章学妙 傅 翀 卢 嘉

(电子科技大学信息与软件工程学院 四川 成都 610054)

基于网络安全态势感知的网络系统自防御体系

章学妙 傅 翀 卢 嘉

(电子科技大学信息与软件工程学院 四川 成都 610054)

网络系统日益庞大，安全问题日益突出。由于网络攻击的规模化、复杂化和间接化的趋势，以及中小型企业和机构在网络系统安全方面意识或者能力不足，企业和机构正蒙受巨大的损失。针对这一现状，提出一种基于网络安全态势感知的自防御体系模型，在该模型的基础上，设计了基于攻击阈值的判定机制和攻击事件分而治之的思想，并给出一种实现架构方案。通过从系统中获得各种所需数据，按照判定机制的规则求得攻击指数，并与攻击阈值比较，进而感知攻击事件的发生。实验验证了自防御体系的判定机制的可行性、简便性。

网络安全 态势感知 自防御 阈值 判定机制

0 引 言

现如今，整个网络系统已经非常庞大，但同时网络系统面对的威胁也越来越严重。诸如政府机构、银行以及在线商务企业等都选择使用通过网络系统这一便捷的平台来向用户提供服务。然而很多中小型企业的整套网络应用大多由自己公司开发。对于一些中小型企业来说，很可能由于网络系统开发者专业训练不足、投入资金不足等原因而导致自产软件存在漏洞。

目前网络系统防御方面的研究大部分集中在漏洞的分类和攻击类型的分类上。总体而言，现今网络系统受到的威胁主要可分为网络层面的、系统层面的以及应用层面的。具体来说，常见的网络层面的威胁有拒绝服务、IP欺骗、嗅探等，系统层面的有软件框架漏洞攻击等，应用层面的有SQL注入、XSS攻击等。这些分类研究有其巨大的价值，客观上为网络系统防御体系的进一步研究奠定了基础。但仅仅针对单一的攻击活动的防御，各种防御之间缺少协同机制，已经不能有效防御现如今“协作攻击”、分布式攻击以及不确定性攻击等复杂的攻击行为了。

网络态势感知为这种复杂的多阶段的、不确定型的网络攻击提供了一种解决方案。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势[1]。网络态势感知技术可以实现对大规模网络的安全态势实时监控，并对潜在的、恶意的网络行为变得无法控制之前进行识别，给出相应的解决策略。

这对于应对正向着规模化、复杂化、间接化等趋势发展的网络攻击具有重大的意义。

基于网络安全态势感知构建网络系统自防御体系模型。自防御体系基于态势感知的思想引入基于攻击阈值的判定机制，采用不同攻击类型分而治之、专一处理的可扩展策略，使得在单一或者复杂攻击事件还没有对系统造成伤害时系统就能主动对这些攻击进行识别，并进行相应的处理，从根本上解决网络系统因受到攻击而造成的巨大的损失。

1 相关工作

网络给人们的工作和生活带来便捷的同时也产生了大量的安全问题。并且攻击事件正从单一化、简单化迅速转向规模化、复杂化以及隐蔽化。为了解决日益严重的网络安全问题，科研工作者们做了很多研究工作。

Bass[2]首次在网络安全领域中引入了态势感知的概念，并提出了网络安全态势感知的概念。基于此，Bass又提出了基于多传感器数据融合的态势感知框架[3]，用以对网络攻击行为进行识别、追踪以及度量。1995年Endsley提出了 Endsley层次模型[4]，该模型在已有的感知系统模型中被认为是经典模型，是一个在态势感知领域被广泛接受的理论模型。Endsley将态势感知划分为3各层次，分别为要素获取、态势理解以及态势预测。Lai等提出了基于Endsley的层次模型的网络态势感知框架[5]。

为了有效地将协同作战的多平台传感器探测的信息形成统一的战场态，郭强[6]等提出了一种基于条件信度参数的证据网络态势感知方法, 该方法利用条件信度参数以及证据理论，使用图结构的方式组织先验知识。张东戈[7]等通过对系统在运行过程中的一些表现特征进行量化的定义和描述，根据现实经验归纳出5条假设，以此为基础建立了解析化数学模型以度量台式感知水平。

王寿彪[8]等针对态势图对数据和复杂信息的特性构成的突出的大数据问题，从大数据的高度，分析了联合作战态势感知的数据类型、结构和特点。而吴朝雄[9]等则针对安全态势分析的实时性不足，以及应对复杂攻击的感知敏感度不高等问题，设计了实时感知的系统结构模型，并提出相应的感知方法和分析技术。

