趙嵐，李俊葉

（華東交通大學(xué)理工學(xué)院，江西南昌330000）

現(xiàn)代網(wǎng)絡(luò)中存儲著大量的數(shù)據(jù)信息，其中許多都是非常敏感的，甚至是影響國家安全的機密信息，正因為如此，許多不法之徒就會以各種目的對網(wǎng)絡(luò)發(fā)動攻擊，計算機犯罪案件發(fā)案率逐年上升，并呈愈演愈烈之勢，今天計算機犯罪已經(jīng)成為一個普遍的國際問題。為解決日益嚴(yán)重的各種安全問題，許多安全產(chǎn)品也被開發(fā)出來，以對付這些攻擊，這些安全產(chǎn)品在一定程度上可以起到網(wǎng)絡(luò)保護(hù)的作用[1]。在這些安全態(tài)勢評估中，網(wǎng)絡(luò)安全態(tài)勢評估是一個新興的熱門研究課題，對于整個網(wǎng)絡(luò)的安全保衛(wèi)工作具有重要意義?！熬W(wǎng)絡(luò)態(tài)勢”是指由各種網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)行為以及用戶行為等因素構(gòu)成的網(wǎng)絡(luò)整體現(xiàn)狀和發(fā)展趨勢。應(yīng)當(dāng)指出，態(tài)勢是一種狀態(tài)，是一種趨勢，是整體的、全局的概念，不能把任何單一的情形或狀態(tài)都稱為態(tài)勢。其中網(wǎng)絡(luò)安全態(tài)勢評估包括態(tài)勢要素提取、當(dāng)前態(tài)勢分析、形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖等，為網(wǎng)絡(luò)管理者提供輔助決策信息。

目前，國外對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的研究主要是采用集成化的思想，建立專門的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)，對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的研究具有一定的參考價值。與國外相比，中國對網(wǎng)絡(luò)態(tài)勢感知的研究還處于起步階段，主要研究成果有：基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估方法、基于日志審計和性能修正算法的網(wǎng)絡(luò)態(tài)勢評估方法和基于模糊粗糙集的網(wǎng)絡(luò)態(tài)勢評估方法，但現(xiàn)有的態(tài)勢評估方法由于無法發(fā)現(xiàn)潛在的、未知的安全漏洞和威脅，導(dǎo)致評估結(jié)果的準(zhǔn)確性和評估效果較差，因此引入了灰色關(guān)聯(lián)分析技術(shù)?；疑P(guān)聯(lián)分析主要是通過樣本數(shù)據(jù)序列的發(fā)展趨勢、所表現(xiàn)出的幾何形態(tài)、數(shù)據(jù)序列之間的相似度來表征各數(shù)據(jù)因素間的關(guān)聯(lián)程度。實踐中，如果以數(shù)據(jù)序列幾何形狀的相似近似度來衡量各數(shù)據(jù)因素之間的關(guān)聯(lián)程度，則可得到多種不同的關(guān)聯(lián)度計算方法。運用灰色關(guān)聯(lián)分析法，旨在提高網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評價結(jié)果的可信性和準(zhǔn)確性。

1 網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估方法設(shè)計

網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估采用監(jiān)控平臺-采集代理結(jié)構(gòu)，其中監(jiān)控部分主要負(fù)責(zé)對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，集成了數(shù)據(jù)分析指標(biāo)提取模塊、安全態(tài)勢評估模塊、插件定義模塊、采集命令生成模塊、轉(zhuǎn)換模塊、數(shù)據(jù)庫中間件模塊以及其他功能模塊，為用戶或傳感器在采集前進(jìn)行調(diào)用和向上層傳感器集成平臺傳輸數(shù)據(jù)提供了接口，此外，在監(jiān)控平臺的擴展功能中，還保留了與服務(wù)故障恢復(fù)相關(guān)的功能模塊，為用戶或傳感器在采集前進(jìn)行配置提供了方便、友好的用戶界面，用于實時顯示采集時監(jiān)控代理發(fā)出的命令，在采集完成后提交各種形式的評估報告[2]?；诨疑P(guān)聯(lián)分析技術(shù)的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評價的具體實施流程見圖1。

圖1 網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估流程圖

1.1 網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢評估包括兩個過程，即對網(wǎng)絡(luò)系統(tǒng)當(dāng)前運行狀態(tài)的評估和對未來一段時間內(nèi)網(wǎng)絡(luò)系統(tǒng)運行狀況的預(yù)測。情形判斷流程見圖2。

