基于流量感知的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型*

萬 抒，甘迎輝

(中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041)

0 引言

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是制定和調(diào)整網(wǎng)絡(luò)安全策略的基礎(chǔ)，只有準(zhǔn)確地對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行評(píng)估，才能制定出有效的網(wǎng)絡(luò)安全防護(hù)策略。傳統(tǒng)的網(wǎng)絡(luò)安全管理事件檢測(cè)通常是采用入侵檢測(cè)系統(tǒng)(IDS)，報(bào)警數(shù)量一般會(huì)達(dá)到G數(shù)量級(jí)，但不能檢測(cè)到所有入侵行為，而且誤報(bào)、漏報(bào)率較高。

為了解決以上問題，融合關(guān)聯(lián)分析、安全態(tài)勢(shì)評(píng)估已成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是通過網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)行為檢測(cè)以及用戶行為監(jiān)測(cè)等綜合因素評(píng)估整體網(wǎng)絡(luò)信息系統(tǒng)的安全狀態(tài)和安全變化趨勢(shì)［1］。

1 相關(guān)工作

1999年，T.Bass等人［2］首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness，也稱 Network-situation Awareness)概念，即網(wǎng)絡(luò)安全態(tài)勢(shì)感知，并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與ATC態(tài)勢(shì)感知(網(wǎng)絡(luò)態(tài)勢(shì)感知源于空中交通監(jiān)管—Air Traffic Control，ATC態(tài)勢(shì)感知)進(jìn)行了對(duì)比，旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)推廣到網(wǎng)絡(luò)態(tài)勢(shì)感知中。

目前，基于系統(tǒng)運(yùn)行信息的安全態(tài)勢(shì)評(píng)估重點(diǎn)關(guān)注于單個(gè)事件給系統(tǒng)造成威脅。Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)意識(shí)的框架，通過推理識(shí)別攻擊者身份、攻擊速度、威脅性和攻擊目標(biāo)，進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全態(tài)勢(shì)［3］，但沒有實(shí)現(xiàn)具體原型系統(tǒng)。Information Extraction＆Transport開發(fā)SSARE用于廣域的計(jì)算機(jī)攻擊檢測(cè)和態(tài)勢(shì)、響應(yīng)評(píng)估，但通過調(diào)查問卷的方式獲得信息［4］。

在國(guó)內(nèi)方面，張海霞等人引入攻擊圖理論，提出了基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型［5］，但該模型主要從脆弱性角度來分析網(wǎng)絡(luò)安全態(tài)勢(shì)，角度單一，無法從整體上評(píng)估網(wǎng)絡(luò)的安全狀態(tài)。陳秀真等人提出了層次化的實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型［6］，該模型把整個(gè)網(wǎng)絡(luò)分為系統(tǒng)、節(jié)點(diǎn)和服務(wù)和攻擊四個(gè)層次，采用先局部后整體的感知策略，但該模型并沒有說明如何區(qū)分安全狀態(tài)等級(jí)和攻擊嚴(yán)重程度，無法準(zhǔn)確的評(píng)估網(wǎng)絡(luò)安全的變化。

上述的層次化安全態(tài)勢(shì)模型以IDS報(bào)警和漏洞信息為原始數(shù)據(jù)，單獨(dú)分析了主機(jī)上的各服務(wù)的安全指數(shù)，通過權(quán)值累加和權(quán)限提升等算法分析得出主機(jī)和網(wǎng)絡(luò)的安全態(tài)勢(shì)。但該模型的安全信息數(shù)據(jù)源比較單一，并沒有考慮到網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路安全性能的變化對(duì)其評(píng)估的影響，難以有效的評(píng)估安全威脅嚴(yán)重程度和危害程度。

