漁政管理系統網絡環境威脅態勢分析*

陳孟婕，劉慧媛，蔣慶朝，徐 碩，倪晨翰

(中國水產科學研究院漁業工程研究所，北京100141)

0 引言

漁政管理系統是面向漁業管理的全國性政務系統。 在云計算、大數據背景下，層出不窮的信息安全事件給包括漁政管理系統在內的各類政務系統網絡安全運維工作帶來巨大的挑戰。由于網絡攻擊的方式日趨規模化、分布化、復雜化，破壞性越來越大，傳統的網絡防護系統在對攻擊行為做出攔截時，系統運維人員對全局狀態的感知能力較差。系統的網絡日志遍布于數據庫、Web 中間件、服務器、網絡設備等各個節點，數據指標從不同角度反映了網絡環境，對網絡日志數據的分析研究可以準確掌握系統運行狀態以及潛在網絡安全威脅等信息，為系統功能與性能的優化、安全方案的制定提供依據。

網絡態勢評估可實現態勢因子集合到態勢結果的映射。 相關研究包括理論創新引入到態勢評估領域，例如集對分析理論、證據理論、粗糙集理論、灰關聯分析理論；以及傳統方法的擴展，例如貝葉斯技術、基于知識的方法、向量機方法、人工神經網絡方法、模糊邏輯方法等[1-7]。 集對分析理論相比于其他方法，具有模型計算復雜度低，不需要推理規則、先驗知識，結果易于解釋等優點，在多個領域有廣泛應用，例如多方案比選、工程風險評價、資源環境評估、安全管理等[8-9]。

集對分析理論是由我國學者趙克勤于1989 年首次提出[10-11]，該理論在后續研究中不斷發展完善，形成了聯系數、集對勢、偏聯系數等計算模型與理論解釋[12-16]，實現對系統的客觀、定量、綜合評價與趨勢分析。 集對分析理論中，系統聯系數表示為u=a+bi，也稱作二元聯系數，其中 a 表示系統確定性因素，b 表示系統不確定性因素，公式表現了系統確定性因素和不確定性因素對系統的綜合影響。根據不確定性的強弱程度，集對分析理論進一步細化該因素，擴展為三元聯系數u=a+bi+cj、四元聯系數u=a+bi+cj+dk 等多元聯系數。 基于集對分析理論的網絡威脅評估是對網絡態勢定量化測算，相比層次分析法、關聯分析、神經網絡等數據分析挖掘模型，除了模型復雜度較低以外，分析結果對于網絡環境現狀和發展趨勢的刻畫更為全面、準確。

本文從漁政管理系統的網絡安全需求入手，針對大規模、復雜、不確定的網絡環境特點，研究網絡環境綜合評估方法，促進系統網絡安全運維人員對網絡環境的認識和理解。 通過構建基于集對分析理論的網絡環境威脅評估模型，量化網絡攻擊威脅程度，提供系統整體外部網絡環境風險指數，準確識別、預測當前網絡態勢。 本文研究是漁政管理系統網絡安全的先行實踐，也對信息系統網絡管理日志的有效開發與利用提供應用實踐。

1 網絡管理日志數據

漁政管理系統部署在農業農村部信息中心，網絡環境與基礎物理環境方面依托信息中心提供安全管理服務，而服務器及軟件方面由軟件開發團隊提供運行維護支持。

信息中心的網絡管理系統提供了對交換網絡的監控與保護，重點對常見的掃描攻擊、賬號嗅探、后門程序、FTP 攻擊、NetBIOS、遠程溢出攻擊、遠程登錄、病毒、惡意代碼、DDoS、郵件服務器攻擊、針對CGI 的攻擊、Web 服務攻擊以及用戶定義的可疑行為、非授權訪問、欺騙和主機異常等多種攻擊行為進行檢測、識別與攔截。 網絡管理系統對各類網絡攻擊行為均記錄在日志數據中，數據反映了系統整體網絡環境特點。

本文收集了2020 年期間網絡管理系統日志數據，結合公共漏洞數據庫CNNVD(China National Vulnerability Database of Information Security，中國國家信息安全漏洞數據庫)、CVE(Common Vulnerabilities and Exposures，通漏洞披露)等信息的融合處理，初步形成了網絡攻擊數據共計6 000 余條，每條數據均包含了訪問時間、訪問來源、訪問行為、訪問端口、計數、威脅等級、漏洞類型、威脅類型等信息。 其中，訪問時間、訪問來源、訪問行為、訪問端口、計數是網絡攻擊數據的攻擊基本信息，從網絡管理設備中導出；而威脅等級、漏洞類型、威脅類型是網絡攻擊數據的分級分類信息，反映攻擊行為威脅程度，數據內容引用CNNVD、CVE 等數據進行補充完善。數據示例如表1 所示。

