基于事故樹的云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)

丁 之，何啟學(xué)，唐冬升，倪 楊

（1.四川中煙工業(yè)有限責(zé)任公司，成都 610016；2.中科院成都信息技術(shù)股份有限公司，成都 610299；3.成都中科信息技術(shù)有限公司，成都 610299）

云機房是用于存儲或者運行計算資源的物理場所，因此也可將其看作為服務(wù)器房，是由物理硬件設(shè)備組成，包含服務(wù)器、存儲設(shè)備以及網(wǎng)絡(luò)交換機等[1]，用戶可通過云機房完成云上程序的部署，用戶利用云機房能夠降低運行的額外成本[2]。由于云機房的設(shè)備數(shù)量較大，并且網(wǎng)絡(luò)連接較為復(fù)雜，屬于典型的大規(guī)模網(wǎng)絡(luò)，主要以大覆蓋的信息傳輸方式為主，該類網(wǎng)絡(luò)存在跨域特點[3]，并且對于宏觀網(wǎng)絡(luò)態(tài)勢的精準(zhǔn)管理存在一定不足，導(dǎo)致云機房網(wǎng)絡(luò)維護難度較大，在運行過程中一旦受到惡意攻擊和入侵，會導(dǎo)致云機房發(fā)生大規(guī)模安全風(fēng)險[4]。

因此，為保證云機房網(wǎng)絡(luò)運行安全，需對網(wǎng)絡(luò)安全事件進行態(tài)勢分析，掌握風(fēng)險的危險程度，進而針對性采取相關(guān)防護措施[5]。文獻[6]結(jié)合改進粒子群優(yōu)化和極限學(xué)習(xí)機算法對網(wǎng)絡(luò)的安全態(tài)勢進行預(yù)測，分析網(wǎng)絡(luò)的運行狀態(tài)，但是該方法在應(yīng)用過程中，無法針對安全態(tài)勢的危險度進行分析。文獻[7]采用多源異構(gòu)數(shù)據(jù)融合的方式，結(jié)合數(shù)據(jù)的融合分析結(jié)果，對網(wǎng)絡(luò)安全態(tài)勢進行評估，但是該方法無法針對網(wǎng)絡(luò)危險事件的重要度進行分析。

事故樹分析方法是依據(jù)邏輯推理進行危險性辨識的一種方法[8]，該方法能夠分析事故發(fā)生的直接原因，同時能夠判斷事故潛在因素，因此該方法屬于定量分析方法，在風(fēng)險管理領(lǐng)域中具有較好的應(yīng)用效果。因此，本文為實現(xiàn)云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測，研究基于事故樹分析的云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)。

1 云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測

1.1 云機房網(wǎng)絡(luò)運行數(shù)據(jù)采集

本文為實現(xiàn)云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測，需先獲取該網(wǎng)絡(luò)的日志數(shù)據(jù)，因此，云機房模塊采用日志類傳感器進行云機房網(wǎng)絡(luò)數(shù)據(jù)采集，日志類傳感器結(jié)構(gòu)如圖1 所示。

圖1 日志類傳感器結(jié)構(gòu)Fig.1 Log type sensor structure

日志類傳感器在完成網(wǎng)絡(luò)數(shù)據(jù)采集的同時，能夠?qū)崿F(xiàn)數(shù)據(jù)的篩選、合并以及初步分析，并生成統(tǒng)一格式的安全事件數(shù)據(jù)，經(jīng)由專用的網(wǎng)絡(luò)接口，將該數(shù)據(jù)傳送至上層應(yīng)用中，進行網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測以及危險度分析。

1.2 云機房網(wǎng)絡(luò)危險度評價

1.2.1 異常數(shù)據(jù)流檢測

功能模塊以數(shù)據(jù)管理模塊中存儲的數(shù)據(jù)為依據(jù)，依據(jù)數(shù)據(jù)特點，以網(wǎng)絡(luò)傳輸數(shù)據(jù)量較大鏈路中傳輸?shù)臄?shù)據(jù)流為核心進行時間窗口設(shè)置；為計算不同時間段內(nèi)數(shù)據(jù)的基本特征，采用時間窗口內(nèi)數(shù)據(jù)包劃分的方式完成；并且標(biāo)記數(shù)據(jù)包的屬性類別以及數(shù)據(jù)包更新。

