（廣東電網(wǎng)有限責任公司 佛山供電局，佛山 528000）

0 引言

移動應用平臺網(wǎng)絡安全主要是指系統(tǒng)的移動應用平臺軟件、硬件及其系統(tǒng)中的數(shù)據(jù)，會因為偶然或者惡意的原因遭到破壞，導致整個平臺癱瘓，無法正常運行[1,2]。移動應用平臺網(wǎng)絡安全態(tài)勢評估是一種對平臺的網(wǎng)絡安全狀態(tài)進行評估的方法，可以讓用戶對當前移動應用平臺網(wǎng)絡所面臨的威脅、存在的漏洞等進行預測，及時修復平臺的安全隱患，保證平臺連接網(wǎng)絡的安全性[3]。在移動平臺安全領域，所進行的數(shù)以萬計的滲透測試的目的是“識別被測平臺連接網(wǎng)絡的技術(shù)漏洞”，避免這些漏洞帶來的風險[4]。

制定有效的安全防護措施是保護移動應用平臺網(wǎng)絡安全的前提。移動應用平臺網(wǎng)絡風險分析應該在平臺應用程序或數(shù)據(jù)庫的設計階段進行，這樣可以從設計開始就明確安全需求、確認潛在的隱患[4]。

目前，已有部分專家給出了較好的研究。例如文獻[5]提出基于神經(jīng)網(wǎng)絡的移動應用平臺網(wǎng)絡安全態(tài)勢評估方法。該方法分析移動應用平臺網(wǎng)絡安全態(tài)勢各項指標獲取神經(jīng)網(wǎng)絡節(jié)點數(shù)，采用浮點數(shù)編碼方式計算各指標權(quán)值，優(yōu)化各項指標利用cs算法，將指標權(quán)值輸入到神經(jīng)網(wǎng)絡中，獲取平臺連接網(wǎng)絡的安全態(tài)勢值，完成評估。該方法評估準確性較低。文獻[6]提出基于多步攻擊的移動應用平臺網(wǎng)絡安全態(tài)勢評估方法。識別平臺連接網(wǎng)絡中的攻擊者，識別攻擊軌跡，構(gòu)建態(tài)勢量化評估標準，評估結(jié)果根據(jù)攻擊指數(shù)獲取，但該方法評估時間較長。

為了解決無法精準、快速對移動應用平臺網(wǎng)絡安全狀態(tài)進行評估的問題，提出面向移動平臺的網(wǎng)絡安全態(tài)勢評估方法。

1 面向移動應用平臺的網(wǎng)絡安全態(tài)勢評估方法

1.1 移動應用平臺網(wǎng)絡權(quán)重指標的確定

實際應用于移動應用平臺的網(wǎng)絡防御系統(tǒng)內(nèi)含有海量的主機節(jié)點以及檢測設備，不同的檢測設備檢測不同的方面。它們之間存在很多的關(guān)聯(lián)性，以下具體給出：

1）威脅值。指平臺后臺主機受到不同的傷害后造成的破壞程度。用T(r)表示。

2）脆弱性。指平臺后臺主機節(jié)點內(nèi)存在漏洞的脆弱性，主要指漏洞對節(jié)點態(tài)勢的影響，用V(t)表示。

在移動應用平臺網(wǎng)絡受到病毒攻擊時，網(wǎng)絡防御系統(tǒng)會產(chǎn)生大量的告警信息，但是部分告警信息重復多余的。為了保證平臺網(wǎng)絡安全態(tài)勢評估的準確性[7,8]，對大量的告警信息進行融合，刪除重復以及無用的警告。

