一種評估通信基礎設施對網絡暴露威脅影響的分布式框架

摘 要：近年來，物聯網涉及的網絡安全范圍越來越廣泛，網絡威脅也隨之迅速變化。網絡威脅嚴重影響了公司的業績，而公司網絡安全狀況很大程度上取決于底層網絡基礎設施的健康狀況。因此，文中從整體框架上介紹了網絡可能存在的安全暴露風險，并提出了一種分布式測量解決方案的設計和實現，用以評估信息通信技術（ICT）基礎設施的網絡安全風險，通過提供自動化和可重復的測量過程來定義網絡安全指標。通過在現實世界的基礎設施上進行測試來證明所提出方法的有效性，討論了在2種不同情況下獲得的信息：具有不同特征的網絡比較和定義指標的實時監控。經驗證，文中所提出的解決方法是一種有效的自動網絡監控工具，它針對于異常趨勢能夠提供更有用的信息，并能觸發網絡安全修復活動。

關鍵詞：物聯網；網絡安全；分布式測量；網絡安全指標；自動化；ICT

中圖分類號：TP391 文獻標識碼：A 文章編號：2095-1302（2024）08-00-04

DOI：10.16667/j.issn.2095-1302.2024.08.016

0 引 言

網絡安全又稱為信息技術安全，是保護計算機、服務器、網絡、數據和設備免受惡意攻擊的技術[1]。網絡安全的主要目標是保證信息系統的信息安全三要素（機密性、完整性、可用性）的安全。網絡攻擊通常包含訪問、修改和破壞敏感信息，并借此向用戶勒索金錢或者中斷正常業務流程。

如今，數字國家的經濟和福利服務都基于網絡基礎設施實現[2]。漏洞可能會嚴重影響個人、企業甚至整個國家。安全事件還可能涉及物理基礎設施，導致重要服務不可使用，并造成經濟損失，甚至造成人員傷亡[3]。在這種情況下，一個普遍的假設是：所有基于失誤造成的損失都可以歸咎于惡意的攻擊意圖。每種類型的攻擊都涉及一個受害者的存在，這個受害者可以是一個組織、一個國家或一個人。

如果網絡攻擊的受害者是一家企業，除了聲譽受損外，攻擊還會造成嚴重的財務損失，例如競爭力喪失或戰略資產控制權的喪失。網絡攻擊可以針對現代社會的關鍵基礎設施（衛生、能源和交通等基本服務的網絡架構），從而波及到普通民眾。研究表明，網絡安全是歐洲的第二大緊急情況[1]。據估計，網絡犯罪使經濟成本增加了5倍，造成的財產損失從2011年的1 000多億美元增加到2017年的超5 000億美元，影響了全球近十億人口。此外，據估計，87%的網絡攻擊是由組織內經驗不足的員工造成的。

由于網絡安全范圍廣泛而復雜，并且威脅快速變化，所以很難對整個網絡基礎設施進行量化和客觀的安全評估，導致評估過程的完全自動化和擴展性變得難以實現。正如開源安全測試方法手冊中所建議的，“有能力的分析人員將需要充足的網絡知識、成熟的安全測試技能和批判性思維能力，以確保通過相關性分析來收集事實數據并產生實際結果”，這些技能在理解和實施安全準則時都是必需的[4]。為了進一步了解網絡基礎設施的安全性并更明確地控制，量化度量指標是直接且有效的方法[4]。

1 相關工作

以往的文獻中已經提出了許多用于度量信息和網絡安全的標準。Pendleton等人[5]描述了系統安全度量的維度，包括漏洞、防御、攻擊等。文中的度量標準屬于測量“接口誘導”漏洞一類，并考慮了軟件系統對某些攻擊的易感性。文中匯總了攻擊面和威脅暴露度的度量標準，用于評估系統的攻擊易感性。

Ramos等人[6]對基于模型的定量網絡安全度量（Network Security Metrics， NSM）進行了綜述，但該技術仍處在發展中，基于模型的定量方法對決策有價值，但不能完美反映網絡的安全水平。

