网络安全态势认知融合感控模型.pdf
《网络安全态势认知融合感控模型.pdf》由会员分享,可在线阅读,更多相关《网络安全态势认知融合感控模型.pdf(16页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: Journal of Software,2016,27(8):20992114 doi: 10.13328/ki.jos.004852 http:/ 中国科学院软件研究所版权所有 . Tel: +86-10-62562563 网络安全态势认知融合感控模型刘效武1, 王慧强2, 吕宏武2, 禹继国1, 张淑雯1 1(曲阜师范大学 信息科学与工程学院 ,山东 日照 276826) 2(哈尔滨工程大学 计算机科学与技术学院 ,黑龙江 哈尔滨 150001) 通讯作者 : 刘效武 , E-mail: 摘 要 :
2、为了分析网络威胁的演化趋势 ,并探讨安全态势的自主感知和调控问题 ,将跨层结构和认知环融入模型的设计 ,提出一种基于融合的网络安全态势认知感控模型 ,增强网络安全系统的层间交互和认知能力 .在分析模型组件及其功能的基础上 ,利用多源融合算法得到各异质传感器对网络安全事件的准确决策 ,结合对安全事件威胁等级和威胁因子关系的推演 ,克服威胁因子获取过程中需处理网络组件间复杂隶属关系的不足 ,从而提出包含服务级、主机级和网络级的层次化态势感知方法 ,提高对网络威胁的表达能力 .而且通过对态势感知曲线的分析 ,搭建离散计算和连续控制之间的桥梁 ,形成闭环反馈控制结构 ,解决安全态势自感知和自调控的问题
3、 .仿真实验结果表明 :基于融合的网络安全态势认知感控模型及方法能够融合异质安全数据 ,动态感知威胁的演化趋势 ,并具有一定的自主调控能力 ,达到了认知感控的研究目的 ,为监控和管理网络提供了新的方法和手段 . 关键词 : 网络安全态势感知 ;认知计算 ;多源融合 ;量化感知 ;认知调控 中图法分类号 : TP393 中文引用格式 : 刘效武 ,王慧强 ,吕宏武 ,禹继国 ,张淑雯 .网络安全态势认知融合感控模型 .软件学报 ,2016,27(8):20992114. http:/ 英文引用格式 : Liu XW, Wang HQ, L HW, Yu JG, Zhang SW. Fusion-
4、Based cognitive awareness-control model for network security situation. Ruan Jian Xue Bao/Journal of Software, 2016,27(8):20992114 (in Chinese). http:/ 9825/4852.htm Fusion-Based Cognitive Awareness-Control Model for Network Security Situation LIU Xiao-Wu1, WANG Hui-Qiang2, L Hong-Wu2, YU Ji-Guo1, Z
5、HANG Shu-Wen1 1(School of Information Science and Engineering, Qufu Normal University, Rizhao 276826, China) 2(School of Computer Science and Technology, Harbin Engineering University, Harbin 150001, China) Abstract: For the purpose of exploring the evolution trend and analyzing the autonomous aware
6、ness and control problems, this paper proposes a cognitive awareness-control model for network security situation based on fusion. This model is characterized by the design of the cross-layer architecture and cognitive circle which can improve the interactive and cognitive ability between the differ
7、ent network layers. Based on the analysis of the model components and their functions, this paper uses the fusion algorithm to obtain the accurate decision on the security events made by heterogeneous multi-sensor. Combining with the reasoning of the relation between threat gene and threat level, a
8、hierarchical quantification method is put forward, encompassing service layer, host layer and network layer. This approach has the advantage of overcoming the shortcoming of dealing with the complex memberships among network components and improving the expression ability against network threat. In
