陳鈞　張展翔　鐘成琦

摘 要 本文對(duì)面向攻擊和面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法進(jìn)行了研究，介紹了基于時(shí)間窗D-S（TWDS）和攻擊圖的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。簡(jiǎn)析了網(wǎng)絡(luò)安全態(tài)勢(shì)的定量評(píng)估，對(duì)模型的量化評(píng)估方法進(jìn)行分析。

關(guān)鍵詞 TWDS 攻擊圖 網(wǎng)絡(luò)安全 評(píng)估理論

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的研究中，攻擊是外內(nèi)，脆弱性是內(nèi)因，對(duì)攻擊和脆弱性進(jìn)行綜合研究才能準(zhǔn)確地評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。因此，本文以綜合面向攻擊和面向脆弱性網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的優(yōu)點(diǎn)目的，介紹了基于TWDS和攻擊圖的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。為了解決以往研究存在對(duì)脆弱性關(guān)聯(lián)關(guān)系考慮不充分的問(wèn)題，在態(tài)勢(shì)評(píng)估過(guò)程中引入了攻擊圖。

在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中引入D-S證據(jù)理論是為了融合報(bào)警信息，而本文提出的時(shí)間窗D-S（Time Window D-S，TWDS）證據(jù)理論是為了提高融合的準(zhǔn)確性。

D-S證據(jù)理論的全稱是Dempster/Shafer證據(jù)理論，其中Dempster是證據(jù)理論的提出者，而Shafer作為Dempster的學(xué)生，是證據(jù)理論的推廣者。D-S證據(jù)理論因其具有比貝葉斯概率論約束條件少和更強(qiáng)的表達(dá)不確定性的能力而得到了發(fā)展。在本文中，需要用到的D-S證據(jù)理論相關(guān)概念如下：

（1）識(shí)別框架：由互不相容的基本命題構(gòu)成的完備集合。這些命題可以表示出針對(duì)某個(gè)問(wèn)題的所有可能答案，并且這些命題中只有一個(gè)答案是正確的。

（2）命題：識(shí)別框架的子集。

（3）m函數(shù)：各命題被分配到的信任程度，也稱為基本概率分配。m（A）為基本可信數(shù)，表示對(duì)A的信度的大小。

如果在某場(chǎng)景下得到了來(lái)自多個(gè)傳感器的基本信度分配，則可以通過(guò)Dempster合成規(guī)則得到一個(gè)新的概率分配，其整個(gè)融合過(guò)程如圖1所示。

圖1中，E1，E2，…，Ek表示網(wǎng)絡(luò)安全檢測(cè)設(shè)備檢測(cè)到的k個(gè)存在的事件，m1（Ai），m2（Ai），…，mk（Ai）（i=1，2，…，n，表示共有n個(gè)命題）分別表示k個(gè)存在的事件對(duì)某個(gè)命題Ai的基本概率分配，而m（Ai）表示前面各基本可信數(shù)通過(guò)Dempster合成規(guī)則計(jì)算后得到的新的基本概率分配。

K是歸一化因子，證據(jù)沖突的程度由其大小來(lái)體現(xiàn)，目的是為了避免合成時(shí)在空集中出現(xiàn)非零概率。

為了解決D-S證據(jù)理論中的證據(jù)沖突問(wèn)題，孫全等提出了改進(jìn)的D-S證據(jù)理論，其對(duì)多源證據(jù)進(jìn)行合成的公式為

雖然改進(jìn)的D-S證據(jù)理論解決了證據(jù)合成時(shí)的沖突問(wèn)題，但是我們可以發(fā)現(xiàn)，證據(jù)合成結(jié)果的準(zhǔn)確性依賴于取哪些報(bào)警信息作為證據(jù)對(duì)象。

通常在報(bào)警信息中會(huì)包含有報(bào)警的生成日期與時(shí)間，在傳統(tǒng)的證據(jù)信息融合過(guò)程中，總是根據(jù)報(bào)警的生成日期和時(shí)間來(lái)進(jìn)行證據(jù)的合成，得到該時(shí)間點(diǎn)的攻擊事件發(fā)生支持概率。而事實(shí)上，由于網(wǎng)絡(luò)安全設(shè)備對(duì)攻擊事件有一定的響應(yīng)時(shí)間，攻擊事件的發(fā)生到相應(yīng)日志的生成需要經(jīng)歷一段時(shí)間，這段時(shí)間的長(zhǎng)短由具體攻擊事件和網(wǎng)絡(luò)設(shè)備性能決定，比如就防火墻和Snort而言，防火墻存在不可忽略的延遲問(wèn)題，而Snort是實(shí)時(shí)的，這就導(dǎo)致了兩個(gè)問(wèn)題：

（1）同一時(shí)間點(diǎn)生成的日志信息可能不是針對(duì)同一個(gè)攻擊事件的；

（2）不同時(shí)間點(diǎn)生成的日志信息卻可能是針對(duì)同一攻擊事件的。

定義1：時(shí)間窗（time window，TW）。是指在一定的網(wǎng)絡(luò)環(huán)境下，所有相關(guān)網(wǎng)絡(luò)安全設(shè)備針對(duì)某個(gè)攻擊的最長(zhǎng)響應(yīng)時(shí)間。

D-S證據(jù)理論的合成對(duì)象是時(shí)間窗內(nèi)的相似報(bào)警行為，因此稱之為時(shí)間窗D-S證據(jù)理論，簡(jiǎn)稱TWDS。那么，公式（1）中的k值由時(shí)間窗內(nèi)相似的報(bào)警數(shù)量決定，而非由同一時(shí)間點(diǎn)的報(bào)警數(shù)量決定。下面根據(jù)圖2說(shuō)明其合理性。

如圖2所示，在時(shí)刻t0發(fā)生了某個(gè)攻擊事件，相關(guān)網(wǎng)絡(luò)安全設(shè)備對(duì)其進(jìn)行了響應(yīng)，設(shè)備1的響應(yīng)時(shí)間最長(zhǎng)。依據(jù)時(shí)間窗定義，時(shí)間窗大小應(yīng)為t1-t0，那么D-S證據(jù)理論的合成對(duì)象就是時(shí)間t0到時(shí)間t1之間所有相關(guān)網(wǎng)絡(luò)安全設(shè)備生成的相似報(bào)警日志。由圖可以看出，t0到t1時(shí)間段內(nèi)的報(bào)警日志包含了所有相關(guān)網(wǎng)絡(luò)安全設(shè)備生成的日志，不會(huì)造成報(bào)警信息的遺漏，因此時(shí)間窗的定義是合理的。

參考文獻(xiàn)

[1] 劉效武，王慧強(qiáng)，禹繼國(guó)，等.基于多源融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].解放軍理工大學(xué)學(xué)報(bào)，2012，13（4）：403-407.

[2] 徐曉輝，劉作良.基于D-S證據(jù)理論的態(tài)勢(shì)評(píng)估方法[J].電光與控制，2005，12（5）：36-37+65.