童 菲 朱詩(shī)兵

（中國(guó)人民解放軍裝備學(xué)院 中國(guó) 北京 101416）

0 引言

信息技術(shù)的發(fā)展，使計(jì)算機(jī)網(wǎng)絡(luò)在很多領(lǐng)域得到了廣泛應(yīng)用，但網(wǎng)絡(luò)的安全性卻令人擔(dān)憂。 近年來(lái)，隨著網(wǎng)絡(luò)規(guī)模的增大，復(fù)雜程度的增強(qiáng)，由計(jì)算機(jī)系統(tǒng)遭到破壞所造成的損失急劇上升，計(jì)算機(jī)網(wǎng)絡(luò)存在極大的風(fēng)險(xiǎn)。 為了更有效的管理網(wǎng)絡(luò)，多種安全設(shè)備被布署在網(wǎng)絡(luò)中，構(gòu)成了網(wǎng)絡(luò)中的多信息源，通過采用信息融合技術(shù)，可以提高單個(gè)安全設(shè)備的性能，增強(qiáng)整個(gè)網(wǎng)絡(luò)的可靠性，更好地維護(hù)信息系統(tǒng)的安全。

1 信息融合技術(shù)

1.1 信息融合的概念

信息融合一詞最早出現(xiàn)在七十年代末期， 在軍事C3I 系統(tǒng)中被首先提出，由于信息融合涉及的內(nèi)容具有廣泛性和多樣性，并且在不同時(shí)期所賦予的含義又不盡相同，因此，信息融合的定義可以概括為：充分利用不同時(shí)間和空間的多傳感器信息資源，采用計(jì)算機(jī)技術(shù)對(duì)按時(shí)序獲得的若干傳感器的觀測(cè)信息在一定準(zhǔn)則下加以自動(dòng)分析、優(yōu)化綜合以完成所需的決策和估計(jì)任務(wù)而進(jìn)行的信息處理過程[1]。

1.2 信息融合的方法

信息融合作為一種對(duì)數(shù)據(jù)資源進(jìn)行綜合處理的技術(shù)，已成功的應(yīng)用于眾多研究領(lǐng)域，具體的融合方法很多，應(yīng)用在網(wǎng)絡(luò)安全方面的主要有：

1.2.1 D-S 證據(jù)理論：將待分析的問題或者命題分解為各個(gè)子問題、子命題，分別對(duì)各子問題、子命題單獨(dú)進(jìn)行相應(yīng)的處理，然后應(yīng)用Dempster 合成規(guī)則實(shí)現(xiàn)信息的融合，再按照決策規(guī)則得到處理結(jié)果。

1.2.2 模糊集理論：基本思想是把普通集合中的絕對(duì)隸屬關(guān)系靈活化，使元素對(duì)集合的隸屬度從原來(lái)能取{0，1}中的值擴(kuò)充到可以取[0，1]區(qū)間的任一數(shù)值，因此很適合用來(lái)對(duì)傳感器信息的不確定性進(jìn)行描述和處理。

1.2.3 粗糙集理論：是一種研究不完整數(shù)據(jù)和不確定性知識(shí)的強(qiáng)有力的數(shù)學(xué)工具，其優(yōu)點(diǎn)是不需要預(yù)先給定檢測(cè)對(duì)象的某些屬性或特征的數(shù)學(xué)描述，而是直接從給定問題的知識(shí)分類出發(fā)，通過不可分辨關(guān)系和不可分辨類確定對(duì)象的知識(shí)約簡(jiǎn)，導(dǎo)出問題的決策規(guī)則。

1.2.4 神經(jīng)網(wǎng)絡(luò)法： 神經(jīng)網(wǎng)絡(luò)具有較強(qiáng)的容錯(cuò)性和自組織、自學(xué)習(xí)、自適應(yīng)能力，能夠?qū)崿F(xiàn)復(fù)雜的映射。 神經(jīng)網(wǎng)絡(luò)的優(yōu)越性和強(qiáng)大的非線性處理能力，能夠很好的滿足多傳感器信息融合技術(shù)的要求。

2 信息融合技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

表1 傳統(tǒng)技術(shù)措施的優(yōu)點(diǎn)和不足

2.1 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)措施和不足

為了實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全性， 針對(duì)網(wǎng)絡(luò)帶來(lái)的威脅，目前國(guó)內(nèi)外采取的技術(shù)措施主要有：防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)、反病毒技術(shù)等[2]。 這些措施在一定程度上保護(hù)了網(wǎng)絡(luò)的安全，但仍存在不足，具體分析見表1。