表1 數據樣本片段

2 網絡環境威脅數據分布

對收集的網絡管理日志數據的攻擊威脅分布進行統計特征分析，掌握網絡環境威脅的基本特點。 在日志管理數據中，威脅等級包括低危、中危、高危、超危四個等級，其中85%的漏洞威脅等級為中危/高危，14%的漏洞為超危等級，僅有 1%的漏洞為低危。

按不同威脅等級分類統計漏洞攻擊次數隨時間的變化情況，統計結果如圖 1 所示。 低危漏洞的攻擊僅在t1~t2 時間中出現；中危漏洞在 t2 時間的攻擊次數遠高于其他等級，在t3~t4 時間攻擊次數回落到較低水平后，在t5~t6 時間又持續上升；對高危漏洞的攻擊同樣在t5~t6 時間持續上升，并且超過t1~t4 時間；超危漏洞的攻擊次數在 t2 時間高于其他時間段，在 t4 時間降到最低點，而后在 t5、t6 時間緩慢上升。 初步判斷，t2 時間和t6 時間的整體威脅指數較大，t4 時間和t1 時間整體威脅指數小于其他時間。 系統威脅整體呈上升趨勢。

圖1 攻擊威脅時間分布

3 網絡環境威脅綜合評估模型構建

3.1 評估模型構建

上述分析中，對系統網絡威脅程度的理解通過多主題、多維度的網絡日志數據分析評估所得，分析結果不夠直觀，特別是對系統的整體情況和發展趨勢的識別仍不夠準確。 本文采用集對分析方法，研究構建網絡環境威脅評估模型，綜合計算評估網絡環境威脅指數。

網絡安全風險評估模型一般包括危險性、脆弱性、可用性、可靠性四個方面的分析[17-18]。 本文重點對網絡環境威脅程度進行評估，即分析網絡環境在危險性指標上的表現。 對于網絡危險性指標，基于本文作者收集的網絡管理日志數據，分為流量、威脅等級、相關度三類威脅方向。 不同指標數值反映了不同網絡危險程度，例如，網絡流量的分布體現了危險的分布概率，流量越大，危險概率越大。對于每一類威脅方向，從基礎情況和變化情況兩個維度細化指標，確定了網絡漏洞流量、網絡漏洞等級、網絡攻擊等級流量、網絡漏洞變化量、網絡漏洞等級變化量、網絡漏洞等級變化流量、網絡攻擊相關性、網絡攻擊相關度流量共計8 項評估指標。 基于網絡威脅主題和分析維度構建的網絡環境威脅指標體系如表2 所示。 各項指標分配一定權重，表示指標對系統模型的影響程度，指標取值依據風險等級，劃分為高風險、中風險、低風險三類。

表2 網絡環境威脅指標體系

運用集對分析理論，構建系統網絡環境威脅綜合評估模型，如式(1)～式(3)所示。 式(1)中，μm表示某個網絡威脅指標的聯系數，反映網絡威脅中該指標項的確定性高威脅影響(am)、不確定性威脅影響(bm)以及確定性低威脅影響(cm)。 式(2)中，μ 表示系統網絡環境威脅評估聯系數，根據聯系數加法性質[13]，由各個指標分量加權綜合求得，wm表示指標項的權重。 式(3)由式(1)、式(2)推導得出，即系統網絡環境威脅的整體評估由各個指標分量的確定性高威脅影響、不確定性威脅影響以及確定性的低威脅影響依據指標對模型的作用力(wm)綜合評價。

基于聯系數的系統網絡環境威脅綜合評估模型，運用聯系數、偏聯系數、集對勢等集對分析理論工具進行數據分析，一方面，分析系統在單一指標中的網絡風險程度及網絡威脅變化趨勢，另一方面，綜合評價系統整體的網絡風險程度和網絡威脅變化趨勢。對于系統或指標的當前風險程度分析，通過模型的集勢分析(a/c、a/(a+c))可得，對于系統或指標潛在變化趨勢的分析，通過模型的偏聯系數分析可得。

