層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法

◆王益斌

層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法

◆王益斌

(西南科技大學城市學院 四川 621000)

隨著我國互聯(lián)網(wǎng)的不斷普及，互聯(lián)網(wǎng)帶來的信息安全問題愈發(fā)嚴重，系統(tǒng)性的信息安全風險愈演愈烈，已經(jīng)得到全社會的共同關(guān)注。只有系統(tǒng)性識別安全威脅，才能夠提出最有效的安全措施。本文分析了層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法，著重介紹了相關(guān)的建模方法，希望可以為相關(guān)人士提供幫助。

層次化；網(wǎng)絡安全；態(tài)勢評估；安全威脅；方法

0 引言

當前，比較常用的網(wǎng)絡安全防御系統(tǒng)為了防范入侵，實時產(chǎn)生的數(shù)據(jù)量可能都是G級別的，同時只有不到百分之二是真正的警報，其他都是無關(guān)警報。報警量太大，真正有安全威脅的太少，這都大大增加了安全防御系統(tǒng)的過載。為了節(jié)約資源，提升安全防護效率，同時大大降低系統(tǒng)化的安全威脅，本文分析了層次化的網(wǎng)絡安全威脅態(tài)勢量化評估方法，讓管理員能宏觀了解系統(tǒng)的安全性能。

1 前期準備工作

以數(shù)據(jù)為研究對象，網(wǎng)絡安全態(tài)勢評估研究方法大致有兩大類是比較常規(guī)的，一類是依托于系統(tǒng)配置信息的網(wǎng)絡安全態(tài)勢評估，另外是一種系統(tǒng)運行信息的網(wǎng)絡安全態(tài)勢評估。在這兩種方法中，前者主要是考慮到系統(tǒng)的軟硬件設計和配置使用情況，比如服務器的設置，其系統(tǒng)設計的漏洞就是最主要的威脅因素；后者主要是從系統(tǒng)被攻擊的次數(shù)、頻率和威脅程度等等情況來著手，安全系統(tǒng)產(chǎn)生的數(shù)據(jù)庫就是主要的數(shù)據(jù)源。

本文中所構(gòu)建的層次化網(wǎng)絡安全態(tài)勢量化評估方法，就是建立在系統(tǒng)配置信息基礎上的。利用馬爾可夫模型，測算出居心不良者攻破安全網(wǎng)絡所需要的成本的均值，然后對系統(tǒng)的安全性能做出量化分析，對系統(tǒng)的改進提出一些建議。當前常見的一些安全態(tài)勢評估方法，主要是針對特定的威脅給安全系統(tǒng)帶來的威脅進行量化，跟日常需要的層次相比，過于簡單，因此本文下面就將建立起層次化的網(wǎng)絡安全威脅態(tài)勢量化評估模型，供讀者參考。

2 層次化網(wǎng)絡安全威脅態(tài)勢量化評估模型建立

2.1 模型分析

按照網(wǎng)絡、鏈條的規(guī)模以及層級關(guān)系，網(wǎng)絡系統(tǒng)一般性的分解為三個層次，這三個層次是網(wǎng)絡系統(tǒng)、主機系統(tǒng)、服務系統(tǒng)，當前網(wǎng)絡環(huán)境下大部分的黑客攻擊都是以主機系統(tǒng)為主要攻擊對象的。根據(jù)分層理論，我們就可以將主要資源都用在保護主機系統(tǒng)上，因此就可以設計出層次化網(wǎng)絡安全態(tài)勢量化評估模型，從上到下分別是上述三個網(wǎng)絡系統(tǒng)層級，然后再加上供給層級，這就是這一套態(tài)勢量化評估系統(tǒng)的主要建構(gòu)邏輯。根據(jù)這一結(jié)構(gòu)特點，可以采用先上后下，先局部后整體的原則，展開層次化網(wǎng)絡安全威脅態(tài)勢量化評估平臺的預先設置。采用這種模型，可以用報警數(shù)據(jù)和漏洞掃描數(shù)據(jù)為數(shù)據(jù)源，然后評估單次供給可能造成的威脅的均值，以及用統(tǒng)一的標準評估這些威脅，就能夠為量化分析打下堅實的基礎。

