基于網絡安全態勢感知的網絡系統自防御體系

章學妙 傅 翀 盧 嘉

(電子科技大學信息與軟件工程學院 四川 成都 610054)

基于網絡安全態勢感知的網絡系統自防御體系

章學妙 傅 翀 盧 嘉

(電子科技大學信息與軟件工程學院 四川 成都 610054)

網絡系統日益龐大，安全問題日益突出。由于網絡攻擊的規模化、復雜化和間接化的趨勢，以及中小型企業和機構在網絡系統安全方面意識或者能力不足，企業和機構正蒙受巨大的損失。針對這一現狀，提出一種基于網絡安全態勢感知的自防御體系模型，在該模型的基礎上，設計了基于攻擊閾值的判定機制和攻擊事件分而治之的思想，并給出一種實現架構方案。通過從系統中獲得各種所需數據，按照判定機制的規則求得攻擊指數，并與攻擊閾值比較，進而感知攻擊事件的發生。實驗驗證了自防御體系的判定機制的可行性、簡便性。

網絡安全 態勢感知 自防御 閾值 判定機制

0 引 言

現如今，整個網絡系統已經非常龐大，但同時網絡系統面對的威脅也越來越嚴重。諸如政府機構、銀行以及在線商務企業等都選擇使用通過網絡系統這一便捷的平臺來向用戶提供服務。然而很多中小型企業的整套網絡應用大多由自己公司開發。對于一些中小型企業來說，很可能由于網絡系統開發者專業訓練不足、投入資金不足等原因而導致自產軟件存在漏洞。

目前網絡系統防御方面的研究大部分集中在漏洞的分類和攻擊類型的分類上。總體而言，現今網絡系統受到的威脅主要可分為網絡層面的、系統層面的以及應用層面的。具體來說，常見的網絡層面的威脅有拒絕服務、IP欺騙、嗅探等，系統層面的有軟件框架漏洞攻擊等，應用層面的有SQL注入、XSS攻擊等。這些分類研究有其巨大的價值，客觀上為網絡系統防御體系的進一步研究奠定了基礎。但僅僅針對單一的攻擊活動的防御，各種防御之間缺少協同機制，已經不能有效防御現如今“協作攻擊”、分布式攻擊以及不確定性攻擊等復雜的攻擊行為了。

網絡態勢感知為這種復雜的多階段的、不確定型的網絡攻擊提供了一種解決方案。網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢[1]。網絡態勢感知技術可以實現對大規模網絡的安全態勢實時監控，并對潛在的、惡意的網絡行為變得無法控制之前進行識別，給出相應的解決策略。

這對于應對正向著規模化、復雜化、間接化等趨勢發展的網絡攻擊具有重大的意義。

基于網絡安全態勢感知構建網絡系統自防御體系模型。自防御體系基于態勢感知的思想引入基于攻擊閾值的判定機制，采用不同攻擊類型分而治之、專一處理的可擴展策略，使得在單一或者復雜攻擊事件還沒有對系統造成傷害時系統就能主動對這些攻擊進行識別，并進行相應的處理，從根本上解決網絡系統因受到攻擊而造成的巨大的損失。

1 相關工作

網絡給人們的工作和生活帶來便捷的同時也產生了大量的安全問題。并且攻擊事件正從單一化、簡單化迅速轉向規模化、復雜化以及隱蔽化。為了解決日益嚴重的網絡安全問題，科研工作者們做了很多研究工作。

Bass[2]首次在網絡安全領域中引入了態勢感知的概念，并提出了網絡安全態勢感知的概念。基于此，Bass又提出了基于多傳感器數據融合的態勢感知框架[3]，用以對網絡攻擊行為進行識別、追蹤以及度量。1995年Endsley提出了 Endsley層次模型[4]，該模型在已有的感知系統模型中被認為是經典模型，是一個在態勢感知領域被廣泛接受的理論模型。Endsley將態勢感知劃分為3各層次，分別為要素獲取、態勢理解以及態勢預測。Lai等提出了基于Endsley的層次模型的網絡態勢感知框架[5]。

為了有效地將協同作戰的多平臺傳感器探測的信息形成統一的戰場態，郭強[6]等提出了一種基于條件信度參數的證據網絡態勢感知方法, 該方法利用條件信度參數以及證據理論，使用圖結構的方式組織先驗知識。張東戈[7]等通過對系統在運行過程中的一些表現特征進行量化的定義和描述，根據現實經驗歸納出5條假設，以此為基礎建立了解析化數學模型以度量臺式感知水平。