通過上述內(nèi)容對數(shù)據(jù)包進行篩選后，獲取數(shù)據(jù)屬性，包括源IP 地址、源端口、協(xié)議類型、時間戳、目的IP 地址等，篩選后鏈路數(shù)據(jù)包的屬性分布特征的提取采用非廣延熵技術(shù)完成；對提取的特征結(jié)果進行處理，計算檢測數(shù)據(jù)包i 的出現(xiàn)概率，其計算公式為

式中：A 為數(shù)據(jù)包的出現(xiàn)數(shù)量；mi為i 的出現(xiàn)次數(shù)。

判斷數(shù)據(jù)流中存在的異常網(wǎng)絡(luò)數(shù)據(jù)，并計算異常數(shù)據(jù)第j 個屬性的相似度結(jié)果，其計算公式為

式中：T 為時間窗口中數(shù)據(jù)的最大時差；Hj為第j 個屬性節(jié)點與最近公共節(jié)點的層數(shù)；ξ 為數(shù)據(jù)流層次結(jié)構(gòu)的總層數(shù)。

異常數(shù)據(jù)流相似度用S 表示，其計算公式為

式中：wj為第j 個屬性權(quán)重。

依據(jù)相似度計算結(jié)果設(shè)置最小相似度閾值，同時完成異常數(shù)據(jù)流集成處理，并對集成后的數(shù)據(jù)流進行深入挖掘，獲取總體特征和網(wǎng)絡(luò)安全態(tài)勢之間的關(guān)聯(lián)，對相似簇的異常數(shù)據(jù)進行整理，形成多個簇，完成異常網(wǎng)絡(luò)數(shù)據(jù)檢測。

1.2.2 網(wǎng)絡(luò)危險度

依據(jù)上述小節(jié)完成云機房網(wǎng)絡(luò)中異常數(shù)據(jù)流檢測后，進行網(wǎng)絡(luò)安全態(tài)勢感知，以此獲取云機房網(wǎng)絡(luò)安全危險度的可度量信息。如果檢測的異常數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)安全事件用e 表示，其在歷史上發(fā)生的可能性用Ke表示，其計算公式為

式中：φ 為所有更新數(shù)據(jù)中窗口數(shù)據(jù)的占據(jù)比例；D為窗口檢測閾值；Be為云機房網(wǎng)絡(luò)中異常事件的發(fā)生概率。

在進行云機房網(wǎng)絡(luò)風(fēng)險度量化分析時，需結(jié)合異常數(shù)據(jù)流的威脅指數(shù)完成，以此計算云機房網(wǎng)絡(luò)危險度，其計算公式為

式中：U 為云機房網(wǎng)絡(luò)防御值。F 的值越大表示云機房網(wǎng)絡(luò)安全性越高，危險度越低，反之則安全性越低，危險度越高。

1.3 基于事故樹分析的云機房網(wǎng)絡(luò)安全事件重要度計算

依據(jù)上述小節(jié)完成F 值的計算后，依據(jù)該結(jié)果進行云機房網(wǎng)絡(luò)安全事件重要度計算，文中采用事故分析法完成，該方法是依據(jù)事故樹的結(jié)構(gòu)，進行求取事故樹的最小割集處理，確定頂事件發(fā)生的原因和基本事件的結(jié)構(gòu)重要度。采用結(jié)構(gòu)函數(shù)描述事故樹結(jié)構(gòu)的數(shù)學(xué)模型，其公式為

