指标融合下对网络安全态势评估模型的构建研究

2014-05-09郭洪荣

网络安全技术与应用 2014年1期

郭洪荣

（营口职业技术学院辽宁 115000）

0 引言

以计算机和网络技术为代表的现代信息技术的发展，在推动社会经济快速增长的同时，也因来自网络的各类入侵攻击而严重威胁到人们对正常网络的依赖，特别是病毒、黑客、木马等安全事件的频发，使得网络信息安全形势堪忧加剧。追根溯源，从网络自身安全机制来看还存在不够完善的威胁，特别是传统网络单一的网络数据安全机制，不能从整体上来把握网络安全性和可靠性，为此，打破过去安全指标的单一性缺陷，强化从时间和空间上对相关数据的关联性感知与融合，从网络安全态势评估模型的构建上来进行趋势预测和判定，从而实现对网络实时性、多角度、多粒度、综合性评估和监控。

1 网络安全态势理论概述

态势感知技术主要分为三个层次，即感知、理解、预测，对于态势感知是从环境中获得相关信息线索的最关键、最基础的环节；理解则是从数据信息的整合和量化上来分析不同因素之间的相关性；预测是结合对环境信息的感知和理解，从而得出对未来时间、空间上的表征状态进行分析与预测。安全态势评估技术最早源自航空及军事领域，随着对网络安全事件监控与应对措施的改进，通过感知技术来获得时间与空间上的数据信息的关联性，并采用量化手段来预测和研究网络可能的发展趋势，从而为规避网络威胁，增强网络的稳定性和安全性。网络安全态势是对这个网络的状态和变化趋势进行描述，其中涉及到各资源节点的性能、用户行为、网络自身脆弱性等因素，而在网络安全领域，结合态势感知技术来获得特定网络环境下的状态信息，并利用态势感知工具来分析和预测网络安全状况，为科学有效的应对网络潜在威胁提供决策依据。

面对错综复杂的网络环境，对于网络安全态势评估过程主要如下图1所示：

对于原始网络事件的监测，需要从特定时段内提取相应的指标信息，并从数据预处理上来分析和挖掘关联事件，并在综合分析网络安全态势下形成信息的理解，如从事件日志中查找威胁源之家的关联性，依据数据融合策略来形成直观的态势图，其推理过程主要由：一是态势信息的提前；二是对态势信息的量化评估；三是对态势动态趋势的预测和显示。

2 网络安全态势评估技术

2.1 网络安全态势评估指标体系

从构成态势评估的内容来看，一是需要对安全态势要素进行提前，二是采取相应的指标评估方法。对于网络安全态势指标的选择和应用，需要从影响网络安全的因素出发，并依据相关评估标准来研究。利用当前网络安全工具来分析日志信息、完全事件，并获取态势指标原始数据，结合深层分析和数据挖掘技术来对不同的数据源进行关联度分析，归并相似数据源信息，选择综合性的网络安全事件简约规则，以快速计算出反映网络实时态势的安全指标值，借助于评估手段来制定科学的解决策略，以直观、动态、高效显示态势评估结果。

2.2 网络态势评估安全指标分类

在进行网络安全态势评估过程中，依据网络安全评估模型来科学的选取评估指标，需要依据相应的属性分类来完成。对于网络安全态势的定性评估，主要通过对各类网络事件的模拟或再现来直观的显示网络态势发展趋势及特征，为了确保定性评估的可靠性和准确性，在评估方法的选取上综合运用基于数学模型的评估法、基于知识推理的评估法，以及基于模式识别的评估法。由于反应网络和主机性能指标体系较多，在采集过程中无法满足实时性要求，对于深层次的网络事件原因，需要结合定性指标体系来综合分析。

2.3 网络态势评估方法比较

2.3.1 基于数学模型的态势评估方法

在基于数学模型评估方法中，通过获取各项安全因素，并转换成网络安全态势指标集合映射函数，利用各因素之间的关联关系来建立模型。如AHP层次分析法，通过运用定性和定量相结合的方法，将态势指标进行数学化，并在分层次聚合过程中对各关联因素进行数据挖掘，以两两比较的方式得出不同指标的权重值，从而形成最优的决策方案。

2.3.2 基于知识推理的态势评估方法

对于网络安全态势评估中的多属性数据进行分析时，可以借助于知识推理法来完成，其过程是通过数理统计、证据理论等知识，利用先验理论来构建网络安全态势评估模型，并依据逻辑推理方法来确定各网络安全因素的关系。需要注意的是，对于不确定性信息的处理时，常常借助于模糊理论来解决，如区间模糊集、直觉模糊集等，对于基于图模型的推理时，多以有向图来表示安全状态的转移关系，并依据贝叶斯网络级马尔科夫过程，对各节点网络态势转移关系进行展示；对于基于证据的概率推理时，需要从证据和命题间的逻辑关系中来确定实体、安全指标及安全状态的逻辑关系，并依据安全事件信息即证据来进行预定义，以获得相应的基本概率分配，选择决策逻辑判断置信度最高的命题作为备选命题，并重复新证据直至达到预设值。