9、addition, through establishing the bridge between dispersed computing and the continuous control, the close-up feedback structure is formed and the self-awareness and self-control problems are solved. The simulation experiments prove that the presented model and algorithms can fuse heterogeneous sec
10、urity data, dynamically perceive the evolution trend 基金项目 : 国家自然科学基金 (90718003, 61370212); 教育部博士点基金 (20122304130002); 山东省高校科技计划 (J11LG09) Foundation item: National Natural Science Foundation of China (90718003, 61370212); Ph.D. Programs Foundation of the Ministry of Education of China (2012230413000
11、2); Shandong Province Higher Educational Science and Technology Plan of China (J11LG09) 收稿时间 : 2013-09-22; 采用时间 : 2015-05-08 2100 Journal of Software 软件学报 Vol.27, No.8, August 2016 of network threat and possess the autonomous regulation and control ability. This study meets the research goal of cogn
12、itive awareness-control and it provides a new method of monitoring and administrating the networks. Key words: network security situation awareness; cognitive computing; multi-source fusion; quantification awareness; cognitive control 当今网络与信息技术在经济、社会、国防中的作用日益重要 ,已上升到关系国家和全民利益的高度 ,逐渐成为经济发展和国家战略部署的重要因
13、素 .然而 ,当前网络系统的异构异质性、复杂性、使用环境的持续恶化、规模的不断扩大以及各种新兴应用的不断涌现 ,传统 “堵漏洞、作高墙、防外攻 ”的安全模式因缺乏自适应性、统一调度和有效协同 ,从而导致网络入侵和破坏行为普遍存在 ,造成重大经济损失 ,带来恶劣社会影响 ,甚至酿成机毁人亡的重大责任事故 . 网络安全态势感知 (network security situation awareness,简称 NSSA)被认为是解决网络安全领域中存在问题的一种新途径 ,它能够融合各网络部件对安全事件的检测 ,并实时感知网络安全状况和面临的风险 ,已成为国际上一个前沿且具有多学科交叉性质的热点研究领域
14、 .自 1999 年 Bass1提出基于多传感器融合的态势感知模型起 ,融合模型成为这一阶段的代表性研究 ,包括 Tadda 等人2提出的由要素提取、状态感知和态势预测组成的三级模型以及由 Shen 等人3提出的网络态势融合感知与风险评估模型 .同时 ,可视化技术也是 NSSA 研究初始阶段的重要分支 ,劳伦斯伯克利国家实验室、美国国家高级安全系统研究中心等国外军事部门和研究中心开发了诸如 “Spinning Cube Potential Doom”4,NVisionIP5等可视化态势感知软件 ,甚至至今 ,态势可视化仍是一大研究方向6.在 NSSA 研究的这一时期 ,较关注框架模型的构建和可
15、视化工具的开发 ,但模型所涉及的方法和机制仍待应用验证 ;且在大型网络中 ,单纯通过网络流量和连接状况的可视化 ,也很难准确地获得网络安全态势 . 2006 年 ,陈秀真等人7提出了层次化的网络安全威胁态势量化评估方法 ,虽然该研究中威胁权值仍依靠专家经验 ,也未对融合感知做深入探讨 ,但其提出的层次化威胁评估理念对态势感知的研究具有重要的推动作用 .这一阶段 ,在层次量化感知的研究方向上呈现出了蓬勃发展的局面 ,其中尤其值得关注的是 Hu 等人8提出的AHP 层次分析方法 .但此类方法中仍存在态势知识表达不健全、 态势威胁因子主观依赖较大、 获取困难等问题 . 从 2008 年开始 ,融合感
16、知逐渐成为 NSSA 研究领域的热点 ,且融合算法是研究过程中的核心内容之一 .由于网络安全事件的随机性和突发性 ,获取其先验概率和条件概率的难度大 ,难以处理融合过程中的不确定性 .而D-S 证据理论切合了态势感知对多源融合的需求 ,数据通信量需求小 ,推理过程对先验概率要求低 ,在处理不确定方面也表现出了良好的适应性 .韦勇等人9提出了基于 D-S 线性加权的融合感知方法 ,而 Zhang 等人10则采用平均法改进 D-S 合并规则 ,处理 NSSA 的融合感知问题 .上述对 NSSA 融合感知的研究 ,证实了融合感知的可行性 ,但在对 D-S 证据融合改进的过程中 ,仍存在辨识框架不归一