Munir等人[4]提出了另一種衡量IT網絡安全水平的方法，使用漏洞掃描工具確定節點的漏洞水平并分類。該方法與文中的方法并不矛盾，但文中通過整合度量標準可以進一步減少漏洞掃描工具提供的錯誤警報。互聯網安全中心（Center for Internet Security， CIS）也面臨網絡安全領域缺乏廣泛認可和明確度量標準的問題。

Weintraub等人[7]進行的研究旨在通過提供關于危害系統可用性事件的客觀、定量和實時信息，降低與風險評估相關的不確定性，但該研究存在局限性。如所提出的圖形管理方法不一定可行，用于描述每個組件的實時狀態及其與其他組件的相互關系可能并不包括所有的安全特征；兩個節點之間的各種可能連接：文中認為，這種局限性是由于對該領域并未進行徹底評估造成的。

從相關文獻可知，在網絡安全領域，任何可能影響網絡安全的因素都不能被忽視，而當前尚未提供真正的標準來定義網絡安全姿態。此外，關于網絡基礎設施的物理和邏輯暴露問題的研究工作相對較少，并且沒有提出解決方案并給出統一的標準[8-9]。為此，文中提出了一種新的量化標準解決方案。

2 模型定義

文中提供了一個詳細的度量模型，該模型是設計分布式框架的基礎。設計該模型的目的是為企業的各種資產保管提供詳細指導，用于降低信息與通信技術基礎設施的暴露風險。為此，文中建議從評估攻擊面開始，以提取最終滿足信息需求的度量標準。這些信息需求可以針對公司內的多個接收者，定義要采取的安全對策。實際上，在公司內部，不同層次的信息需求是必要的：（1）執行層級；（2）業務/流程層級；

（3）實施/運營層級。

執行層級向業務/流程層級提供任務優先級、可用資源和整體風險容忍度，以更直接地感知系統的健康狀況。然而，這種方法對特定暴露配置相關風險的理解是有缺失的。為了解決該問題，信息需求以風險評估的形式呈現，提供更細粒度的信息。

在業務/流程層級，信息需求是風險管理過程的輸入。通過與實施層級建立直接渠道，可以共享業務需求并建立檔案。這使得執行層級能夠及時了解整體風險管理情況，并讓實施/運營層級了解業務影響[10]。

文中目標是提供一組詳細的度量標準，反映對網絡威脅的暴露情況，即信息需求。引入的模型以概念定義的方式描述了如何量化實地探測獲得的相關屬性，并將其轉化為相關度量標準。該模型按照5個級別劃分，每個級別的特點是信息聚合程度逐漸增加，直到信息需求成為最終目標。

在第一級別，使用工程工具來提取環境屬性，并獲取信息來源，包括基于簽名的入侵檢測系統、NetFlows以及目標網絡基礎設施的規格說明。其中，基于簽名的入侵檢測系統和NetFlows以JSON格式提供數據，這些數據是文中測量模型的主要來源。通過對這些數據的收集和分析，能夠深入了解目標網絡的通信模式、流量特征以及潛在的入侵行為。同時，結合基礎設施設計規格，能夠將環境屬性與預期配置進行對比，從而檢測出異常活動或配置偏差。

屬性層包括NetFlow.json和IDS.json文件中的相關信息。NetFlow.json包含IP地址、流狀態和端口號屬性，其中，IP地址包括有源地址和目標地址。流狀態有3個值：“New”表示數據流剛剛開始；“Established”表示正在運行；“Closed”表示流已終止。端口號屬性是源端口和目標端口。IDS.json文件是IDS服務的輸出，包含違規簽名的數據庫。選取的屬性包括簽名ID和警報嚴重性，范圍為1～5，分別為嚴重、危險、中度危險、低優先級和非優先級。實體和屬性劃分如圖1所示。

度量標準被分為兩組，如圖2所示。“攻擊面”組包括衡量可能被攻擊利用的物理和邏輯資產的度量標準。這些度量標準定義如下：

（1）檢測到的活動主機（Detected Active Hosts， DAH）用于量化在一定時間范圍內檢測到的活動主機數量；

（2）主機之間的交互（Host-to-Host Interactions， HTHI）用于量化主機之間（IP-源、IP-目標）的交互數量，并根據數據流狀態進行區分；