2.3.3 基于模式识别的态势评估方法

对于模式识别方法首先要完成模板的建立，尤其是在系统态势状态辨识上，对所有可能的状态建立模板，并通过对数据与模板之间的匹配关系来确定网络安全态势。从以上三种评估方法的优势比较来看，基于数学模型的评估方法主要以数学函数的方式来解决多属性聚集评价难题，而基于知识推理的评估方法则通过对不确定性信息的模糊统计和概率分析，旨在解决聚合多数据源多属性信息；对于基于模式的识别方法，则依靠对人类思维模式的知识推理，以智能学习机制来从历史事件中获取态势发展信息，而对于态势评估技术来说，恰当的态势评估方法需要依据系统本身的实际特点来进行综合分析并决定。

3 基于融合指标下的网络安全态势评估过程

3.1 网络安全态势影响因素获取原则

构建网络安全态势指标体系，首先需要从影响安全态势的各因素的选取上依据相应原则来进行。由于网络安全涉及的因素较多，在度量网络安全态势时需要遵循以下几点：一是完备性原则；二是主成分性原则；三是独立性原则；四是通用性和发展性原则；五是定性与定量相结合的原则，六是可操作性原则。

3.2 网络安全态势评估的详细流程及方法

3.2.1 对来自网络运行状态的理论威胁度进行评价

网络运行过程都会产生相应的态势数据，如安全日志、系统日志、告警日志等信息，在对网络安全态势分析时，需要通过对记录安全事件的各类日志进行预处理，并从中计算分析出态势指标，绘制成网络安全态势曲线图。日志审计是对日志信息进行安全分析的重要途径，在审计方法上主要基于规则库、数理统计和数据挖掘等技术，从日志信息的比较中来辨识网络事件类型，发现未知事件趋向。

3.2.2 对来自网络运行状态的漏洞脆弱性进行评价

基于漏洞脆弱性的监测和评估是建立在漏洞评价体系上，借助于CVSS列出的漏洞及影响因素指标，从生命周期评价VT、基本评价VB，以及环境评价VE中来进行脆弱性量化和计算，其过程如下图2所示：

图2 评价过程

利用基本评价VB公式：VB=（0.6×M+0.4×BE-1.5）f（M）；M=10.41×（1-（1-CI）×（1-II）×（1-AI））；BE=20×AV×AC×Au；f（M）={0，M=0或1.176，M≠0）；对于CI、II、AI分别代表机密性、完整性和可用性量化值，对于AV、AC、Au分别代表攻击途径、攻击复杂性、认证量化分值。计算生命周期评价指标VT值，其公式：VT=VB×TE×RL×RC，其中 TE代表可利用代码，RL代表补救水平，RC代表可信度。由此可见，对于环境评价分值VE来说，其公式VE=（AT+（10-AT）×CDP）×TD，AT=VB×TE×RL×RC，由此得出VB，VT，VE三个脆弱性指标的量化结果。

3.2.3 对网络节点性能量化态势分析

结合SNMP网络实时监控系统所获取的网络性能信息，对网络系统中各节点的安全态势进行融合优化，并从网络态势值的修正中来预测网络安全态势。需要说明的是，对于网络态势评估过程来说，不能存在人为操作，以免影响对网络性能的准确监测；对于用户服务请求应该保持均衡，避免非法请求或聚集请求，从而影响时间点上网络状态的评估准确性；对于不可控的如火灾、地震等非人为性事件引起的故障进行排除。对于安全态势评估体系中的性能参数值以Per来表示，如IDper节点、Timeper时刻的性能参数值最小值为0，最大值为1。由此计算网络节点某一时刻的性能参数值的计算公式为：

某一时间段的主机性能参数值变化量为△Per，其公式为：

对网络节点理论进行融合计算，得到安全态势值SituAwar，其公式为：

（式中β表示整合系数，其值范围为[0，1]，当β=0时所反映的是理论网络安全威胁程度，当β=1时所反映的是实时监控的性能变化量）

3.2.4 对网络节点重要性权重值的分析

对于网络节点所提供的服务，不同类型节点的重要性也不同，而对于其权重的评估则需要进行动态监测并统计分析，结合专家经验来实现对其重要性的评估。在本网络系统节点重要性评估过程中，依据各节点的服务级别和专家经验进行获取，其公式：WeiI=ShNh+SmNm+SINI（其中Nh、Mm、NI表示高、中、低级别，Sh、Sm、SI表示重要性权重）。对于权重的确定取决于服务的主流性（M）、用户数（U），以及访问频率（F），其取值公式为：