摘要：在信息時(shí)代，大數(shù)據(jù)、云計(jì)算等先進(jìn)信息技術(shù)的發(fā)展，為人們的生產(chǎn)生活提供了極大的便利，但網(wǎng)絡(luò)安全問(wèn)題也愈發(fā)突出，各種網(wǎng)絡(luò)攻擊事件層出不窮，不僅給企業(yè)造成了難以挽回的經(jīng)濟(jì)損失，還影響了社會(huì)的和諧安定。因此，利用量化評(píng)估方法對(duì)層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)進(jìn)行識(shí)別勢(shì)在必行。本文簡(jiǎn)要分析了網(wǎng)絡(luò)安全的現(xiàn)實(shí)意義，基于網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估發(fā)展現(xiàn)狀與理論基礎(chǔ)，重點(diǎn)闡述了層次化網(wǎng)絡(luò)安全威脅量化評(píng)估方法的應(yīng)用要點(diǎn)，旨在提高網(wǎng)絡(luò)安全防護(hù)能力，創(chuàng)設(shè)安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：層次化；網(wǎng)絡(luò)安全威脅；態(tài)勢(shì)量化評(píng)估

一、引言

在互聯(lián)網(wǎng)時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)的主要發(fā)展趨勢(shì)為共享化、開(kāi)放化，這種發(fā)展模式為網(wǎng)絡(luò)惡意攻擊留下了可乘之機(jī)。傳統(tǒng)的單點(diǎn)安全防護(hù)模式，已經(jīng)無(wú)法滿足網(wǎng)絡(luò)對(duì)高安全性的需求，因此，創(chuàng)新網(wǎng)絡(luò)安全防護(hù)模式成為現(xiàn)代安全工作研究的重點(diǎn)內(nèi)容和方向。在這種背景下，多層次安全威脅態(tài)勢(shì)定量評(píng)價(jià)技術(shù)應(yīng)運(yùn)而生，這種安全防護(hù)技術(shù)不僅能夠?qū)W(wǎng)絡(luò)系統(tǒng)的整體狀態(tài)進(jìn)行客觀評(píng)價(jià)，及時(shí)排查出潛在的威脅問(wèn)題，還能夠減少不必要的資源浪費(fèi)，將網(wǎng)絡(luò)系統(tǒng)安全威脅問(wèn)題的發(fā)生概率控制在最小范圍內(nèi)。

二、網(wǎng)絡(luò)安全的現(xiàn)實(shí)意義

我國(guó)互聯(lián)網(wǎng)用戶的數(shù)量較為龐大，根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2023年上半年，我國(guó)網(wǎng)絡(luò)用戶規(guī)模高達(dá)10.79億人，同比增長(zhǎng)1000萬(wàn)人以上，互聯(lián)網(wǎng)普及率高達(dá)76%以上。互聯(lián)網(wǎng)的普及使人們的通信更加簡(jiǎn)單方便，對(duì)社會(huì)經(jīng)濟(jì)的發(fā)展起著積極的促進(jìn)作用，但隨之而來(lái)的網(wǎng)絡(luò)攻擊事件也大幅度增長(zhǎng)。近年來(lái)，我國(guó)企業(yè)內(nèi)部服務(wù)器受到惡意威脅和網(wǎng)絡(luò)攻擊的頻率逐年遞增，企業(yè)受網(wǎng)絡(luò)攻擊而產(chǎn)生的經(jīng)濟(jì)損失，平均值高達(dá)280億美元左右。網(wǎng)絡(luò)安全問(wèn)題不僅會(huì)給企業(yè)的正常經(jīng)營(yíng)造成不良影響，甚至?xí)＜皣?guó)家層面的信息安全。因此，網(wǎng)絡(luò)安全問(wèn)題亟待重視。利用層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)評(píng)估方法，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)化追蹤、全方位管理，一方面能夠及時(shí)識(shí)別網(wǎng)絡(luò)的異常情況，幫助相關(guān)人員采取行之有效的措施解決問(wèn)題，降低網(wǎng)絡(luò)安全威脅帶來(lái)的不良影響和損失。另一方面，其能夠判斷出攻擊者的身份、目的以及行為，實(shí)時(shí)檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)的態(tài)勢(shì)，從而全面保證網(wǎng)絡(luò)的穩(wěn)定性與安全性，為企業(yè)的長(zhǎng)效健康發(fā)展提供堅(jiān)實(shí)的保障[1]。

