基于時間因子的網絡安全態勢評估系統設計

李 果

（湖南信息職業技術學院 湖南 長沙 410200）

0 引言

為了保障網絡環境的安全，網絡安全態勢評估相關研究成為了備受關注的內容之一[1]。現階段，對于網絡安全態勢的分析主要是從網絡攻擊的作用方式以及作用對象方面實現的[2]，這種方法雖然提高了分析結果的可靠性，但是需要大量的基礎數據，前期工作量較大[3]。除此之外，受網絡攻擊自身強度以及隱蔽性的影響[4]，網絡遭受到攻擊后的響應強度也不同[5]，當這種強度接近網絡噪聲的作用強度時，極易導致最終的評估結果與實際情況存在較大偏差[6]。針對網絡安全態勢評估的研究，楊宏宇等[7]通過提取網絡的并行運行特征，將其輸入到改進后的BiGRU中，實現了對網絡安全態勢的有效評估，但是這種評估方式在穩定性上表現出了一定的不足。熊中浩等[8]借助DBN（Deep Belief Network，深度信念網絡）的特征分析優勢，實現對網絡安全態勢的評估，并構建了態勢預測模型，在一定程度上提高了評估結果的可靠性，但是對于攻擊流量的敏感性還存在一定的提升空間。

在上述基礎上，本文充分考慮了攻擊流量對于網絡時延參數的影響，在引入時間因子的基礎上，設計了一種網絡安全態勢評估系統，以MYC-CZU5EV核心板作為系統硬件裝置，具有存儲量大、運行速度快以及可靠性高的性能，在一定程度上可以保障系統的安全與穩定運行。試驗測試驗證了所設計系統的應用價值，為相同領域的持續研究提供一定的參考與借鑒。

1 硬件設計

為了確保系統能夠實現快速分析網絡運行狀態信息，提高安全態勢評估準確性[9]，本文選用MYC-CZU5EV核心板作為系統硬件。作為一種基于XILINXMPSoC全可編程處理器的核心板，MYC-CZU5EV搭載了4核Cortex-A53（Upto1.5 GHz），并配置了FPGA+GPU+VideoCodec。不僅如此，MYC-CZU5EV還搭載了4 GB的DDR4 SDRAM（64 bit，2 400 MHz），通過分布式存儲方式為系統應對復雜網絡狀態數據運算提供可靠支持。借助板載的千兆以太網PHY和USB PHY，MYC-CZU5EV可以較快實現高速互聯，確保安全態勢評估的時效性，最大限度滿足網絡安全狀態評估需求。圖1為MYC-CZU5EV的接口設置，具體運行參數設置如表1所示。

圖1 MYC-CZU5EV接口設置

表1 MYC-CZU5EV運行參數設置

MYC-CZU5EV運行參數設置具體步驟為：首先，利用FPGA邏輯單元設計網絡時延參數最小單元，使網絡運行狀態信息分析邏輯更為緊密，為后續觸發器轉換提供數據支撐；其次，通過觸發器轉換MySQL基礎數據庫中的網絡運行數據，確保系統信息數據存儲的安全性；再次，將轉換后的網絡運行數據按照查找表的方式設定成數組形式，提高算法計算能力，減少后續狀態文本預處理工作量，能夠有效提高查詢速率；之后，將數組輸入至Block RAM中，采用偽雙口RAM實現高頻時鐘輸出，預處理網絡運行狀態文本；最后，根據網絡運行狀態對乘法器進行二進制數相乘設定，模擬網絡多路數據運行信號，減輕服務器端的壓力。

通過MYC-CZU5EV的高效運行，可以實現網絡多路數據信息的并行交互，有效提升安全態勢評估的穩定性，為后續安全態勢評估提供可靠支撐。

2 軟件設計

在完成對系統硬件設計后，在不斷強化系統硬件性能的基礎上，對軟件進行改造研究。根據時間因子參數計算網絡時延參數，分析網絡攻擊作用強度，確定網絡安全態勢評估模式。通過計算網絡實際時延與理想值的差異，完成網絡安全態勢評估。

2.1 基于時間因子的網絡狀態分析

在對網絡安全態勢進行評估時，不僅需要分析當前網絡基礎運行狀態，還需要充分考慮網絡攻擊作用強度[10-11]。為此，本文在設計網絡安全狀態評估系統軟件階段，通過設置時間因子參數的方式分析網絡運行狀態。假設在任意時刻t，網絡的傳輸時延為a，那么穩態模式下的網絡狀態為

其中，ε表示網絡時序狀態允許時延波動閾值，a(t)和a(t+1)表示連續時間序列下網絡的時延參數。將式（1）作為MYC-CZU5EV實施網絡狀態劃分基準，當輸入到MYCCZU5EV中的數據滿足式（1）時，則按照噪聲擾動模式實施網絡安全態勢評估；當輸入到MYC-CZU5EV中的數據不滿足式（1）時，則按照網絡攻擊模式實施網絡安全態勢評估。

2.2 網絡安全態勢計算

按照2.1節所示的方式確定網絡安全態勢評估模式后，本文按照安全程度為100%狀態下的安全態勢值為1的條件完成網絡安全態勢計算。當數據處理過程為噪聲擾動模式時，直接利用實際時延與理想值之間的差異實現網絡安全態勢計算，對應的計算方式可以表示為

其中，k表示噪聲擾動模式下的網絡安全態勢值。

當數據處理過程處于網絡攻擊模式時，網絡安全態勢計算需要綜合考慮當前網絡運行實際狀態和攻擊流量情況，對應的計算方式可以表示為

按照模式計算的方式，實現網絡安全態勢準確評估。但是需要注意的是，不同網絡的實際運行指標參數設置具有一定差異性，為了避免出現由于網絡攻擊強度較低導致評估模式分析異常的情況，需要對時間因子尺度單元進行適應性調節，以此確保評估結果的準確性。

