網絡安全態勢要素指標體系研究

姚書科

（黃淮學院 國際學院，河南 駐馬店 463000）

由于網絡中設備類型多種多樣，數據類型紛繁復雜，要實現對網絡安全態勢全面、準確的掌握，建立一個覆蓋廣泛、內容全面的網絡安全態勢要素指標體系是必不可少的。從紛繁復雜的數據中選取能夠反映網絡安全狀態的指標數據，用于網絡安全態勢評估和態勢預測。為了能夠建立一個全面、系統的網絡安全態勢要素指標體系，筆者提出了一套全面、系統的網絡安全態勢要素指標體系，以及基于Netflow、Snort和Nessus的數據采集與提取方法和態勢指標的計算方法。

1 網絡安全態勢要素指標體系構建原則

指標體系的建立不能漫無目的地憑空想象，而需要根據網絡的組織結構和實際需求，充分考慮各個指標之間的相互關系，從整體上對指標體系進行把握。在研究了網絡安全指標體系領域研究成果[1-2]的基礎上，結合網絡的拓撲結構和網絡安全的實際需要，本文總結歸納出以下4條指標體系的建立原則。

1）全面性與相對獨立性原則 即要全面考慮對網絡安全產生影響的要素；又要兼顧獨立性，將安全狀態用幾個相對獨立的性質表示出來，并用相應指標進行分別評估。處理好全面性與相對獨立性，是建立網絡安全態勢評估指標體系重要的一步。

2）系統化與層次化原則 網絡指標體系龐大，涉及的影響因素多，采用系統化、層次化的方法劃分指標體系，符合了網絡層次化結構的實際需求，也可以作為全面性與相對獨立性的補充，使整個指標體系多而不亂，條理清楚。

3）相似相近原則 影響網絡安全狀態的因素相當多，其中一些是近似的、相互影響的，如數據包的分布、數據包大小的分布，這些指標應該被統一考慮。

4）科學性原則 指標的選擇和設計應建立在網絡事件和系統需求基礎之上，具有較強的針對性和代表性。同時，指標的計算方法、數據收集、指標范圍、權重選擇等都必須有科學依據。

2 網絡安全態勢要素指標體系的構建

文中在研究了網絡安全領域近期的研究成果[3-4]和網絡安全風險評估相關標準[5-6]的基礎上，從當前網絡的實際情況出發，對網絡普遍存在的、人們關注較多的安全信息進行了詳細的論證，對其應用于網絡的可行性進行了分析，構建了網絡安全態勢要素指標體系，如表1所示。

生存性、威脅性、脆弱性3個指標，分別代表了網絡的3個獨立性質，從不同視角對網絡安全態勢進行了描述。

生存性指標側重描述網絡自身對安全事件的防范能力、網絡能夠承受和抵抗攻擊的能力，以及網絡在遭受攻擊的情況下繼續為用戶提供服務的能力。

威脅性指標側重描述各種網絡活動對于網絡內部可能產生的威脅的程度以及危害的嚴重性，主要統計已知攻擊、疑似攻擊和惡意代碼的數量或頻率，通過模型計算，得出衡量網絡環境的參數。威脅性指標不僅從外部來考量網絡的安全狀況，同時也將網絡內部的惡意代碼威脅納入考量范圍之內，使得對網絡安全態勢的評估更加準確、全面。

脆弱性指標側重描述網絡自身在安全方面的不足之處，主要關注網絡在遭受攻擊的情況下，是否能夠承受得住，能夠承受多少以及攻擊會帶來多大的危害和損失。通過綜合分析設備數目和漏洞數目等信息，從整體上來衡量網絡面臨威脅的時候可能蒙受的損失程度。

表1 網絡安全態勢要素指標體系Tab.1 Network security situation factor index system

注：安全設備主要是指用于檢測網絡面臨攻擊威脅的設備，例如IDS、防火墻、病毒墻等。關鍵設備主要是指維持網絡運行的設備和具有特殊作用的網絡設備，例如路由器、DNS服務器、數字證書發布服務器等。

網絡安全態勢要素指標體系涵蓋了構成信息網絡實體的各個部分，將構成信息網絡的各個層次納入考慮范疇，能夠從全面、整體的角度審視網絡的安全狀態，從而形成整個網絡安全態勢，提供全面、準確的信息支持。指標的選取具有以下的特點：

1）覆蓋全面 一方面，指標將網絡目前面臨的主要攻擊威脅都納入指標體系的考量范圍之內，能夠較為全面地反映網絡當前所遭受的威脅狀況；另一方面，指標還將網絡自身的運行狀態和防護能力納入考量的范圍之內，將二者相結合，從攻防兩個方面對網絡安全態勢進行了描述。