王壽彪[8]等針對態勢圖對數據和復雜信息的特性構成的突出的大數據問題，從大數據的高度，分析了聯合作戰態勢感知的數據類型、結構和特點。而吳朝雄[9]等則針對安全態勢分析的實時性不足，以及應對復雜攻擊的感知敏感度不高等問題，設計了實時感知的系統結構模型，并提出相應的感知方法和分析技術。

為應對目前網絡安全態勢感知時空復雜度較高準確性偏差較大等問題，文志誠[10]等提出了全方位因子加權感知網絡安全態勢框架，在充分考慮多信息源多層次異構信息融合的基礎上，整體動態地展示出當前網絡安全狀況。

在態勢感知領域的研究和實踐中，安全態勢知識庫的構建工作尤為重要。畢煜[11]等基于知識庫的權限管理機制、虛擬參考咨詢機構、機構知識庫的結構化數據3個理論基礎，結合現有的專家團隊，給出了一種智庫系統的建設方法。馬月坤[12]等基于知識圖譜技術構建了客戶行為知識庫系統，并利用知識庫系統的知識借助與Hadoop框架搭建的預測系統，分析及預測了用戶的購買意向。陳珍[13]等將進化算法的思想映入深度學習，提出了基于進化深度學習的優化方法，以解決現有算法不能有效地對高危分先行數據特征的提取的難題。司成[14]等針對無法統一表達、共享和復用網絡安全態勢信息的問題，結合網絡安全態勢感知多源異構的特點，按照本體構建原則，提出了一種基于本體的網絡安全態勢要素知識庫模型的解決方案。

這些研究工作在很大程度上推動了態勢感知領域的研究。但是，已有的研究側重于研究態勢感知系統應該具有的能力并提升之，而忽視了怎么讓系統完全無人干預或者只需很少干預的情況下主動地調用這些能力進行積極地防御。鑒于此，本文提出了一種網絡系統的自防御體系模型。

2 基于攻擊閾值的判定機制

為了構建一個能從復雜的網絡環境中自主感知威脅，并且能針對威脅事件展開積極、準確、有序的防御措施的自防御系統，最基本的便是要建立一套系統可理解、可操作的識別判定機制。該機制應該能明確界定正常事件與攻擊事件，以及明確區分同一時間段遭受的不同攻擊。從而系統才能正確高效地識別攻擊事件，并且不影響系統正常的業務操作；同時系統還能根據不同攻擊類型的特征，調用相應的反攻擊模塊或者方法來進行防御。考慮到計算機程序本身的特點，以及數字化的準確性，采用定量判定閾值的機制能讓系統準確高效地識別威脅事件，并分而治之。同時，還應意識到定量判定閾值機制在實際應用中面臨著諸多挑戰，如：如何設定一個科學、復合實際、動態可配置的判定閾值；如何科學有效地計算求得某類攻擊事件的在當前時刻的指數；如何全面地結合系統自身情況以及各種攻擊事件的多種本質特征來確定閾值；如何保證在實際系統運行過程中，計算求得的攻擊類型指數能確切地描述當前該類攻擊所發生的變化，與其保持一致……故此，閾值、指數的計算至關重要，需依托于科學、全面、有效以及實際可行的量化模型。

2.1 概念與定義

為了清晰地闡述觀點，在這里首先給出本文所涉及到的一些基本概念與定義。

(1) 敏感事件：系統檢測到被認作是某些類型的攻擊事件發生征兆的事件。

(2) 攻擊指數：系統根據度量規則以及推演算法，為每類攻擊事件推算出的數值，以便衡量該攻擊事件。

(3) 攻擊閾值：判定某種攻擊事件發生的該攻擊類型最小的攻擊指數。

設系統有n個特征，分別計為c1,c2,c3,…,cn,則：

(8) 加權特征矩陣Z：加權特征矩陣是一個1×m的矩陣，m表示特征的個數。其表示當t=t0時，由時間段(t0-Δt,t0)內的威脅特征矩陣按照析取向量設置的比重將每個特征在(t0-Δt,t0)內的m個數值進行加權求和，從而得到每個特征在(t0-Δt,t0)中的加權總量。

(z1,z2,…,zm)

