網絡安全態勢感知模型的構建

張 睿

（中國石化集團共享服務有限公司 北京 100010）

0 引言

隨著網絡用戶人數的增加，數據信息更加豐富，查詢速度、覆蓋面有了很大幅度的提升[1]。在此時代背景下，信息泄露問題較為嚴重，一些惡意軟件入侵用戶設備網絡體系，加大了網絡安全威脅[2]。近年來，開發的一些網絡防御工具，未能起到很好的功效，網絡攻擊問題仍然很嚴重。網絡安全影響數據信息（cyber threat intelligence，CTI）的出現，為網絡安全研究開辟了新的路徑[3]。該項技術借助網絡安全影響數據信息獲取大量數據，而后通過數據共享與分析，從中挖掘網絡惡意行為信息，有助于APT的預防。由于CTI的研究時間比較短，尚未形成較為完善的CTI網絡態勢感知模型[4]。本文嘗試從網絡安全態勢感知準確性判斷角度出發，通過構建網絡安全態勢感知模型，對網絡運行期間的安全性加以診斷。

1 基于網絡安全影響數據信息的網絡態勢感知模型

1.1 網絡安全影響數據信息下的態勢察覺方法

網絡安全影響數據信息指的是一種可以為網絡威脅的響應分析與處理決策提供支撐的技術，以信息資產醞釀中的證據性相關知識、IT信息等為核心，對其含有的標示、上下文、能夠執行建議、實施上下文等進行威脅響應分析與處理，從而達到快速獲取網絡安全態勢診斷結果的目的[5]。按照網絡安全影響數據信息來源不同，可以將其分為兩種類型，分別是外源網絡安全影響數據信息、內源網絡安全影響數據信息。

（1）外源網絡安全影響數據信息：一般情況下，此項情報主要用于描述網絡安全預警信息、安全事件信息、網絡公開漏洞信息。

（2）內源網絡安全影響數據信息：該類型情報指的是機構或者企業網絡運營下產生的網絡安全影響數據信息數據，作為業務流程、機構或者企業的內部信息資產的保護支撐。一般情況下，網絡系統遭受惡意攻擊后，利用入侵系統可以檢測出相關數據集，按照數據類別加以分析，經過一番對比，最終生成系統內源網絡安全影響數據信息，作為網絡安全態勢感知工具。

本研究設計的威脅態勢覺察方法是通過處理目標系統，挖掘攻擊工具、攻擊目的、網絡影響相關信息。借助STIX2.0提取威脅屬性、網絡威脅對象，將數據融合到一起，形成安全事件[6]。通過計算這些事件的權重，對其造成的網絡安全威脅價值展開更加深入的分析，經過分析得以獲取內源威脅信息。

1.2 態勢感知模型的構建

本研究根據網絡安全態勢分析需求，探究態勢覺察過程，引入相似度分析方法，構建態勢感知模型。圖1為模型設計方案。

該模型中，以網絡用戶的資產狀態、風險狀態、日志警告作為信息采集指標，對網絡威脅態勢要素進行采集，采集信息作為態勢覺察信息支撐。關于態勢覺察分為3部分，分別是數據預處理、數據建模、覺察結果。其中，數據預處理包括數據篩選與清洗；數據建模包括數據分析、數據關聯，即通過數據分析，挖掘各個數據之間的關聯關系，從而創建數據關聯體系，以便分析。關于數據模型的構建，應用外源網絡安全影響數據信息作為開發工具，通過相似度分析，生成內源威脅信息；覺察結果分為兩部分，分別是異常攻擊行為、攻擊行為特征，利用數據模型進行分析，可以獲取這兩項結果。在此基礎上，通過態勢理解，將覺察結果轉化為理解結果，包括兩部分，分別是防御策略、攻擊策略。理解結果將作為攻防博弈處理支撐，經過攻防博弈作業應用，生成投射結果，包括量化預測、威脅評估。另外，覺察結果也將作為STIX結構化分析依據，經過結構化分析與處理，生成內源威脅信息，形成內源網絡安全影響數據信息。

1.3 相似度分析

威脅價值信息獲取涉及的工具為相似度分析作業流程如下。

第1步：態勢觀察結果。

第2步：STIX拆分為5個部分，分別是Indcator、Tool、Attack Pattern、Observed Data、Vulnerability。

第3步：按照上述數據類型，將數據融合到一起，形成安全事件。

第4步：采用相似度計算方法，通過訪問ECTI數據庫，對當前收集到的網絡數據信息安全性加以判斷，如果網絡安全性低于或者等于網絡安全威脅標準，則執行第5步，如果網絡安全性高于網絡安全威脅標準，更新異常行為數據庫，而后返回第3步。

