基于節(jié)點(diǎn)態(tài)勢(shì)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

王喆 封春芳 李娟 譚薇

摘? 要：隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，全網(wǎng)流量信息爆炸性增長(zhǎng)，傳統(tǒng)的從網(wǎng)絡(luò)整體進(jìn)行的態(tài)勢(shì)評(píng)估在性能上已無(wú)法滿足安全評(píng)估的要求，為此該文設(shè)計(jì)了一種基于節(jié)點(diǎn)態(tài)勢(shì)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，將網(wǎng)絡(luò)劃分為若干子網(wǎng)，以子網(wǎng)作為節(jié)點(diǎn)，通過(guò)多時(shí)間序列分析和多節(jié)點(diǎn)態(tài)勢(shì)融合實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)評(píng)估。實(shí)踐證明，該方法具有客觀性、適用性的特點(diǎn)，具有良好的應(yīng)用前景。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)? ?評(píng)估網(wǎng)絡(luò)流? ?特征節(jié)點(diǎn)? ?態(tài)勢(shì)融合

中圖分類號(hào)：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）07（a）-0026-03

Absrtact： With the continuous expansion of the network scale and the explosive growth of the whole network traffic information， the traditional situation assessment from the whole network can not meet the requirements of security assessment in performance. Therefore， this paper designs a network security situation assessment method based on node situation fusion， which divides the network into several subnets with subnets as nodes. The whole network security situation assessment is realized through multi time series analysis and multi node situation fusion. The practice shows that the method has the characteristics of objectivity and applicability， and has a good application prospect.

Key Words： Network security situation; Evaluate network flow; Feature node; Situation fusion

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，是指通過(guò)安全設(shè)備和軟件對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集、特征提取、關(guān)聯(lián)分析等處理，得出評(píng)估網(wǎng)絡(luò)的安全指標(biāo)，以此為基礎(chǔ)進(jìn)行數(shù)學(xué)建模，利用數(shù)學(xué)模型對(duì)網(wǎng)絡(luò)遭受的安全威脅進(jìn)行定量分析，由此判斷網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)程度，評(píng)估網(wǎng)絡(luò)整體的安全狀況。通過(guò)態(tài)勢(shì)評(píng)估，可以盡早地發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患和威脅。對(duì)這些隱患與威脅的影響范圍與嚴(yán)重程度進(jìn)行充分評(píng)估可以幫助管理人員掌握當(dāng)前網(wǎng)絡(luò)的安全狀況，以便在發(fā)生之前針對(duì)這些威脅采取遏制和阻止措施，使系統(tǒng)免受攻擊和破壞，使其得到充分保護(hù)。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是一種新型的技術(shù)手段，不僅能夠全面評(píng)估網(wǎng)絡(luò)當(dāng)前的安全狀況，還能夠通過(guò)各種安全指標(biāo)，預(yù)測(cè)網(wǎng)絡(luò)的安全狀況，將網(wǎng)絡(luò)流量信息這種原始“數(shù)據(jù)”轉(zhuǎn)化為便于人理解的“知識(shí)”，幫助網(wǎng)絡(luò)管理員快速全面地了解網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，并依此快速準(zhǔn)確做出響應(yīng)，修改完善網(wǎng)絡(luò)安全策略，降低網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)程度。

在進(jìn)行網(wǎng)絡(luò)流量監(jiān)控時(shí)，某些異常行為（如DDoS）通過(guò)單個(gè)時(shí)間序列分析很難發(fā)現(xiàn)其異常，如果進(jìn)行多時(shí)間序列綜合分析就可快速檢測(cè)出異常行為。為滿足安全評(píng)估的要求，該文提出了一種基于節(jié)點(diǎn)態(tài)勢(shì)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，快速檢測(cè)網(wǎng)絡(luò)中的異常行為并進(jìn)行溯源。