17、和融合冲突问题 . 自 2010 年以来 ,态势感知的认知能力和反馈控制问题引起了研究者的极大关注 ,也出现了诸多代表性的研究成果 .文献 11认为 ,认知感知是目前信息融合领域的重要挑战 ,并探讨了依赖型理论、 扩展构造函数等认知态势感知的形式理论基础问题 ;龚正虎等人12在提出的网络态势框架中强调了 NSSA 研究的反馈控制结构 ,并认为 ,扩展控制循环模型 (OODA)提供了处理多并发、潜在交互的数据融合机制 ;张勇等人13构建了一个基于Markov 博弈的 NSSA 模型 ,虽然其研究核心是利用风险传播网络构建三方参与的博弈模型 ,但所提出的安全系统加固理念强调了态势感知研究中不仅要实
18、现威胁状况的感知 ,也应关注系统状态的控制 . 认知计算被认为是解决目前 NSSA 研究中问题的一种新机制 ,其中对认知环、 跨层结构和自适应性研究尤其值得关注 .虽然其中对认知环的构造形式和跨层的体系结构仍存在较大分析 ,但已出现了诸多重要意义的研究成果 .Thomas 等人14和 Fortuna 等人15赞同认知计算应采用类似于 OODA 环的设计 ,从而提升系统的认知能力 .跨层设计是认知计算的又一研究热点 ,也是学术界较为普遍接受的结构形式 .Clark 等人16和 Shakkottai 等人17认为 ,跨层结构是认知计算的基础 ,能够克服传统网络层次间信息交互困难的弊病 ,并已在无线
19、网络的信道管理18、自干扰19和路径选择20等研究中得到了初步应用和检验 ,但仍存在只针对特定网络层次、优化功能重叠等不足 . 认知计算的自主特性和动态配置能力 ,也被认为是实现系统自适应性的可行途径 .学术界 ,Gomez 等人21提出了一个认知计算框架 ALOE(abstraction layer and operating environment),能够实现为实时执行的系统平台提 刘效武 等 :网络安全态势认知融合感控模型 2101 供动态配置、 资源感知和运行控制等功能 ;Gupta22和 Ogiela 等人23都认为 ,认知计算具有自主的推理和感知的能力 ,能够模拟学习、记忆、推理和
20、感知等认知功能 ,可被应用于安全、信息系统决策等诸多领域 .上述研究为采用认知计算实现具有自主特性、感知和学习能力的智能系统提供了可行的理论基础 .而国外的军方和科研机构则纷纷从认知计算动态配置能力的角度展开各自的研究计划 ,如 :美国国家自然科学基金、 DARPA、 NASA资助了 BNA(bio-networking architecture project)24,Rainbow25等研究 ;欧盟也展开了第七框架计划 (FP7)26的研究 ,此类研究计划以系统实证的方式验证认知计算能够建立自适应性系统 ,并可提供一种自管理的新方法 ;在国内 ,采用认知计算提升系统认知能力的研究还较少 ,虽
21、然文献 27中提出了一个网络攻击认知模型 ,可实现对攻击步骤、攻击行为和攻击过程的认知 ,但更多研究仍较集中于对计算系统资源的复杂管理28和 QoS 水平的动态配置29.究竟何种类型认知结构和机制适用于 NSSA,仍待理论探讨和实际验证 . 从 NSSA的发展进程来看 ,随着新兴系统的出现和下一代网络应用到来 ,NSSA已从感知网络向感控网络过渡 .本文在吸取已有研究成果的基础上 ,将认知理念融入对安全态势感知的研究 ,提出了网络安全态势认知融合感控模型 ,研究适用于异质传感器环境的多源融合算法 ,实现对网络安全态势的动态量化感知 ,并探讨 NSSA 的调控机制 ,从而形成闭环反馈控制结构 ,
22、感知外部环境信息 ,控制内部运行状态 ,建立离散计算与连续控制之间的桥梁 ,达到认知感控的目的 . 1 NSSA 认知感控模型 本文在网络安全态势层次感知的基础上 ,将认知理念融入 NSSA 的框架设计 ,提出基于融合的网络安全态势认知感控模型 ,如图 1 所示 . 服务认知层主机认知层网络认知层FACD认知跨层认知策略用户传感器决策融合控制传感器策略网络元素学习感知全局认知SNMPDB管理平面感知平面控制平面交换机交换机交换机FTPE-MAILHTTP传感器传感器传感器传感器传感器传感器Host1HostnHost2路由器Fig.1 Network security situation co
23、gnitive awareness-control model 图 1 网络安全态势认知感控模型 该模型包括 4 个层次 ,分别是网络认知层、主机认知层、服务认知层和跨层结构 .网络认知层包括路由器、交换机等运行协议栈的网络实体 ,并包含位于该层的各种流量传感器、 NIDS、防火墙等类型的安全部件 ;而主机认知层主要由网络和计算系统的软硬件资源构成 ,并包含了 HIDS、日志分析等各类传感器 ;服务认知层主要包含网络系统所提供的各种服务 ,也包括支撑系统运行的策略、用户接口、检测和管理服务运行状态的传感器等 ;在该模型中 ,跨层结构是区别于传统网络结构的关键层次 ,其既继承现有网络的分层体系和
24、 NSSA 的层次感知需求 ,又能够解决严格层次划分带来的信息流通不畅问题 ,使信息在安全系统的各不相邻层次之间传递 ,更好地应对复杂网络威胁 ,其核心是由融合 (fusion)、感知 (awareness)、决策 (decide)和控制 (control)组成的 FADC 认知环 ,并通过组件之间的协作形成闭环反馈控制结构 ,使 NSSA 具备异构、并发、同步等特性 ,如图 2 所示 . 2102 Journal of Software 软件学报 Vol.27, No.8, August 2016 NE1.NE2NEn网络元素 (NE)融合感知 决策控制认知反馈控制环传感器传感器自主学习任务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 态势 认知 融合 模型
限制150内