（中國移動通信集團廣東有限公司汕頭分公司 廣東 515043）

目前，國外對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的研究主要基于集成化的思想，建立專門的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)，對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的研究具有一定的參考價值。與國外相比，中國對網(wǎng)絡(luò)態(tài)勢感知的研究還處于起步階段，主要研究成果有：基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估方法、基于日志審計和性能修正算法的網(wǎng)絡(luò)態(tài)勢評估方法和基于模糊粗糙集的網(wǎng)絡(luò)態(tài)勢評估方法，但現(xiàn)有的態(tài)勢評估方法由于無法發(fā)現(xiàn)潛在的、未知的安全漏洞和威脅，導(dǎo)致評估結(jié)果的準(zhǔn)確性和評估效果較差，因此引入了灰色關(guān)聯(lián)分析技術(shù)?；疑P(guān)聯(lián)分析主要是依據(jù)樣本數(shù)據(jù)序列的發(fā)展趨勢、所表現(xiàn)出的幾何形態(tài)、數(shù)據(jù)序列之間的相似度來表征各數(shù)據(jù)因素間的關(guān)聯(lián)程度[1]。

1 網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估方法設(shè)計

網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估采用監(jiān)控平臺-采集代理結(jié)構(gòu)，其中監(jiān)控部分主要負(fù)責(zé)對網(wǎng)絡(luò)安全態(tài)勢進行評估，集成了數(shù)據(jù)分析指標(biāo)提取模塊、安全態(tài)勢評估模塊、插件定義模塊、采集命令生成模塊、轉(zhuǎn)換模塊、數(shù)據(jù)庫中間件模塊以及其他功能模塊，為用戶或傳感器在采集前進行調(diào)用和向上層傳感器集成平臺傳輸數(shù)據(jù)提供了接口，此外，在監(jiān)控平臺的擴展功能中，還保留了與服務(wù)故障恢復(fù)相關(guān)的功能模塊，為用戶或傳感器在采集前進行配置提供了方便、友好的用戶界面，用于實時顯示采集時監(jiān)控代為發(fā)出的命令，在采集完成后提交各種形式的評估報告[2]。

1.1 網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢評估包括兩個過程，即對網(wǎng)絡(luò)系統(tǒng)當(dāng)前運行狀態(tài)的評估和對未來一段時間內(nèi)網(wǎng)絡(luò)系統(tǒng)運行狀況的預(yù)測。根據(jù)當(dāng)前網(wǎng)絡(luò)狀況，選擇Netflow 作為數(shù)據(jù)源。網(wǎng)絡(luò)流量不僅能夠?qū)崟r提供詳盡的網(wǎng)絡(luò)流量信息和統(tǒng)計預(yù)分析，而且能夠有效避免資源超載，為網(wǎng)絡(luò)安全態(tài)勢感知提供必要的數(shù)據(jù)和服務(wù)支持[3]。將數(shù)據(jù)包按到達(dá)的流量采樣間隔進行采集，對所有采集到的數(shù)據(jù)包進行過濾和聚合，形成大量的數(shù)據(jù)流，然后將其以流記錄格式存儲在緩存中，滿足導(dǎo)出條件后，再通過UDP 協(xié)議導(dǎo)出。最后以網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)為支撐，對網(wǎng)絡(luò)安全態(tài)勢優(yōu)化進行評估。

根據(jù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和使用情況，采用網(wǎng)站監(jiān)測數(shù)據(jù)，選取影響網(wǎng)絡(luò)態(tài)勢的主要漏洞和安全事件，通過對網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的統(tǒng)計，根據(jù)這些漏洞和安全事件所帶來的損失，以及評價特征，分別量化其風(fēng)險等級。

1.2 設(shè)置網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)

根據(jù)網(wǎng)絡(luò)安全態(tài)勢評估原理，在考慮網(wǎng)絡(luò)復(fù)雜性、不確定性、動態(tài)性等因素的基礎(chǔ)上，分別從網(wǎng)絡(luò)風(fēng)險、脆弱性、可用性和可靠性四個方面建立評估指標(biāo)體系。與之相關(guān)的網(wǎng)絡(luò)風(fēng)險評估指標(biāo)有：報警器數(shù)量和種類、攻擊事件發(fā)生頻率、數(shù)據(jù)流量、流量增長率、各關(guān)鍵設(shè)備訪問主流網(wǎng)站的頻率等；與之相關(guān)的脆弱性評估指標(biāo)有：安全設(shè)備數(shù)量、各關(guān)鍵設(shè)備提供的服務(wù)類型及其版本、設(shè)備總的開放端口數(shù)量等；可用性指標(biāo)有：網(wǎng)絡(luò)帶寬、帶寬利用率、CPU 利用率、內(nèi)存利用率、最大并發(fā)線程數(shù)量等；可靠性指標(biāo)有：流量變化率、數(shù)據(jù)流量總量、關(guān)鍵設(shè)備平均無故障時間等。

