大數據驅動下主動防御網絡安全性評估技術

(哈爾濱理工大學，河北 秦皇島 066003)

0 引言

主動防御網絡僅僅采用防火墻雖然能夠抑制攻擊信息侵入，但是對于正常信息中夾雜的非法信息卻無法識別，導致網絡使用不安全、用戶私密信息泄漏等現象，造成不必要的經濟損失。為了保障用戶在大數據驅動下使用網絡同樣安全，需對主動防御網絡安全性進行評估。主動防御是一種具有深層次主動抵抗網絡攻擊行為的技術，可通過監測網絡環境攔截外部非法入侵行為[1]。措施的采取也帶來了一些安全性問題，對于主動防御的網絡是否真正安全需要進行評估[2]。由于傳統評估技術存在評估不精準問題，導致主動防御網絡不安全，為此，提出了引入網絡熵的模型對抗量化評估技術。通過與傳統技術對比可知，該技術應用是具有合理性的。

1 主動防御網絡安全性評估技術

1.1 主動防御原理

在大數據驅動下主動防御網絡功能能夠實現網絡的安全運行，將檢測技術與預測技術相結合，可保證網絡使用的安全[3]。主動防御是在保證基本網絡安全運行基礎上實現的，除了傳統系統防護技術外，還增加了響應技術，主動防御原理如圖1所示。

圖1 主動防御原理框圖

依據傳統防護技術，增加響應機制，并將檢測原理與預測原理結合構成主動防御原理，以該原理為基礎構建基于Petri網的安全性評估數學模型，在模型中引入網絡熵權衡收益，降低間接影響造成的干擾，根據收益結果對主動防御網絡安全性進行評估。

1.2 構建Petri網安全性評估數學建模

利用主動防御原理構建基于Petri網的安全性評估數學模型。采用Petri網建模方法可對整個主動防御網絡安全性進行評估，從攻擊者角度，將系統漏洞攻擊主動防御網絡行為進行模擬分析，并在必要安全信息基礎上，查找潛在的多條主動防御安全性組合攻擊途徑[4]。

對Petri網主動防御安全性評估離不開對局部區域評估，在攻擊場景下，依據評估結果實現評估模型的構建。要獲取局部評估結果，需先收集與主動防御網絡安全屬性相關的數據，再結合這些數據分析網絡的數據結構和存儲結構，利用分析結果構建評估數學模型。

1.2.1 建模信息采集

掃描每臺主機，搜尋主機中存在的已知安全性運行服務信息；對整個網絡展開分析，獲取各個主機間的聯系，利用網絡具有公開屬性特點，通過掃描機可獲取該特點的具體屬性，以此為基礎制定網絡公開弱點的保護規則[5]。根據掃描獲取的弱點信息以及制定的規則，提出Petri主動防御網絡安全性評估方法；選擇關聯矩陣分析方式對數學模型構建展開討論，分析出網絡結構中存在的所有滲透序列，獲取目標攻擊路徑，并計算成功可達概率。建模信息采集相關具體流程如圖2所示。

圖2 建模信息采集具體流程

由圖2可知：結合以往攻擊模型，對主動防御安全性展開說明，具體描述內容有：弱點描述、掃描機描述、網絡連接關系描述和攻擊規則描述。將網絡弱點信息相關抽象數據組合成具體集合名稱，方便安全性評估，具體集合名稱如表1所示。

表1 集合名稱

序利用安全漏洞攻擊的復雜程序complexity進行歸一量化處理：

1)不需要使用任何外界攻擊工具，制定詳細的攻擊方案；

2)使用現有的攻擊方案和工具；

3)缺乏攻擊工具，那么需制定詳細的攻擊方案

4)公開主動防御網絡漏洞，大致說明攻擊方案；

5)公開主動防御網絡漏洞，無攻擊方案。

根據歸一量化處理方案對用戶等級進行劃分：劃分等級能夠直觀反映用戶對于計算機的控制能力，對于某個主體來說，所有訪問客體權限都是一個集合，通過分析SANS公布的排名前10網絡漏洞弱點發現，涉及到的用戶等級并不需要進行詳細劃分，通常為三個等級，分別是：Access、User、Root，其中Access代表遠程接受網絡服務，進行數據間的交互；User代表經過管理員授予的用戶權限，具有單獨的空間與資源；Root代表主機擁有所有資源控制權[6-8]。由于這三個等級之間關系都滿足偏序分布Access