为应对目前网络安全态势感知时空复杂度较高准确性偏差较大等问题，文志诚[10]等提出了全方位因子加权感知网络安全态势框架，在充分考虑多信息源多层次异构信息融合的基础上，整体动态地展示出当前网络安全状况。

在态势感知领域的研究和实践中，安全态势知识库的构建工作尤为重要。毕煜[11]等基于知识库的权限管理机制、虚拟参考咨询机构、机构知识库的结构化数据3个理论基础，结合现有的专家团队，给出了一种智库系统的建设方法。马月坤[12]等基于知识图谱技术构建了客户行为知识库系统，并利用知识库系统的知识借助与Hadoop框架搭建的预测系统，分析及预测了用户的购买意向。陈珍[13]等将进化算法的思想映入深度学习，提出了基于进化深度学习的优化方法，以解决现有算法不能有效地对高危分先行数据特征的提取的难题。司成[14]等针对无法统一表达、共享和复用网络安全态势信息的问题，结合网络安全态势感知多源异构的特点，按照本体构建原则，提出了一种基于本体的网络安全态势要素知识库模型的解决方案。

这些研究工作在很大程度上推动了态势感知领域的研究。但是，已有的研究侧重于研究态势感知系统应该具有的能力并提升之，而忽视了怎么让系统完全无人干预或者只需很少干预的情况下主动地调用这些能力进行积极地防御。鉴于此，本文提出了一种网络系统的自防御体系模型。

2 基于攻击阈值的判定机制

为了构建一个能从复杂的网络环境中自主感知威胁，并且能针对威胁事件展开积极、准确、有序的防御措施的自防御系统，最基本的便是要建立一套系统可理解、可操作的识别判定机制。该机制应该能明确界定正常事件与攻击事件，以及明确区分同一时间段遭受的不同攻击。从而系统才能正确高效地识别攻击事件，并且不影响系统正常的业务操作；同时系统还能根据不同攻击类型的特征，调用相应的反攻击模块或者方法来进行防御。考虑到计算机程序本身的特点，以及数字化的准确性，采用定量判定阈值的机制能让系统准确高效地识别威胁事件，并分而治之。同时，还应意识到定量判定阈值机制在实际应用中面临着诸多挑战，如：如何设定一个科学、复合实际、动态可配置的判定阈值；如何科学有效地计算求得某类攻击事件的在当前时刻的指数；如何全面地结合系统自身情况以及各种攻击事件的多种本质特征来确定阈值；如何保证在实际系统运行过程中，计算求得的攻击类型指数能确切地描述当前该类攻击所发生的变化，与其保持一致……故此，阈值、指数的计算至关重要，需依托于科学、全面、有效以及实际可行的量化模型。

2.1 概念与定义

为了清晰地阐述观点，在这里首先给出本文所涉及到的一些基本概念与定义。

(1) 敏感事件：系统检测到被认作是某些类型的攻击事件发生征兆的事件。

(2) 攻击指数：系统根据度量规则以及推演算法，为每类攻击事件推算出的数值，以便衡量该攻击事件。

(3) 攻击阈值：判定某种攻击事件发生的该攻击类型最小的攻击指数。

设系统有n个特征，分别计为c1,c2,c3,…,cn,则：

(8) 加权特征矩阵Z：加权特征矩阵是一个1×m的矩阵，m表示特征的个数。其表示当t=t0时，由时间段(t0-Δt,t0)内的威胁特征矩阵按照析取向量设置的比重将每个特征在(t0-Δt,t0)内的m个数值进行加权求和，从而得到每个特征在(t0-Δt,t0)中的加权总量。

(z1,z2,…,zm)

