基于證據推理的無線網絡安全態勢量化評估

徐 健,馮寶龍

(東北農業大學,黑龍江 哈爾濱 150038)

1 引言

隨著互聯網技術普及力度的提升,無線網絡開始面臨著不同類型的安全威脅,例如木馬、蠕蟲攻擊等,新的攻擊形式層出不窮[1]。當前,網絡攻擊行為具有組織嚴密、目標直接化等特點,如何保障網絡安全是有關領域學者研究的重要課題。目前,網絡安全技術只能探測到部分攻擊,對于復雜、大規模的攻擊卻無能為力,更不能直接防御某些攻擊所帶來的威脅[2]。當前普遍采用防火墻技術保護網絡安全,但大多是局部防御,無法全面了解無線網絡運行狀況與隱患。

針對網絡安全態勢評估問題,文獻[3]采用熵關聯度把警報信息變換成態勢時間樣本序列,運用可變域空間得到預測初始值,使用時變加權馬爾可夫鏈預測網絡安全態勢。但方法復雜度高,無法在較短時間內完成預期安全態勢評估目標。文獻[4]離散化處理態勢指標,采用貝葉斯網絡逐層向上融合至態勢層,獲得網絡態勢評定結果。但該方法沒有考慮網絡時序特征,導致評估結果精度不高。

為此,本文提出一種證據推理規則下無線網絡安全態勢量化評估方法。在創建無線網絡安全態勢評估指標的基礎上,使用模糊調度策略收集網絡安全態勢數據,并分析網絡入侵攻擊告警情況,通過證據推理規則實現高精度網絡安全態勢評價,在仿真中進一步驗證了所提方法的可用性,為今后優化無線網絡抗攻擊性能發揮重要作用。

2 安全態勢評估指標體系構建

無線網絡安全指標體系創建的核心思想為:依照無線網絡安全性能要素創建基礎評估指標架構,為了更完整地衡量入侵攻擊特征[5],還要考慮攻擊屬性要素。安全屬性劃分如下:

1)保密性:不向未經授權用戶或實體展現網絡信息特征;

2)完整性:在沒有經過許可的情況下,網絡信息不會被隨意刪除、修改、偽造;

3)可靠性:可靠性是指在一定時間下,網絡信息系統可以實現指定功能。無線網絡系統中,安全可靠度分為抗毀性、生存性和有效性三大類[6]。抗損性是指在人為破壞情況下系統的可靠度;生存性指由隨機入侵和移動引起的網絡拓撲改變,對網絡可靠度的影響;有效性表示當網絡遭受攻擊時,系統各部分發生故障后,能否依舊為用戶提供網絡服務的能力;

4)可用性:表示網絡服務、數據和系統能夠持久、高效地運行,允許使用者在任何時間、地點進行資源分享和互動。

入侵攻擊的屬性要素包含攻擊時間、網絡等級、攻擊代價。攻擊時間是指在達到預定目標前的持續時長[7];網絡等級指網絡的重要性;攻擊代價是指進行一次入侵攻擊時,所需要的技術需求以及消耗設施數量等。根據以上分析,可得出如圖1所示的無線網絡安全性指標體系。

圖1 安全態勢評估指標體系

3 無線網絡數據采集與入侵告警

為完成可靠的入侵攻擊下無線網絡安全態勢量化評估,使用子空間辨識法創建網絡安全態勢分布模型,運用A個單分布節點監測網絡狀態,融合模糊調度策略組建網絡安全態勢數據采集模型[8],得到網絡安全態勢特征序列,記作

B={B1,B2,…,BN}

(1)

式中,BN是無線網絡安全態勢空間分布中第N個特征矢量。

空間分布特征矢量之間為正態相關,倘若B滿足K分布函數,則網絡安全態勢傳輸控制的信道模型為

x(n)=c(n)+d(n)

(2)

式中,c(n)是入侵攻擊下無線網絡安全態勢數據的向量數據集,d(n)是無線網絡態勢分布特征數據集。

使用信道均衡調整策略,重構網絡安全態勢特征空間,在重構的矢量數據集內實現安全態勢數據序列統計[9]。統計輸出的特征量為

(3)

式中,an(t)是網絡安全調試不均衡特征,γn(t)是網絡頻段的輸出延時,fc是網絡信道調制頻度,l是網絡波動特征向量。

入侵攻擊下采集無線網絡數據時,一般會生成大量告警數據,為有效定義告警數據中網絡安全態勢的有效性,引入告警質量因子,表示成

Ale=CA1×CA1×…×CAn

(4)