一般的黑客攻擊都屬于DDoS類攻擊，這一類攻擊主要損害的是網(wǎng)絡系統(tǒng)里面的主機層，量化分析這一層的安全威脅，可以從單次攻擊的危害程度入手進行分析，分析單次供給單臺主機以及總體服務可能帶來的損失，然后通過加權(quán)平均的方式，就能夠完成整個層次化網(wǎng)絡安全威脅量化評估的計算過程。這一過程中，需要對全部主機所遇到的所有威脅，尤其是潛在威脅進行分析和計算，對威脅可能造成的損失、網(wǎng)絡帶寬資源的使用量、可能遭受攻擊的次數(shù)甚至是時間等問題進行全面分析，以此為基礎就能夠評定主機層次的安全性能。

2.2 定量分析

（1）服務級

對于一個層次化的網(wǎng)絡系統(tǒng)來說，網(wǎng)絡服務中產(chǎn)生的威脅，能夠成為影響網(wǎng)絡的關(guān)鍵因素。在所有因素中，潛在威脅的危害程度、后果以及因此造成的服務量波動，都能夠?qū)φ麄€網(wǎng)絡系統(tǒng)造成很大的威脅。因此，攻擊發(fā)生的時間不一致，服務器訪問量以及服務發(fā)生量都會有很大的差別，這種差異性會對計算產(chǎn)生很大的影響。在計算時，必須要以時間為重要的標度，對時間變化進行分析，并且針對某個特定時刻尤其是威脅高發(fā)的時刻進行重點分析和計算。在計算過程中，可以將一天的時間翻開來進行分析，舉例來講，根據(jù)一般威脅發(fā)生的時間段，可以將一整天的時間分為午夜0點到上午8點、上午8點到晚上6點、晚上6點到晚上12點三個段，把數(shù)據(jù)源中的數(shù)據(jù)按照三個時間段進行分類，如果呈現(xiàn)出了某一個時間段過于集中，那么可以進行適當?shù)暮喜⑴c分類，將集中的時間段進行進一步細分，不集中的時間段進行合并。分組結(jié)果完成之后，對數(shù)據(jù)記錄進行賦權(quán)，以各時間段的加權(quán)平均數(shù)為結(jié)果進行分級，一般都是分成5個級別，可以用數(shù)字分類，也可以用文字進行記敘，比如低級、普通級、中級、高級、特高級這五個級別。對原始數(shù)據(jù)進行加權(quán)處理之后，能夠得到計算機易于分析的、正常的訪問量數(shù)值，在此基礎上，對威脅的嚴重程度和后果的損害程度進行調(diào)查分析，確定相關(guān)威脅指數(shù)是不是有效合理，從而確保這個結(jié)果符合一定的精確度標準。根據(jù)一般的建模經(jīng)驗，如果在這個層次化網(wǎng)絡安全威脅態(tài)勢量化評估模型中不加入嚴重程度的話，那么威脅程度不同的攻擊類別存在著最終產(chǎn)生同樣危害效果的可能，這就導致建模模擬的效果最終不能真實反映到實際的應用之中，這樣的建模成果與實際誤差過大，就無法做到對網(wǎng)絡安全威脅的預警和反映，這樣的模型就不合格。