2 安全態(tài)勢(shì)評(píng)估模型

2.1 網(wǎng)絡(luò)安全層次模型

文中根據(jù)網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，將網(wǎng)絡(luò)系統(tǒng)分為服務(wù)、節(jié)點(diǎn)、鏈路等多個(gè)層次。服務(wù)是指在某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上完成其某一功能的網(wǎng)絡(luò)資源集合，一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)可以運(yùn)行多個(gè)服務(wù)，節(jié)點(diǎn)通過其運(yùn)行的服務(wù)實(shí)現(xiàn)節(jié)點(diǎn)的網(wǎng)絡(luò)功能。在該模型中，服務(wù)作為網(wǎng)絡(luò)系統(tǒng)組成的基本要素，網(wǎng)絡(luò)節(jié)點(diǎn)作為N個(gè)節(jié)點(diǎn)的組合，所以，一個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì)是運(yùn)行其上的具有一個(gè)重要程度的相關(guān)服務(wù)的安全狀態(tài)量化評(píng)估的組合;而網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)是在網(wǎng)絡(luò)系統(tǒng)中具有一定重要程度的相關(guān)節(jié)點(diǎn)的態(tài)勢(shì)的組合。圖1表示了一個(gè)網(wǎng)絡(luò)信息系統(tǒng)的層次模型。

圖1 網(wǎng)絡(luò)系統(tǒng)的層次模型Fig.1 Hierarchical model of the network system

根據(jù)圖1所示，網(wǎng)絡(luò)信息系統(tǒng)的層次模型通過節(jié)點(diǎn)相關(guān)的服務(wù)安全指數(shù)集合評(píng)估網(wǎng)絡(luò)某一個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì);通過信息系統(tǒng)的所有節(jié)點(diǎn)的安全態(tài)勢(shì)指數(shù)集合評(píng)估整個(gè)信息系統(tǒng)的安全態(tài)勢(shì)狀況。在上述的評(píng)估參數(shù)中，并未涉及圖中的網(wǎng)絡(luò)鏈路的安全狀態(tài)評(píng)估，其原因是由于在實(shí)際網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)節(jié)點(diǎn)在物理上并非采用直連模式，網(wǎng)絡(luò)節(jié)點(diǎn)之間可能經(jīng)過多個(gè)中繼設(shè)備、代理設(shè)備等，而且不同時(shí)刻網(wǎng)絡(luò)節(jié)點(diǎn)的通信鏈路在物理上并非同一條鏈路(例如，通過不同的網(wǎng)絡(luò)中繼設(shè)備)，所以，難以通過終端的數(shù)據(jù)感知信息對(duì)節(jié)點(diǎn)之間的鏈路狀態(tài)進(jìn)行準(zhǔn)確的評(píng)估。

但是節(jié)點(diǎn)或者針對(duì)某一個(gè)服務(wù)的流量感知信息在一定程度上可以反映端到端的鏈路狀態(tài)，比如，通過終端采集的吞吐量信息、連接跟蹤信息和報(bào)文時(shí)延信息等可以在一定程度上評(píng)估端到端的關(guān)于某一個(gè)服務(wù)的網(wǎng)絡(luò)鏈路狀態(tài)。所以，在文中提出的量化模型中，鏈路只是網(wǎng)絡(luò)信息系統(tǒng)層次模型中一個(gè)邏輯鏈路，和具有一定重要程度的某一服務(wù)相關(guān)聯(lián)，從而作為一個(gè)評(píng)估因子去量化網(wǎng)絡(luò)服務(wù)的安全狀態(tài)。

2.2 基于流量感知的“網(wǎng)絡(luò)熵”

根據(jù)某一服務(wù)的流量感知信息如何評(píng)估端到端的服務(wù)鏈路狀態(tài)，這是本模型討論的一個(gè)重要問題。文中提供的安全評(píng)估模型基于如下的原則:當(dāng)網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)針對(duì)某一服務(wù)的安全威脅時(shí)，該服務(wù)的鏈路狀態(tài)會(huì)發(fā)生相應(yīng)的變化，與其相關(guān)的服務(wù)流量感知信息也會(huì)發(fā)生相應(yīng)的變化，例如，和某服務(wù)相關(guān)的吞吐量可能突變，網(wǎng)絡(luò)連接數(shù)或者端到端的報(bào)文時(shí)延可能會(huì)突然增加。