第5步：生成內源威脅信息。

1.4 權重計算

由于開源網絡安全影響數據信息庫比較龐大，將其與內部SI匹配成功的可能性比較低。所以，將安全事件類型作為標準，利用與該類型相同的網絡安全影響數據信息作為分析支撐，經過一番情報分析后，生成安全事件。本研究針對ECTI的分類，使用CAPEC-id進行網絡攻擊分類，更為清晰地統計每一種網絡安全影響數據信息類型。其中，情報中的威脅數據具有SI特性。

本研究以Indicator為例，討論外源網絡安全影響數據信息中Indicator出現的次數，通過計算ECTI中出現Indicator的頻率，構建目標矩陣，對元組下屬性權重進行計算。按照屬性不同，將Indicator拆分為3種類型，分別是Name、Labels、pattam，出現頻次小組劃分記為idn，統計不同屬性出現頻次。其中，屬性為Name出現頻次為idn小組的屬性出現次數記為x1n；屬性為Labels出現頻次為idn小組的屬性出現次數記為x2n；屬性為pattam出現頻次為idn小組的屬性出現次數記為x3n。

在此基礎上，計算ECTI中各個屬性出現頻率，公式如下：

相對優越度矩陣中目標對象為rij，隨著頻次的增加，網絡運營生成的網絡安全影響數據信息代表性更強。目標系統安全狀態的反映準確性主要取決于網絡安全影響數據信息準確性。利用以下公式可以計算出相對優越值rij：

關于ECTI屬性權重的計算如下：

利用上述公式進行計算，獲取Indicator權重，記為ω′=(ω′11，ω′12，ω′13)。采用同樣的方法可以計算出屬性權重，獲取SI中其他元素屬性權重數值，記為ω′ij。通過收集和整理網絡運行系統中的安全數據，獲取各個元組權重，記為ωi。同時，也可以計算元組對應的屬性權重值，記為ωij，以下為權重的計算公式：

公式（4）中，yij代表內部安全事件發生次數。關于ωi的計算，通過構建數據集獲取計算結果，即ωi={ωi1,ωi2,…,ωij}。其中，i的取值范圍1，2，3，4，5，j取正整數。

通過對比ω′ij和ωij，計算二者的差值。如果差值比較小，則同類ECTI與安全事件的相似性較大，反之，如果差值比較大，則二者之間的相似性較小。

采用同樣的方法，可以計算ECTI與各個元組的相似度，將計算結果中的最大值作為最終分析數據，記為外源網絡安全影響數據信息與網絡內部安全事件之間的相似度。判斷該結果是否低于或者等于安全威脅標準，如果符合此情景，則判定當前網絡存在安全威脅。如果該結果高于安全威脅標準，那么判定當前網絡不存在安全威脅。通過安全態勢評估獲取當前網絡狀況信息后，采取相應的網絡安全防御措施。

2 基于網絡安全影響數據信息的網絡安全防攻模型

2.1 網絡安全攻防模型的構建

網絡運行系統遭受攻擊時，往往采取的應對措施會對網絡運行狀態造成較大影響，需要系統更新后才可以使用。當新的系統啟動后，仍然面臨著遭受網絡攻擊的問題，發現攻擊行為后，再次采取應對措施加以處理，更新系統后才可以恢復系統正常作業。這個安全攻防過程采用的思想為博弈思想。而這個思想符合本研究提出的基于網絡安全影響數據信息的網絡安全防攻模型構建要求。所以，本研究采用隨機博弈思想構建網絡攻防模型。圖2為內源網絡安全影響數據信息生產主要流程。

第1步：收集內源威脅信息。

第2步：將內源威脅信息與攻防策略均衡應用下的預測結果進行對比，判斷兩者是否達成一致，如果能夠達成一致，那么執行第3步，反之，返回第1步。

第3步：生成內源網絡安全影響數據信息。

利用該模型在分析問題時，需要采取態勢量化處理。當目標系統遭受攻擊后，當防御方采取一些處理措施后，帶來的收益、成本、效用將發生很大變化。

根據MIT林肯實驗室的研究結果，獲取攻擊分類信息，通過查看威脅行為攻擊示意圖中各個信息之間的關系，將網絡安全影響數據信息劃分為6種類型。其中，網絡安全影響數據信息類型相同的情況下，各個網絡安全影響數據信息的威脅度均相同，見表1。