其中zi=e1c1i+e2c2i+…+emcmi。

(9) 速度特征矩阵V：用以描述某时刻攻击指数瞬时增长速率。

(10) 加速度特征矩阵A：用以描述某时刻的攻击指数瞬时加速度。

2.2 自防御体系模型

我们提出了基于定量判定阈值的自防御体系，系统体系模型如图1所示。

图1 自防御体系模型

1) “数据收集、集中处理”模块

收集的数据是后续运算及判定操作的依据。系统主要获得这三方面的数据：

① 应用层数据：通过嵌入到人机交互系统的模块处理并获得的数据，其中敏感数据格式化后输出给后台处理系统，具体参见图4。

② 网络层及以下层数据：系统需要收集来自网络层以及更底层的数据以判断其他较为底层的攻击类型。

③ 系统资源及性能数据：系统在运行的过程中，需要实时地监控系统的资源及性能等数据。系统的任何一个处理决策都是在特定的系统环境下做出的。

一个正在运行的网络系统，往往收集到的实时数据量会相当庞大以及杂乱。这些原始数据只有在经过系统的格式化处理之后才能被系统进一步分析利用。所以自防御系统会对这些原始数据进行集中的格式化处理。

2) “威胁指数计算”模块

系统相应的算法处理运算格式化之后的数据，得出系统在当前时刻可能发生的各攻击事件的攻击指数，以进行下一步操作。

3) “比较判定、优先级设定”模块

上一模块得到的各攻击类型的攻击指数描述了当前该攻击类型发生可能性的量化值，但能否判定该攻击事件就会发生，还需要和系统设定好的各种攻击事件的阈值进行比较。

考虑到系统得出的攻击指数在一个攻击事件进行过程中具有单调性的特征，系统仅需要在当前时间点将得出的攻击指数与攻击阈值进行比较。如果攻击指数大于攻击阈值，则系统判定为发生了该类型的攻击事件，并交由下一模块处理；反之，系统处于持续跟踪状态，必要时发出警报。其中，各攻击事件的阈值由知识库系统设定。

同时该模块还需要根据当时系统的实际情况、各种攻击类型的剧烈、严重程度来设置相应的优先级，以供后面相应的模块有序的处理问题，保证系统总是先解决当前危害最大的攻击事件。

4) “反攻击处理模块”

该模块会根据上一级得到的判定结果和优先级设定结果来有序地调用相应的处理子模块分别处理。比如系统判定遭受到了DDoS攻击，则该模块会调用防御DDoS攻击的子模块来专门处理DDoS攻击事件；

5) “Gi处理子模块”

在自防御体系中，每种攻击事件Gi都由相应的Gi处理子模块来处理。

在系统中，各处理子模块向系统提供调用接口。在攻击事件发生时，系统调用该模块进行处理。这种“一一对应”的防御方式提升了对特定攻击类型的防御能力，同时提升了防御系统的可扩展性，以及开发人员的开发效率。

2.3 攻击指数与优先级的推导算法

自防御系统对攻击事件的感知靠系统推导其攻击参数，并将其攻击参数与攻击阈值比较，从而判定攻击事件是否发生。故此，攻击指数的推导算法的好坏直接影响到系统对攻击事件的感知能力，影响自防御系统的防御攻击的性能。

以下首先给出攻击指数DGi的计算公式，然后再予以推演，最后再解释推导公式在实际情况下的意义及使用方法。

2.3.1 攻击参数与优先级的计算公式

在t=t0时刻，Gi类攻击事件的攻击指数DGi为：

(1)

Gi类攻击事件被系统处理的优先级pr(Gi)为：

(2)

其中u(x)为一分段函数，其函数表达式为：

在式(2)中，priMapGi表示系统为Gi类攻击事件设定的初始优先级；AGi表示Gi类攻击在t=t0时刻的攻击指数瞬时加速度；VGi×AGi是用来为初始默认优先级相同的多个攻击事件再次进行优先级设定，VGi×AGi的值越大优先级越高；MinVal表示在t=t0时刻的一组VGi×AGi中的最小值(MinimumValue)；CriVal表示需要为Gi类攻击事件增加“1”个优先级的VGi×AGi临界值；TwoVal、ThreeVal和FourVal分别表示需要为Gi类攻击事件增加“2”、“3”和“4”个优先级的VGi×AGi临界值。

2.3.2 运算公式的推演

某网络系统可能遭受a种类型的攻击事件，攻击类型分别记作(G1,G2,…,Ga)。考虑到在一个实际运行的系统中，为避免由于频繁而不必要的对所有攻击类型进行彻底完善的攻击指数的运算所造成的开销，系统需要从众多事件中根据某些敏感事件，筛选出发生概率较大的某类或某几类攻击事件，并对这些类型的攻击再进行进一步的操作。