圖2 安全態(tài)勢要素感知框圖

根據(jù)當(dāng)前網(wǎng)絡(luò)狀況，選擇Netflow 作為數(shù)據(jù)源。網(wǎng)絡(luò)流量不僅能夠?qū)崟r提供詳盡的網(wǎng)絡(luò)流量信息和統(tǒng)計預(yù)分析，而且能夠有效避免資源超載，為網(wǎng)絡(luò)安全態(tài)勢感知提供必要的數(shù)據(jù)和服務(wù)支持[3]。將數(shù)據(jù)包按到達(dá)的流量采樣間隔進(jìn)行采集，對所有采集到的數(shù)據(jù)包進(jìn)行過濾和聚合，形成大量的數(shù)據(jù)流，然后將其以流記錄格式存儲在緩存中，滿足導(dǎo)出條件后，再通過UDP 協(xié)議導(dǎo)出。最后以網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)為支撐，對網(wǎng)絡(luò)安全態(tài)勢優(yōu)化進(jìn)行評估。

1.2 劃分網(wǎng)絡(luò)安全態(tài)勢風(fēng)險等級

根據(jù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和使用情況，采用網(wǎng)站監(jiān)測數(shù)據(jù)，選取影響網(wǎng)絡(luò)態(tài)勢的主要漏洞和安全事件，通過對網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的統(tǒng)計，利用這些漏洞和安全事件所帶來的損失，并根據(jù)評價特征，分別量化其風(fēng)險等級。在表1 中顯示了網(wǎng)絡(luò)安全態(tài)勢的等級劃分。

表1 網(wǎng)絡(luò)安全態(tài)勢等級劃分表

以表1 中網(wǎng)絡(luò)安全態(tài)勢分級標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評價標(biāo)準(zhǔn)，分別計算出網(wǎng)絡(luò)安全態(tài)勢評價指標(biāo)，并與表1 中的期望值和熵值區(qū)間進(jìn)行比較，從而得到量化的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評價結(jié)果[4]。

1.3 設(shè)置網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)

根據(jù)網(wǎng)絡(luò)安全態(tài)勢評估原理，在考慮網(wǎng)絡(luò)復(fù)雜性、不確定性、動態(tài)性等因素的基礎(chǔ)上，分別從網(wǎng)絡(luò)風(fēng)險、脆弱性、可用性和可靠性四個方面建立評估指標(biāo)體系[5]。與之相關(guān)的網(wǎng)絡(luò)風(fēng)險評估指標(biāo)有：報警器數(shù)量和種類、攻擊事件發(fā)生頻率、數(shù)據(jù)流量、流量增長率、各關(guān)鍵設(shè)備訪問主流網(wǎng)站的頻率等；與之相關(guān)的脆弱性評估指標(biāo)有：安全設(shè)備數(shù)量、各關(guān)鍵設(shè)備提供的服務(wù)類型及其版本、設(shè)備總的開放端口數(shù)量等；可用性指標(biāo)有：網(wǎng)絡(luò)帶寬、帶寬利用率、CPU 利用率、內(nèi)存利用率、最大并發(fā)線程數(shù)量等；可靠性指標(biāo)有：流量變化率、數(shù)據(jù)流量總量、關(guān)鍵設(shè)備平均無故障時間等。上述網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)中網(wǎng)絡(luò)流量變化率指標(biāo)可以表示為：

式（1)中I 歸屬地在統(tǒng)計范圍內(nèi)的所有IP 的集合，flow_seq 表示已經(jīng)看到的所有信息流的序列計數(shù)器，而dOctets 為字節(jié)總量。同理可以得出網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)的量化結(jié)果。

1.4 建立網(wǎng)絡(luò)安全態(tài)勢評估矩陣

首先對各指標(biāo)ui分別按評判集中各vj進(jìn)行評分;然后按式2 計算各指標(biāo)對評判集中的第j 個元素vj的值。

式（2）中nij和ntotal分別表示的是指標(biāo)體系中的第i 個指標(biāo)ui作出第j 個評價的專家數(shù)目和專家總數(shù)[6]。由此便可以得出指標(biāo)的評價向量，通過上述方法，就可以知道n 個指標(biāo)有n 個評價向量，即可確定映射關(guān)系為：

由此可以得出網(wǎng)絡(luò)安全態(tài)勢的評估矩陣為：

分別將設(shè)置的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)導(dǎo)入到公式4 中，便可以得出對應(yīng)安全態(tài)勢優(yōu)化評估的量化表達(dá)式。