三、網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估發(fā)展現(xiàn)狀與理論基礎(chǔ)

（一）發(fā)展現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備在運(yùn)行的過(guò)程中，各項(xiàng)參數(shù)可能會(huì)發(fā)生一定的變化，如用戶操作網(wǎng)絡(luò)設(shè)備或者優(yōu)化設(shè)備等，都會(huì)使參數(shù)變動(dòng)，這種變化情況就是網(wǎng)絡(luò)狀態(tài)。安全態(tài)勢(shì)是指利用傳感器等設(shè)備對(duì)網(wǎng)絡(luò)狀態(tài)展開(kāi)監(jiān)測(cè)，在這一過(guò)程中，監(jiān)測(cè)設(shè)備會(huì)采集與網(wǎng)絡(luò)狀態(tài)相關(guān)的信息數(shù)據(jù)，而網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估就是對(duì)監(jiān)測(cè)設(shè)備中的信息數(shù)據(jù)進(jìn)行深層次的分析和解讀，從中排查出異常數(shù)據(jù)，在此基礎(chǔ)上，對(duì)網(wǎng)絡(luò)設(shè)備的真實(shí)狀況進(jìn)行量化評(píng)估。

現(xiàn)階段，我國(guó)網(wǎng)絡(luò)安全狀態(tài)量化評(píng)估技術(shù)主要有兩種，分別是組態(tài)數(shù)據(jù)評(píng)估和系統(tǒng)運(yùn)行數(shù)據(jù)評(píng)估，前者指的是對(duì)網(wǎng)絡(luò)設(shè)備的軟件系統(tǒng)、硬件設(shè)施等組態(tài)的運(yùn)行狀態(tài)進(jìn)行安全評(píng)價(jià)，這種評(píng)價(jià)方法適用于信息系統(tǒng)泄露所誘發(fā)的安全威脅評(píng)估。后者指的是對(duì)網(wǎng)絡(luò)系統(tǒng)在運(yùn)行過(guò)程中產(chǎn)生的信息數(shù)據(jù)進(jìn)行采集，獲得各種數(shù)據(jù)源后，再分析網(wǎng)絡(luò)系統(tǒng)遭受惡意攻擊的頻率和次數(shù)等[2]。

隨著科學(xué)技術(shù)的不斷發(fā)展，我國(guó)的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估工作取得了一定的成效，對(duì)網(wǎng)絡(luò)安全起著重要的保障作用，但現(xiàn)有的評(píng)價(jià)指標(biāo)和體系較為簡(jiǎn)單，還需要進(jìn)一步完善和優(yōu)化，而多層次的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法，能夠解決評(píng)價(jià)指標(biāo)和體系單一的問(wèn)題，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)多層次威脅的有效識(shí)別和評(píng)估，為企業(yè)內(nèi)部服務(wù)器的安全性提供有力的支持。

（二）理論基礎(chǔ)

在多層次網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估體系中，安全狀態(tài)感知模塊占據(jù)著關(guān)鍵的地位，該技術(shù)模塊的主要作用是采集網(wǎng)絡(luò)設(shè)備的各種參數(shù)，并在大數(shù)據(jù)融合技術(shù)的支持下，對(duì)各種參數(shù)進(jìn)行融合處理，計(jì)算出評(píng)價(jià)結(jié)果。在采集、整理、融合以及處理各種參數(shù)的過(guò)程中，需要用到以下理論：

1.報(bào)警關(guān)聯(lián)理論

這種理論指的是提前設(shè)置好一定的邏輯關(guān)系后，驅(qū)動(dòng)報(bào)警系統(tǒng)按照既定的邏輯程序，對(duì)信號(hào)加以融合處理，這種融合方法能夠簡(jiǎn)化數(shù)據(jù)處理流程，促進(jìn)報(bào)警技術(shù)更加準(zhǔn)確，快速掌握攻擊者的入侵目的，但基于報(bào)警關(guān)聯(lián)理論的數(shù)據(jù)融合模型構(gòu)建難度較大[3]。

在設(shè)計(jì)報(bào)警關(guān)聯(lián)模型的過(guò)程中，需要根據(jù)關(guān)聯(lián)圖展開(kāi)邊權(quán)值的計(jì)算，通常情況下，報(bào)警關(guān)聯(lián)圖中的權(quán)值變化狀態(tài)，如表1所示。