為了有效地評(píng)估安全威脅發(fā)生前后，服務(wù)鏈路安全狀態(tài)的變化情況，文中采用信息論中“熵”的概念，“網(wǎng)絡(luò)熵”的熵值可以用于描述網(wǎng)絡(luò)安全狀態(tài)，當(dāng)信息系統(tǒng)中出現(xiàn)安全威脅時(shí)，系統(tǒng)中的某些服務(wù)相關(guān)的鏈路狀態(tài)會(huì)發(fā)生變化(如端到端的吞吐量、連接信息和報(bào)文時(shí)延等)［7］。這些參數(shù)變化越大，“網(wǎng)絡(luò)熵”的值差越大，說明該服務(wù)相關(guān)的網(wǎng)絡(luò)鏈路的安全性越差。其熵值可以定義為

式中，Vi指網(wǎng)絡(luò)第i項(xiàng)指標(biāo)的歸一化參數(shù)。

而“網(wǎng)絡(luò)熵”的值差并不能準(zhǔn)確的評(píng)估安全威脅的威脅程度，這個(gè)值僅僅是評(píng)估某一個(gè)時(shí)刻與某服務(wù)相關(guān)的網(wǎng)絡(luò)鏈路的安全狀態(tài)。根據(jù)網(wǎng)絡(luò)攻擊的統(tǒng)計(jì)結(jié)果可知，當(dāng)某一網(wǎng)絡(luò)實(shí)體的網(wǎng)絡(luò)性能或安全性能突然下降時(shí)，這時(shí)針對(duì)該服務(wù)的安全威脅和攻擊行為發(fā)生的概率越大，在這種情況下，安全威脅和攻擊行為所造成的危害程度也越高。基于以上觀點(diǎn)，文中通過“網(wǎng)絡(luò)熵”的差值去評(píng)估服務(wù)鏈路的安全狀態(tài)(文中稱為服務(wù)安全基礎(chǔ)指數(shù))，將其作為一個(gè)評(píng)估因子，去評(píng)估某一節(jié)點(diǎn)的安全狀態(tài)。

2.3 安全威脅評(píng)估模型

基于上一節(jié)的討論的“網(wǎng)絡(luò)熵”的差值評(píng)估服務(wù)安全基礎(chǔ)指數(shù)，文中提出了層次化的安全態(tài)勢(shì)評(píng)估模型。該安全態(tài)勢(shì)評(píng)估模型利用系統(tǒng)分解技術(shù)［8］，根據(jù)網(wǎng)絡(luò)信息系統(tǒng)組織結(jié)構(gòu)，從上到下分為網(wǎng)絡(luò)系統(tǒng)、節(jié)點(diǎn)和服務(wù)3個(gè)層次。模型使用流量感知信息評(píng)估針對(duì)某一服務(wù)的鏈路狀態(tài)變化情況;使用入侵檢測(cè)信息評(píng)估評(píng)估針對(duì)某一網(wǎng)絡(luò)威脅行為;采用網(wǎng)絡(luò)熵、權(quán)重分析和指數(shù)擴(kuò)大的量化方式“自下而上”的評(píng)估網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)節(jié)點(diǎn)的安全指數(shù)，最終評(píng)估整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)。