1.2.2 采集數據結構分析與存儲

對采集到的建模信息，需進行詳細分析。設立一串數據{a，b，IP，TCP，HTTP}可表示為：a向b發送的IP數據是可達的，a與b某個TCP端口是可以連接的，a可對b進行HTTP服務。根據TCP/IP協議棧中各個層次的項目協議，需建立連接關系如表2所示。

表2 協議棧層次連接關系

如果使用協議棧層次連接關系中的TCP(終端控制協議)、HTTP(超文本傳輸協議)和IP(網絡互連協議)來約束鏈表P_T(place_tansation，P_ T)，那么在鏈表中只能存儲來自數據庫中的變遷集合，降低危險漏洞出現幾率。使用鏈表P_T(place_tansation，P_ T)來存儲各個變遷集合，儲存方式如圖3所示。

圖3 數據儲存方式

在鏈表中p節點為Petri網安全性評估數學建模一個狀態信息，該信息可由(ip，r)來表示，其中ip可代表主動防御受到到攻擊位置，r為主機所獲取應用權限[9]。在鏈表中T的節點為Petri網安全性評估數學建模的一個變遷行為信息，該信息可由(src，dst，vi)來表示，其中src可代表網絡主動防御時受到攻擊的標識信號，dst為被攻擊主機的標識信號，vi為一次攻擊行動的安全漏洞標識信號。P_T鏈表中的閾值范圍代表了攻擊級別，也代表了數據存儲狀態。

1.2.3 構建數學模型

(1)

1.3 引入網絡熵權衡收益

由于在構建模型過程中受到外界攻擊，導致網絡產生間接影響，造成后續安全性評估出現干擾因素，嚴重擾亂評估結果，為此引入網絡熵對抗量化技術來權衡收益，提高評估結果準確率。

ΔZhostli=ΔZm

(2)

1.4 安全性評估

將網絡安全問題視為防御者和攻擊者的多個階段的博弈，每個階段都對應一個安全狀態，通過求解可對安全狀態下的混合策略進行均衡處置，由此可獲取網絡安全狀態下的雙方對抗最優方案，引入網絡熵展開定量分析，具體評估如下所示：

設置in為大數據驅動下主動防御網絡的各個指標信息和雙方對抗行為信息；out為攻擊行為的預測和對抗量化效果值。將初始化價值向量設為:

重復

用hl代替模型公式(1)中的Ql

分析主動防御原理，構建評估數學模型，引入網絡熵對抗量化技術來權衡收益，減少干擾因素影響，提高評估結果準確率，將防御者收益結果作為量化評估標準，實現對主動防御網絡安全性評估。

2 實驗

為了驗證大數據驅動下主動防御網絡安全性評估技術研究的合理性進行了如下實驗，設計網絡拓撲結構如圖4所示。

圖4 網絡拓撲結構

攻擊者首先需要獲取權限才能進入攻擊狀態，為此需獲取目標主機root的訪問權限，由于防火墻只能允許主機對Apache服務器進行訪問，對于內網服務器和主機并沒有訪問權力，受到限制，內網主機是不允許防火墻訪問的。如果攻擊者獲取了主機的訪問權限，那么其內部的網絡權限為最低初始訪問權限，攻擊者只能完成一次攻擊，不能同時進行多個攻擊行為。

2.1 實驗條件設置

針對主動防御網絡可用性，將吞吐量、傳輸延遲和故障情況作為指標，利用網絡熵描述鏈路屬性，在初始階段，攻擊者需獲取想要攻擊設備的權限才能進行攻擊。針對Apache服務器攻擊者需要利用Smtp服務所存在安全隱患發起攻擊行為，由此獲得用戶使用權限，然后利用主機存在的安全漏洞獲取Root權限。計算攻擊行為直接受益情況，根據構建模型，使用對抗量化評估規則獲取對抗最優方案。

