◆王益斌

層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估方法

◆王益斌

(西南科技大學(xué)城市學(xué)院 四川 621000)

隨著我國互聯(lián)網(wǎng)的不斷普及，互聯(lián)網(wǎng)帶來的信息安全問題愈發(fā)嚴(yán)重，系統(tǒng)性的信息安全風(fēng)險(xiǎn)愈演愈烈，已經(jīng)得到全社會(huì)的共同關(guān)注。只有系統(tǒng)性識(shí)別安全威脅，才能夠提出最有效的安全措施。本文分析了層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估方法，著重介紹了相關(guān)的建模方法，希望可以為相關(guān)人士提供幫助。

層次化；網(wǎng)絡(luò)安全；態(tài)勢評(píng)估；安全威脅；方法

0 引言

當(dāng)前，比較常用的網(wǎng)絡(luò)安全防御系統(tǒng)為了防范入侵，實(shí)時(shí)產(chǎn)生的數(shù)據(jù)量可能都是G級(jí)別的，同時(shí)只有不到百分之二是真正的警報(bào)，其他都是無關(guān)警報(bào)。報(bào)警量太大，真正有安全威脅的太少，這都大大增加了安全防御系統(tǒng)的過載。為了節(jié)約資源，提升安全防護(hù)效率，同時(shí)大大降低系統(tǒng)化的安全威脅，本文分析了層次化的網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估方法，讓管理員能宏觀了解系統(tǒng)的安全性能。

1 前期準(zhǔn)備工作

以數(shù)據(jù)為研究對象，網(wǎng)絡(luò)安全態(tài)勢評(píng)估研究方法大致有兩大類是比較常規(guī)的，一類是依托于系統(tǒng)配置信息的網(wǎng)絡(luò)安全態(tài)勢評(píng)估，另外是一種系統(tǒng)運(yùn)行信息的網(wǎng)絡(luò)安全態(tài)勢評(píng)估。在這兩種方法中，前者主要是考慮到系統(tǒng)的軟硬件設(shè)計(jì)和配置使用情況，比如服務(wù)器的設(shè)置，其系統(tǒng)設(shè)計(jì)的漏洞就是最主要的威脅因素；后者主要是從系統(tǒng)被攻擊的次數(shù)、頻率和威脅程度等等情況來著手，安全系統(tǒng)產(chǎn)生的數(shù)據(jù)庫就是主要的數(shù)據(jù)源。

本文中所構(gòu)建的層次化網(wǎng)絡(luò)安全態(tài)勢量化評(píng)估方法，就是建立在系統(tǒng)配置信息基礎(chǔ)上的。利用馬爾可夫模型，測算出居心不良者攻破安全網(wǎng)絡(luò)所需要的成本的均值，然后對系統(tǒng)的安全性能做出量化分析，對系統(tǒng)的改進(jìn)提出一些建議。當(dāng)前常見的一些安全態(tài)勢評(píng)估方法，主要是針對特定的威脅給安全系統(tǒng)帶來的威脅進(jìn)行量化，跟日常需要的層次相比，過于簡單，因此本文下面就將建立起層次化的網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估模型，供讀者參考。

2 層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估模型建立

2.1 模型分析

按照網(wǎng)絡(luò)、鏈條的規(guī)模以及層級(jí)關(guān)系，網(wǎng)絡(luò)系統(tǒng)一般性的分解為三個(gè)層次，這三個(gè)層次是網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、服務(wù)系統(tǒng)，當(dāng)前網(wǎng)絡(luò)環(huán)境下大部分的黑客攻擊都是以主機(jī)系統(tǒng)為主要攻擊對象的。根據(jù)分層理論，我們就可以將主要資源都用在保護(hù)主機(jī)系統(tǒng)上，因此就可以設(shè)計(jì)出層次化網(wǎng)絡(luò)安全態(tài)勢量化評(píng)估模型，從上到下分別是上述三個(gè)網(wǎng)絡(luò)系統(tǒng)層級(jí)，然后再加上供給層級(jí)，這就是這一套態(tài)勢量化評(píng)估系統(tǒng)的主要建構(gòu)邏輯。根據(jù)這一結(jié)構(gòu)特點(diǎn)，可以采用先上后下，先局部后整體的原則，展開層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估平臺(tái)的預(yù)先設(shè)置。采用這種模型，可以用報(bào)警數(shù)據(jù)和漏洞掃描數(shù)據(jù)為數(shù)據(jù)源，然后評(píng)估單次供給可能造成的威脅的均值，以及用統(tǒng)一的標(biāo)準(zhǔn)評(píng)估這些威脅，就能夠?yàn)榱炕治龃蛳聢?jiān)實(shí)的基礎(chǔ)。

