張新剛 王保平 程新黨

南陽師范學院計算機與信息技術(shù)學院 河南 473061

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)應(yīng)用更加復(fù)雜多元化，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全威脅日益嚴峻。傳統(tǒng)上單一的安全防御手段如Firewall、IDS、VDS等已經(jīng)無法滿足網(wǎng)絡(luò)安全新的發(fā)展需求。網(wǎng)絡(luò)安全態(tài)勢評估能夠綜合分析網(wǎng)絡(luò)安全的各種態(tài)勢要素，動態(tài)反映網(wǎng)絡(luò)安全的整體態(tài)勢，對網(wǎng)絡(luò)安全的發(fā)展趨勢進行預(yù)測，為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和主動防御提供了重要支撐。

1 相關(guān)知識

態(tài)勢感知這一概念源于航天飛行的研究，后來逐漸應(yīng)用于軍事戰(zhàn)場、空中交通監(jiān)管等領(lǐng)域。1999年，Bass首次提出了網(wǎng)絡(luò)態(tài)勢感知(Cyberspace situational awareness, CSA)的概念，并指出基于數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢感知將成為網(wǎng)絡(luò)管理的發(fā)展方向。態(tài)勢感知的概念模型由態(tài)勢要素提取、態(tài)勢理解和態(tài)勢預(yù)測構(gòu)成，如圖1所示。

圖1 態(tài)勢感知的概念模型

國內(nèi)外學者紛紛開展了對網(wǎng)絡(luò)安全態(tài)勢感知模型的研究。陳秀真等提出了層次化網(wǎng)絡(luò)安全感知方法，賈焰等開發(fā)實現(xiàn)了YHSSAS系統(tǒng)，韋勇等提出了運用D-S證據(jù)理論將多源信息融合的網(wǎng)絡(luò)態(tài)勢評估方法，王慧強等提出了NSSAS模型。綜上，國內(nèi)外學者提出了很多網(wǎng)絡(luò)安全態(tài)勢感知模型，為下一步的研究工作奠定了基礎(chǔ)。但同時，上述模型還存在一些不足，例如態(tài)勢要素獲取不全面，無法適應(yīng)大規(guī)模網(wǎng)絡(luò)態(tài)勢感知需求等。

2 層次化網(wǎng)絡(luò)安全態(tài)勢評估模型

2.1 模型設(shè)計

在充分借鑒吸收上述模型優(yōu)點的基礎(chǔ)上，面向多源異構(gòu)數(shù)據(jù)和大規(guī)模骨干網(wǎng)絡(luò)安全需求，設(shè)計了基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢評估模型，如圖2所示。該模型自下而上由要素提取、態(tài)勢評估和態(tài)勢預(yù)測三個模塊構(gòu)成。在要素提取階段，提取來自IDS、Firewall、Snort等多源異類數(shù)據(jù)，對獲取的海量數(shù)據(jù)進行預(yù)處理和數(shù)據(jù)集成。在態(tài)勢評估階段，采用從服務(wù)層、主機層到網(wǎng)絡(luò)系統(tǒng)層的層次化態(tài)勢評估方法，分別對網(wǎng)絡(luò)基礎(chǔ)運行態(tài)勢、威脅態(tài)勢、脆弱性態(tài)勢和風險態(tài)勢進行專項態(tài)勢評估，在此基礎(chǔ)上綜合分析得到網(wǎng)絡(luò)安全的整體態(tài)勢。在態(tài)勢預(yù)測階段，運用可視化的方式展示當前的網(wǎng)絡(luò)態(tài)勢，利用態(tài)勢預(yù)測算法對未來的態(tài)勢進行預(yù)測。

圖2 層次化網(wǎng)絡(luò)安全態(tài)勢評估模型

2.2 模塊分析

下面分別對該模型的三個模塊--要素提取、態(tài)勢評估和態(tài)勢預(yù)測進行分析，提出態(tài)勢要素提取的方法，給出評估的步驟、方法和算法，分析態(tài)勢的可視化展示方案和態(tài)勢預(yù)測算法。

2.2.1 要素提取

全面而準確地提取網(wǎng)絡(luò)安全態(tài)勢要素是進行網(wǎng)絡(luò)安全態(tài)勢評估的重要基礎(chǔ)和前提。網(wǎng)絡(luò)安全態(tài)勢要素主要包括靜態(tài)的網(wǎng)絡(luò)環(huán)境配置信息、動態(tài)的網(wǎng)絡(luò)運行信息和網(wǎng)絡(luò)流量信息等。