2.2 信息融合技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

2.2.1 將信息融合應(yīng)用到網(wǎng)絡(luò)安全中的必要性

目前，信息融合技術(shù)已成為國(guó)內(nèi)外學(xué)者在網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)之一，只有充分發(fā)揮信息融合的優(yōu)勢(shì)，才能使決策者有所依據(jù)，才能使網(wǎng)絡(luò)防御更加主動(dòng)。

（1）單一功能的網(wǎng)絡(luò)安全設(shè)備已無(wú)法應(yīng)對(duì)眾多復(fù)雜多變的網(wǎng)絡(luò)攻擊。 比如單獨(dú)在網(wǎng)絡(luò)中配置防火墻，它不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊；基于病毒碼的防病毒軟件無(wú)法及時(shí)識(shí)別新的蠕蟲攻擊；入侵檢測(cè)系統(tǒng)易產(chǎn)生誤報(bào)，易受拒絕服務(wù)攻擊。 此時(shí)，網(wǎng)絡(luò)管理員只能孤立地對(duì)網(wǎng)絡(luò)安全設(shè)備所產(chǎn)生的報(bào)警事件進(jìn)行分析和處理，而無(wú)法對(duì)網(wǎng)絡(luò)的總體安全狀況做出合理的分析與判斷。

（2）海量信息呼吁更加有效便捷地處理方法和管理平臺(tái)。為了應(yīng)對(duì)各種網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)中配置了多種安全設(shè)備，但這些安全設(shè)備會(huì)產(chǎn)生大量的、不確定的、具有不同形式的安全信息，這些海量信息使網(wǎng)絡(luò)管理人員無(wú)法對(duì)網(wǎng)絡(luò)的安全性進(jìn)行有效分析， 且對(duì)各種安全設(shè)備的配置和管理太過繁瑣，這使得整個(gè)網(wǎng)絡(luò)系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理領(lǐng)域的研究難點(diǎn)。

（3）網(wǎng)絡(luò)攻擊手段的融合推動(dòng)了網(wǎng)絡(luò)安全防御技術(shù)的融合。 隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，網(wǎng)絡(luò)受到的攻擊往往采用的是多步驟、多層次的攻擊方法，只有將網(wǎng)絡(luò)安全防御技術(shù)有效融合，才能共同對(duì)抗網(wǎng)絡(luò)威脅，提高對(duì)網(wǎng)絡(luò)安全事件的綜合分析處理能力。

2.2.2 將信息融合應(yīng)用到網(wǎng)絡(luò)安全中的可行性

伴隨著網(wǎng)絡(luò)攻擊的復(fù)雜化， 網(wǎng)絡(luò)安全技術(shù)也在不斷發(fā)展， 這為信息融合的加入奠定了較好的技術(shù)和應(yīng)用基礎(chǔ)，信息融合技術(shù)將為網(wǎng)絡(luò)安全聯(lián)動(dòng)、事前預(yù)警、評(píng)估分析提供手段，其應(yīng)用也是可行的。

（1）信息融合技術(shù)的應(yīng)用將克服單個(gè)網(wǎng)絡(luò)安全設(shè)備的不確定和局限性，提高整個(gè)網(wǎng)絡(luò)的有效性能，全面準(zhǔn)確地描述網(wǎng)絡(luò)狀態(tài)。

（2）信息融合技術(shù)的應(yīng)用將增加網(wǎng)絡(luò)安全設(shè)備的可信度，可有效提高所得結(jié)論正確性的概率。

（3）信息融合技術(shù)的應(yīng)用將減少網(wǎng)絡(luò)安全信息的模糊程度，降低所處理安全事件的不確定性。

（4）信息融合技術(shù)的應(yīng)用將提升整個(gè)網(wǎng)絡(luò)的檢測(cè)能力，利用多個(gè)網(wǎng)絡(luò)安全設(shè)備的檢測(cè)信息和安全事件進(jìn)行綜合處理與評(píng)判，可提高網(wǎng)絡(luò)有效信息的發(fā)現(xiàn)概率。