1.3 建立網(wǎng)絡(luò)安全態(tài)勢評估矩陣

首先對各指標(biāo)ui分別按評判集中各vj進行評分；然后計算各指標(biāo)對評判集中的第j個元素vj的值。

式中nij和nt分別表示的是指標(biāo)體系中的第i個指標(biāo)ui作出第j個評價的專家數(shù)目和專家總數(shù)。由此便可以得出指標(biāo)的評價向量，通過上述方法，就可以知道n個指標(biāo)有n個評價向量ri，即可確定映射關(guān)系為：

由此可以得出網(wǎng)絡(luò)安全態(tài)勢的評估矩陣為：

分別將設(shè)置的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)導(dǎo)入到公式3 中，便可以得出對應(yīng)安全態(tài)勢優(yōu)化評估的量化表達(dá)式。

1.4 完成網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估

為更好地對網(wǎng)絡(luò)運行狀況進行安全態(tài)勢分析，將灰色理論中的關(guān)聯(lián)分析與層次分析相結(jié)合，分別從網(wǎng)絡(luò)攻擊層、關(guān)聯(lián)層、服務(wù)層、主機層和系統(tǒng)層得到評價指標(biāo)計算結(jié)果。以主機層為例其安全態(tài)勢值可以表示為：

式中m為主機Hk所提供的服務(wù)個數(shù)。V′為服務(wù)Sj在主機Hk提供的各項服務(wù)中所占有的重要性權(quán)值，X（t）為求解得出的綜合指標(biāo)計算結(jié)果。同理可以得出其他網(wǎng)絡(luò)層的安全態(tài)勢值求解結(jié)果，將綜合態(tài)勢值計算結(jié)果與表1 中的評價劃分等級標(biāo)準(zhǔn)進行比對，便可以得出最終的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估結(jié)果。

2 對比實驗分析

為了測試設(shè)計的基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估方法的評估功能，設(shè)計對比實驗，對比設(shè)計評估方法和傳統(tǒng)評估方法以及文獻[7]中提出的基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法作為實驗的兩個對比方法。所使用的模擬硬件環(huán)境為：CPUP43-0GHz，1GB 內(nèi)存，20GB 硬盤自由空間，2Mbps 網(wǎng)卡。其軟件環(huán)境是：Windows XP 操作系統(tǒng)、MATLAB2007 軟件包。模擬實驗數(shù)據(jù)來源于美國MIT林肯實驗室的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集KDDCup99。該模型分為兩個部分，第一部分對網(wǎng)絡(luò)安全態(tài)勢評估模型進行訓(xùn)練，第二部分對網(wǎng)絡(luò)安全態(tài)勢評估模型進行測試，以驗證模型的評估結(jié)果與實際結(jié)果是否一致。將準(zhǔn)備的實驗樣本數(shù)據(jù)轉(zhuǎn)換為安全態(tài)勢數(shù)據(jù)，并以此作為實驗的判定標(biāo)準(zhǔn)，測試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢值的分布情況如圖1 所示。

圖1 測試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢值分布

將圖1 中的態(tài)勢值數(shù)據(jù)代入到表1 中，便可以得出實驗的標(biāo)準(zhǔn)對比數(shù)據(jù)。接著將三個評估方法分別轉(zhuǎn)換為計算機可以直接讀取的程序代碼，并導(dǎo)入到實驗環(huán)境中，通過對樣本數(shù)據(jù)的讀取與分析，輸出最終的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估結(jié)果，經(jīng)過與標(biāo)準(zhǔn)評估等級的對比得出有關(guān)評估精準(zhǔn)度的測試結(jié)果，其中部分測試數(shù)據(jù)如表1 所示。

表1 對比實驗結(jié)果

從表1 中可以看出，從態(tài)勢值評估結(jié)果中來看，三種方法的評估誤差分別為0.308、0.068 和0.018，由此可見設(shè)計的基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估方法的評估誤差更小，即評估精準(zhǔn)度更高。

3 結(jié)束語

通過網(wǎng)絡(luò)安全態(tài)勢評估，可以監(jiān)測網(wǎng)絡(luò)安全變化趨勢，發(fā)現(xiàn)可能發(fā)生的網(wǎng)絡(luò)攻擊行為，并采取有效措施加以防范，提高網(wǎng)絡(luò)安全水平。根據(jù)目前網(wǎng)絡(luò)安全態(tài)勢評估中存在的問題，將灰色關(guān)聯(lián)分析法應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢評估，實現(xiàn)了傳統(tǒng)方法的優(yōu)化。試驗結(jié)果表明，灰色關(guān)聯(lián)分析理論的應(yīng)用有效地提高了評估的精確度。能夠捕捉到網(wǎng)絡(luò)安全的總體變化趨勢，因此，評價方法的設(shè)計和發(fā)展有助于指導(dǎo)網(wǎng)絡(luò)管理員對未來可能發(fā)生的網(wǎng)絡(luò)安全事件作出相應(yīng)的應(yīng)對措施。