（2）主機級

跟上述的服務級建模類似，主機級的安全威脅，也必須要首先對數(shù)據(jù)進行分時段的處理，分時段的處理方法與上述是類似的，應當注意到的是，主機級與服務級對威脅攻擊次數(shù)的分層方法是一樣的，避免產(chǎn)生不必要的計算量。同時，在對數(shù)據(jù)進行分時段處理之后，就要對數(shù)據(jù)進行加權(quán)平均處理，以求出每個時間段內(nèi)的主機受到安全威脅的次數(shù)以及威脅等信息。得出了數(shù)據(jù)之后，必須要將產(chǎn)生的數(shù)據(jù)乘上一個安全威脅數(shù)值，也就是威脅的重要程度，防止出現(xiàn)上述的問題。這個指數(shù)可以命名為威脅指數(shù)，指數(shù)越大，表明受威脅程度越高。除了某一特定時刻的威脅指數(shù)很重要，某一個時間段的威脅指數(shù)也是有著很高的參考價值。

（3）網(wǎng)絡系統(tǒng)級

網(wǎng)絡系統(tǒng)級的參數(shù)建立與上述的主機級和服務級原理是一樣的，都需要先對數(shù)據(jù)進行同樣分時段處理，然后做加權(quán)平均整理，得到每一個階段的網(wǎng)絡系統(tǒng)受到的攻擊的平均數(shù)，以及一定時間段內(nèi)的被攻擊的威脅程度，然后計算出專屬于網(wǎng)絡系統(tǒng)級的網(wǎng)絡系統(tǒng)威脅指數(shù)，將指數(shù)與參數(shù)相乘，得到的結(jié)果就是某一個時段中網(wǎng)絡系統(tǒng)級安全威脅量化評估處理的結(jié)果。

（4）參數(shù)確定

在針對各個層次的威脅指數(shù)進行計算的時候，都必須要確定出各個層級的威脅指數(shù)、重要權(quán)重、網(wǎng)絡帶寬使用率等關(guān)鍵數(shù)值。確定各個層級的威脅指數(shù)，可以將安全日志中的無意義攻擊嘗試都清除，留下最有分析價值的數(shù)據(jù)，從而減少計算量，提升模型計算的效率與準確率。因為在網(wǎng)路系統(tǒng)安全日志中，一定會存在著很多的無效供給記錄，上文說過這個比例達到了99%左右，因此如果無法有效地過濾這些沒有意義或者是低價值的數(shù)據(jù)，就會加重系統(tǒng)過載，大大降低建模的有效性，同時造成資源的浪費。對網(wǎng)絡帶寬使用量進行分析，就可以為分析攻擊次數(shù)以及威脅提供重要而基礎的依據(jù)，因為只要攻擊是有效的，就一定會或多或少使用了網(wǎng)絡帶寬，讓系統(tǒng)拒絕為這次動作服務。如果攻擊是無效的，那么就有可能沒有使用帶寬，因此帶寬使用一定是有效攻擊的表現(xiàn)。此外，還要分析系統(tǒng)中尤其是主要的服務器中的動態(tài)數(shù)據(jù)，以及人為因素等對服務器和主機的影響重要性權(quán)重，這樣分析的結(jié)果才是最完備的，才能建立最合理的模型。

3 總結(jié)

本文所提出的，層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法，是基于大量的報警信息以及網(wǎng)絡性能指標，同時綜合網(wǎng)絡主機自身的性能，重新考慮了網(wǎng)絡威脅態(tài)勢量化評估模型。借著這一模型，可以對整個安全鏈進行監(jiān)控，確保安全人員可以實時監(jiān)控整個系統(tǒng)的情況，對安全威脅做出直接的反饋，讓最有效的策略最快提出，確保整個系統(tǒng)的安全。

[1]張新剛，王保平，程新黨.基于信息融合的層次化網(wǎng)絡安全態(tài)勢評估模型[J].網(wǎng)絡安全技術(shù)與應用，2012.

[2]陳鋒，劉德輝，張怡等.基于威脅傳播模型的層次化網(wǎng)絡安全評估方法[J].計算機研究與發(fā)展，2011.

[3]梁禮，楊君剛，朱廣良等.基于實時告警的層次化網(wǎng)絡安全風險評估方法[J].計算機工程與設計，2013.