2）分層處理 由于指標數據涵蓋了網絡層、傳輸層和應用層，指標體系的結構也隨著指標延伸范圍的擴展而變得復雜，這就需要對各個一級指標進行規整和分層，對處于同一層次的指標進行集中處理。另外，對網絡安全狀態影響較大的指標，應進行單獨處理。

3）動靜結合 指標不僅包含實時動態變化的數據，也包含在一段時間內變化不大或變化速度緩慢的數據。動態指標數據來自于數據采集系統的實時收集，靜態指標多為用戶提供，因此，在提取態勢指標時，需要區別對待，確保其數據的合理性和準確性。

3 網絡安全態勢要素數據獲取

網絡設備數量多，各個設備間的關系復雜，從各個設備獲得數據具有數據量大、成份復雜、產生時間短、處理時間長等特點[7]，對采集的數據直接進行分析是不可取的，因此，需要對采集的數據進行一定的處理，才能轉化為態勢評估和態勢預測使用的態勢指標數據。數據處理共分為2個步驟：1）原始數據獲取。對采集到的數據歸類后放入到原始數據庫中；2）態勢指標提取。原始數據獲取是態勢指標獲取的第1步，根據指標體系組織形式和系統的實際需求，本文將原始數據劃分為網元信息、流量信息、報警信息、漏洞信息和靜態配置信息5個類別。

1）網元信息 側重描述網絡中主機的信息，這里所指的主機包括安全設備、PC主機、服務器等，獲取來源主要是通過Nessus掃描日志、Snort日志和Netflow數據，其主要包括主機類型、操作系統類型及版本、IP地址、開放端口類型、提供服務類型等信息。

2）流量信息 側重描述與流量相關的信息，其獲取來源主要是通過Netflow數據包，主要包括數據流入量、不同協議數據包的分布、不同端口數據包的分布、數據流IP的分布等信息。

3）漏洞信息 側重描述漏洞的相關信息，其獲取來源主要是通過掃描和系統日志，包括漏洞的類型、影響系統類型、危害等級等信息。

4）報警信息 側重描述已經發生或檢測出的惡意攻擊行為的相關信息，其獲取來源主要是通過Snort報警日志和用戶上報等，主要包括安全設備檢測到的攻擊類型、安全設備所檢測到攻擊的IP分布、安全事件發生時間等信息。

5）靜態配置信息 側重描述整個網絡的基本信息，其獲取的主要來源是用戶提供，主要包括網絡拓撲、網絡帶寬和服務器的最大連接數，需要說明的是，由于這些數據具有相對穩定的特點，因而，靜態配置信息不需要經常更新。態勢指標提取是態勢指標獲取的中心環節，依據各指標的需要對原始數據進行篩選，選取適當的數據字段，通過一定的計算方法，從中提取指標信息獲取態勢指標。

3.1 態勢要素數據的采集與提取

網絡安全態勢感知系統要實現對網絡安全態勢的全面掌握，就需要盡可能全面地獲取能夠反映網絡安全狀態的數據信息。按照目前的網絡現狀和指標體系的實際需求，本文選取Netflow數據、Snort日志和Nessus掃描日志作為態勢指標數據源。這三種數據涵蓋了流量、攻擊和漏洞三方面的信息，反映了網絡基本運行狀態信息、面臨的攻擊威脅和潛在的安全威脅狀況，能夠為網絡安全態勢感知系統提供較為全面的數據支持。

1）Netflow數據提取

Netflow技術作為網絡流量的檢測技術，能夠實時地提供詳盡網絡流量信息和統計預分析功能，并能很好地避免資源過載，現已經成為被業界廣泛認可的標準，有很強的代表性。Netflow報文都是由報文頭和多個流信息記錄兩部分構成。報文頭主要由版本號、流記錄數、序列號等組成；流信息記錄中存放有詳細的流信息，主要有源IP地址、目的IP地址、TCP/UDP端口號、服務類型、包和字節計數、路由信息等。Netflow的數據格式[8]如表2所示。

2）Snort數據提取

Snort是一個開放源碼的、免費的網絡入侵檢測系統，Snort報警信息可以根據用戶的要求選取字段輸出。在采集數據前，需要對Snort數據字段進行篩選，摒除無用的字段。根據指標體系的實際需要，從Snort數據中選取了14個字段，如表3所示。通過這14個字段提供的安全信息，能夠較為清晰地了解一次攻擊的主要信息，例如，攻擊發起者是誰，基于什么樣的服務和協議，實施了什么類型的攻擊，被攻擊目標是誰等。