網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)輸入的數(shù)據(jù)來自多樣化的數(shù)據(jù)源，通常具有不同的數(shù)據(jù)格式，因此需要對數(shù)據(jù)進行預(yù)處理和數(shù)據(jù)集成操作。具體來說，首先需要提取來自IDS、Firewall、Snort、Ntop、NetFlow等安全設(shè)備日志和掃描信息，以及實時報警、病毒日志、設(shè)備狀態(tài)、用戶上報信息等多源異類數(shù)據(jù)。在此基礎(chǔ)上，對獲取的海量數(shù)據(jù)進行預(yù)處理，主要包括數(shù)據(jù)分類、歸并、去重和去噪等，并轉(zhuǎn)換為便于處理的統(tǒng)一格式。

2.2.2 態(tài)勢評估

(1) 評估步驟

態(tài)勢評估是態(tài)勢感知的核心，網(wǎng)絡(luò)安全態(tài)勢評估重點關(guān)注網(wǎng)絡(luò)的機密性、完整性和可用性。在態(tài)勢評估階段，首先對獲取的海量網(wǎng)絡(luò)安全態(tài)勢要素數(shù)據(jù)進行關(guān)聯(lián)分析，然后分別對網(wǎng)絡(luò)基礎(chǔ)運行態(tài)勢、威脅態(tài)勢、脆弱性態(tài)勢和風險態(tài)勢進行專項態(tài)勢評估，在此基礎(chǔ)上采用基于指數(shù)對數(shù)的分析技術(shù)，合理分配各因素權(quán)重，最終形成網(wǎng)絡(luò)安全的整體態(tài)勢。

同時，借鑒陳秀真等提出的層次化網(wǎng)絡(luò)安全威脅量化評估方法，采用自下而上，從局部到整體的層次化評估方法。合理確定服務(wù)重要性、主機重要性和網(wǎng)絡(luò)帶寬占有率等參數(shù)，自下而上分別從服務(wù)層、主機層和網(wǎng)絡(luò)系統(tǒng)層進行態(tài)勢評估，及時掌握網(wǎng)絡(luò)安全的整體態(tài)勢。

(2) 評估指標

全面、準確地選取網(wǎng)絡(luò)安全態(tài)勢的要素指標，建立科學、合理的網(wǎng)絡(luò)安全態(tài)勢評估指標體系是網(wǎng)絡(luò)安全態(tài)勢量化評估的重要基礎(chǔ)。我們設(shè)計了由三級指標構(gòu)成的層次化網(wǎng)絡(luò)安全態(tài)勢評估指標體系，如圖3所示。該指標體系涵蓋了反映網(wǎng)絡(luò)安全態(tài)勢的主要因素，整體上自上而下分別設(shè)計了網(wǎng)絡(luò)安全態(tài)勢評估綜合指標一級指標，由網(wǎng)絡(luò)基礎(chǔ)運行指標、網(wǎng)絡(luò)威脅指標和網(wǎng)絡(luò)脆弱性指標等構(gòu)成的二級指標，以及由網(wǎng)絡(luò)流量、網(wǎng)絡(luò)狀態(tài)、病毒攻擊、DDoS攻擊、關(guān)鍵設(shè)備健康指數(shù)等構(gòu)成的三級指標。

在網(wǎng)絡(luò)安全態(tài)勢的量化評估階段，自下而上分別對各級指標進行標準化處理，科學合理確定各級指標的權(quán)重，在此基礎(chǔ)上綜合分析得到網(wǎng)絡(luò)安全的整體態(tài)勢。

(3) 評估等級

借鑒美國信息安全等級劃分情況，將網(wǎng)絡(luò)安全態(tài)勢評估的等級分為“優(yōu)、良、中、差、?！蔽鍌€等級，分別用“綠、藍、黃、橙、紅”五種顏色表示，如表1所示。