在層次化的安全態(tài)勢(shì)評(píng)估模型中，服務(wù)的綜合安全指數(shù)的評(píng)估的準(zhǔn)確性和有效性直接影響網(wǎng)絡(luò)節(jié)點(diǎn)安全指數(shù)評(píng)估的準(zhǔn)確性和有效性，進(jìn)而影響整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢(shì)評(píng)估。所以，服務(wù)的綜合安全指數(shù)的評(píng)估是整個(gè)模型的基礎(chǔ)。基于上述的討論可知，當(dāng)某一網(wǎng)絡(luò)實(shí)體的網(wǎng)絡(luò)性能或安全性能突然下降時(shí)，這時(shí)針對(duì)該服務(wù)的安全威脅和攻擊行為發(fā)生的概率越大，在這種情況下，安全威脅和攻擊行為所造成的危害程度也越高。即在服務(wù)鏈路的安全基礎(chǔ)指數(shù)的抖動(dòng)增加的情況下，發(fā)生了安全威脅行為，其危害性和對(duì)網(wǎng)絡(luò)系統(tǒng)所造成的損失也越大，那此時(shí)的服務(wù)安全綜合指數(shù)也會(huì)變得越差。

基于以上理論，圖2表示了基于流量感知的安全態(tài)勢(shì)評(píng)估模型。

圖2 基于流量感知的安全態(tài)勢(shì)評(píng)估模型Fig.2 Evaluation mode of the network security situation based on flow sensing

定義1 服務(wù)安全基礎(chǔ)指數(shù)PH表示在某一時(shí)刻t服務(wù)的網(wǎng)絡(luò)鏈路狀態(tài)的波動(dòng)情況。

定義2 服務(wù)安全綜合指數(shù)RS表示服務(wù)器上具有一定重要程度的服務(wù)在某一時(shí)刻服務(wù)安全基礎(chǔ)指數(shù)下，外部威脅對(duì)服務(wù)資產(chǎn)可能造成的損失。

定義3 節(jié)點(diǎn)安全綜合指數(shù)RH在某一時(shí)刻外部威脅對(duì)節(jié)點(diǎn)資產(chǎn)可能造成的損失。節(jié)點(diǎn)安全綜合指數(shù)由節(jié)點(diǎn)安全基礎(chǔ)指數(shù)和服務(wù)安全綜合指數(shù)加權(quán)值聯(lián)合分析得出。

定義4 網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)指數(shù)R表示在某一時(shí)刻外部威脅對(duì)網(wǎng)絡(luò)系統(tǒng)可能造成的損失。網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)指數(shù)由各節(jié)點(diǎn)的安全綜合指數(shù)加權(quán)得到。

2.4 安全威脅指數(shù)定量計(jì)算

文中對(duì)定義的服務(wù)安全綜合指數(shù)RS、主機(jī)安全綜合指數(shù)RH和網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)指數(shù)RN提出相應(yīng)的量化計(jì)算方法，下面詳細(xì)介紹各個(gè)層次安全威脅指數(shù)的定量計(jì)算。

2.4.1 服務(wù)安全基礎(chǔ)指數(shù)

服務(wù)安全基礎(chǔ)指數(shù)利用“網(wǎng)絡(luò)熵”的算法，綜合考慮影響網(wǎng)絡(luò)安全性能的各項(xiàng)指標(biāo)，其值為各單項(xiàng)指標(biāo)熵的加權(quán)和:

1)網(wǎng)絡(luò)系統(tǒng)中節(jié)點(diǎn)之間服務(wù)的吞吐量指標(biāo)HTh。

2)網(wǎng)絡(luò)系統(tǒng)中節(jié)點(diǎn)之間服務(wù)的連接數(shù)指標(biāo)HL。

3)網(wǎng)絡(luò)系統(tǒng)中服務(wù)之間通信的時(shí)延指標(biāo)。

出現(xiàn)安全威脅前，服務(wù)鏈路的各指標(biāo)的網(wǎng)絡(luò)熵為H;出現(xiàn)安全威脅后，服務(wù)鏈路的各指標(biāo)的網(wǎng)絡(luò)熵為H'，則安全威脅對(duì)服務(wù)鏈路造成的影響為:

利用上式，根據(jù)流量感知系統(tǒng)獲取安全威脅發(fā)生前后網(wǎng)絡(luò)的各項(xiàng)性能指標(biāo)參數(shù)(Vi、V'i)，并根據(jù)各項(xiàng)指標(biāo)(服務(wù)吞吐量、服務(wù)響應(yīng)時(shí)間和服務(wù)通信時(shí)延)的權(quán)重)，即可計(jì)算出t時(shí)刻服務(wù)鏈路安全性能的網(wǎng)絡(luò)熵變化值EH，進(jìn)而評(píng)估服務(wù)鏈路在t時(shí)刻的安全性能變化情況。