如果設定用一個多元素組表示網(wǎng)絡防御系統(tǒng)給出的告警事件，則：

在上式中，id是告警事件的唯一標識號，detecTime代表移動應用平臺受到攻擊時，平臺防御系統(tǒng)產(chǎn)生告警信息的時間，attackType代表共計的類型，srcIP代表源地址，desIP代表源目的地址，desPort代表源端口，srcPort代表目的端口，priotity代表平臺受到攻擊的等級[9]，vn1n代表攻擊漏洞的數(shù)量。在特定的時間Δt內(nèi)，合并所有相同的告警信息，刪除重復的報警信息。以下給出平臺網(wǎng)絡受到攻擊時，對其進行量化評估的表達式：

上式中，ci(t)代表t時刻平臺網(wǎng)絡受到的攻擊次數(shù)，di(t)代表t時刻網(wǎng)絡受到的威脅程度，Ti(t)代表t時刻網(wǎng)絡的威脅值。

從DDos的特性出發(fā)，將獲取的數(shù)據(jù)包為初始數(shù)據(jù)，則DDos的網(wǎng)絡攻擊評估表達式為：

上式中，pi(t)代表攻擊范圍，設定目標平臺連接網(wǎng)絡被攻擊的總端口數(shù)為654123，以下給出攻擊范圍的表達式：

在式(3)中，ai(t)代表網(wǎng)絡攻擊強度，以下給出網(wǎng)絡攻擊強度的表達式：

假設Δt代表持續(xù)時間，主要是指平臺網(wǎng)絡防御系統(tǒng)受到攻擊的時間。

根據(jù)平臺連接網(wǎng)絡安全態(tài)勢評估原則選擇評估指標體系[10]：

根據(jù)平臺防御系統(tǒng)主機節(jié)點的服務情況建立判斷矩陣為：

上式中，rij代表檢測質(zhì)量，n代表目標應用平臺受到攻擊總數(shù)，m代表攻擊類型。

利用下式計算第j個平臺后端服務的熵值為Hj：

上式中，fij代表評估指標[11,12]。如果fij=0，則fij1n沒有意義。針對這種情況，修正fij的計算，設定為：

利用下式給出第j個平臺后端服務的差異系數(shù)為：

利用下式給出平臺連接網(wǎng)絡各個節(jié)點的客觀權(quán)重w1i：

根據(jù)先驗知識對平臺后端服務重要性進行設定，獲取節(jié)點的重要性，主機節(jié)點的服務越多，則表示該節(jié)點的權(quán)重越大，以下給出主觀計算權(quán)重表達式：

上式中，w2i代表第i個節(jié)點的主觀權(quán)重，vij代表第i個節(jié)點第j個平臺后端服務的重要程度。

在上述基礎上，求取最優(yōu)權(quán)重組合：

通過灰色關(guān)聯(lián)分析計算評估指標權(quán)重：

1.2 平臺連接網(wǎng)絡安全態(tài)勢評估模型的構(gòu)建

將移動應用平臺網(wǎng)絡安全態(tài)勢引入到防御系統(tǒng)中，主要是為了構(gòu)建一套完整的移動應用平臺網(wǎng)絡安全態(tài)勢體系，以達到可以快速、全面了解整個移動應用平臺網(wǎng)絡安全運行的目的。根據(jù)網(wǎng)絡安全態(tài)勢評估原則，考慮到移動應用平臺復雜、多變特性，選取最合適的網(wǎng)絡安全態(tài)勢相關(guān)評估指標[13]，分別為惡意攻擊威脅等級、惡意攻擊次數(shù)、惡意攻擊頻率、評估指標體系。

假設，在一定時間段內(nèi)，平臺連接網(wǎng)絡節(jié)點受到攻擊概率較高，表示移動應用平臺網(wǎng)絡安全受到威脅的程度越大[14]，為了將網(wǎng)絡安全威脅降低到最小，需要對其進行量化處理，利用下式給出量化結(jié)果表達式：

式中，f代表在一定的時間內(nèi)移動應用平臺網(wǎng)絡發(fā)生惡意攻擊的次數(shù)。

當平臺連接網(wǎng)絡節(jié)點受到惡意攻擊系數(shù)越多時，則平臺連接網(wǎng)絡安全態(tài)勢受到威脅程度也就越大，利用公式(16)給出其量化結(jié)果：