(4) 評估方法

數(shù)據(jù)融合是網(wǎng)絡(luò)安全態(tài)勢感知的核心。目前用于網(wǎng)絡(luò)安全態(tài)勢評估的數(shù)據(jù)融合方法大致分為以下幾種：①基于數(shù)學模型的評估方法。綜合考慮影響網(wǎng)絡(luò)安全態(tài)勢的各種因素進行態(tài)勢評估，構(gòu)造態(tài)勢評定函數(shù)，建立從態(tài)勢要素集合到態(tài)勢空間的映射關(guān)系。常見的有權(quán)重分析法、集對分析法等；②基于模式識別的評估方法。在機器學習的基礎(chǔ)上建立態(tài)勢評估模板，然后通過模式匹配完成態(tài)勢評估。常見的有聚類分析和灰關(guān)聯(lián)分析等方法；③基于知識推理的評估方法。在經(jīng)驗知識的基礎(chǔ)上建立態(tài)勢評估模型，運用邏輯推理完成態(tài)勢評估。常見的有基于證據(jù)理論的概率推理、基于圖模型的推理等方法。

表1 網(wǎng)絡(luò)安全態(tài)勢評估狀況等級表

2.2.3 態(tài)勢預(yù)測

(1) 態(tài)勢展示

如何將態(tài)勢評估的結(jié)果以可視化的形式直觀地進行展示是網(wǎng)絡(luò)安全態(tài)勢感知的重要內(nèi)容，通常以報表、拓撲、地理地圖等形式展示。研究人員相繼開發(fā)了多個網(wǎng)絡(luò)安全態(tài)勢可視化系統(tǒng)，其中AS網(wǎng)絡(luò)圖是由CAIDA研究小組開發(fā)的網(wǎng)絡(luò)安全可視化工具，該工具能夠直觀展示網(wǎng)絡(luò)中的鏈接狀態(tài)，如圖4所示。

圖4 主干網(wǎng)絡(luò)鏈接狀態(tài)圖

SIFT研究小組開發(fā)的VisFlowConnect工具能夠在高速數(shù)據(jù)流環(huán)境下進行多尺度的數(shù)據(jù)展示，能夠動態(tài)展示網(wǎng)絡(luò)流量。而Stephen Lau開發(fā)的Spinning cube of potential doom工具能夠進行三維網(wǎng)絡(luò)流量檢測，自動生成網(wǎng)絡(luò)鏈接的三維空間狀態(tài)圖。

(2) 態(tài)勢預(yù)測

網(wǎng)絡(luò)安全態(tài)勢預(yù)測能夠為網(wǎng)絡(luò)管理員合理制定網(wǎng)絡(luò)安全防御方案提供決策支持。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是根據(jù)網(wǎng)絡(luò)安全的歷史信息和當前狀態(tài)，運用態(tài)勢預(yù)測算法實現(xiàn)對未來的網(wǎng)絡(luò)安全趨勢的預(yù)測。態(tài)勢預(yù)測方法主要有基于時間序列的預(yù)測、基于神經(jīng)網(wǎng)絡(luò)的預(yù)測、基于灰色理論的預(yù)測和支持向量機的預(yù)測等。

3 結(jié)束語

準確評估網(wǎng)絡(luò)安全態(tài)勢是實施網(wǎng)絡(luò)安全主動防御的重要基礎(chǔ)。針對網(wǎng)絡(luò)安全中多源信息的特點，面向大規(guī)模網(wǎng)絡(luò)安全需求，建立了基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢評估模型。未來的努力方向?qū)⑹菍Υ笠?guī)模網(wǎng)絡(luò)安全事件要素的提取和實時關(guān)聯(lián)分析，深入研究相應(yīng)的評估和預(yù)測算法，提高態(tài)勢評估的實時性和準確率。

[1] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究.軟件學報.2010.

[2] 陳秀真,鄭慶華.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法.軟件學報.2006.

[3] 賈焰,王曉偉.YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng).計算機科學.2011.

[4] 韋勇,連一峰.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型.計算機研究與發(fā)展.2009.

[5] 王慧強.網(wǎng)絡(luò)安全態(tài)勢感知研究新進展.大慶師范學院學報.2010.

[6] 譚小彬,張勇.基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知.信息網(wǎng)絡(luò)安全.2008.

[7] 鄭黎明,鄒鵬.面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢實時量化感知模型.計算機科學.2011.

[8] 張新剛,王燕.數(shù)字化校園主動安全防御體系分析.實驗室研究與探索.2012.

[9] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究.軟件學報.2010.

[10] 席榮榮,云曉春.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述.計算機應(yīng)用.2012.

[11] 朱亮,王慧強.網(wǎng)絡(luò)安全態(tài)勢可視化研究評述.http：//www.paper.edu.cn.