層次化網絡安全威脅態勢量化評估方法研究

摘要：在信息時代，大數據、云計算等先進信息技術的發展，為人們的生產生活提供了極大的便利，但網絡安全問題也愈發突出，各種網絡攻擊事件層出不窮，不僅給企業造成了難以挽回的經濟損失，還影響了社會的和諧安定。因此，利用量化評估方法對層次化網絡安全威脅態勢進行識別勢在必行。本文簡要分析了網絡安全的現實意義，基于網絡安全威脅態勢量化評估發展現狀與理論基礎，重點闡述了層次化網絡安全威脅量化評估方法的應用要點，旨在提高網絡安全防護能力，創設安全的網絡環境。

關鍵詞：層次化；網絡安全威脅；態勢量化評估

一、引言

在互聯網時代，計算機網絡的主要發展趨勢為共享化、開放化，這種發展模式為網絡惡意攻擊留下了可乘之機。傳統的單點安全防護模式，已經無法滿足網絡對高安全性的需求，因此，創新網絡安全防護模式成為現代安全工作研究的重點內容和方向。在這種背景下，多層次安全威脅態勢定量評價技術應運而生，這種安全防護技術不僅能夠對網絡系統的整體狀態進行客觀評價，及時排查出潛在的威脅問題，還能夠減少不必要的資源浪費，將網絡系統安全威脅問題的發生概率控制在最小范圍內。

二、網絡安全的現實意義

我國互聯網用戶的數量較為龐大，根據中國互聯網絡信息中心發布的第52次《中國互聯網絡發展狀況統計報告》顯示，截至2023年上半年，我國網絡用戶規模高達10.79億人，同比增長1000萬人以上，互聯網普及率高達76%以上。互聯網的普及使人們的通信更加簡單方便，對社會經濟的發展起著積極的促進作用，但隨之而來的網絡攻擊事件也大幅度增長。近年來，我國企業內部服務器受到惡意威脅和網絡攻擊的頻率逐年遞增，企業受網絡攻擊而產生的經濟損失，平均值高達280億美元左右。網絡安全問題不僅會給企業的正常經營造成不良影響，甚至會危及國家層面的信息安全。因此，網絡安全問題亟待重視。利用層次化網絡安全威脅態勢評估方法，對網絡運行狀態進行動態化追蹤、全方位管理，一方面能夠及時識別網絡的異常情況，幫助相關人員采取行之有效的措施解決問題，降低網絡安全威脅帶來的不良影響和損失。另一方面，其能夠判斷出攻擊者的身份、目的以及行為，實時檢測計算機網絡的態勢，從而全面保證網絡的穩定性與安全性，為企業的長效健康發展提供堅實的保障[1]。

三、網絡安全威脅態勢量化評估發展現狀與理論基礎

（一）發展現狀

計算機網絡設備在運行的過程中，各項參數可能會發生一定的變化，如用戶操作網絡設備或者優化設備等，都會使參數變動，這種變化情況就是網絡狀態。安全態勢是指利用傳感器等設備對網絡狀態展開監測，在這一過程中，監測設備會采集與網絡狀態相關的信息數據，而網絡安全威脅態勢量化評估就是對監測設備中的信息數據進行深層次的分析和解讀，從中排查出異常數據，在此基礎上，對網絡設備的真實狀況進行量化評估。

現階段，我國網絡安全狀態量化評估技術主要有兩種，分別是組態數據評估和系統運行數據評估，前者指的是對網絡設備的軟件系統、硬件設施等組態的運行狀態進行安全評價，這種評價方法適用于信息系統泄露所誘發的安全威脅評估。后者指的是對網絡系統在運行過程中產生的信息數據進行采集，獲得各種數據源后，再分析網絡系統遭受惡意攻擊的頻率和次數等[2]。

隨著科學技術的不斷發展，我國的網絡安全威脅態勢量化評估工作取得了一定的成效，對網絡安全起著重要的保障作用，但現有的評價指標和體系較為簡單，還需要進一步完善和優化，而多層次的網絡安全威脅態勢量化評估方法，能夠解決評價指標和體系單一的問題，實現對網絡系統多層次威脅的有效識別和評估，為企業內部服務器的安全性提供有力的支持。

（二）理論基礎

在多層次網絡安全威脅態勢量化評估體系中，安全狀態感知模塊占據著關鍵的地位，該技術模塊的主要作用是采集網絡設備的各種參數，并在大數據融合技術的支持下，對各種參數進行融合處理，計算出評價結果。在采集、整理、融合以及處理各種參數的過程中，需要用到以下理論：

