时间权重。在连续六个观测时间点(t1至t6,分属不同时段),收集所有传感器对主机A、B、C的攻击检测信息。 2. 数据处理与融合(Section 2): 根据收集的数据,从知识库查找对应攻击的传感器置信度(TPR),应用D-S规则进行融合,再结合攻击的威胁指数,利用公式2计算出各服务的态势值。 3. 结果可视化与分析: * 服务层结果(Section 3,图4a): 以主机A为例,可视化展示了其所有服务(如RPC、HTTP等)在不同时间点的安全态势。结果显示,主机A的RPC服务遭受的威胁级别显著高于其他服务,这提示管理员应优先处理RPC服务相关的安全问题。 * 主机层结果(Section 3,图4b): 根据公式4计算出主机A的整体安全态势曲线。图4b清晰显示,攻击活动在t1到t4时间段内较为活跃。 * 网络层结果(Section 4,图5a&b): 图5a展示了局域网内所有主机的安全态势,管理员可以直观比较各主机的威胁等级。图5b则展示了根据公式5计算出的整个网络的安全态势曲线,表明该网络在下午到午夜期间遭受的攻击更多,态势更为严峻。
实验结果表明,HNSSAM框架能够有效地提供三个层次的网络安全态势。服务层结果帮助定位具体脆弱点;主机层结果展示了单台设备的风险起伏;网络层结果则给出了全局的风险趋势。这些结果之间存在清晰的逻辑递进关系:服务层的详细数据是计算主机层态势的基础,而所有主机的态势数据又聚合为网络层的宏观态势。各层次的结果共同支撑了模型的结论。
本研究的结论是:通过分析现有态势评估算法的不足,提出了一种基于多异构传感器融合的、新颖的网络安全态势评估模型(HNSSAM)。该模型将D-S证据理论融合规则与层次化定量风险评估方法相结合,并引入了置信度、服务重要性和主机重要性等因素。在模拟网络环境中的评估表明,该方法适用于网络环境,评估结果精确且高效。
本研究的价值体现在科学价值和潜在应用价值两方面。科学价值在于:它提出了一种结构化的、分层次的定量评估框架,将态势感知从宏观定性推进到微观定量,丰富了网络安全态势感知的理论体系;创新性地将D-S证据理论应用于解决安全告警融合中的不确定性问题。应用价值在于:该模型能有效处理海量安全数据,降低误报干扰;提供三个层次的直观安全威胁视图,使安全管理员不仅能了解“网络是否被攻击”,更能知道“哪里最脆弱”、“哪个主机风险高”、“整体风险趋势如何”,从而辅助决策者调整安全策略、优先加固最脆弱的环节,提升整体安全防护的效率和针对性。
本研究的亮点主要体现在以下几个方面: 1. 方法的新颖性: 创造性地将D-S证据理论与层次化风险评估方法深度融合,构建了统一的数学模型(HNSSAM),用于网络安全态势量化评估。 2. 评估的层次性与精细化: 提出的“服务-主机-网络”三层评估体系,克服了当时许多研究仅提供宏观态势信息的短板,实现了安全威胁的精细化定位与评估。 3. 考虑因素的全面性: 在评估公式中,不仅考虑了攻击本身的特征(类型、置信度、威胁指数),还引入了时间权重、服务/主机重要性权重以及安全机制有效性等环境与资产因素,使评估结果更贴合实际网络运维需求。 4. 实验验证的有效性: 通过搭建模拟网络环境并进行分阶段的实验,清晰地展示了模型从原始数据处理到多层态势可视化的完整工作流程和效果,验证了模型的可行性与实用性。
此外,文中对相关工作的梳理(如Bass的多传感器数据融合架构、Endsley的态势感知三层次理论等)也为读者理解本研究在学术脉络中的位置提供了清晰的背景。研究明确指出了先前工作的局限性(如仅提供宏观攻击类型信息),从而突出了本研究的出发点和贡献所在。