一般的黑客攻擊都屬于DDoS類攻擊，這一類攻擊主要損害的是網(wǎng)絡(luò)系統(tǒng)里面的主機(jī)層，量化分析這一層的安全威脅，可以從單次攻擊的危害程度入手進(jìn)行分析，分析單次供給單臺(tái)主機(jī)以及總體服務(wù)可能帶來的損失，然后通過加權(quán)平均的方式，就能夠完成整個(gè)層次化網(wǎng)絡(luò)安全威脅量化評(píng)估的計(jì)算過程。這一過程中，需要對全部主機(jī)所遇到的所有威脅，尤其是潛在威脅進(jìn)行分析和計(jì)算，對威脅可能造成的損失、網(wǎng)絡(luò)帶寬資源的使用量、可能遭受攻擊的次數(shù)甚至是時(shí)間等問題進(jìn)行全面分析，以此為基礎(chǔ)就能夠評(píng)定主機(jī)層次的安全性能。

2.2 定量分析

（1）服務(wù)級(jí)

對于一個(gè)層次化的網(wǎng)絡(luò)系統(tǒng)來說，網(wǎng)絡(luò)服務(wù)中產(chǎn)生的威脅，能夠成為影響網(wǎng)絡(luò)的關(guān)鍵因素。在所有因素中，潛在威脅的危害程度、后果以及因此造成的服務(wù)量波動(dòng)，都能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)造成很大的威脅。因此，攻擊發(fā)生的時(shí)間不一致，服務(wù)器訪問量以及服務(wù)發(fā)生量都會(huì)有很大的差別，這種差異性會(huì)對計(jì)算產(chǎn)生很大的影響。在計(jì)算時(shí)，必須要以時(shí)間為重要的標(biāo)度，對時(shí)間變化進(jìn)行分析，并且針對某個(gè)特定時(shí)刻尤其是威脅高發(fā)的時(shí)刻進(jìn)行重點(diǎn)分析和計(jì)算。在計(jì)算過程中，可以將一天的時(shí)間翻開來進(jìn)行分析，舉例來講，根據(jù)一般威脅發(fā)生的時(shí)間段，可以將一整天的時(shí)間分為午夜0點(diǎn)到上午8點(diǎn)、上午8點(diǎn)到晚上6點(diǎn)、晚上6點(diǎn)到晚上12點(diǎn)三個(gè)段，把數(shù)據(jù)源中的數(shù)據(jù)按照三個(gè)時(shí)間段進(jìn)行分類，如果呈現(xiàn)出了某一個(gè)時(shí)間段過于集中，那么可以進(jìn)行適當(dāng)?shù)暮喜⑴c分類，將集中的時(shí)間段進(jìn)行進(jìn)一步細(xì)分，不集中的時(shí)間段進(jìn)行合并。分組結(jié)果完成之后，對數(shù)據(jù)記錄進(jìn)行賦權(quán)，以各時(shí)間段的加權(quán)平均數(shù)為結(jié)果進(jìn)行分級(jí)，一般都是分成5個(gè)級(jí)別，可以用數(shù)字分類，也可以用文字進(jìn)行記敘，比如低級(jí)、普通級(jí)、中級(jí)、高級(jí)、特高級(jí)這五個(gè)級(jí)別。對原始數(shù)據(jù)進(jìn)行加權(quán)處理之后，能夠得到計(jì)算機(jī)易于分析的、正常的訪問量數(shù)值，在此基礎(chǔ)上，對威脅的嚴(yán)重程度和后果的損害程度進(jìn)行調(diào)查分析，確定相關(guān)威脅指數(shù)是不是有效合理，從而確保這個(gè)結(jié)果符合一定的精確度標(biāo)準(zhǔn)。根據(jù)一般的建模經(jīng)驗(yàn)，如果在這個(gè)層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估模型中不加入嚴(yán)重程度的話，那么威脅程度不同的攻擊類別存在著最終產(chǎn)生同樣危害效果的可能，這就導(dǎo)致建模模擬的效果最終不能真實(shí)反映到實(shí)際的應(yīng)用之中，這樣的建模成果與實(shí)際誤差過大，就無法做到對網(wǎng)絡(luò)安全威脅的預(yù)警和反映，這樣的模型就不合格。

（2）主機(jī)級(jí)