1.報警關聯理論

這種理論指的是提前設置好一定的邏輯關系后，驅動報警系統按照既定的邏輯程序，對信號加以融合處理，這種融合方法能夠簡化數據處理流程，促進報警技術更加準確，快速掌握攻擊者的入侵目的，但基于報警關聯理論的數據融合模型構建難度較大[3]。

在設計報警關聯模型的過程中，需要根據關聯圖展開邊權值的計算，通常情況下，報警關聯圖中的權值變化狀態，如表1所示。

根據表1相關內容計算出報警關聯圖的權值后，還需要計算報警關聯度等內容，在各個環節中一旦出現計算誤差，就會影響到報警關聯模型，因此，這種量化評估方法的操作較為復雜，要謹慎使用。

2.DS證據理論

DS證據理論在信息融合領域發揮著重要的作用，在處理網絡安全信息數據的過程中，很多信息本身存在一定的不確定因素，而DS算法能夠對不確定信息加以處理，進而為數據的融合創造有利條件。在實際操作DS算法的過程中，主要涉及三個環節，即證據收集——證據傳遞——證據合成，這種算法能夠有效驗證網絡中的信任度，實現對不確定信息的高效處理[4]。

3.加權平均數

加權平均數主要是利用數學模型，對數據進行融合處理。這種算法的優勢在于操作簡單，但受人為主觀因素影響較大，一旦相關人員缺少經驗，就會影響數據融合效果，因此，這種算法缺乏客觀性。

4.貝葉斯推論

這種算法指的是通過后測概率，對數據之間的節點展開邏輯推理，再設計融合方法。其優點在于計算流程簡單、復雜度較低，但在計算過程中，一旦出現誤差，就會給后期的數據處理和融合造成不良影響。同時，貝葉斯推論的計算量較大，難以達成實時性、動態化評估的目的。在構建貝葉斯模型的過程中，主要的程序有整理先驗知識、構建初步模型以及檢測節點關聯性等，如圖1所示。

在計算推理貝葉斯的過程中，可采用變量消除法、聯合樹算法以及群集算法等。以變量消除法為例，如公式（1）所示：

" "（1）

貝葉斯算法的推理方式較多，還需要結合層次化網絡安全威脅態勢量化評估系統的實際情況，有針對性地應用相關算法。

四、層次化網絡安全威脅態勢量化評估要點

（一）采集信息數據

在層次化網絡安全威脅態勢量化評估中，信息數據的采集屬于重點環節，常規數據有兩大類，一類是組態信息，另一類是系統運行信息。本文所研究的定量評估方法的核心結構為馬爾可夫，主要應用組態數據，這種運行模式，不僅能夠準確地計算出攻擊者成功入侵網絡所需的平均時間，還能夠實現對網絡系統安全狀態的定量評價。

多層次網絡安全威脅態勢定量評估的數據主要來源于服務器、交換設備以及終端設備等，如表2所示。

為提高網絡安全威脅態勢量化評估的客觀性與準確性，獲取大量的信息數據后，還要采用各種融合技術進行處理，包括上文提到的貝葉斯理論、DS證據推理以及加權平均數等。以貝葉斯理論為例，在數據融合的層次化處理中，主要通過網絡安全態勢定量感知實現，如圖2所示。

圖2 數據融合層次化結構示意圖

除此之外，在采集信息數據的過程中，還要科學應用數據挖掘技術，從大量的信息數據中，提取出有代表性的數據，即這類數據要能夠反映網絡狀態的真實情況，因此，要在數據挖掘技術的支持下，對網絡設備的組態信息等進行大規模的采集，并提取出有價值的數據，從而提高定量評估的質量和效率。

（二）構建評估模型

在構建多層次網絡安全威脅態勢定量評估模型時，主要設置三個層級結構，分別是網絡管理模塊、服務器管理模塊以及業務管理模塊。通過對各種惡意攻擊行為發生次數和頻率的綜合分析可知，服務器管理系統受到攻擊的次數和頻率較高，是黑客攻擊的主要對象。因此，設計定量評估模型時，可以分層理論為導向，創設出層次化的態勢評估模式，遵循自上而下的原則，對網絡系統進行層次劃分。上述三個層次與供給層次有機結合后，就能夠形成網絡安全威脅態勢定量評估的邏輯關系[5]。