國(guó)際標(biāo)準(zhǔn)中較為通用的根據(jù)網(wǎng)絡(luò)熵［9］對(duì)網(wǎng)絡(luò)安全性能進(jìn)行評(píng)估的參考標(biāo)準(zhǔn)值如表1所示。

表1 網(wǎng)絡(luò)安全性能評(píng)估參考標(biāo)準(zhǔn)Table 1 Reference standard of network security performance evaluation

文中根據(jù)之前計(jì)算的網(wǎng)絡(luò)熵值差和網(wǎng)絡(luò)安全性能評(píng)估參考標(biāo)準(zhǔn)，得出以下映射關(guān)系。

基于前面的討論可知，在服務(wù)鏈路的安全基礎(chǔ)指數(shù)抖動(dòng)增加的情況下，若再次發(fā)生了安全威脅行為，其危害性和對(duì)網(wǎng)絡(luò)系統(tǒng)所造成的損失將更大。當(dāng)服務(wù)鏈路的安全基礎(chǔ)劇烈下降時(shí)，針對(duì)該服務(wù)的安全威脅行為所造成的損失并非線性增加，文中將服務(wù)鏈路的安全狀態(tài)變化值作為一個(gè)評(píng)估因子，為了準(zhǔn)確有效地評(píng)估安全威脅行為對(duì)網(wǎng)絡(luò)信息系統(tǒng)所造成的危害程度，采用指數(shù)下降的算法計(jì)算得出服務(wù)安全基本指數(shù)SEH:

服務(wù)安全基本指數(shù)SEH是對(duì)服務(wù)鏈路性能變化的定量描述，其值越大，表明服務(wù)在發(fā)生在某一個(gè)事件前后安全性能下降的程度越大，即該鏈路的安全性和可用性變得越差。

2.4.2 服務(wù)安全綜合指數(shù)

服務(wù)安全綜合指數(shù)RS與服務(wù)的基礎(chǔ)安全指數(shù)SEj和針對(duì)該服務(wù)的相關(guān)攻擊參數(shù)相關(guān)。不同的時(shí)刻服務(wù)的基礎(chǔ)安全指數(shù)并不相同，而且不同的時(shí)刻服務(wù)所承受的威脅程度和攻擊強(qiáng)度也不相同，所以，以下定義了t時(shí)段服務(wù)Sj的安全綜合指數(shù):

式中:

1)Dj(t)，Cj(t)分別為至t+Δt時(shí)刻針對(duì)服務(wù)Sj的各種攻擊的嚴(yán)重程度和發(fā)生次數(shù)，k表示針對(duì)服務(wù)Sj的攻擊種類數(shù)，Dj(t)和Cj(t)通過攻擊事件庫可以得到。根據(jù)國(guó)際較為通用的參考標(biāo)準(zhǔn)，將網(wǎng)絡(luò)威脅行為非為五個(gè)等級(jí)，文中將這五個(gè)等級(jí)進(jìn)行量化，所以，Dj(t)的取值范圍為{1，2，3，4，5}。

2)為了提高評(píng)估的合理度，文中對(duì)不同嚴(yán)重等級(jí)的入侵事件的威脅指數(shù)的等效性進(jìn)行了調(diào)查，大多數(shù)安全研究人員普遍認(rèn)同:n+1等級(jí)的威脅所造成的影響是n等級(jí)威脅多造成的危害的數(shù)倍。為此本文采用指數(shù)擴(kuò)大的方式，將Dj(t)，Cj(t)的關(guān)系定義為:Dj(t)*eCj(t)，以突出攻擊的嚴(yán)重等級(jí)在安全威脅評(píng)估中的作用。