1.5 灰色關(guān)聯(lián)分析確定指標(biāo)集權(quán)重

設(shè)為綜合評估指標(biāo)，其觀測數(shù)據(jù)為，對評估指標(biāo)進(jìn)行無量綱處理，并利用公式5 計算每個比較序列與參考序列對應(yīng)元素之間的灰色關(guān)聯(lián)系數(shù)。

式（5）中|x0(k)-xi(k)|表示的是各序列和參考序列對應(yīng)元素間的絕對差值，min 和max 分別為最大值和最小值，ρ 為分辨系數(shù)[7]。當(dāng)取值為(0，1)時，越小，對相關(guān)系數(shù)的判別能力越強。在此基礎(chǔ)上，采用灰色關(guān)聯(lián)系數(shù)平均構(gòu)成向量r，進(jìn)行規(guī)一化處理，得到各指標(biāo)的權(quán)向量。

1.6 實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估

為更好地對網(wǎng)絡(luò)運行狀況進(jìn)行安全態(tài)勢分析，將灰色理論中的關(guān)聯(lián)分析與層次分析相結(jié)合，分別從網(wǎng)絡(luò)攻擊層、關(guān)聯(lián)層、服務(wù)層、主機層和系統(tǒng)層得到評價指標(biāo)計算結(jié)果。以主機層為例其安全態(tài)勢值可以表示為：

式（6）中m 為主機Hk所提供的服務(wù)個數(shù)。V'為服務(wù)Sj在主機Hk提供的各項服務(wù)中所占有的重要性權(quán)值，X(t)為求解得出的綜合指標(biāo)計算結(jié)果。同理可以得出其他網(wǎng)絡(luò)層的安全態(tài)勢值求解結(jié)果，將綜合態(tài)勢值計算結(jié)果與表1 中的評價劃分等級標(biāo)準(zhǔn)進(jìn)行比對，便可以得出最終的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估結(jié)果。

2 對比實驗分析

為了測試設(shè)計的基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)安全態(tài)勢優(yōu)化評估方法的評估功能，設(shè)計對比實驗，對比設(shè)計評估方法和傳統(tǒng)評估方法以及文獻(xiàn)[7]中提出的基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法作為實驗的兩個對比方法。所使用的模擬硬件環(huán)境為：CPUP43-0GHz，1 GB 內(nèi)存，20 GB 硬盤自由空間，2 Mbps 網(wǎng)卡。其軟件環(huán)境是：Windows XP 操作系統(tǒng)、MATLAB2007 軟件包。模擬實驗數(shù)據(jù)來源于美國MIT 林肯實驗室的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集KDDCup99。該模型分為兩個部分，第一部分對網(wǎng)絡(luò)安全態(tài)勢評估模型進(jìn)行訓(xùn)練，第二部分對網(wǎng)絡(luò)安全態(tài)勢評估模型進(jìn)行測試，以驗證模型的評估結(jié)果與實際結(jié)果是否一致。將準(zhǔn)備的實驗樣本數(shù)據(jù)轉(zhuǎn)換為安全態(tài)勢數(shù)據(jù)，并以此作為實驗的判定標(biāo)準(zhǔn)，測試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢值的分布情況如圖3 所示。

圖3 測試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢值分布

將圖3 中的態(tài)勢值數(shù)據(jù)代入到表1 中，便可以得出實驗的標(biāo)準(zhǔn)對比數(shù)據(jù)。

3 結(jié)束語

通過網(wǎng)絡(luò)安全態(tài)勢評估，可以監(jiān)測網(wǎng)絡(luò)安全變化趨勢，發(fā)現(xiàn)可能發(fā)生的網(wǎng)絡(luò)攻擊行為，并采取有效措施加以防范，提高網(wǎng)絡(luò)安全水平。根據(jù)目前網(wǎng)絡(luò)安全態(tài)勢評估中存在的問題，將灰色關(guān)聯(lián)分析法應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢評估，實現(xiàn)了傳統(tǒng)方法的優(yōu)化。試驗結(jié)果表明，灰色關(guān)聯(lián)分析理論的應(yīng)用有效地提高了評估的精確度。能夠捕捉到網(wǎng)絡(luò)安全的總體變化趨勢，因此，評價方法的設(shè)計和發(fā)展有助于指導(dǎo)網(wǎng)絡(luò)管理員對未來可能發(fā)生的網(wǎng)絡(luò)安全事件作出相應(yīng)的應(yīng)對措施。