自防御系统实时监测系统中的各种事件，并由知识库系统提供的信息来判断是否存在敏感事件集合(X1,X2,…,Xi,Xn)中的一种或多种。如图2所示，当检测到敏感事件Xj,…,Xk都发生时，处理逻辑会根据知识库系统求得各种攻击类型在Xj,…,Xk发生条件下的发生的概率PGi：

PGi=P(Gi|Xj…Xk)=pi

图2 攻击类型条件概率推导树

为方便计算机处理，用二值函数将每种攻击类型事件的发生概率二值化处理，如下：

(3)

其中p0为概率阈值，表示一个攻击事件会被进一步处理的最小的发生概率。

系统在“数据收集、集中处理”模块中，具体会进行如图3所示的操作(与图1中Step1对应)，以获得有效、规范化的数据。

图3 数据收集与具体操作

(4)

(5)

(6)

于是有攻击类型Gi的攻击指数的绝对数值ZGi：

攻击类型Gi的攻击指数瞬时增长速率VGi：

攻击类型Gi的攻击指数瞬时加速度AGi：

于是定义攻击指数DGi：

(7)

系统将Gi类攻击的攻击指数DGi与Gi类攻击的攻击阈值TGi进行比较。

若DGi≥TGi，则判定Gi类攻击事件发生；

若DGi

在实际运行过程中，时常会遇到以下情况：

① 同一默认初始优先级的多个攻击类型的事件在该时间点都发生了；

② 某一较低优先级的攻击类型突然爆炸式的爆发，产生剧烈严重的破坏，破坏性远超平时，甚至超过了高优先级的攻击类型；

面对这两种情况，系统需要提供一种动态分配优先级的方式。

考虑到VGi×AGi在数值上的互异性，以及VGi和AGi代表的含义，系统通过VGi×AGi为攻击事件分配优先级，分配规则如下：

(8)

其中u(x)的表达式为：

(9)

2.3.3 公式含义解释

对于攻击指数计算公式：

当f(PGi)=0时，表示Gi发生的概率太小，不需要进行后续操作；

即：当f(PGi)=1且VGi>0时。

若DGi≥TGi，则认为Gi类攻击事件确实发生；

若DGi

3 一种实现架构的方案

自防御体系模型综合了数据收集与集中处理、基于攻击阈值的判定机制、知识库系统、反攻击处理以及各种专一攻击防御子模块。其数据收集与集中处理模块获得并处理最真实有效的系统数据；基于攻击阈值的判定机制综合考虑各种攻击的特征、系统自身资源与性能情况；防攻击处理模块具有可扩展性；专一攻击防御子模块提高了防御的精度和性能。本节给出一种基于自防御体系模型的实现架构，其实现架构图如图4所示。

图4 自防御体系实现架构图

该方案需要在原来的网络系统上再加一个“安全监控服务器”结点。整个自防御系统各个构成部分分别部署在“安全管理服务器”、“原网络系统”以及人机交互系统上。

其中安全监控服务器是维护网络系统的中心结点，它负责从数据库系统中获得网络系统的各种相关的安全信息，同时它需要能直接监控、操作控制网络系统。同时要在网络系统中部署自防御系统的安全组件，它起到实时在网络系统内部对其进行安全监控，并且将收集到的安全相关的数据(威胁特征矩阵)存入数据库中，供安全管理服务器访问。此外，人机交互系统上也要部署自防御体系的插件，以便从源头进行防御，人机交互系统上的安全插件主要负责初步将不合法的用户访问过滤掉，以及将用户访问作初步分析，将可疑信息借助原先的访问信道发送给网络系统上的安全组件。

通过这样一体化的部署能有效地感知、防御攻击。

4 实验验证分析

实验的思想是通过在一个局域网下，用多台运行了DDoS攻击模拟器软件的电脑去攻击一个该局域网下模拟的网络系统，测试判定机制对威胁的感知能力。

实验采用了行LOIC 软件——DDoS攻击模拟工具、笔者开发的安全监控系统(Monitor)和一个临时开发的网站。在硬件上主要使用了一台PC机，以及18台实验室的台式电脑。其中PC上运行网络系统、数据库系统以及监控系统；18台电脑运行LOIC扮演攻击者角色，实验环境架构图如图5所示。

图5 实验环境架构图

实验时，18台电脑以最大攻击速度、开10个线程对网络系统进行攻击。监控系统实时获得并分析网络系统的情况。其中主要参数在受到攻击时的信息如图6所示。

图6 遭受攻击下网络部分特征趋势

详细信息如监测系统收集到的威胁攻击矩阵(表1)所示。

表1 威胁特征矩阵(部分)