1? 基于節(jié)點(diǎn)態(tài)勢(shì)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估利用關(guān)聯(lián)、融合、歸并等多種分析方法，發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量異常信息，判定網(wǎng)絡(luò)安全事件，評(píng)估事件對(duì)網(wǎng)絡(luò)安全狀態(tài)的影響[1]。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和速度的提高，網(wǎng)絡(luò)流數(shù)據(jù)急劇增加，從網(wǎng)絡(luò)整體入手進(jìn)行安全態(tài)勢(shì)分析，很難快速精準(zhǔn)地得出結(jié)論，可根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將網(wǎng)絡(luò)劃分為多個(gè)節(jié)點(diǎn)，對(duì)每個(gè)節(jié)點(diǎn)分別進(jìn)行異常檢測(cè)和態(tài)勢(shì)評(píng)估，再將各個(gè)節(jié)點(diǎn)的態(tài)勢(shì)進(jìn)行綜合考量，這樣就不僅可以快速地獲得整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，也大大提高了評(píng)估的精度。該文采取“從低到高、從點(diǎn)到面”的層次化定量分析模型，通過(guò)對(duì)各節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行融合達(dá)到對(duì)全網(wǎng)安全態(tài)勢(shì)的評(píng)估的目的[2]。首先，將網(wǎng)絡(luò)劃分為若干個(gè)子網(wǎng)，每個(gè)子網(wǎng)作為一個(gè)節(jié)點(diǎn)，然后通過(guò)對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)流劃分、特征提取、異常檢測(cè)和安全態(tài)勢(shì)指數(shù)計(jì)算，得到每個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì)，最終通過(guò)聚合每個(gè)節(jié)點(diǎn)安全態(tài)勢(shì)指數(shù)，得到網(wǎng)絡(luò)整體安全態(tài)勢(shì)，具體評(píng)估模型如圖1所示。

1.1 網(wǎng)絡(luò)流劃分

1.1.1 構(gòu)建五元組分組序列

利用部署在網(wǎng)絡(luò)中的流量監(jiān)測(cè)設(shè)備獲取網(wǎng)絡(luò)流數(shù)據(jù)，從中提取出數(shù)據(jù)包的網(wǎng)絡(luò)特征信息，主要包括：數(shù)據(jù)包的源地址和目的地址、源端口號(hào)和目的端口號(hào)以及封裝在數(shù)據(jù)包中的高層協(xié)議數(shù)據(jù)包的類型，這5種數(shù)值構(gòu)成一組具有相同五元組取值的分組序列。

1.1.2 依據(jù)關(guān)鍵路徑算法（Critical Path Method，CPM）對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行子網(wǎng)劃分

CPM是一種網(wǎng)絡(luò)分析技術(shù)，是通過(guò)確定網(wǎng)絡(luò)拓?fù)洚?dāng)中網(wǎng)絡(luò)流數(shù)據(jù)從源到目的每條路徑中最長(zhǎng)的一條路徑，即關(guān)鍵路徑，來(lái)確定網(wǎng)絡(luò)流數(shù)據(jù)路徑的方法。如果將網(wǎng)絡(luò)抽象成一個(gè)由點(diǎn)和線構(gòu)成的二維平面圖，那么圖中的點(diǎn)代表網(wǎng)絡(luò)中的各類終端，包括主機(jī)、服務(wù)器以及各種路由交換設(shè)備，流轉(zhuǎn)于各類設(shè)備之間的網(wǎng)絡(luò)流就是平面圖中的線。假設(shè)網(wǎng)絡(luò)簇由多個(gè)相鄰的k-團(tuán)組成，每個(gè)網(wǎng)絡(luò)簇都有只屬于自己的若干個(gè)k-團(tuán)，這樣雖然相鄰的兩個(gè)k-團(tuán)唯一地屬于某個(gè)網(wǎng)絡(luò)簇，但它們之間會(huì)有共享點(diǎn)，并且這樣的點(diǎn)至少會(huì)有k-1個(gè)。因此，可以由網(wǎng)絡(luò)中的全部k-團(tuán)（k≤K，K為給定值）構(gòu)建的團(tuán)-團(tuán)重疊矩陣計(jì)算出重疊網(wǎng)絡(luò)簇，就是劃分出來(lái)的各個(gè)子網(wǎng)[3]。

1.1.3 將與子網(wǎng)相關(guān)的數(shù)據(jù)流依據(jù)其源和目的地址分為內(nèi)部流和外部流

某個(gè)子網(wǎng)的內(nèi)部流是指數(shù)據(jù)包的源地址和目的地址都屬于該子網(wǎng)的數(shù)據(jù)流，外部流則是指數(shù)據(jù)包的源地址和目的地址只有其中之一屬于這個(gè)子網(wǎng)的數(shù)據(jù)流。