式中,(A1,A2,…,An)是告警屬性,CAi是屬性Ai的取值范圍。告警屬性不但涵蓋告警的基礎屬性,譬如告警源IP、目標IP、類型等信息,也涵蓋告警的統計特征,如告警頻率Alf、告警重要水平Alc和告警嚴重水平Als等。

Alf是告警出現頻率,代表單位時間中告警出現的對應數量。將告警頻率看作告警質量的統計特性,描述為

(5)

式中,mi是第i條告警信息,P是全部告警個數。

Alc是告警重要水平,代表無線網絡安全狀況產生變化的高低水準,告警重要水平越大,證明網絡安全狀況產生變化的概率越高[10]。如果在數據采集時產生新的告警信息,表明網絡正處于被攻擊狀態。依照告警出現的情況劃分成三種類型:在此次數據采樣周期中已出現過的告警、在前O個周期中出現過的告警、在前O個周期中沒出現過的告警。

Als是告警嚴重水平,描述了告警產生的負面影響。該值越大,證明其對網絡安全的影響越高,把告警嚴重水平劃分成高、中、低三個級別[11]。

由此可知,告警出現頻率、重要水平與嚴重水平是決定告警質量的核心要素,每個屬性值均為告警質量的量化元素,把告警質量描述成每個屬性值連線生成的面積總和,記作

(6)

式中,Si是告警連線面積取值的臨界值。

4 安全態勢量化評估實現

證據推理規則是量化評估中最常用的方法,無需大量訓練樣本,運算速率快[12]。證據推理規則計算中,首先設定一個雙層架構,頂層屬性R在底層具有k′個基礎屬性{r1,r2,…,rk′}?；A屬性權重是{ω1,ω2,…,ωk′},且滿足0≤ωi≤1。倘若包含S個安全態勢量化評估等級{H1,H2,…,HS},則將屬性ri的評估過程定義為

(7)

將基礎概率指派函數[13]表示成

(8)

分析剩余基礎概率指派函數,并將其劃分成兩部分,依次記作

(9)

(10)

基于攻擊行為和正常行為峰值,提出了一種基于攻擊和常規行為相結合的安全策略來衡量網絡安全態勢變化。網絡資源的更改是影響網絡安全形勢的重要因素[14]。無線網絡中CPU和存儲資源均為核心資源,如果網絡中發生入侵攻擊,會降低網絡性能,甚至出現故障。不同的攻擊行為還會引發磁盤資源變化,且這些行為都隱含于數據流中。

本文采用流量、CPU利用率、內存消耗、硬盤消耗等安全因素量化評估網絡安全態勢,并把四個安全因素設定成證據推理規則中的基礎屬性。依照上述內容,設定頂層的屬性R是無線網絡安全態勢等級,底層屬性包含正常行為與攻擊行為。將量化評估整體結構表示成圖2。

圖2 無線網絡安全態勢量化整體結構

為獲取安全態勢證據,采集到數據后要對其采取預處理,將數據預處理解析式記作

r={r1{r11,r12,r13,r14},r2{r21,r22,r23,r24}}

(11)

式中,r1是正常行為,r2是攻擊行為,r11～r14、r21～r24依次為正常行為與攻擊行為下的內存消耗、流量、CPU利用率及磁盤消耗情況。

以600s為一個統計時段,基礎屬性的值是600s內超過指定臨界值的次數,若網絡流量特征值超出0.7,則網絡極有可能處在危險狀態,為此將臨界值設置為0.7。無線網絡安全狀態對內存消耗、CPU利用率與流量的影響極大[15],對磁盤消耗的影響較小。與正常行為相比,入侵攻擊行為對網絡形成的損耗較為嚴重,因此將r1的證據權重設定為0.2,r2的證據權重為0.8,將量化評估等級劃分成優秀、良好、一般、較差四個級別。

為得到評估等級的信任度,運用式(12)明確預處理后的網絡數據特征:

(12)

式中,W(ri)是證據ri的輸出值。

使用證據推理規則頂層屬性R評估網絡安全態勢處于何種程度,過程為:

步驟1:計算正常行為下網絡基礎屬性,并分析其信任度;

步驟2:計算入侵攻擊行為下網絡基礎屬性,并分析其信任度;