根據既定的結構邏輯，采用“局部先、總體后”的工作模式，對定量評估系統進行預先設定。通過這種運行模式，不僅能夠快速接收報警信號以及漏洞掃描等信息數據，還能夠對供給層次中的危險數據平均值進行計算，按照統一的規范標準，對這類危險源實行客觀準確的分析，從而為網絡安全威脅態勢量化評估提供可靠的數據保障。另外，由于主機是攻擊者主要的入侵對象，因此，在構建評估模型時，要設置專門的分析統計系統，用于主機潛在風險的識別，對威脅可能產生的頻率、可能持續的時長以及網絡寬帶資源的綜合利用效率等進行全方位的分析，實現對主機安全狀態的有效評定。

（三）展開定量分析

1.服務量

層次化網絡系統在運行的過程中，潛在的風險隱患會給網絡的安全穩定運行造成嚴重的干擾，而服務量的異常變動就屬于典型的潛在威脅之一。黑客在攻擊網絡系統的過程中，攻擊的時間不同，服務量也會有所不同，這種差異性會直接影響到定量分析的結果。因此在實際計算過程中，要以時間為前提，在時間變化趨勢的基礎上，掌握各個時間段的潛在威脅等級，針對威脅等級最高的時間段進行定量分析。例如，在實際操作中，可以將一天劃分為3個時間段，第一個時間段為0：00-8：00；第二個時間段為8：00-18：00；第三個時間段為18：00-24：00，以時間作為定量分析的標度展開計算，能夠確定潛在威脅的等級，以及可能造成的損失。

2.系統級

在網絡系統級的定量分析中，也要采用以時間為基礎的處理模式，對各種信息數據展開科學合理的加權整理后，分析各個時段中潛在威脅的危險程度以及可能引發的后果等，獲取到具體的威脅數值后，將網絡參數與相關結果相乘，就能夠得到特定時段中多層次網絡系統安全威脅量化評估結果。

（四）實施定量計算

在計算定量評估結果的過程中，為保證結果的真實性與準確性，需要確定各個層級的相關參數，如網絡寬帶利用率以及威脅指數等，篩選出具有代表性且有價值的參數用于定量計算中。通過網絡安全日志的分析可知，很多威脅因子和攻擊事件都屬于無意義事件，并且這種無效攻擊占總威脅比例的99%以上，若未及時采取科學有效的措施，對這些無效數據進行處理，不僅會加重網絡系統的負載，還會降低定量計算的效率，因此在定量計算期間，要對各種參數進行篩選。

（五）優化評估結果

在定量評估結果的優化處理中，重點在于對威脅態勢指標的整理和分析，每一個有價值的指標都要進行量化評估，并且還要以真實的網絡環境為依托，搭建模擬攻擊模型，對評估結果進行驗證，確定評估結果不存在任何問題后，可分析安全威脅存在的原因，并制定科學合理的防護措施，促進網絡系統的可持續安全穩定運行。

五、結束語

綜上所述，層次化網絡安全威脅態勢量化評估技術，在網絡系統的安全維護中，發揮了顯著的作用，因此，要加大對這種技術的推廣和應用力度，提高網絡系統的風險抵御能力，實現對潛在安全威脅的有效處理。

作者單位：張玉玨 黃金鵬 韓運寶 王倩麗 中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）

參考文獻

[1]王立軍.層次化網絡安全威脅態勢量化評估方法分析[J].信息技術與信息化，2022，（07）：188-191.

[2]安家驥，狄鶴.數字中國背景下金融信息安全的威脅情報研究：內在邏輯與態勢感知應用[J].情報科學，2023，41（08）：147-154.

[3]蘇凌.基于馬爾可夫鏈的網絡安全威脅評估技術研究[J].通信與信息技術，2023，（S2）：19-22.

[4]張梓鋅.基于深度加權特征學習的網絡安全態勢評估方法研究[D].中國民航大學，2022.

[5]張建嬌.基于網絡安全態勢感知技術的高校網絡威脅發現[J].電子技術與軟件工程，2021，（18）：248-249.

張玉玨（1993.12-），女，漢族，北京，本科，研究方向：網絡安全和數據安全；

黃金鵬（1991.04-），男，漢族，江蘇泰興，碩士研究生，研究方向：網絡安全和數據安全；

韓運寶（1983.02-），男，漢族，河南南陽，碩士研究生，研究方向：網絡安全和數據安全；

通訊作者，王倩麗（1996.05-），女，漢族，河北深州，本科，研究方向：網絡安全和數據安全。