3.2 數據處理轉換

對于網絡管理日志數據，網絡威脅各項指標的權重依專家經驗劃分，其中，流量類指標占 0.25(含μ1、μ4)，威脅等 級類指 標占 0.4(含 μ2、μ5)，相 關類指標占 0.2(即 μ7)，混 合類指標占 0.15(含 μ3、μ6、μ8)。

對于各項指標取值，分為高風險、中風險、低風險三類。 流量類指標，以閾值劃分為三類：大于 1 000(高風險)、大于 100 且小于等于 1 000(中風險)、小于等于 100(低風險)。 對于威脅等級、相關度指標，基本采用原有分類：高風險(含超高風險)/高相關度，中風險/中相關度，低風險/低相關度。 將網絡管理日志數據按以上標準轉換處理與歸一化，構建系統評估模型的聯系數，如表3 所示。

表3 網絡威脅評估模型聯系數

3.3 評估計算

集對勢反映了系統當前的風險程度，用SHI(μ)=a/c 表示。 當 SHI(μ)＞1 時，系統風險表現為同勢，即高風險威脅較低風險威脅更大。 當 SHI(μ)=1 時，系統風險表現為均勢，即高風險與低風險威脅程度相當。 當 SHI(μ)＜1 時，系統風險表現為反勢，即 高風險較低風險威脅程度更小。

偏聯系數刻畫了系統在不確定性上的潛在發展趨勢，例如，一階偏聯系數(?μ)反映了從發展觀點上看某個狀態(如高風險)從鄰近的狀態(如中風險)發展而來的趨勢。 偏聯系數有全偏聯系數(?μ)、偏 正 聯 系 數 (?μ+)、偏 負 聯 系 數(?μ-)，偏 正 聯 系 數表示系統正向發展趨勢，偏負聯系數表示系統反向發展趨勢，全偏聯系數表示系統整體發展趨勢，默認偏聯系數指的是全偏聯系數。 對于三元聯系數，二階偏聯系數計算如式(4)所示。 二階偏聯系數消除了中間不確定影響(i 分量)，當二階偏聯系數大于0，說明系統潛在發展趨勢是正向(即高風險)，當二階偏聯系數小于0，說明系統潛在發展趨勢是反向(低 風 險)。

對于系統中的不確定性分析，i 取值范圍為[-1，1]，當 i 取[0，1]時，不確定量偏正影響(偏高風險)，當 i取[-1，0]時，不確定量偏負影響(偏低風險)。

根據集對勢、偏聯系數、不確定理論計算系統當前狀態和發展狀態，其中不確定分析中，i 取-1，0，1。 計算結果如表 4、表 5 所示。

表4 計算結果1

表5 計算結果2

3.4 評估結果分析

集對勢計算結果中，綜合集對勢取值略小于1，說明系統集對勢為反勢，根據取值大小，說明整體風險程度略微偏低風險。 對于各項指標，流量類指標(指標 1、指標 4)集對勢略大于 0、小于 1，在評估中這類指標反映的風險程度為低風險；威脅等級類指標(指標 2、指標 3、指標 5)集對勢遠大于 1，這類指標反映出來的風險程度為高風險；相關度指標(指標 7，指標 8)大于 1 但數值不高，這類指標反映出來的風險程度為高風險，但威脅程度不及威脅等級類指標。

偏聯系數計算結果中，二階偏聯系數為0.000 3，略大于0，說明系統潛在發展趨勢是高風險，其發展程度較微弱。 對于各個指標，相關度指標趨勢為低風險，其余指標均為高風險，說明對系統的威脅發展中，相關性威脅程度降低，流量類、威脅等級類威脅程度有提高的趨勢。

系統不確定性分析中，當不確定量轉換為低風險時，系統風險程度為低風險；當不確定量轉換為高風險時，系統風險程度為高風險。 當不確定量消除時，系統偏低風險，這與集對勢中系統整體表現出來的偏低風險一致。

4 結論

網絡威脅評估是網絡安全管理的一個方面，本文構建的網絡環境威脅評估模型通過挖掘網絡安全管理數據，分析了網絡威脅在特定指標上的狀態和變化趨勢，其計算原理簡單、明了，計算結果更具分析屬性，便于實際應用。 模型的不足在于其中介紹的評估指標及權重分配，還有待進一步在實踐中完善和改進，使評估模型更加完備和實用。