1.2 特征提取

安全態(tài)勢(shì)指標(biāo)構(gòu)建是態(tài)勢(shì)提取的重要組成部分，它是反映被評(píng)估對(duì)象安全屬性的指示性標(biāo)志，為態(tài)勢(shì)感知和預(yù)測(cè)提供計(jì)算和評(píng)估的依據(jù)。為了更加準(zhǔn)確地描述網(wǎng)絡(luò)安全態(tài)勢(shì)的情況，采用各類安全數(shù)據(jù)采集工具從上報(bào)的事件和數(shù)據(jù)中提取指標(biāo)，從定量化的角度來(lái)描述態(tài)勢(shì)。在網(wǎng)絡(luò)監(jiān)控系統(tǒng)、檢測(cè)系統(tǒng)等安全設(shè)備收集和捕獲網(wǎng)絡(luò)性能數(shù)據(jù)，以及日志系統(tǒng)采集并分析得到的日志統(tǒng)計(jì)信息中，可提取到典型的網(wǎng)絡(luò)流量的特征。選取目前研究主要使用的計(jì)數(shù)型、流量、度型、均數(shù)型和復(fù)合型5類網(wǎng)絡(luò)流特征，用于檢測(cè)子網(wǎng)內(nèi)部和外部之間的異常[4]。

（1）計(jì)數(shù)型特征：?jiǎn)挝粫r(shí)間內(nèi)出現(xiàn)的數(shù)值不同的同一屬性的個(gè)數(shù)，如單位時(shí)間內(nèi)出現(xiàn)的不同源地址的個(gè)數(shù)。

（2）流量特征：?jiǎn)挝粫r(shí)間內(nèi)各種屬性對(duì)應(yīng)的數(shù)據(jù)包數(shù)或字節(jié)數(shù)之和，如單位時(shí)間內(nèi)TCP包總數(shù)。

（3）度型特征：?jiǎn)挝粫r(shí)間內(nèi)不同屬性的特征值之間對(duì)應(yīng)的個(gè)數(shù)，如單位時(shí)間內(nèi)向子網(wǎng)內(nèi)部地址發(fā)起鏈接的個(gè)數(shù)，也稱之為子網(wǎng)的目的地址入度。

（4）均數(shù)型特征：?jiǎn)挝粫r(shí)間內(nèi)某屬性對(duì)應(yīng)的平均數(shù)據(jù)包或字節(jié)數(shù)，如單位時(shí)間內(nèi)TCP包的平均字節(jié)數(shù)。

（5）復(fù)合型特征：某個(gè)特征的統(tǒng)計(jì)值，如數(shù)據(jù)包地址的信息熵。

1.3 異常檢測(cè)

通過(guò)對(duì)告警數(shù)據(jù)的關(guān)聯(lián)分析得出各個(gè)子網(wǎng)的安全態(tài)勢(shì)指數(shù)。網(wǎng)絡(luò)安全態(tài)勢(shì)值通常受攻擊頻率、漏洞威脅、資產(chǎn)狀況、開(kāi)設(shè)的服務(wù)、網(wǎng)絡(luò)中的部署位置等多種因素綜合影響。為保證評(píng)估的全面性，各個(gè)節(jié)點(diǎn)，即各個(gè)子網(wǎng)的安全態(tài)勢(shì)可從安全威脅、脆弱性、資產(chǎn)管控能力和安全設(shè)備運(yùn)行狀況等方面綜合考量。針對(duì)各種告警數(shù)據(jù)進(jìn)行深入分析，挖掘數(shù)據(jù)之間的內(nèi)在邏輯關(guān)系，包括告警信息的特征相似性、攻擊模型的關(guān)聯(lián)性、攻擊的條件和行為之間的關(guān)聯(lián)度等，從中提取共同特征，確定安全態(tài)勢(shì)指數(shù)。通過(guò)告警關(guān)聯(lián)，能夠?qū)⒏婢畔⑦M(jìn)行歸并提取，輔助安全管理人員從海量數(shù)據(jù)中快速準(zhǔn)確捕獲到有用信息，從而快速準(zhǔn)確地判斷出網(wǎng)絡(luò)面臨的安全威脅[5]。

異常事件的類型根據(jù)異常的網(wǎng)絡(luò)流樣本集的特征屬性，包括平均流大小、平均分組大小、每個(gè)特征的特征熵和特征比來(lái)判定。每個(gè)樣本由網(wǎng)絡(luò)流特征的屬性向量來(lái)表示。根據(jù)屬性向量間的相關(guān)系數(shù)來(lái)衡量屬性向量之間的相似性，以相似性最大原則進(jìn)行分類合并，直至合并到同一類別。通過(guò)特征屬性的學(xué)習(xí)建立分類模型，對(duì)相似的異常進(jìn)行類型標(biāo)記，實(shí)現(xiàn)異常事件檢測(cè)，由此得到各子網(wǎng)的安全態(tài)勢(shì)指數(shù)。