3)根據(jù)2.4.1節(jié)所推導(dǎo)的公式，得出服務(wù)安全綜合指數(shù)的公式如下:

4)RSj(t)值越大，表示服務(wù)Sj所受到安全威脅程度越高，應(yīng)該引起網(wǎng)絡(luò)管理員的高度重視。

2.4.3 節(jié)點(diǎn)安全綜合指數(shù)

在t時(shí)刻節(jié)點(diǎn)安全綜合指數(shù)RH的是基于該節(jié)點(diǎn)上運(yùn)行的服務(wù)的安全綜合指數(shù)和服務(wù)對(duì)應(yīng)的權(quán)重的量化函數(shù)，其公式如下:

式中，RSj(t)是根據(jù)2.4.2節(jié)所得出的服務(wù)安全綜合指數(shù)，m是節(jié)點(diǎn)上所運(yùn)行的服務(wù)總數(shù)，vj為服務(wù)Sj在其運(yùn)行的節(jié)點(diǎn)上所占用的權(quán)重值，而且該節(jié)點(diǎn)所有服務(wù)的權(quán)重之和應(yīng)為1，所以應(yīng)對(duì)vj進(jìn)行歸一化處理。

2.4.4 網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)

在t時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)RN是基于網(wǎng)絡(luò)系統(tǒng)中所有節(jié)點(diǎn)的安全綜合指數(shù)RHj(t)和其對(duì)應(yīng)的權(quán)重的量化函數(shù)，其公式如下:

式中，RSj(t)是根據(jù)2.4.2節(jié)得出的節(jié)點(diǎn)安全綜合指數(shù)，n是網(wǎng)絡(luò)系統(tǒng)中所有節(jié)點(diǎn)的總數(shù)，wk為節(jié)點(diǎn)在其網(wǎng)絡(luò)系統(tǒng)中所占的權(quán)重值，而且所有節(jié)點(diǎn)的權(quán)重之和應(yīng)為1，由網(wǎng)絡(luò)管理員或者相關(guān)專家制定，并應(yīng)對(duì)wk進(jìn)行歸一化處理。

3 實(shí)驗(yàn)分析

3.1 測(cè)試環(huán)境

文中通過搭建一個(gè)邊界網(wǎng)絡(luò)帶寬為100 MHz的局域網(wǎng)絡(luò)搭建一個(gè)測(cè)試環(huán)境，測(cè)試環(huán)境的網(wǎng)絡(luò)網(wǎng)段192.168.1.0/24，網(wǎng)絡(luò)內(nèi)部的受保護(hù)節(jié)點(diǎn)(服務(wù)器)的操作系統(tǒng)有Red Hat Linux，在內(nèi)節(jié)點(diǎn)之上運(yùn)行的服務(wù)的有Oracle數(shù)據(jù)庫服務(wù)、ftp服務(wù)器、HTTP服務(wù)和NETBIOS服務(wù)。測(cè)試環(huán)境的網(wǎng)絡(luò)拓?fù)涫疽鈭D如圖3所示。

圖3 測(cè)試環(huán)境拓?fù)銯ig.3 Test environment topology

入侵檢測(cè)設(shè)備和流量監(jiān)測(cè)設(shè)備部署于網(wǎng)絡(luò)內(nèi)部，入侵檢測(cè)設(shè)備通過網(wǎng)絡(luò)內(nèi)部的CISCO交換機(jī)感知網(wǎng)絡(luò)系統(tǒng)中的攻擊信息和網(wǎng)絡(luò)威脅信息。流量監(jiān)測(cè)設(shè)備通過路由器設(shè)備和網(wǎng)絡(luò)內(nèi)部CISCO交換機(jī)感知網(wǎng)絡(luò)邊界和內(nèi)部的流量信息。流量監(jiān)測(cè)設(shè)備通過各服務(wù)的通信數(shù)據(jù)，評(píng)估服務(wù)相關(guān)的吞吐量、響應(yīng)時(shí)間和通信時(shí)延的變化，進(jìn)而評(píng)估服務(wù)相關(guān)的鏈路安全狀態(tài)的變化情況。根據(jù)服務(wù)相關(guān)的鏈路安全狀態(tài)的變化參數(shù)作為基礎(chǔ)安全指數(shù)，評(píng)估網(wǎng)絡(luò)中的攻擊行為和非法行為對(duì)網(wǎng)絡(luò)系統(tǒng)所造成的危害程度。