（3）端口（Ports）用于量化在給定時間間隔內檢測到的開放端口總數。已知的端口被視為服務器端口，其余被視為客戶端口。

3 測量過程

測量過程主要分為3個階段，詳細說明如下：

（1）抽取-轉換-加載：從管理分布式探針的系統中抽取必要的實體（NetFlow.json和IDS.json）。每個實體只取100 000行，每行代表一個流（Flow）以及時間戳信息，時間戳的間隔為30 min（測量的持續時間）。然后對文件進行轉換，使其符合后續階段的要求。最終將文件加載到AME（Automatic Measurement and Evaluation）腳本中。

（2）自動測量執行：其中一個MATLAB腳本自動化測量過程，顯示模型中定義的指標值。

（3）存儲：結果被存儲并準備用于測試計劃。

進行測試時，完成兩種類型的分析：一種是比較兩種網絡基礎設施在面臨威脅方面的情況；另一種是對指標進行時間序列分析，以監測網絡應對可能產生威脅的暴露情況。

在第一種情況下，對2個目標網絡基礎設施進行N次測量過程迭代，并提取它們的平均指標值，通過取平均值得到一個更全面的視角，了解系統在不同條件下的表現情況，并綜合考慮多次測量的結果。為了評估潛在威脅的程度，這些測量值被取平均并與另一基礎設施的值進行比較。

文中采取了更頻繁的測試策略，每天進行多次測試，并連續進行k天，隨后在一周后重復。通過時間序列分析，可以監測網絡指標隨時間的變化趨勢，從而推斷網絡暴露狀態的可能性。特別要關注峰值時段，因為它可能存在更高的威脅暴露風險，需要特別注意網絡安全性。

持續的測試和分析還有助于驗證已采取的安全措施是否有效。通過觀察測量值的變化，可以評估這些措施對網絡性能和安全性的影響。如果發現措施沒有達到預期效果，可以對基礎設施配置進行調整，填補差距或改進結果，這種迭代過程可以持續優化網絡的安全性和性能，并確保網絡在不斷變化的威脅環境中的適應性。

測量測試每天重復進行5次，分別在一天的不同時間段進行（8：30—9：00，11：00—11：30，13：30—14：00，16：00—16：30，18：30—19：00），每次測試持續30 min。測量在連續三天內重復進行，在一周后的另外三天內再次重復，共進行了30次實驗。

4 結果分析

對所提方法進行詳細測試，以評估其有效性。通過測試結果，展示文中設計的測量模型能夠準確識別潛在威脅的

原因。

測試活動的主要目標是比較2個具有不同特性的網絡基礎設施。這種比較可以基于可計算的指標，也可以考慮攻擊表面和網絡易感性這兩個宏觀類別。后一種情況下，可以得到4種不同的結果組合，定義了完整的暴露概況：

（1）2個指標都比較低：低或零值表示斷開連接，這種情況是無效的，更完美的情況應當是在攻擊表面指標方面取得較低值，而在網絡易感性方面為零或接近零。

（2）攻擊表面類別指標值較高，而網絡易感性相關指標值較低或為零，這種情況并不是表現最優秀的，但是結果相對來講可以接受。

（3）攻擊表面類別指標值較低但非零，而網絡易感性相關指標值較高，這種情況對公司來說相當危險，暴露風險程度極高。

（4）兩個類別的指標都取得較高值，表示在攻擊表面和網絡易感性方面都達到最大暴露，這種情況必須避免。

文中比較了從網絡1（工作站網絡）和網絡2（服務器網絡）獲得的指標平均值。網絡1的平均結果見表1所列。網絡2的平均結果見表2所列。

工作站網絡的攻擊表面較大。關于網絡易感性組的指標，可以觀察到警報數量多，平均嚴重性高。然而，涉及警報的級別信息以及涉及主機的百分比相對較低。這種情況在一個工作站網絡中可能是可以接受的，但在對企業業務至關重要的網絡中則應避免。

