層次化網絡安全威脅態勢量化評估方法

陳 明 申培培

（國網河北省電力有限公司信息通信分公司，河北 石家莊 050000）

1 網絡安全的重要意義

我國作為互聯網用戶數量最龐大的國家，每年受到的各種類型的網絡攻擊也最多， 受到的損害也最大。 根據國際權威機構IEEE 出具的一份有關全球網絡安全的報告顯示，2019 年發生的網絡攻擊事件相較于2018 年出現了大幅增長。 其中， 發生在中國境內，或者以中國國籍的服務器終端為目標的網絡攻擊事件同比增長了5 倍有余。 盡管在全世界范圍內，網絡攻擊給私人企業造成的損失環比有所下降，但是對于中國企業而言，這種損失并沒有降低，反而有逆勢上漲的趨勢，而中國企業的損失平均值約為260 萬美元。 由此可見，不論從保障企業經營利益或者個人隱私角度考量，還是從國家安全層面考慮，網絡安全都有著極其重要意義。

2 國內外網絡安全威脅的態勢進行量化評估的現狀

2.1 發達國家對于網絡安全威脅的態勢進行量化評估的先進理念

美國作為最早建設網絡設施，最早研究網絡安全的國家，也是最早把網絡安全威脅的態勢進行量化評估的國家。 現在，美國進一步將統計學理論與計算機網絡技術相結合， 通過用采集來的數據建立數學模型，客觀立體地展現出安全威脅的態勢，并根據模型計算出的結果， 將所有可能出現的安全威脅層次化，對潛在風險的嚴重程度予以排序和評估，并找出最簡單有效、以最低的成本預防風險的辦法。 在網絡安全風險評估商業化方面，美國的經驗也獨樹一幟，通過對網絡風險數據圖形化，然后簡化并整合在一款殺毒軟件中，該軟件安裝簡單，使用方便，對計算機性能要求不高，具有很好的兼容性。例如卡巴斯基，就是這種平民化網絡安全評估數據庫的最杰出代表。

2.2 我國國內網絡安全威脅的態勢進行量化評估的現狀

整體而言， 我國的網絡安全狀況形勢不容樂觀，因此根據對于網絡信息安全的需求，我國國內網絡安全威脅的態勢進行量化評估要求相對較高。相比于嚴峻的網絡安全形勢，我國對于網絡安全威脅態勢量化評估重視程度不足，而且信息來源過于單一，這也直接導致其評估指標缺乏可靠性、客觀性。 根據最新研究成果，傳感器的數據化應用可以有效完成與特定數據的融合，通過這一創新技術，完全可以構建一個指定的網絡安全評估狀態要求的“私人訂制”環境，然后再利用這一 “主場優勢” 甄別發起攻擊的身份IP 歸屬、技術手段、攻擊目的、判斷其威脅性，并以此為根據來對網絡空間安全進行有效的評估。 盡管如此，在具體應用過程中卻很少能夠達到目標要求的循環系統。 當前情況下，應用最為廣泛的評估方法仍然是以SSARE 為基礎衍生而出的可總共評估框架，我國通過調用查看IDS 日志庫來完成對網絡攻擊的抽樣分析工作。 一方面，通過bug 的分析可以發現對主機存在漏洞，在此基礎上，建立一個具有層次化的網絡安全威脅態勢量化評估體系。 另一方面，可以利用建立的體系層次對重點網元bug、 網絡漏洞等幾個方面進行安全評估。

3 層次化網絡安全威脅的態勢進行量化評估勢的幾種辦法

3.1 根據被攻擊次數建立數據庫模型化評估

作為美國預防安全威脅態勢的成功經驗，將包括攻擊次數在內的攻擊記錄輸入網絡安全評估數據庫用以完善評估模型的辦法對預防網絡攻擊有很好的效果。 在網絡規模方面，通過各個層級間的通信關系記錄的調查和采樣， 將整個網絡按照功能性分成三類，終端服務器、通信網絡協議、相關服務協議等。 網絡安全威脅最大， 后果最嚴重的就是各種非法訪問。根據統計結果可以得出結論，大多數非法訪問者都是通過合法訪問不斷“踩點”，熟悉目標系統的安全防衛模式，然后根據固有模式的漏洞來完成攻擊，從而形成威脅。 基于以上攻擊手段，可以通過不同的網絡結構，來進行評估模式的設計。終端服務器、通信網絡協議和相關服務協議是對網絡安全造成威脅的重要層次，根據對這三個層次的劃分，再展開整體性評估。一方面得出運作過程中存在漏洞的原始信息，另一方面對安全措施所消耗的網絡資源進行綜合性的評估，最后實現對每個終端和協議可能潛在的威脅進行全面了解，同時對威脅可能造成的損失、可能發起的攻擊規模、 網絡寬帶能夠占用的數據等進行可靠評估，以此來對與之相關的系統進行軟件或硬件升級和有針對性的改造。

除此之外，通過數學模型對網絡攻擊手法和攻擊頻率進行概率計算，也可以有效地分析出網絡攻擊源頭，甚至可以對網絡攻擊做出一定程度的預警，進而為判斷網絡攻擊發起者的身份和發起網絡攻擊目的提供依據。

3.2 根據攻擊態勢設定相關參數

通過具體模型參數的仿真模擬對于層次化的網絡安全而言,將成為評估網絡安全形勢最重要因素之一。因為，通過對攻擊時間分布的模擬，和對重點服務器訪問量的模擬會呈現出某種規律。 所以，在計算過程中， 一定要把攻擊時間點因素納入仿真數學模型中，并以此為基礎對某些具體時刻的服務威脅指數進行計算。此外，在計算時，還要完成對較長時間段的離散化分布。例如，將某一天劃分為三個不等的時間段，然后根據訪問量峰值和谷值為依據對正常訪問量向量進行加權計算，并劃分出若干個等級的訪問量。 通過根據計算分析得出的結果與實際結果的比對，能夠得到正常訪問量向量值。 在此基礎上,按照攻擊事件的嚴重程度開展調查，判斷評估結果對存在威脅指數的可靠程度，保證評估結果符合標準。最后，在計算威脅指數時，應注意增加攻擊嚴重程度的加權，以免威脅指數計算結果因特殊狀態而與現實之間出現偏差而產生嚴重后果。

4 結束語

本文對于網絡攻擊的形式、 常見攻擊方法以及層次化網絡安全威脅的態勢進行量化評估及相關方法予以簡要描述和探討， 在分析其數學模型工作原理的基礎上，對其用法和注意事項也做出一些說明。希望可以通過本文對從事設計網絡安全架構、 鉆研計算機及相關網絡并尋找其漏洞的工程師們有一定的幫助和啟發，為我國的網絡工程事業盡到自己一份微薄之力。