以式(15)和式(16)為基礎，給出平臺連接網(wǎng)絡的安全等級的評判集：

假設，移動應用平臺網(wǎng)絡安全評估各項指標ui按照式(17)中給出的評判集V進行評分，則態(tài)勢評估指標的評價向量可表示為：

根據(jù)上式，可知移動應用平臺網(wǎng)絡安全態(tài)勢有n個評價指標[15]，并有n個評價向量，利用式(19)給出其映射關(guān)系：

移動應用平臺的網(wǎng)絡安全態(tài)勢評估矩陣為：

面向移動應用平臺的網(wǎng)絡評估指標數(shù)據(jù)為xi(k)，Xi代表評估指標的行為序列，利用灰色關(guān)聯(lián)分析法獲取指標權(quán)重向量。

假設，平臺連接網(wǎng)絡具有m個數(shù)據(jù)序列，由這些數(shù)據(jù)序列形成的矩陣可表示為：

式中，n代表評估指標的數(shù)量。

以式(21)為基礎，利用下式給出平臺連接網(wǎng)絡的安全態(tài)勢參考數(shù)據(jù)序列：

利用式(22)對移動應用平臺網(wǎng)絡安全態(tài)勢的指標參考數(shù)據(jù)序列進行無量綱化：

通過對各個指標序列和參考序列進行對比，利用公式(24)給出各個指標之間的絕對差值為：

利用式(24)分別計算出平臺連接網(wǎng)絡安全態(tài)勢各個評價指標比較序列和參考序列各元素之間的關(guān)聯(lián)系數(shù)：

式中，ρ代表平臺連接網(wǎng)絡的安全態(tài)勢評估指標分辨系數(shù)，當ρ越小說明評估區(qū)分能力就越強。

假設，各個平臺連接網(wǎng)絡安全態(tài)勢評價指標比較序列是分別計算n個指標與參數(shù)數(shù)據(jù)序列所對應元素關(guān)聯(lián)系數(shù)的平均值，利用下式給出，平均關(guān)聯(lián)系數(shù)表達式：

根據(jù)灰色關(guān)聯(lián)分析法獲取的結(jié)果，對其進行歸一化處理，得到平臺的網(wǎng)絡安全態(tài)勢評估模型為：

假定，平臺連接網(wǎng)絡的安全態(tài)勢評估指標權(quán)重數(shù)據(jù)集為(xi,yi)，則支持向量機（SVM）的超平面表示為：

利用下式給出約束條件：

利用粒子群算法對SVM參數(shù)進行優(yōu)化，在D維空間內(nèi)，通過種群中個體自身搜索過程和其他個體的引導信息，找到最優(yōu)位置。粒子i的當前搜索階段的位置與速度分別表示為Xi(t)、Vi(t)，利用下式給出位置和速度的更新式：

由上述過程，獲取的最優(yōu)參數(shù)為：

利用最優(yōu)參數(shù)Ai對平臺連接網(wǎng)絡安全態(tài)勢評估指標權(quán)重訓練樣本進行訓練，構(gòu)建面向移動應用平臺的網(wǎng)絡安全態(tài)勢評估模型：

2 實驗結(jié)果與分析

為了驗證所提面向移動應用平臺的網(wǎng)絡安全態(tài)勢評估方法的綜合有效性，需要進行實驗驗證。實驗環(huán)境為：Intel Core i5-760四核CPU，NVIDIA GeForce GTX460顯卡，操作系統(tǒng)為Win764位系統(tǒng)。

構(gòu)造一個移動應用平臺，對平臺連接網(wǎng)絡進行不同類型的攻擊，每種攻擊行為持續(xù)500ms。采集不同行為產(chǎn)生的流量、CPU利用率、內(nèi)存消耗以及磁盤消耗的數(shù)據(jù)，并對這些數(shù)據(jù)進行歸一化處理。但是1至499ms的歷史數(shù)據(jù)不足500個，所以將缺少位置的數(shù)據(jù)設定為0。