3 應用測試與分析

為了有效驗證本文設計的基于時間因子的網絡安全態勢評估系統應用效果，本文在測試環境中對其展開測試分析，并設置了以楊宏宇等[7]建立在并行特征提取和改進BiGR基礎上的評估方法，熊中浩等[8]以DBN為基礎的評估方法為核心的對照組。通過分析三種不同方法對于網絡安全態勢的評估結果，驗證本文設計系統的應用價值和有效性。

3.1 測試環境設置

通過仿真的形式對設計系統的應用效果進行測試階段，對應的測試環境為3.00 GHz Core(TM)2 Duo CPU，內存大小為6.00 G，搭載的操作系統為Ubuntu12.10，使用的仿真工具為Mininet 2.0.5。在此基礎上，為了最大限度確保模擬環境與實際網絡環境相近，利用POX 0.1.0實現對整個網絡的控制。對于安全攻擊的生成，本文借助了Scapy，利用其在測試環境中導入背景流量，實現對不同網絡攻擊的模擬。對于測試具體網絡拓撲結構的設置，本文利用SDN控制器實現對整個網絡的控制，并構建包含6個Switch的轉發面。在此基礎上，網絡的鏈路帶寬可以達到10 Mbps。Switch不同連接段之間的背景數據交互形成信息流，對應的發送速率分為1 200 pps、1 000 pps、800 pps和200 pps。考慮到在攻擊狀態下網絡中會存在一定的噪聲，并且具有較為明顯的隨機性，本文通過建立發送源IP地址和端口號的變化屬性實現模擬。在Switch中輸入不同的速率的攻擊數據流，并測試相應條件下網絡的安全狀態。將所設計的方法與楊宏宇等[7]提出的改進BiGRU評估方法（以下簡稱改進BiGRU評估方法）及熊中浩等[8]提出的DBN評估方法作為對比方法（以下簡稱DBN評估方法），測試不同方法得到的實驗結果。

3.2 測試結果與分析

在上述基礎上，本文分別在測試進行的第20 s、40 s、60 s以及80 s按照1 200 pps、1 000 pps、800 pps和200 pps的速率，向仿真網絡環境中輸入攻擊流量，對應的持續時間均為0.5 s。以此為基礎，統計不同評估方法的評估結果，得到的數據信息如圖2所示。

圖2 網絡安全態勢評估結果對比圖

對圖2中的數據進行分析可以看出，三種評估方法均能夠實現對網絡安全攻擊下對應安全態勢波動的分析，但是結合本文設置的攻擊流量速率，實施在20 s、40 s、60 s以及80 s的攻擊強度逐漸減弱，相應時刻的網絡安全態勢值也是以逐漸增加的形式存在。以此為基礎對三種方法的評估結果進行分析，其中改進BiGR評估方法對20 s和40 s的網絡安全態勢呈現出與實驗設置相反的特征，對于60 s和80 s的評估結果發展趨勢與實驗設置一致。DBN評估方法對于20 s和40 s的評估結果并未表現出明顯的差異，雖然對于60 s的安全態勢值評估結果體現了攻擊強度的變化，但是80 s時刻的評估結果也同樣存在趨勢分析偏差的問題。相比之下，本文設計系統的評估結果中，對應20 s、40 s、60 s以及80 s的安全態勢值表現出了明顯的遞增趨勢，這與實驗設置具有較高的一致性。測試結果表明，本文設計的基于時間因子的網絡安全態勢評估系統可以實現對不同攻擊強度下網絡安全狀態發展趨勢的有效評估。

在此基礎上，為了進一步分析評估結果與網絡實際安全狀態之間的關系，借助Mininet 2.0.5計算了在不同攻擊流量下網絡的安全態勢值，并與三種方法對應的評估結果進行比較，得到的數據結果如表2所示。

表2 安全態勢值評估數據對比表

對表2中的數據進行分析可以發現，三種方法對于網絡安全態勢值的評估結果均與實際值存在一定的偏差，但是對應的偏差程度存在較為明顯的差異。其中，改進BiGR評估方法的最小誤差僅為0.01，但是最大值達到了0.08，穩定性有待提升。DBN評估方法誤差的最大值達到了0.23，準確性存在一定的提升空間。相比之下，本文設計系統的評估結果與實際安全態勢值之間的誤差最小，且具有較高的穩定性，始終穩定在0.03以內。測試結果表明，本文設計的基于時間因子的網絡安全態勢評估系統能夠實現對網絡安全狀態的準確分析，具有可靠的應用效果。

3 結語

信息技術的發展在促進網絡應用范圍不斷擴大的同時，也帶來了相應的安全管理問題。本文提出基于時間因子的網絡安全態勢評估系統研究，借助網絡在遭到攻擊時對應的響應時間變化情況，實現了對其安全狀態的準確分析，對于實際的網絡安全維護具有良好的應用價值。但是，由于研究時間和研究條件有限，應用測試仿真實驗選擇的網絡攻擊行為類型為流量型攻擊（網絡層攻擊和應用層攻擊），未對單包攻擊進行仿真實驗。所以，在之后的研究會進一步延伸網絡攻擊行為的選擇，借助本文的研究，對畸形報文攻擊、特殊報文攻擊、掃描窺探攻擊的單包攻擊進行應用測試，以期為網絡安全態勢監測和管理工作的開展提供新思路。