如圖3所示，網(wǎng)絡(luò)系統(tǒng)中不同的節(jié)點(diǎn)和服務(wù)的重要程序不同，如按照通用的評(píng)估方式和現(xiàn)有標(biāo)準(zhǔn)，Oracle數(shù)據(jù)庫服務(wù)的重要性就遠(yuǎn)高于文件傳輸服務(wù)(ftp)服務(wù);而運(yùn)行了Oracle數(shù)據(jù)庫服務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)的重要性也高于僅僅運(yùn)行文件傳輸(ftp)服務(wù)和mail服務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)。表2根據(jù)以上的權(quán)重評(píng)估原則，結(jié)合專家的意見，列舉了測(cè)試環(huán)境中的各服務(wù)和其對(duì)應(yīng)節(jié)點(diǎn)的重要性權(quán)重向量表。

表2 安全評(píng)估參數(shù)Table 2 Security assessment parameters

在服務(wù)安全基礎(chǔ)指數(shù)方面，本實(shí)驗(yàn)采用了吞吐量，連接數(shù)，時(shí)延這3個(gè)方面去評(píng)估針對(duì)某一服務(wù)的基礎(chǔ)安全指數(shù)。在實(shí)際網(wǎng)絡(luò)中，這3個(gè)參數(shù)對(duì)于不同節(jié)點(diǎn)的不同服務(wù)的重要性并不相同，例如針對(duì)ftp服務(wù)，吞吐量指標(biāo)更重要些;而針對(duì)MySQL服務(wù)，連接數(shù)的變化的重要性更高。但上述問題并非文中討論的重要問題，所以在本試驗(yàn)中，文中將所有服務(wù)的基礎(chǔ)安全指數(shù)評(píng)估因子的參數(shù)權(quán)重設(shè)置為相同的數(shù)值，故公式H=Hi中在本實(shí)驗(yàn)的取值為{0.3，0.4，0.3}。

3.2 實(shí)驗(yàn)結(jié)論

實(shí)驗(yàn)中，外網(wǎng)主機(jī)分別采用TNS Listener攻擊、SQL注入攻擊和NetBios協(xié)議漏洞攻擊等方式對(duì)內(nèi)網(wǎng)主機(jī) A、B、C實(shí)施了網(wǎng)絡(luò)在線攻擊，并采用5 MB/s、20 MB/s和50 MB/s這3種強(qiáng)度對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行拒絕服務(wù)攻擊。實(shí)驗(yàn)數(shù)據(jù)表明，出現(xiàn)針對(duì)Oracle服務(wù)、MySQL服務(wù)和NetBios服務(wù)(內(nèi)網(wǎng)主機(jī)A開啟了Oracle服務(wù)、內(nèi)網(wǎng)主機(jī)B開啟了MySQL服務(wù)和NetBios服務(wù))攻擊行為時(shí)的安全態(tài)勢(shì)評(píng)估值遠(yuǎn)高于針對(duì)其他系統(tǒng)未開啟服務(wù)攻擊行為時(shí)的安全態(tài)勢(shì)評(píng)估值;出現(xiàn)高強(qiáng)度的攻擊行為(50 MB/s強(qiáng)度的拒絕服務(wù)攻擊)時(shí)的安全態(tài)勢(shì)評(píng)估值遠(yuǎn)高于出現(xiàn)低強(qiáng)度攻擊行為(5MB/s強(qiáng)度的拒絕服務(wù)攻擊)時(shí)的安全態(tài)勢(shì)評(píng)估值。這表明，該安全態(tài)勢(shì)評(píng)估模型能較好的區(qū)分不同強(qiáng)度、不同種類的網(wǎng)絡(luò)威脅行為對(duì)網(wǎng)絡(luò)所造成的損失的嚴(yán)重程度。