圖3中呈現了網絡1和網絡2易感性之間的比較，結果突出顯示了這2個配置文件之間的實質性差異。在圖3中，所有指標都顯示出2個網絡之間有明顯區別。

通過分析各個圖表，圖3中報告的威脅級別3值得關注，事實上，2個網絡存在一些相同的均標記為“威脅級別3”的危險事件。通過文中描述的方法，能夠追蹤導致這種行為的交互作用，并了解到這些事件是端到端通信，其中，源IP地址屬于網絡1，目標IP地址屬于網絡2。這不僅顯示了文中方法的有效性，更在經過適當深入的分析后，為安全人員提供了關于原因的詳細信息，便于他們采取正確的對策。對于嚴重性平均值和警報數量指標，仍然可以注意到網絡1和網絡2之間的差異。

關于基于嚴重性類型的威脅級別，值得注意的是，平均而言，網絡1的交互涉及的警報嚴重級別為1（嚴重）或3（中度危險），并且處于封閉狀態，這表明當前網絡暴露風險極大。而網絡2涉及的警報處于封閉狀態且嚴重級別為3，這明顯較不具備威脅性。從分析中可以得出結論，網絡1相對于網絡2的暴露風險更大。

由于服務器網絡具有明確定義的暴露概況，特點是資源數量有限，最低嚴重性的警報數量較少，且臨界水平較低，這個描述可以作為極低暴露網絡的基準。因此，假設不了解目標網絡的類型，通過將2個目標網絡與基準進行對比，可以很容易地識別服務器網絡。由此可以推斷，如果基礎設施符合典型的服務器網絡暴露概況，那么應當降低暴露風險。

5 結 語

文中提出了一種全新的框架，用于測量信息通信技術基礎設施對潛在安全威脅的暴露程度。該框架建立的基礎是：

（1）指標的定義；（2）目標測量過程的確定；（3）風險暴露的識別。

文中引入的測量過程從傳感器網絡中提取了數據定義，并考慮了網絡基礎設施的結構特性。通過在不同時間間隔內對2個具有不同特性的網絡（工作站網絡和服務器網絡）進行測量，可以確定暴露風險更高的網絡，并能夠幫助安全人員及時應對風險暴露問題。

總的來說，所提出的解決方案是一種有效的自動網絡監控工具，因為它與基線方法相比對于異常趨勢能夠提供更敏感和有用的信息，并能觸發網絡安全修復活動。

參考文獻

[1] BAY M. What is cybersecurity [J]. French journal for media research，2016，6：1-28.

[2] MARCO A，GRAZIANO B，SIMONE L，et al. Visual exploration and analysis of the italian cybersecurity framework [C]// AVI '18：Proceedings of the 2018 International Conference on Advanced Visual Interfaces. [S.l.]：[s.n.]，2018：1-3.

[3] JOSE J G. Towards a cyber security reporting system - a quality improvement process [C]// Computer Safety，Reliability，and Security，24th International Conference. [S.l.]：[s.n.]，2005：368-380.

[4] MUNIR R，DISSO J P，AWAN I，et al. Quantitative enterprise network security risk assessment [C]// UK Performance Engineering Workshop. [S.l.]：[s.n.]，2013.

[5] PENDLETON M，GARCIA-LEBRON R，CHO J H，et al. A survey on systems security metrics [J]. ACM computing surveys，2016，49（4）：1-35.

[6] RAMOS A，LAZAR M，HOLANDA F R，et al. Model-based quantitative network security metrics： a survey [J]. IEEE communications survey tutorial，2017，19（4）：2704-2734.

[7] WEINTRAUB E，COHEN Y. Defining network exposure metrics in security risk scoring models [J]. International journal of advanced computer science and applications，2018，9，（4）：399-404.

[8] ISO I E C，IEC N. ISO/IEC [J]. IEEE international standard-systems and software engineering vocabulary，2017：1-541.

[9] MOURATIDIS H，ISLAM S，SANTOS-OLMO A，et al. Modelling language for cyber security incident handling for critical infrastructures [J]. Computers amp; security，2023，128：103139.

[10] BARRETT M P. Framework for improving critical infrastructure cybersecurity version 1.1 [J]. Decision support systems，2021，147（8）：113580.

收稿日期：2023-08-15 修回日期：2023-09-20

作者簡介：劉 洋（1996—），男，工程師，研究方向為物聯網、網絡安全。