其中zi=e1c1i+e2c2i+…+emcmi。

(9) 速度特征矩陣V：用以描述某時刻攻擊指數瞬時增長速率。

(10) 加速度特征矩陣A：用以描述某時刻的攻擊指數瞬時加速度。

2.2 自防御體系模型

我們提出了基于定量判定閾值的自防御體系，系統體系模型如圖1所示。

圖1 自防御體系模型

1) “數據收集、集中處理”模塊

收集的數據是后續運算及判定操作的依據。系統主要獲得這三方面的數據：

① 應用層數據：通過嵌入到人機交互系統的模塊處理并獲得的數據，其中敏感數據格式化后輸出給后臺處理系統，具體參見圖4。

② 網絡層及以下層數據：系統需要收集來自網絡層以及更底層的數據以判斷其他較為底層的攻擊類型。

③ 系統資源及性能數據：系統在運行的過程中，需要實時地監控系統的資源及性能等數據。系統的任何一個處理決策都是在特定的系統環境下做出的。

一個正在運行的網絡系統，往往收集到的實時數據量會相當龐大以及雜亂。這些原始數據只有在經過系統的格式化處理之后才能被系統進一步分析利用。所以自防御系統會對這些原始數據進行集中的格式化處理。

2) “威脅指數計算”模塊

系統相應的算法處理運算格式化之后的數據，得出系統在當前時刻可能發生的各攻擊事件的攻擊指數，以進行下一步操作。

3) “比較判定、優先級設定”模塊

上一模塊得到的各攻擊類型的攻擊指數描述了當前該攻擊類型發生可能性的量化值，但能否判定該攻擊事件就會發生，還需要和系統設定好的各種攻擊事件的閾值進行比較。

考慮到系統得出的攻擊指數在一個攻擊事件進行過程中具有單調性的特征，系統僅需要在當前時間點將得出的攻擊指數與攻擊閾值進行比較。如果攻擊指數大于攻擊閾值，則系統判定為發生了該類型的攻擊事件，并交由下一模塊處理；反之，系統處于持續跟蹤狀態，必要時發出警報。其中，各攻擊事件的閾值由知識庫系統設定。

同時該模塊還需要根據當時系統的實際情況、各種攻擊類型的劇烈、嚴重程度來設置相應的優先級，以供后面相應的模塊有序的處理問題，保證系統總是先解決當前危害最大的攻擊事件。

4) “反攻擊處理模塊”

該模塊會根據上一級得到的判定結果和優先級設定結果來有序地調用相應的處理子模塊分別處理。比如系統判定遭受到了DDoS攻擊，則該模塊會調用防御DDoS攻擊的子模塊來專門處理DDoS攻擊事件；

5) “Gi處理子模塊”

在自防御體系中，每種攻擊事件Gi都由相應的Gi處理子模塊來處理。

在系統中，各處理子模塊向系統提供調用接口。在攻擊事件發生時，系統調用該模塊進行處理。這種“一一對應”的防御方式提升了對特定攻擊類型的防御能力，同時提升了防御系統的可擴展性，以及開發人員的開發效率。

2.3 攻擊指數與優先級的推導算法

自防御系統對攻擊事件的感知靠系統推導其攻擊參數，并將其攻擊參數與攻擊閾值比較，從而判定攻擊事件是否發生。故此，攻擊指數的推導算法的好壞直接影響到系統對攻擊事件的感知能力，影響自防御系統的防御攻擊的性能。

以下首先給出攻擊指數DGi的計算公式，然后再予以推演，最后再解釋推導公式在實際情況下的意義及使用方法。

2.3.1 攻擊參數與優先級的計算公式

在t=t0時刻，Gi類攻擊事件的攻擊指數DGi為：

(1)

Gi類攻擊事件被系統處理的優先級pr(Gi)為：

(2)

其中u(x)為一分段函數，其函數表達式為：

在式(2)中，priMapGi表示系統為Gi類攻擊事件設定的初始優先級；AGi表示Gi類攻擊在t=t0時刻的攻擊指數瞬時加速度；VGi×AGi是用來為初始默認優先級相同的多個攻擊事件再次進行優先級設定，VGi×AGi的值越大優先級越高；MinVal表示在t=t0時刻的一組VGi×AGi中的最小值(MinimumValue)；CriVal表示需要為Gi類攻擊事件增加“1”個優先級的VGi×AGi臨界值；TwoVal、ThreeVal和FourVal分別表示需要為Gi類攻擊事件增加“2”、“3”和“4”個優先級的VGi×AGi臨界值。

2.3.2 運算公式的推演

某網絡系統可能遭受a種類型的攻擊事件，攻擊類型分別記作(G1,G2,…,Ga)。考慮到在一個實際運行的系統中，為避免由于頻繁而不必要的對所有攻擊類型進行徹底完善的攻擊指數的運算所造成的開銷，系統需要從眾多事件中根據某些敏感事件，篩選出發生概率較大的某類或某幾類攻擊事件，并對這些類型的攻擊再進行進一步的操作。