根據(jù)表1相關(guān)內(nèi)容計(jì)算出報(bào)警關(guān)聯(lián)圖的權(quán)值后，還需要計(jì)算報(bào)警關(guān)聯(lián)度等內(nèi)容，在各個(gè)環(huán)節(jié)中一旦出現(xiàn)計(jì)算誤差，就會(huì)影響到報(bào)警關(guān)聯(lián)模型，因此，這種量化評(píng)估方法的操作較為復(fù)雜，要謹(jǐn)慎使用。

2.DS證據(jù)理論

DS證據(jù)理論在信息融合領(lǐng)域發(fā)揮著重要的作用，在處理網(wǎng)絡(luò)安全信息數(shù)據(jù)的過(guò)程中，很多信息本身存在一定的不確定因素，而DS算法能夠?qū)Σ淮_定信息加以處理，進(jìn)而為數(shù)據(jù)的融合創(chuàng)造有利條件。在實(shí)際操作DS算法的過(guò)程中，主要涉及三個(gè)環(huán)節(jié)，即證據(jù)收集——證據(jù)傳遞——證據(jù)合成，這種算法能夠有效驗(yàn)證網(wǎng)絡(luò)中的信任度，實(shí)現(xiàn)對(duì)不確定信息的高效處理[4]。

3.加權(quán)平均數(shù)

加權(quán)平均數(shù)主要是利用數(shù)學(xué)模型，對(duì)數(shù)據(jù)進(jìn)行融合處理。這種算法的優(yōu)勢(shì)在于操作簡(jiǎn)單，但受人為主觀因素影響較大，一旦相關(guān)人員缺少經(jīng)驗(yàn)，就會(huì)影響數(shù)據(jù)融合效果，因此，這種算法缺乏客觀性。

4.貝葉斯推論

這種算法指的是通過(guò)后測(cè)概率，對(duì)數(shù)據(jù)之間的節(jié)點(diǎn)展開(kāi)邏輯推理，再設(shè)計(jì)融合方法。其優(yōu)點(diǎn)在于計(jì)算流程簡(jiǎn)單、復(fù)雜度較低，但在計(jì)算過(guò)程中，一旦出現(xiàn)誤差，就會(huì)給后期的數(shù)據(jù)處理和融合造成不良影響。同時(shí)，貝葉斯推論的計(jì)算量較大，難以達(dá)成實(shí)時(shí)性、動(dòng)態(tài)化評(píng)估的目的。在構(gòu)建貝葉斯模型的過(guò)程中，主要的程序有整理先驗(yàn)知識(shí)、構(gòu)建初步模型以及檢測(cè)節(jié)點(diǎn)關(guān)聯(lián)性等，如圖1所示。

在計(jì)算推理貝葉斯的過(guò)程中，可采用變量消除法、聯(lián)合樹(shù)算法以及群集算法等。以變量消除法為例，如公式（1）所示：

" "（1）

貝葉斯算法的推理方式較多，還需要結(jié)合層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估系統(tǒng)的實(shí)際情況，有針對(duì)性地應(yīng)用相關(guān)算法。

四、層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估要點(diǎn)

（一）采集信息數(shù)據(jù)

在層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估中，信息數(shù)據(jù)的采集屬于重點(diǎn)環(huán)節(jié)，常規(guī)數(shù)據(jù)有兩大類，一類是組態(tài)信息，另一類是系統(tǒng)運(yùn)行信息。本文所研究的定量評(píng)估方法的核心結(jié)構(gòu)為馬爾可夫，主要應(yīng)用組態(tài)數(shù)據(jù)，這種運(yùn)行模式，不僅能夠準(zhǔn)確地計(jì)算出攻擊者成功入侵網(wǎng)絡(luò)所需的平均時(shí)間，還能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的定量評(píng)價(jià)。

多層次網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定量評(píng)估的數(shù)據(jù)主要來(lái)源于服務(wù)器、交換設(shè)備以及終端設(shè)備等，如表2所示。

為提高網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估的客觀性與準(zhǔn)確性，獲取大量的信息數(shù)據(jù)后，還要采用各種融合技術(shù)進(jìn)行處理，包括上文提到的貝葉斯理論、DS證據(jù)推理以及加權(quán)平均數(shù)等。以貝葉斯理論為例，在數(shù)據(jù)融合的層次化處理中，主要通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)定量感知實(shí)現(xiàn)，如圖2所示。