表1 威脅度與網絡安全影響數據信息分類

關于網絡攻擊防御成本的分類，以外源網絡安全影響數據信息處置期間的復雜程度作為劃分標準，生成4個級別。

DC1級別：該級別沒有采用任何的防御措施，需要付出的網絡運行操作代價為0。

DC2級別：該級別雖然采取的一些防御措施，但是采取的防御措施成本很小。例如，對攻擊行為展開部分監測等。

DC3級別：針對網絡運行系統攻擊行為，采取一些阻止性能措施加以防御，該行為需要支出的成本偏高。

DC4級別：修復網絡運行系統的攻擊安全漏洞，該防御處理措施需要付出的操作成本很大，同時也會對系統造成一定損害。

采用量化分析方法，對操作代價采取處理，需要付出的網絡攻擊防御處理成本記為DC，取值范圍DC=（0，3，9，11）。

2.2 網絡安全攻擊預測

博弈期間，經過納什均衡處理后生成的博弈策略均為最優方案。當攻擊者對網絡進行攻擊時，網絡防御方希望盡可能降低預防成本，從中獲取更為可觀的利益。面對此類情況，根據納什均衡操作特點，處理后一定可以得到均衡點。所以，本研究選取納什均衡作為預測工具，提出攻擊預測方案研究。

攻防期間，攻擊方與防御方采取的策略均存在盲點，所以，在不改動納什均衡的情況下無法得到準確的網絡安全攻擊預測結果。關于納什均衡在安全攻擊預測中的應用，假設網絡安全防御、網絡安全攻擊需要根據概率向量選擇具體的應對策略，通過構建混合策略，形成安全防御、安全攻擊預測體系。根據攻擊者效益期望值，推算防御者效益期望值。從混合策略中找到均衡效用期望，作為預測最優值。將此部分參數作為預測分析依據，對網絡安全攻擊展開全面預測。

3 測試分析

3.1 測試內容與方法

3.1.1 威脅覺察

本次實驗測試中ECTI包括CAPEC-122、CAPEC-185、CAPEC-47、CAPEC-24，對這些對象加以威脅覺察，從中挖掘網絡攻擊信息。按照表2中的攻擊種類與時間，對外源網絡安全影響數據信息與攻擊信息之間的相似度進行計算，根據計算結果判斷此部分信息是否可以生成內源網絡安全影響數據信息。

表2 攻擊種類與時間

表2中，將時間設置為周一、周二、周三、周四、周五，分別在每一天設置攻擊時段，在各個時段展開威脅覺察測試。

3.1.2 攻擊預測

本次測試分析選取5處主機漏洞作為預測對象，采用如表3所示的防御方法進行處理，預測網絡攻擊情況。為了體現本研究方法的優勢，選取Verhulst灰色模型、RBF神經網絡作為對照。

表3 系統漏洞信息與防御

3.2 測試結果分析

3.2.1 威脅覺察測試結果

本次測試中，ECT中Indicator屬性出現頻次見表4。根據該表中的數據，構建Indicator目標矩陣。

表4 ECT中Indicator屬性出現頻次

計算外源網絡安全影響數據信息權重為（0.24，0.41，0.32），其他元組的屬性權重為（0.57，0.43）、（0.57，0.43）、（1）（0.34，0.324，0.324）。通過計算各個元組權重，對比外源網絡安全影響數據信息與安全事件，得到相似度結果為0.24。按照0.5的對比標準，判定當前事件具有威脅價值。此覺察結果符合威脅行為挖掘標準。

3.2.2 攻擊預測測試結果

按照測試方法，分別對3種預測方法的預測結果精度進行統計。其中，Verhulst灰色模型的攻擊預測標準差結果為0.1069；RBF神經網絡的攻擊預測標準差結果為0.0478；本研究方法的攻擊預測標準差結果為0.0426。根據此預測結果可以發現，本研究方法的預測標準差結果最小，所以，該方法應用下生成的攻擊預測結果精度更高，可以作為網絡安全威脅預測工具。

4 結語

本文圍繞網絡安全態勢評估與預測問題展開研究，利用網絡安全影響數據信息構建網絡安全態勢感知模型。該模型以網絡用戶的資產狀態、風險狀態、日志警告作為信息采集指標，采集到的網絡威脅態勢要素信息作為態勢覺察信息支撐，通過威脅覺察獲取一定信息，經過安全態勢評估與預測，得到網絡安全預測結果，為網絡防御工作的開展奠定基礎。測試結果顯示，本研究方案能夠有效覺察，測試精準度較高，有助于網絡安全威脅預測水平的提升。