1.4 安全態(tài)勢(shì)指數(shù)計(jì)算

通過(guò)對(duì)各個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì)指數(shù)加權(quán)聚合得到全網(wǎng)的安全態(tài)勢(shì)。安全態(tài)勢(shì)評(píng)估有效融合外部攻擊強(qiáng)度和內(nèi)在脆弱性，主要和告警置信度、告警嚴(yán)重等級(jí)以及資源影響度有關(guān)。告警置信度是利用初始定義與融合計(jì)算得到的，告警嚴(yán)重等級(jí)是設(shè)定的，資源影響度和網(wǎng)絡(luò)配置以及業(yè)務(wù)相關(guān)。由于節(jié)點(diǎn)在網(wǎng)絡(luò)中的位置與作用各不相同，所以節(jié)點(diǎn)的安全等級(jí)也有很大差異，各個(gè)節(jié)點(diǎn)，即各個(gè)子網(wǎng)安全態(tài)勢(shì)指數(shù)值的權(quán)重，由各個(gè)子網(wǎng)的重要程度決定。通過(guò)評(píng)估各個(gè)節(jié)點(diǎn)安全態(tài)勢(shì)，獲得了更豐富的態(tài)勢(shì)信息，全面反映了網(wǎng)絡(luò)的安全狀況，因而能夠快速準(zhǔn)確地評(píng)估出網(wǎng)絡(luò)的安全態(tài)勢(shì)[6-7]。

2? 結(jié)語(yǔ)

傳統(tǒng)的網(wǎng)絡(luò)安全不僅依賴入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)設(shè)備管理平臺(tái)，對(duì)管理人員的專業(yè)技能也要求較高，而網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)能從宏觀上實(shí)時(shí)掌控網(wǎng)絡(luò)系統(tǒng)內(nèi)產(chǎn)生的信息，實(shí)時(shí)評(píng)估網(wǎng)絡(luò)運(yùn)行的狀態(tài)，對(duì)潛在的攻擊行為和漏洞進(jìn)行預(yù)警，為管理人員的實(shí)時(shí)調(diào)度和策略改變提供重要參考依據(jù)，最大限度地降低網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來(lái)的損失。

不同于傳統(tǒng)的從網(wǎng)絡(luò)整體進(jìn)行的安全態(tài)勢(shì)評(píng)估，該文將網(wǎng)絡(luò)劃分為若干子網(wǎng)，以子網(wǎng)作為節(jié)點(diǎn)，經(jīng)過(guò)時(shí)間序列分析、節(jié)點(diǎn)態(tài)勢(shì)分析，最終通過(guò)子網(wǎng)態(tài)勢(shì)融合實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)評(píng)估。該評(píng)估方法避免了由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、原始“數(shù)據(jù)”不斷暴增給安全評(píng)估帶來(lái)的不利影響，具有客觀性、適用性的特點(diǎn)，具有良好的應(yīng)用前景。

參考文獻(xiàn)

[1] 王波，王懷彬.基于主動(dòng)學(xué)習(xí)的非均衡異常數(shù)據(jù)分類算法研究[J].信息網(wǎng)絡(luò)安全，2017（10）：42-49.

[2] GENG F F， RUAN X L. Campus Network Information Security Risk Assessment Based on FAHP and Matter Element Model[C]//International Conference on Intelligent Computing.Springer， Cham，2017：298-306.

[3] XIAO F.Multi-sensor Data Fusion Based on the Belief Divergence Measure of Evidences and the Belief Entropy[J].Information Fusion，2018，46：23-32.

[4] 周新衛(wèi)，李小玲.基于改進(jìn)G-K算法的多節(jié)點(diǎn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型[J].科學(xué)技術(shù)與工程，2018，18（25）：72-77.

[5] 王益斌.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（9）：12-13.

[6] 崔藝馨.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)[J].自動(dòng)化儀器儀表，2020（12）：6-9，13.

[7] 王建，李玉洲，張寧，等.一種車聯(lián)網(wǎng)安全態(tài)勢(shì)感知模型[J].汽車實(shí)用技術(shù)，2021，46（9）：20-24.