式中：Yi為第i 個網(wǎng)絡(luò)安全事件的狀態(tài)結(jié)果；Fi為第i 個網(wǎng)絡(luò)安全事件的狀態(tài)值；2n為狀態(tài)組合數(shù)量；p為基本事件的狀態(tài)組合序號；φ（F）和φp（F）均為狀態(tài)變量，前者對應(yīng)頂事件，后者對應(yīng)第p 個網(wǎng)絡(luò)安全事件狀態(tài)組合，如果發(fā)生頂事件兩者的值均等于1，如果沒發(fā)生事件，兩者的值均等于0。

如果基本發(fā)生概率用qi表示，其包含網(wǎng)絡(luò)元件故障概率以及失誤概率，為完成頂事件發(fā)生概率計算，文中采用布爾代數(shù)對事故樹進行簡化處理，生成具有“與門”和“或門”相連接的樹，結(jié)合實際需求，通過2 種門完成頂事件發(fā)生概率計算，文中選擇“與門”完成該計算，其計算公式為

依據(jù)上述公式即可完成云機房網(wǎng)絡(luò)安全事件的重要度，依據(jù)該結(jié)果即可分析網(wǎng)絡(luò)未來的變化情況，完成云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測。

1.4 云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)架構(gòu)

云機房網(wǎng)絡(luò)屬于大規(guī)模網(wǎng)絡(luò)，其在運行過程中，網(wǎng)絡(luò)空間受到的安全攻擊類別較多，并且該攻擊具有顯著的變化特性，導(dǎo)致網(wǎng)絡(luò)防御效果不理想；同時云機房網(wǎng)絡(luò)安全影響因素較多，自身漏洞、資產(chǎn)等各部分之間存在較為復(fù)雜的關(guān)聯(lián)，導(dǎo)致網(wǎng)絡(luò)安全危險度量化難度較大；因此，為實現(xiàn)云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測，綜合上述3 個小節(jié)的研究內(nèi)容，本文設(shè)計基于危險度評價和事故樹分析的云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)，該系統(tǒng)總體架構(gòu)如圖2 所示。

圖2 云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)架構(gòu)Fig.2 Architecture of automatic prediction system for network security situation in cloud computer room

該系統(tǒng)主要包含云機房模塊、數(shù)據(jù)管理模塊、功能模塊以及可視化模塊。云機房模塊主要是由大量物理服務(wù)器以及網(wǎng)絡(luò)軟件程序組成，通過傳感器獲取網(wǎng)絡(luò)運行的所有相關(guān)數(shù)據(jù)；采集的數(shù)據(jù)均存儲在數(shù)據(jù)管理模塊中；功能模塊是依據(jù)存儲的數(shù)據(jù)進行云機房網(wǎng)絡(luò)危險度評價以及云機房網(wǎng)絡(luò)安全事件重要度計算，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測，分析網(wǎng)絡(luò)運行的危險度，完成風(fēng)險度量化，實現(xiàn)網(wǎng)絡(luò)多種攻擊預(yù)測。

2 測試結(jié)果與分析

為驗證文中設(shè)計的預(yù)測系統(tǒng)對于云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測效果，選擇某企業(yè)的云機房網(wǎng)絡(luò)作為研究測試對象，采用文中設(shè)計的預(yù)測系統(tǒng)對其進行安全態(tài)勢自動化預(yù)測，該網(wǎng)絡(luò)結(jié)構(gòu)如圖3 所示。

圖3 某企業(yè)的云機房網(wǎng)絡(luò)結(jié)構(gòu)Fig.3 Network structure of cloud computer room in an enterprise

該網(wǎng)絡(luò)的內(nèi)網(wǎng)為1000 M，外網(wǎng)為300 M，以中心交換機作為網(wǎng)絡(luò)交互傳輸?shù)暮诵模W(wǎng)絡(luò)整體分為5 個服務(wù)分區(qū)，各區(qū)的網(wǎng)絡(luò)設(shè)備相關(guān)參數(shù)如表1 所示。

表1 各區(qū)的網(wǎng)絡(luò)設(shè)備相關(guān)參數(shù)Fig.1 Relevant parameters of network equipment in each district