4 結(jié)語

基于流量感知的安全態(tài)勢(shì)評(píng)估模型能較為準(zhǔn)確的區(qū)分不同強(qiáng)度、不同類型的網(wǎng)絡(luò)威脅行為對(duì)網(wǎng)絡(luò)服務(wù)、節(jié)點(diǎn)和網(wǎng)絡(luò)系統(tǒng)造成損失的嚴(yán)重程度，從而能較為準(zhǔn)確的評(píng)估整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。特別是在遇到突發(fā)的網(wǎng)絡(luò)威脅行為和網(wǎng)絡(luò)攻擊行為時(shí)，文中提供的方法能在一定程度上減少網(wǎng)絡(luò)威脅行為的誤報(bào)率，從而對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行準(zhǔn)確評(píng)估。

但是，基于流量感知的安全態(tài)勢(shì)評(píng)估模型分析依賴于網(wǎng)絡(luò)入侵檢測(cè)傳感器報(bào)警信息和流量感知信息，這些信息無法全面反映黑客的攻擊行為，諸如黑客獲取網(wǎng)絡(luò)內(nèi)部權(quán)限后偽裝成合法用戶進(jìn)行非法操作等，這是該模型后續(xù)研究的問題。

［1］羅俊.一種基于安全域的網(wǎng)絡(luò)信息系統(tǒng)安全型評(píng)估方法［J］.通信技術(shù)，2014，47(02):210－214.LUO Jun.A Security Domain－based Method for Security Evaluation of Information System.Communications Technology，2014，47(2):210－214.

［2］BASS T，GRUBER D.A Glimpse into the Future of ID［EB/OL］.(1999－09－10)［2014－04－10］.http://www.usenix.org/publiccations/login/1999－9/features/future.html.

［3］BRUCE D，MASAMI T，DANIEL U，et al.Security Situation Assessment and Response Evaluation［C］//Proc of the 2nd DARPA Information Survivability Conference＆Exposition.Los Angeles，CA:IEEE，2001:387－394.

［5］張海霞，蘇璞睿，馮登國(guó).基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型［J］.計(jì)算機(jī)研究與發(fā)展，2007，44(12):2012－2019.ZHANG Hai－xia，SU Pu－rui，F(xiàn)ENG Guo－deng.A Network Security Analysis Mode Based on the Increase in Attack Ability［J］.Journal of Computer Research and Development，2007，44(12):2012－2019.

［6］陳秀真，鄭慶華，管曉宏，等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法［J］.軟件學(xué)報(bào)，2006 ，17(04):885－897.CHEN Xiu－zhen，ZHENG Qing－h(huán)ua，GUAN Xiao－h(huán)ong et al.Quantitative Hierarchical Threat Evaluation Model for Network Security［J］.Journal of Software，2006，17(04):885－897.

［7］LAKKARAJU K，YURCIK W，LEE A J.NVisionIP:Netflow Visualizations of System State for Security Situational Awareress［C］//Proc of ACM Workshop on Visualization and Data Mining for Computer Security.New York:ACM Press，2004:65－72.

［8］韋勇，連一峰，馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型［J］.計(jì)算機(jī)研究與發(fā)展，2009，46(03):353－362.WEI Yong，LIAN Yi－feng.A Network Security Situational Awareness Model Based on Information Fusion［J］.Journal of Computer Research and Development，2009，46(03):353－362.

［9］劉芳.信息系統(tǒng)安全評(píng)估理論及其關(guān)鍵技術(shù)研究［D］.長(zhǎng)沙:國(guó)防科技大學(xué)，2005:45－47.LIU Fang.Research on the Theories and Key Technologies of Information System Security Evaluation［D］.National University of Defense Techonology，2005:45－47.