通过模拟在正常情况下用户对网络系统的访问，获得系统的正常数据并以此计算系统的攻击阈值T，经计算得T=2.15。

因为D>T，则自防御系统认定，网络系统遭受到了DDoS攻击。

5 结 语

本文提出了一个基于网络安全态势感知的网络系统自防御体系模型，其中基于攻击阈值的判定机制能有效地感知规模化、复杂化以及间接化的攻击事件、攻击类型分而治之、专一处理的可扩展思想使得攻击事件得到精准、高效的处理。本文介绍的自防御体系着眼于为中小型机构在自己开发网络系统时提供安全技术支持，使其能方便快捷使用和享受到安全性保障服务。

诚然，本体系还有需要进一步研究的地方，如：① 各种攻击类型的特征的抽象提取与赋值；② 概率阈值和攻击阈值科学设定的方法；③ 数据的获取途径与集中化处理方法等。

[1] 王慧强,赖积保,朱亮,等.网络态势感知系统研究综述[J].计算机科学,2006,33(10):5-10.

[2] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]//Proceedings of the Iris National Symposium on Sensor & Data Fusion,1999:24-27.

[3] Bass T.Instrusion Detection System and Multisensor Data Fusion[J].Communications of ACM,2000,43(4):99-105.

[4] Endsley M R.Toward a theory of situation awareness in dynamic system[J].Human Factors:The Journal of the Human Factors and Ergonomics Society,1995,37(1):32-64.

[5] Lai J,Wang H,Liang Z.Study of Network Security Situation Awareness Model Based on Simple Additive Weight and Grey Theory[C]//2006 international conference on computational intelligence and security,2006:1545-1548.

[6] 郭强,关欣,周勋,等.一种基于条件信度参数证据网络的态势感知方法[J].中国电子科学研究院学报,2014,9(5):505-511.

[7] 张东戈,孟辉,赵慧赟.态势感知水平的解析化度量模型[J].系统工程与电子技术,2016,38(8):1808-1815.

[8] 王寿彪,李新明,刘东,等.面向联合态势感知的大数据应用模式研究[J].中国电子科学研究院学报,2014,9(4):408-414.

[9] 吴朝雄,王晓程,王红艳,等.实时网络安全威胁态势感知[J].计算机工程与设计,2015(11):2953-2957.

[10] 文志诚,曹春丽.基于因子加权的网络安全态势感知方法[J].计算机应用,2015,35(5):1393-1398.

[11] 毕煜,刘文山.基于机构知识库系统构建学科决策智库[J].情报理论与实践,2016,39(6):38-43.

[12] 马月坤,刘鹏飞.基于知识库的客户网购意向预测系统[J].计算机工程与应用,2016,52(13):101-109.

[13] 陈珍,夏靖波,柏骏,等.基于进化深度学习的特征提取算法[J].计算机科学,2015,42(11):288-292.

[14] 司成,张红旗,汪永伟,等.基于本体的网络安全态势要素知识库模型研究[J].计算机科学,2015,42(5):173-177.

NETWORKSYSTEMSELF-DEFENSESYSTEMBASEDONNETWORKSECURITYSITUATIONAWARENESS

Zhang Xuemiao Fu Chong Lu Jia

(SchoolofInformationandSoftwareEngineering,UniversityofElectronicScienceandTechnologyofChina,Chengdu610054,Sichuan,China)

Network system is becoming increasingly large, and security issues have become increasingly prominent. Due to the large-scale, complex and indirect trend of network attacks, as well as the insufficient ability and lack of awareness of the website system’s security, minor enterprises and institutions are suffering huge losses. In view of this situation, we present a self-defense system model based on network situational awareness. On the basis of this model, we designed the decision mechanism based on attack threshold, and put forward some idea of solving different attack events with specific methods, and finally proposed a structural implementation scheme. By obtaining required data from system and deducing the attack number according the rule of decision mechanism and comparing with the attack threshold, system senses the happening to some attack events. The experiments verify the feasibility and simplicity of the judgment mechanism of self-defense system.

Network security Situation awareness Self-defending Threshold Decision mechanism

TP3

A

10.3969/j.issn.1000-386x.2017.09.032

2016-11-04。章学妙，本科生，主研领域：大数据分析，深度学习，网络安全。傅翀，副教授。卢嘉，本科生。