利用圖1給出4個時段的總計時長2000ms的移動應用平臺網(wǎng)絡安全態(tài)勢圖。在圖1中，橫軸代表時間，縱軸代表平臺安全態(tài)勢值。為了簡化描述，圖1中，1代表所提方法的平臺網(wǎng)絡安全態(tài)勢值，2代表實際平臺網(wǎng)絡安全態(tài)勢值。

圖1 平臺網(wǎng)絡安全態(tài)勢值

根據(jù)圖1可知，平臺的網(wǎng)絡安全態(tài)勢越高，表示平臺連接網(wǎng)絡風險就越嚴重。在0～500ms和500～1000ms兩個時間段內(nèi)，兩個方法的平臺連接網(wǎng)絡的安全態(tài)勢值較低，幾乎接近0。在1000～1500ms時間段內(nèi)，兩個方法的值開始增加，在0～0.2之間。在1500～2000ms時間段內(nèi)，兩個方法的值明顯增加，則表示此時的移動應用平臺網(wǎng)絡不安全。綜上所述，所提方法所得到平臺的網(wǎng)絡安全態(tài)勢評估曲線與實際曲線一致，能夠準確反映平臺安全態(tài)勢。

為了進一步驗證所提方法的有效性，分別將所提方法與基于神經(jīng)網(wǎng)絡的移動應用平臺網(wǎng)絡安全態(tài)勢評估方法以及基于多步攻擊的移動應用平臺網(wǎng)絡安全態(tài)勢評估方法進行實驗對比，對比3種不同方法的評估時間（s），對比結(jié)果如表1所示。

表1 不同方法評估所需時間對比實驗

分析表1可知，3種方法都隨著數(shù)據(jù)個數(shù)的不斷增加，評估所需時間也隨之增加，當數(shù)據(jù)個數(shù)為10個時，方法1評估所需的時間為8秒，方法2評估所需的時間為33秒、方法3評估所需時間為79秒，通過對比結(jié)果可知，方法1評估所需時間與方法2和方法3評估所需時間之間分別相差25秒和71秒。

當數(shù)據(jù)個數(shù)為15個時，方法1評估所需的時間為13秒，方法2評估所需的時間為48秒、方法3評估所需時間為99秒，對比可知，方法1評估所需時間與方法2和方法3評估所需時間之間分別相差35秒和86秒。

當數(shù)據(jù)個數(shù)為20個時，方法1評估所需的時間為21秒，方法2評估所需的時間為64秒、方法3評估所需時間為112秒，對比可知，方法1評估所需時間與方法2和方法3評估所需時間之間分別相差43秒和91秒。實驗結(jié)果表明，所提出方法評估所需時間最短，具有一定的應用性能。

經(jīng)過上述實驗證明可知，所提方法的平臺連接網(wǎng)絡安全態(tài)勢值與實際結(jié)果相一致，充分證明所提方法的準確性，經(jīng)過不同方法的評估時間對比可知，所提方法所用的評估時間為最少，與傳統(tǒng)方法相比大幅度降低了評估時間，提高了評估效率。

3 結(jié)束語

針對傳統(tǒng)方法存在的一系列問題，提出新的移動應用平臺網(wǎng)絡安全態(tài)勢評估方法。通過計算權(quán)重指標，構(gòu)建平臺網(wǎng)絡安全態(tài)勢評估模型。實驗結(jié)果驗證了所提方法進行平臺網(wǎng)絡安全態(tài)勢評估的綜合性能。

但是提出的評估方法仍然存在以下問題，未來階段將會針對以下方面繼續(xù)研究：

1）占用內(nèi)存較大，導致平臺連接網(wǎng)絡癱瘓。

2）當前研究的評估方案只針對移動應用平臺，未來將會擴大研究范圍。