自防御系統實時監測系統中的各種事件，并由知識庫系統提供的信息來判斷是否存在敏感事件集合(X1,X2,…,Xi,Xn)中的一種或多種。如圖2所示，當檢測到敏感事件Xj,…,Xk都發生時，處理邏輯會根據知識庫系統求得各種攻擊類型在Xj,…,Xk發生條件下的發生的概率PGi：

PGi=P(Gi|Xj…Xk)=pi

圖2 攻擊類型條件概率推導樹

為方便計算機處理，用二值函數將每種攻擊類型事件的發生概率二值化處理，如下：

(3)

其中p0為概率閾值，表示一個攻擊事件會被進一步處理的最小的發生概率。

系統在“數據收集、集中處理”模塊中，具體會進行如圖3所示的操作(與圖1中Step1對應)，以獲得有效、規范化的數據。

圖3 數據收集與具體操作

(4)

(5)

(6)

于是有攻擊類型Gi的攻擊指數的絕對數值ZGi：

攻擊類型Gi的攻擊指數瞬時增長速率VGi：

攻擊類型Gi的攻擊指數瞬時加速度AGi：

于是定義攻擊指數DGi：

(7)

系統將Gi類攻擊的攻擊指數DGi與Gi類攻擊的攻擊閾值TGi進行比較。

若DGi≥TGi，則判定Gi類攻擊事件發生；

若DGi

在實際運行過程中，時常會遇到以下情況：

① 同一默認初始優先級的多個攻擊類型的事件在該時間點都發生了；

② 某一較低優先級的攻擊類型突然爆炸式的爆發，產生劇烈嚴重的破壞，破壞性遠超平時，甚至超過了高優先級的攻擊類型；

面對這兩種情況，系統需要提供一種動態分配優先級的方式。

考慮到VGi×AGi在數值上的互異性，以及VGi和AGi代表的含義，系統通過VGi×AGi為攻擊事件分配優先級，分配規則如下：

(8)

其中u(x)的表達式為：

(9)

2.3.3 公式含義解釋

對于攻擊指數計算公式：

當f(PGi)=0時，表示Gi發生的概率太小，不需要進行后續操作；

即：當f(PGi)=1且VGi>0時。

若DGi≥TGi，則認為Gi類攻擊事件確實發生；

若DGi

3 一種實現架構的方案

自防御體系模型綜合了數據收集與集中處理、基于攻擊閾值的判定機制、知識庫系統、反攻擊處理以及各種專一攻擊防御子模塊。其數據收集與集中處理模塊獲得并處理最真實有效的系統數據；基于攻擊閾值的判定機制綜合考慮各種攻擊的特征、系統自身資源與性能情況；防攻擊處理模塊具有可擴展性；專一攻擊防御子模塊提高了防御的精度和性能。本節給出一種基于自防御體系模型的實現架構，其實現架構圖如圖4所示。

圖4 自防御體系實現架構圖

該方案需要在原來的網絡系統上再加一個“安全監控服務器”結點。整個自防御系統各個構成部分分別部署在“安全管理服務器”、“原網絡系統”以及人機交互系統上。

其中安全監控服務器是維護網絡系統的中心結點，它負責從數據庫系統中獲得網絡系統的各種相關的安全信息，同時它需要能直接監控、操作控制網絡系統。同時要在網絡系統中部署自防御系統的安全組件，它起到實時在網絡系統內部對其進行安全監控，并且將收集到的安全相關的數據(威脅特征矩陣)存入數據庫中，供安全管理服務器訪問。此外，人機交互系統上也要部署自防御體系的插件，以便從源頭進行防御，人機交互系統上的安全插件主要負責初步將不合法的用戶訪問過濾掉，以及將用戶訪問作初步分析，將可疑信息借助原先的訪問信道發送給網絡系統上的安全組件。

通過這樣一體化的部署能有效地感知、防御攻擊。

4 實驗驗證分析

實驗的思想是通過在一個局域網下，用多臺運行了DDoS攻擊模擬器軟件的電腦去攻擊一個該局域網下模擬的網絡系統，測試判定機制對威脅的感知能力。

實驗采用了行LOIC 軟件——DDoS攻擊模擬工具、筆者開發的安全監控系統(Monitor)和一個臨時開發的網站。在硬件上主要使用了一臺PC機，以及18臺實驗室的臺式電腦。其中PC上運行網絡系統、數據庫系統以及監控系統；18臺電腦運行LOIC扮演攻擊者角色，實驗環境架構圖如圖5所示。

圖5 實驗環境架構圖

實驗時，18臺電腦以最大攻擊速度、開10個線程對網絡系統進行攻擊。監控系統實時獲得并分析網絡系統的情況。其中主要參數在受到攻擊時的信息如圖6所示。

圖6 遭受攻擊下網絡部分特征趨勢

詳細信息如監測系統收集到的威脅攻擊矩陣(表1)所示。

表1 威脅特征矩陣(部分)