2.2 實驗結果與分析

將吞吐量、傳輸延遲和故障情況作為指標對主動防御網絡安全性評估技術準確性進行實驗驗證。

2.2.1 吞吐量對技術準確性影響結果與分析

吞吐量是對網絡在單位時間內成功傳送數據的數量，也是說吞吐量是指在沒有幀丟失情況下，設備能夠接收并轉發最大數據速率。將測試接入點選在鏈路兩端以太網網絡上，通過改變幀長度，在接收器上計算收到幀速，由于吞吐量測試是必須在線進行的，即不能中斷現有網絡業務和網絡連接。將傳統評估技術與引入網絡熵的模型對抗量化評估技術在吞吐量不同情況下精準度對比結果與分析，如圖5所示。

圖5 兩種技術在不同吞吐量下精準度對比結果

由圖5可知：實線為引入網絡熵的模型對抗量化評估技術，虛線為傳統評估技術。當吞吐量為20時，傳統評估精準度達到最高為70%，當吞吐量為83時，傳統評估精準度達到最低為5%；而當吞吐量為95時，引入網絡熵的模型對抗量化評估技術達到最高為96%，當吞吐量為81時，引入網絡熵的模型對抗量化評估技術達到最低為25%。由此可知，吞吐量對評估技術準確性具有嚴重影響，尤其是對傳統技術影響極大，與對抗量化評估技術精準度最高值相差26%，最低值相差20%。吞吐量對引入網絡熵的模型對抗量化評估技術影響效果較小。

2.2.2 傳輸延遲對技術準確性影響結果與分析

傳輸延遲是發送接收處理時間、電信號響應時間、介質中傳輸時間三個時間的總和，使用Intel Core i7處理器對內存延遲進行深度測試，將傳統評估技術與引入網絡熵的模型對抗量化評估技術在傳輸出現延遲情況下，評估精準度對比結果與分析，如表3所示。

表3 兩種技術在傳輸延遲下精準度對比結果

表3中，“—”代表出現延遲，對比兩種評估技術發現，當發送接收處理出現延遲時精準度影響最大，傳統技術比對抗量化技術評估精準度要低10%，電信號響應出現延遲時精準度影響最小，對抗量化技術比傳統技術評估精準度要高18%。由此可知，傳輸延遲對傳統評估技術影響效果較大，使用對抗量化評估技術精準度較高。

2.2.3 故障出現對技術準確性影響結果與分析

出現故障原因有許多種，包括網絡適配器(網卡)設置與計算機資源有沖突、網吧局域網中有兩個網段，其中一個網網段的所有計算機都不能上因特網等。針對故障出現對技術準確性影響需將傳統技術與對抗量化評估技術進行對比，結果如圖6所示。

圖6 兩種技術在故障點出現情況下對比結果

由圖6可知：灰色部分為網絡主要工作范圍，白色部分為超出主要工作范圍外的網絡覆蓋區域。采用傳統評估技術只能對網絡主要范圍內的故障點進行處理，無法對超出該范圍的故障點處理，導致評估精準度下降，無法準確獲取主動防御網絡的安全風險；而采用引入網絡熵對抗量化評估技術不僅可以對灰色范圍內故障點處理，還可以對該范圍外的網絡覆蓋區域進行處理，不會對精準度有較大影響。

2.3 實驗結論

根據上述對比的實驗結果，可得出實驗結論：大數據驅動下主動防御網絡安全性評估技術研究具有合理性。

分別將吞吐量、傳輸延遲和故障情況作為指標進行實驗驗證，可知吞吐量對評估技術準確性影響最大，傳統技術比對抗量化評估技術精準度最高值低26%，而最低值相差20%；傳輸延遲對傳統評估技術影響效果較小，使用對抗量化評估技術精準度較高；在網絡主要范圍內出現故障對于對抗量化技術來說，并不會影響評估精準度。

3 結束語

在大數據驅動下，引入網絡熵對抗量化技術可將主動防御網絡的安全性問題轉化為多個階段動態分析問題，為管理者提供有效評估措施，也為網絡安全加固提供重要決策。由于大數據技術快速發展，促使引入網絡熵模型對抗量化評估技術進入危險潛藏期，針對定期引入安全方案還無法實施，對于動態化大數據應用中心安全評估還有待考察。