為驗證預(yù)測系統(tǒng)的網(wǎng)絡(luò)日志數(shù)據(jù)采集效果，采用傳感器流量負(fù)載情況作為衡量標(biāo)準(zhǔn)，記錄傳感器在不同的網(wǎng)絡(luò)服務(wù)器數(shù)量下，隨著采集數(shù)據(jù)包數(shù)量的增加，傳感器流量負(fù)載的測試結(jié)果，采集結(jié)果如圖4 所示。由圖4 可知，設(shè)計的預(yù)測系統(tǒng)具有全面的網(wǎng)絡(luò)運行相關(guān)數(shù)據(jù)采集能力，可獲取云機房網(wǎng)絡(luò)運行過程中的數(shù)據(jù)包傳送情況、內(nèi)存信息、IP 地址信息等，為云機房網(wǎng)絡(luò)安全態(tài)勢預(yù)測提供可靠依據(jù)。

圖4 云機房網(wǎng)絡(luò)數(shù)據(jù)采集結(jié)果Fig.4 Cloud computer room network data collection results

為驗證設(shè)計的預(yù)測系統(tǒng)在網(wǎng)絡(luò)安全態(tài)勢預(yù)測中的應(yīng)用效果，選擇決定系數(shù)作為評級指標(biāo)，其取值在0～1 之間，該指標(biāo)能夠衡量系統(tǒng)的預(yù)測泛化能力，取值越小，表示系統(tǒng)對于網(wǎng)絡(luò)安全態(tài)勢的量化效果越佳，該指標(biāo)的計算公式為

依據(jù)式（8）計算R2的結(jié)果如圖5 所示，由于篇幅有限，僅呈現(xiàn)遠程攻擊、僵尸網(wǎng)絡(luò)、源地址篡改3種風(fēng)險的預(yù)測結(jié)果。依據(jù)圖5 測試結(jié)果可知，文中設(shè)計的預(yù)測系統(tǒng)對于云機房網(wǎng)絡(luò)安全態(tài)勢的量化效果較好，結(jié)果均在0.022 以下，能夠預(yù)測云機房網(wǎng)絡(luò)中不同類別的風(fēng)險態(tài)勢。

圖5 網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果Fig.5 Prediction results of network security situation

為進一步分析文中設(shè)計的預(yù)測系統(tǒng)對于云機房網(wǎng)絡(luò)安全態(tài)勢的量化效果，隨機選擇10 個不同目的IP 地址網(wǎng)絡(luò)的風(fēng)險態(tài)勢預(yù)測量化結(jié)果，如表2所示。依據(jù)表2 可知，文中設(shè)計的預(yù)測系統(tǒng)應(yīng)用后，能夠有效實現(xiàn)不同目的IP 地址網(wǎng)絡(luò)的風(fēng)險態(tài)勢預(yù)測量化分析，獲取各個目的IP 地址網(wǎng)絡(luò)的態(tài)勢值，依據(jù)該結(jié)果能夠判斷網(wǎng)絡(luò)的危險度。

表2 風(fēng)險態(tài)勢預(yù)測量化結(jié)果Tab.2 Quantitative results of risk situation prediction

3 結(jié)語

云機房網(wǎng)絡(luò)規(guī)模較大，在運行過程中，網(wǎng)絡(luò)之間存在關(guān)聯(lián)，并且網(wǎng)絡(luò)的物理設(shè)備之間也相互連接，覆蓋范圍較大，會導(dǎo)致其在運行過程中容易受到不同程度的攻擊，影響網(wǎng)絡(luò)安全。因此，本文設(shè)計基于危險度評價和事故樹分析的云機房網(wǎng)絡(luò)安全態(tài)勢自動化預(yù)測系統(tǒng)。對該系統(tǒng)的應(yīng)用效果進行相關(guān)分析后得出，其具有較好的網(wǎng)絡(luò)數(shù)據(jù)采集能力，并且可完成網(wǎng)絡(luò)安全態(tài)勢量化分析，確定風(fēng)險詳細(xì)情況，判斷云機房網(wǎng)絡(luò)安全事件的重要度，為云機房網(wǎng)絡(luò)管理提供可靠依據(jù)。