表2 獲取Netflow數據字段Tab.2 Acquisition of Netflow data field

3）Nessus數據提取

Nessus是一個功能強大而又易于使用的開源網絡漏洞掃描器，在Nessus系統中，用戶可以實現對網段、主機、端口和服務的掃描，發現網內存在的漏洞信息，將掃描結果以報告的形式呈現給用戶的。根據指標體系的實際需要，從Nessus數據中選取了12個字段作為指標數據源，涵蓋了端口、服務等目標主機的相關信息和存在的漏洞威脅信息，實現對目標主機的相關信息較為全面的掌握。如表4所示。

3.2 態勢要素指標數據計算

原始數據獲取僅僅完成了態勢指標數據獲取的第一步。由于原始數據數量巨大，類型多樣，需要進行分析處理，才能得到態勢指標數據。本文態勢指標數據處理主要有流量變化率計算、數量計算和分布計算3種。

流量變化率的計算：設t時刻網絡數據的字節總量IQt為：

表3 獲取Snort數據字段Tab.3 Acquisition of Snort data field

表4 獲取Nessus數據字段Tab.4 Acquisition of Nessus data field

其中，flow_seq為Netflow數據流中的流編號，dOctets為第flow_seq條信息流的數據包中第3層字節的總個數。網絡流量變化率IQR為：

數量的計算：主要是用于統計指標中的各個屬性在一段時間內的出現次數。以數據包端口的數量為例，給出數量的計算方法：設D為N組檢測到的攻擊數據集合，Dc為數據D中攻擊類型字段，K={K1，K2，…，Km}為攻擊類型的集合，則攻擊 Ki的數量 PKi為：

分布的計算：以不同協議數據包的分布為例，其分布表示各協議數據包占總數的百分比。設 P={P1，P2，…，Pn}，Pi為使用第Pi種協議的數據包的數量，則第i種協議的分布xi為：

采用這3種計算方法，針對各指標的不同要求，可以從原始數據中提煉出態勢指標數據。

4 結束語

網絡安全態勢感知系統數據來源廣泛，種類繁多，因此，如何從紛繁眾多的安全信息中提取能夠全面反映網絡安全態勢的指標信息，成為研究網絡安全態勢感知的首要問題。本文提出了一套為態勢評估和態勢預測提供全面可靠支持的網絡安全態勢要素指標體系，并對態勢數據獲取和指標計算的方法進行了討論。該指標體系不僅涵蓋了構成信息網絡實體的各個部分，也將構成信息網絡的各個層次納入考慮范疇，能夠從全面、整體的角度審視網絡的安全狀態，從而形成整個網絡安全態勢，提供全面、準確的信息支持。

[1]王慧強，賴積寶，朱亮，等.網絡安全態勢感知系統研究綜述[J].計算機科學，2006，10（33）:5-10.WANG Hui-Qiang，LAI Ji-Bao，ZHU Liang，et al.Survey of network situation awareness system[J].Computer Science，2006，10（33）:5-10.

[2]陳彥德，趙陸文，王瓊，等.網絡安全態勢感知系統結構研究[J].計算機工程與應用，2008，44（1）:100-102.CHEN Yan-de，ZHAO Lu-wen，WANG Qiong，et al.Summary of network restoration based on topological information[J].Computer Engineering and Applications，2008，44（1）:100-102.

[3]王健，王慧強，趙國生.信息系統可生存性定量評估的指標體系[J].計算機工程，2009，3（35）:54-56.WANG Jian，WANG Hui-qiang，ZHAO Guo-sheng.Index system of quantitative evaluation for information systems survivability[J].Computer Engineering，2009，3（35）:54-56.

[4]王娟，張鳳荔，傅翀，等.網絡態勢感知中的指標體系研究[J].計算機應用，2007，8（27）:1907-1912.WANG Juan，ZHANG Feng-li，FU Chong，et al.Study on index system in network situation awareness[J].Journal of Computer Applications，2007，8（27）:1907-1912.

[5]The International Organization for Standardization.Code of Practice for Information Security Management，ISO/IEC17799:2000[S].2000.

[6]B SI/DISC Committee BDD/2.BS7799 Code of Practice for Information Security Management[S].1999.

[7]鄭麗君.基于日志的安全態勢傳感器設計與實現研究[D].哈爾濱:哈爾濱工程大學，2007.

[8]唐菲.網絡安全態勢感知可視化的研究與實現 [D].成都:電子科技大學，2009.