圖2 數(shù)據(jù)融合層次化結(jié)構(gòu)示意圖

除此之外，在采集信息數(shù)據(jù)的過(guò)程中，還要科學(xué)應(yīng)用數(shù)據(jù)挖掘技術(shù)，從大量的信息數(shù)據(jù)中，提取出有代表性的數(shù)據(jù)，即這類數(shù)據(jù)要能夠反映網(wǎng)絡(luò)狀態(tài)的真實(shí)情況，因此，要在數(shù)據(jù)挖掘技術(shù)的支持下，對(duì)網(wǎng)絡(luò)設(shè)備的組態(tài)信息等進(jìn)行大規(guī)模的采集，并提取出有價(jià)值的數(shù)據(jù)，從而提高定量評(píng)估的質(zhì)量和效率。

（二）構(gòu)建評(píng)估模型

在構(gòu)建多層次網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定量評(píng)估模型時(shí)，主要設(shè)置三個(gè)層級(jí)結(jié)構(gòu)，分別是網(wǎng)絡(luò)管理模塊、服務(wù)器管理模塊以及業(yè)務(wù)管理模塊。通過(guò)對(duì)各種惡意攻擊行為發(fā)生次數(shù)和頻率的綜合分析可知，服務(wù)器管理系統(tǒng)受到攻擊的次數(shù)和頻率較高，是黑客攻擊的主要對(duì)象。因此，設(shè)計(jì)定量評(píng)估模型時(shí)，可以分層理論為導(dǎo)向，創(chuàng)設(shè)出層次化的態(tài)勢(shì)評(píng)估模式，遵循自上而下的原則，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行層次劃分。上述三個(gè)層次與供給層次有機(jī)結(jié)合后，就能夠形成網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定量評(píng)估的邏輯關(guān)系[5]。

根據(jù)既定的結(jié)構(gòu)邏輯，采用“局部先、總體后”的工作模式，對(duì)定量評(píng)估系統(tǒng)進(jìn)行預(yù)先設(shè)定。通過(guò)這種運(yùn)行模式，不僅能夠快速接收?qǐng)?bào)警信號(hào)以及漏洞掃描等信息數(shù)據(jù)，還能夠?qū)┙o層次中的危險(xiǎn)數(shù)據(jù)平均值進(jìn)行計(jì)算，按照統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，對(duì)這類危險(xiǎn)源實(shí)行客觀準(zhǔn)確的分析，從而為網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估提供可靠的數(shù)據(jù)保障。另外，由于主機(jī)是攻擊者主要的入侵對(duì)象，因此，在構(gòu)建評(píng)估模型時(shí)，要設(shè)置專門(mén)的分析統(tǒng)計(jì)系統(tǒng)，用于主機(jī)潛在風(fēng)險(xiǎn)的識(shí)別，對(duì)威脅可能產(chǎn)生的頻率、可能持續(xù)的時(shí)長(zhǎng)以及網(wǎng)絡(luò)寬帶資源的綜合利用效率等進(jìn)行全方位的分析，實(shí)現(xiàn)對(duì)主機(jī)安全狀態(tài)的有效評(píng)定。

（三）展開(kāi)定量分析

1.服務(wù)量

層次化網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的過(guò)程中，潛在的風(fēng)險(xiǎn)隱患會(huì)給網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行造成嚴(yán)重的干擾，而服務(wù)量的異常變動(dòng)就屬于典型的潛在威脅之一。黑客在攻擊網(wǎng)絡(luò)系統(tǒng)的過(guò)程中，攻擊的時(shí)間不同，服務(wù)量也會(huì)有所不同，這種差異性會(huì)直接影響到定量分析的結(jié)果。因此在實(shí)際計(jì)算過(guò)程中，要以時(shí)間為前提，在時(shí)間變化趨勢(shì)的基礎(chǔ)上，掌握各個(gè)時(shí)間段的潛在威脅等級(jí)，針對(duì)威脅等級(jí)最高的時(shí)間段進(jìn)行定量分析。例如，在實(shí)際操作中，可以將一天劃分為3個(gè)時(shí)間段，第一個(gè)時(shí)間段為0：00-8：00；第二個(gè)時(shí)間段為8：00-18：00；第三個(gè)時(shí)間段為18：00-24：00，以時(shí)間作為定量分析的標(biāo)度展開(kāi)計(jì)算，能夠確定潛在威脅的等級(jí)，以及可能造成的損失。