通過模擬在正常情況下用戶對網絡系統的訪問，獲得系統的正常數據并以此計算系統的攻擊閾值T，經計算得T=2.15。

因為D>T，則自防御系統認定，網絡系統遭受到了DDoS攻擊。

5 結 語

本文提出了一個基于網絡安全態勢感知的網絡系統自防御體系模型，其中基于攻擊閾值的判定機制能有效地感知規模化、復雜化以及間接化的攻擊事件、攻擊類型分而治之、專一處理的可擴展思想使得攻擊事件得到精準、高效的處理。本文介紹的自防御體系著眼于為中小型機構在自己開發網絡系統時提供安全技術支持，使其能方便快捷使用和享受到安全性保障服務。

誠然，本體系還有需要進一步研究的地方，如：① 各種攻擊類型的特征的抽象提取與賦值；② 概率閾值和攻擊閾值科學設定的方法；③ 數據的獲取途徑與集中化處理方法等。

[1] 王慧強,賴積保,朱亮,等.網絡態勢感知系統研究綜述[J].計算機科學,2006,33(10):5-10.

[2] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]//Proceedings of the Iris National Symposium on Sensor & Data Fusion,1999:24-27.

[3] Bass T.Instrusion Detection System and Multisensor Data Fusion[J].Communications of ACM,2000,43(4):99-105.

[4] Endsley M R.Toward a theory of situation awareness in dynamic system[J].Human Factors:The Journal of the Human Factors and Ergonomics Society,1995,37(1):32-64.

[5] Lai J,Wang H,Liang Z.Study of Network Security Situation Awareness Model Based on Simple Additive Weight and Grey Theory[C]//2006 international conference on computational intelligence and security,2006:1545-1548.

[6] 郭強,關欣,周勛,等.一種基于條件信度參數證據網絡的態勢感知方法[J].中國電子科學研究院學報,2014,9(5):505-511.

[7] 張東戈,孟輝,趙慧赟.態勢感知水平的解析化度量模型[J].系統工程與電子技術,2016,38(8):1808-1815.

[8] 王壽彪,李新明,劉東,等.面向聯合態勢感知的大數據應用模式研究[J].中國電子科學研究院學報,2014,9(4):408-414.

[9] 吳朝雄,王曉程,王紅艷,等.實時網絡安全威脅態勢感知[J].計算機工程與設計,2015(11):2953-2957.

[10] 文志誠,曹春麗.基于因子加權的網絡安全態勢感知方法[J].計算機應用,2015,35(5):1393-1398.

[11] 畢煜,劉文山.基于機構知識庫系統構建學科決策智庫[J].情報理論與實踐,2016,39(6):38-43.

[12] 馬月坤,劉鵬飛.基于知識庫的客戶網購意向預測系統[J].計算機工程與應用,2016,52(13):101-109.

[13] 陳珍,夏靖波,柏駿,等.基于進化深度學習的特征提取算法[J].計算機科學,2015,42(11):288-292.

[14] 司成,張紅旗,汪永偉,等.基于本體的網絡安全態勢要素知識庫模型研究[J].計算機科學,2015,42(5):173-177.

NETWORKSYSTEMSELF-DEFENSESYSTEMBASEDONNETWORKSECURITYSITUATIONAWARENESS

Zhang Xuemiao Fu Chong Lu Jia

(SchoolofInformationandSoftwareEngineering,UniversityofElectronicScienceandTechnologyofChina,Chengdu610054,Sichuan,China)

Network system is becoming increasingly large, and security issues have become increasingly prominent. Due to the large-scale, complex and indirect trend of network attacks, as well as the insufficient ability and lack of awareness of the website system’s security, minor enterprises and institutions are suffering huge losses. In view of this situation, we present a self-defense system model based on network situational awareness. On the basis of this model, we designed the decision mechanism based on attack threshold, and put forward some idea of solving different attack events with specific methods, and finally proposed a structural implementation scheme. By obtaining required data from system and deducing the attack number according the rule of decision mechanism and comparing with the attack threshold, system senses the happening to some attack events. The experiments verify the feasibility and simplicity of the judgment mechanism of self-defense system.

Network security Situation awareness Self-defending Threshold Decision mechanism

TP3

A

10.3969/j.issn.1000-386x.2017.09.032

2016-11-04。章學妙，本科生，主研領域：大數據分析，深度學習，網絡安全。傅翀，副教授。盧嘉，本科生。