步驟3:推算兩種行為下的概率指派函數,計算網絡全局信任度。

運用以上過程即可獲得網絡安全的最終信任度,但網絡管理員很難依照評估結果進行決策,還需運用式(13)進行安全態勢量化

(13)

式中,M′是量化迭代次數。

根據式(13)獲得網絡安全態勢最終輸出值,態勢值越大,證明網絡危險指數越高。

5 實驗分析

為證明所提方法的可靠性,本文使用林肯實驗室DARPA2000中的LLDOS2.0數據集實現無線網絡安全態勢評估,實驗平臺為MATLAB。LLDOS2.0數據集涵蓋一個完整的DDOS入侵攻擊場景的網絡流量,攻擊者會掃描若干網段,探尋網絡活躍主機,分析主機是否存在漏洞并獲得root權限,最后對主機發起DDOS入侵攻擊。

為再現入侵攻擊場景情況,利用流量重放技術Tcpreplay重放流量信息,把初始流量安置在入侵檢測系統snort內,通過snort完成數據分析、儲存告警日志等工作,將入侵者不同階段的攻擊步驟記作表1,呈現其攻擊狀態全過程。

表1 LLDOS2.0攻擊說明

利用表1中的數據,設定入侵攻擊時間為9:30-11:40,圖3為所提方法下得到的攻擊場景中節點態勢變化情況。

圖3 攻擊場景下所提方法節點態勢變化

從圖3可以看出,9:30分之前,節點態勢值較低,證明此刻節點沒有受到外部攻擊;在10:05時,節點態勢在提高至20后逐步減少,出現一個波峰,這是因為此時段受到攻擊者的掃描攻擊,之后的下降態勢是由于攻擊者沒有進行下一步攻擊操作;在10:05-10:35時段,網絡節點態勢升高并保持在30左右,此階段攻擊者正采取漏洞掃描主機操作;10:35-11:25時段,節點態勢經過緩慢升高與迅速升高,在此階段攻擊者給主機安裝木馬病毒;11:25-11:40時段,節點態勢快速提升至峰值,證明此階段攻擊者已經發起了DDOS攻擊,在11:50后節點態勢緩慢下降,證明攻擊結束,無更多告警數據產生。由此可知,本文方法能清晰地展現出攻擊者惡意入侵的全部過程,精準識別攻擊者對目標主機的攻擊階段,實用性強。

為進一步表明所提方法優越性,對其進行對比實驗,對比方法為文獻[3]自修正系數修勻法和文獻[4]貝葉斯法。依舊沿用表1的攻擊步驟,以節點被攻陷概率為衡量指標,驗證三種方法安全態勢評估敏感性,敏感性越高,證明其評估結果越準確,仿真結果如圖4所示。

圖4 三種方法下節點被攻陷概率對比示意圖

從圖4可以看出,所提方法獲得的被攻陷概率在10:35開始呈上升趨勢,但隨后逐漸下降,在11:28再次上升且表現出較大的概率值,在頂峰階段產生略微波動;自修正系數修勻法計算獲得的被攻陷概率表現出兩極化趨勢,11:25之前節點被攻陷概率接近于0,后面的被攻陷概率接近于1,呈現極不穩定的計算結果;貝葉斯法得到的節點被攻陷概率多數保持在20%左右,無法感知入侵攻擊的動態變化。由此看出,所提方法對入侵攻擊行為具備更好的敏感性,得到的被攻陷概率更貼合真實情況。

安全態勢量化評估效率也是衡量方法性能優劣的必要條件,設置入侵攻擊模式為口令攻擊,實驗數量為70次,以每10次為一個實驗周期,將各周期的時間均值擬作對比目標,三種方法量化評估時間如圖5所示。

圖5 無線網絡安全態勢量化評估時間對比

觀察圖5可以看到,所提方法在全部實驗周期中均具備較低的評估時長,顯著降低了算法的復雜度,計算效率得到極大提高,為快速評估無線網絡安全態勢提供可靠理論支撐。

6 結論

面向現有無線網絡安全態勢評估方法缺少對攻擊方、防御方等態勢要素關聯計算的不足,提出一種證據推理規則下安全態勢量化評估策略。所提方法能有效劃分入侵攻擊等級,依照不同的攻擊情況挑選恰當的防御機制。在仿真中也證明了方法的可靠性與合理性,為無線網絡攻擊預測與全方位安全態勢量化提供解決思路。

接下來研究中,會引入云儲存技術,改進安全態勢量化的儲存規模,進一步完善方法的實際應用性能,令其在現實場景中更具操作優勢。