2.2.3 信息融合在網(wǎng)絡(luò)安全中的應(yīng)用

隨著科技的發(fā)展，網(wǎng)絡(luò)“攻”與“防”的博弈不斷升級(jí)，單一網(wǎng)絡(luò)安全設(shè)備已不能應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅的挑戰(zhàn)，信息融合與網(wǎng)絡(luò)安全的結(jié)合給國(guó)內(nèi)外學(xué)者帶來(lái)新的希望。 目前， 信息融合在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)有了一定應(yīng)用，Jason Shifflet 在文獻(xiàn)[5]指出利用數(shù)據(jù)融合可實(shí)現(xiàn)異質(zhì)數(shù)據(jù)的集中和關(guān)聯(lián)，并指出要建立一個(gè)能反映當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)的模型必須要有某種形式的數(shù)據(jù)融合；Salerno 和M.Hinman 等也深入分析和研究了數(shù)據(jù)融合和態(tài)勢(shì)感知兩個(gè)概念模型，構(gòu)建了態(tài)勢(shì)感知的一般框架，并驗(yàn)證了將數(shù)據(jù)融合用于態(tài)勢(shì)感知能更好地獲取網(wǎng)絡(luò)安全態(tài)勢(shì)，并能對(duì)未來(lái)決策提供有力支持[6]；文獻(xiàn)[7]利用粗糙集理論屬性重要性度量的思想，對(duì)構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)的基本單位—態(tài)勢(shì)要素進(jìn)行了安全重要性權(quán)重的計(jì)算，在此基礎(chǔ)上，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的定量計(jì)算；文獻(xiàn)[8]引用DS 證據(jù)理論對(duì)某一主機(jī)上的多源攻擊數(shù)據(jù)進(jìn)行融合分析，并量化出具體的風(fēng)險(xiǎn)值，通過分析得出網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)，從而幫助網(wǎng)絡(luò)管理人員從整體上把握一段時(shí)間內(nèi)的網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況。

雖然信息融合的很多理論和技術(shù)方法在網(wǎng)絡(luò)安全中得到了一定的研究和應(yīng)用，但在總體設(shè)計(jì)和方案選擇等方面仍有可提高之處。

（1）在信息融合方法的選擇上，可以將兩種或多種方法相結(jié)合，克服單一理論的誤差，提高結(jié)果的正確率。

（2）在具體應(yīng)用模型的選擇上，多數(shù)只是針對(duì)某一種網(wǎng)絡(luò)安全問題（如漏洞的檢測(cè)）所提出，對(duì)于網(wǎng)絡(luò)整體安全狀況的研究，基本上沒有涉及到。

（3）在網(wǎng)絡(luò)安全中的具體應(yīng)用上，應(yīng)通過不斷訓(xùn)練和完善，降低主觀因素的影響，使融合結(jié)果對(duì)網(wǎng)絡(luò)環(huán)境的變化和攻擊手段的演變具備適應(yīng)性， 實(shí)時(shí)反映安全威脅和風(fēng)險(xiǎn)狀況。

3 結(jié)束語(yǔ)

隨著科技的發(fā)展與創(chuàng)新，信息融合技術(shù)將能更好地應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，使功能各異的安全設(shè)備充分發(fā)揮各自的作用，為網(wǎng)絡(luò)安全聯(lián)動(dòng)、評(píng)估分析提供手段，為決策者提供依據(jù)，起到1+1>2 的保護(hù)作用，最終實(shí)現(xiàn)單機(jī)—區(qū)域網(wǎng)—整個(gè)網(wǎng)絡(luò)安全性能的提高。

［1］彭冬亮.多傳感器多源信息融合理論及應(yīng)用[M].北京:科學(xué)出版社，2010.

［2］研究報(bào)告：軍隊(duì)院校信息安全保障體系與機(jī)制研究[R].2010.

［3］胡道元，閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2004.

［4］趙宗貴.信息融合技術(shù)現(xiàn)狀、概念與結(jié)構(gòu)模型[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2006，1（4）:305－312.

［5］Jason Shifflet.A Technique Independent Fusion Model for Network Intrusion Deteetion. Proeeedings of the Midstates Conference on Undergraduate Researeh in Computer Seience and Math ematies,University of Denison,2005.America:Denison University Pr,2003（1）:13－19.

［6］J.Salerno,M.Hinman, D.Boulware.Building A Framework ForSituation Awareness.http://www.fusion 2004.foi.se/papers/IF04－0219.pdf.

［7］梁穎.基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)定量感知方法研究[D].哈爾濱:哈爾濱工程大學(xué)，2006.

［8］郭俊穎.基于多源數(shù)據(jù)融合的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估研究[D].武漢:華中師范大學(xué)，2010.