跟上述的服務(wù)級(jí)建模類似，主機(jī)級(jí)的安全威脅，也必須要首先對數(shù)據(jù)進(jìn)行分時(shí)段的處理，分時(shí)段的處理方法與上述是類似的，應(yīng)當(dāng)注意到的是，主機(jī)級(jí)與服務(wù)級(jí)對威脅攻擊次數(shù)的分層方法是一樣的，避免產(chǎn)生不必要的計(jì)算量。同時(shí)，在對數(shù)據(jù)進(jìn)行分時(shí)段處理之后，就要對數(shù)據(jù)進(jìn)行加權(quán)平均處理，以求出每個(gè)時(shí)間段內(nèi)的主機(jī)受到安全威脅的次數(shù)以及威脅等信息。得出了數(shù)據(jù)之后，必須要將產(chǎn)生的數(shù)據(jù)乘上一個(gè)安全威脅數(shù)值，也就是威脅的重要程度，防止出現(xiàn)上述的問題。這個(gè)指數(shù)可以命名為威脅指數(shù)，指數(shù)越大，表明受威脅程度越高。除了某一特定時(shí)刻的威脅指數(shù)很重要，某一個(gè)時(shí)間段的威脅指數(shù)也是有著很高的參考價(jià)值。

（3）網(wǎng)絡(luò)系統(tǒng)級(jí)

網(wǎng)絡(luò)系統(tǒng)級(jí)的參數(shù)建立與上述的主機(jī)級(jí)和服務(wù)級(jí)原理是一樣的，都需要先對數(shù)據(jù)進(jìn)行同樣分時(shí)段處理，然后做加權(quán)平均整理，得到每一個(gè)階段的網(wǎng)絡(luò)系統(tǒng)受到的攻擊的平均數(shù)，以及一定時(shí)間段內(nèi)的被攻擊的威脅程度，然后計(jì)算出專屬于網(wǎng)絡(luò)系統(tǒng)級(jí)的網(wǎng)絡(luò)系統(tǒng)威脅指數(shù)，將指數(shù)與參數(shù)相乘，得到的結(jié)果就是某一個(gè)時(shí)段中網(wǎng)絡(luò)系統(tǒng)級(jí)安全威脅量化評(píng)估處理的結(jié)果。

（4）參數(shù)確定

在針對各個(gè)層次的威脅指數(shù)進(jìn)行計(jì)算的時(shí)候，都必須要確定出各個(gè)層級(jí)的威脅指數(shù)、重要權(quán)重、網(wǎng)絡(luò)帶寬使用率等關(guān)鍵數(shù)值。確定各個(gè)層級(jí)的威脅指數(shù)，可以將安全日志中的無意義攻擊嘗試都清除，留下最有分析價(jià)值的數(shù)據(jù)，從而減少計(jì)算量，提升模型計(jì)算的效率與準(zhǔn)確率。因?yàn)樵诰W(wǎng)路系統(tǒng)安全日志中，一定會(huì)存在著很多的無效供給記錄，上文說過這個(gè)比例達(dá)到了99%左右，因此如果無法有效地過濾這些沒有意義或者是低價(jià)值的數(shù)據(jù)，就會(huì)加重系統(tǒng)過載，大大降低建模的有效性，同時(shí)造成資源的浪費(fèi)。對網(wǎng)絡(luò)帶寬使用量進(jìn)行分析，就可以為分析攻擊次數(shù)以及威脅提供重要而基礎(chǔ)的依據(jù)，因?yàn)橹灰羰怯行У?，就一定?huì)或多或少使用了網(wǎng)絡(luò)帶寬，讓系統(tǒng)拒絕為這次動(dòng)作服務(wù)。如果攻擊是無效的，那么就有可能沒有使用帶寬，因此帶寬使用一定是有效攻擊的表現(xiàn)。此外，還要分析系統(tǒng)中尤其是主要的服務(wù)器中的動(dòng)態(tài)數(shù)據(jù)，以及人為因素等對服務(wù)器和主機(jī)的影響重要性權(quán)重，這樣分析的結(jié)果才是最完備的，才能建立最合理的模型。

3 總結(jié)

本文所提出的，層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評(píng)估方法，是基于大量的報(bào)警信息以及網(wǎng)絡(luò)性能指標(biāo)，同時(shí)綜合網(wǎng)絡(luò)主機(jī)自身的性能，重新考慮了網(wǎng)絡(luò)威脅態(tài)勢量化評(píng)估模型。借著這一模型，可以對整個(gè)安全鏈進(jìn)行監(jiān)控，確保安全人員可以實(shí)時(shí)監(jiān)控整個(gè)系統(tǒng)的情況，對安全威脅做出直接的反饋，讓最有效的策略最快提出，確保整個(gè)系統(tǒng)的安全。

[1]張新剛，王保平，程新黨.基于信息融合的層次化網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012.

[2]陳鋒，劉德輝，張怡等.基于威脅傳播模型的層次化網(wǎng)絡(luò)安全評(píng)估方法[J].計(jì)算機(jī)研究與發(fā)展，2011.

[3]梁禮，楊君剛，朱廣良等.基于實(shí)時(shí)告警的層次化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013.