2.系統(tǒng)級(jí)

在網(wǎng)絡(luò)系統(tǒng)級(jí)的定量分析中，也要采用以時(shí)間為基礎(chǔ)的處理模式，對(duì)各種信息數(shù)據(jù)展開(kāi)科學(xué)合理的加權(quán)整理后，分析各個(gè)時(shí)段中潛在威脅的危險(xiǎn)程度以及可能引發(fā)的后果等，獲取到具體的威脅數(shù)值后，將網(wǎng)絡(luò)參數(shù)與相關(guān)結(jié)果相乘，就能夠得到特定時(shí)段中多層次網(wǎng)絡(luò)系統(tǒng)安全威脅量化評(píng)估結(jié)果。

（四）實(shí)施定量計(jì)算

在計(jì)算定量評(píng)估結(jié)果的過(guò)程中，為保證結(jié)果的真實(shí)性與準(zhǔn)確性，需要確定各個(gè)層級(jí)的相關(guān)參數(shù)，如網(wǎng)絡(luò)寬帶利用率以及威脅指數(shù)等，篩選出具有代表性且有價(jià)值的參數(shù)用于定量計(jì)算中。通過(guò)網(wǎng)絡(luò)安全日志的分析可知，很多威脅因子和攻擊事件都屬于無(wú)意義事件，并且這種無(wú)效攻擊占總威脅比例的99%以上，若未及時(shí)采取科學(xué)有效的措施，對(duì)這些無(wú)效數(shù)據(jù)進(jìn)行處理，不僅會(huì)加重網(wǎng)絡(luò)系統(tǒng)的負(fù)載，還會(huì)降低定量計(jì)算的效率，因此在定量計(jì)算期間，要對(duì)各種參數(shù)進(jìn)行篩選。

（五）優(yōu)化評(píng)估結(jié)果

在定量評(píng)估結(jié)果的優(yōu)化處理中，重點(diǎn)在于對(duì)威脅態(tài)勢(shì)指標(biāo)的整理和分析，每一個(gè)有價(jià)值的指標(biāo)都要進(jìn)行量化評(píng)估，并且還要以真實(shí)的網(wǎng)絡(luò)環(huán)境為依托，搭建模擬攻擊模型，對(duì)評(píng)估結(jié)果進(jìn)行驗(yàn)證，確定評(píng)估結(jié)果不存在任何問(wèn)題后，可分析安全威脅存在的原因，并制定科學(xué)合理的防護(hù)措施，促進(jìn)網(wǎng)絡(luò)系統(tǒng)的可持續(xù)安全穩(wěn)定運(yùn)行。

五、結(jié)束語(yǔ)

綜上所述，層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估技術(shù)，在網(wǎng)絡(luò)系統(tǒng)的安全維護(hù)中，發(fā)揮了顯著的作用，因此，要加大對(duì)這種技術(shù)的推廣和應(yīng)用力度，提高網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)抵御能力，實(shí)現(xiàn)對(duì)潛在安全威脅的有效處理。

作者單位：張玉玨 黃金鵬 韓運(yùn)寶 王倩麗 中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）

參考文獻(xiàn)

[1]王立軍.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法分析[J].信息技術(shù)與信息化，2022，（07）：188-191.

[2]安家驥，狄鶴.數(shù)字中國(guó)背景下金融信息安全的威脅情報(bào)研究：內(nèi)在邏輯與態(tài)勢(shì)感知應(yīng)用[J].情報(bào)科學(xué)，2023，41（08）：147-154.

[3]蘇凌.基于馬爾可夫鏈的網(wǎng)絡(luò)安全威脅評(píng)估技術(shù)研究[J].通信與信息技術(shù)，2023，（S2）：19-22.

[4]張梓鋅.基于深度加權(quán)特征學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究[D].中國(guó)民航大學(xué)，2022.

[5]張建嬌.基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的高校網(wǎng)絡(luò)威脅發(fā)現(xiàn)[J].電子技術(shù)與軟件工程，2021，（18）：248-249.

張玉玨（1993.12-），女，漢族，北京，本科，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

黃金鵬（1991.04-），男，漢族，江蘇泰興，碩士研究生，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

韓運(yùn)寶（1983.02-），男，漢族，河南南陽(yáng)，碩士研究生，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

通訊作者，王倩麗（1996.05-），女，漢族，河北深州，本科，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全。