姚書科

（黃淮學(xué)院 國際學(xué)院，河南 駐馬店 463000）

由于網(wǎng)絡(luò)中設(shè)備類型多種多樣，數(shù)據(jù)類型紛繁復(fù)雜，要實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢全面、準(zhǔn)確的掌握，建立一個覆蓋廣泛、內(nèi)容全面的網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系是必不可少的。從紛繁復(fù)雜的數(shù)據(jù)中選取能夠反映網(wǎng)絡(luò)安全狀態(tài)的指標(biāo)數(shù)據(jù)，用于網(wǎng)絡(luò)安全態(tài)勢評估和態(tài)勢預(yù)測。為了能夠建立一個全面、系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系，筆者提出了一套全面、系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系，以及基于Netflow、Snort和Nessus的數(shù)據(jù)采集與提取方法和態(tài)勢指標(biāo)的計算方法。

1 網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系構(gòu)建原則

指標(biāo)體系的建立不能漫無目的地憑空想象，而需要根據(jù)網(wǎng)絡(luò)的組織結(jié)構(gòu)和實際需求，充分考慮各個指標(biāo)之間的相互關(guān)系，從整體上對指標(biāo)體系進行把握。在研究了網(wǎng)絡(luò)安全指標(biāo)體系領(lǐng)域研究成果[1-2]的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和網(wǎng)絡(luò)安全的實際需要，本文總結(jié)歸納出以下4條指標(biāo)體系的建立原則。

1）全面性與相對獨立性原則 即要全面考慮對網(wǎng)絡(luò)安全產(chǎn)生影響的要素；又要兼顧獨立性，將安全狀態(tài)用幾個相對獨立的性質(zhì)表示出來，并用相應(yīng)指標(biāo)進行分別評估。處理好全面性與相對獨立性，是建立網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)體系重要的一步。

2）系統(tǒng)化與層次化原則 網(wǎng)絡(luò)指標(biāo)體系龐大，涉及的影響因素多，采用系統(tǒng)化、層次化的方法劃分指標(biāo)體系，符合了網(wǎng)絡(luò)層次化結(jié)構(gòu)的實際需求，也可以作為全面性與相對獨立性的補充，使整個指標(biāo)體系多而不亂，條理清楚。

3）相似相近原則 影響網(wǎng)絡(luò)安全狀態(tài)的因素相當(dāng)多，其中一些是近似的、相互影響的，如數(shù)據(jù)包的分布、數(shù)據(jù)包大小的分布，這些指標(biāo)應(yīng)該被統(tǒng)一考慮。

4）科學(xué)性原則 指標(biāo)的選擇和設(shè)計應(yīng)建立在網(wǎng)絡(luò)事件和系統(tǒng)需求基礎(chǔ)之上，具有較強的針對性和代表性。同時，指標(biāo)的計算方法、數(shù)據(jù)收集、指標(biāo)范圍、權(quán)重選擇等都必須有科學(xué)依據(jù)。

2 網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系的構(gòu)建

文中在研究了網(wǎng)絡(luò)安全領(lǐng)域近期的研究成果[3-4]和網(wǎng)絡(luò)安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)[5-6]的基礎(chǔ)上，從當(dāng)前網(wǎng)絡(luò)的實際情況出發(fā)，對網(wǎng)絡(luò)普遍存在的、人們關(guān)注較多的安全信息進行了詳細的論證，對其應(yīng)用于網(wǎng)絡(luò)的可行性進行了分析，構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系，如表1所示。

生存性、威脅性、脆弱性3個指標(biāo)，分別代表了網(wǎng)絡(luò)的3個獨立性質(zhì)，從不同視角對網(wǎng)絡(luò)安全態(tài)勢進行了描述。

生存性指標(biāo)側(cè)重描述網(wǎng)絡(luò)自身對安全事件的防范能力、網(wǎng)絡(luò)能夠承受和抵抗攻擊的能力，以及網(wǎng)絡(luò)在遭受攻擊的情況下繼續(xù)為用戶提供服務(wù)的能力。

威脅性指標(biāo)側(cè)重描述各種網(wǎng)絡(luò)活動對于網(wǎng)絡(luò)內(nèi)部可能產(chǎn)生的威脅的程度以及危害的嚴重性，主要統(tǒng)計已知攻擊、疑似攻擊和惡意代碼的數(shù)量或頻率，通過模型計算，得出衡量網(wǎng)絡(luò)環(huán)境的參數(shù)。威脅性指標(biāo)不僅從外部來考量網(wǎng)絡(luò)的安全狀況，同時也將網(wǎng)絡(luò)內(nèi)部的惡意代碼威脅納入考量范圍之內(nèi)，使得對網(wǎng)絡(luò)安全態(tài)勢的評估更加準(zhǔn)確、全面。

脆弱性指標(biāo)側(cè)重描述網(wǎng)絡(luò)自身在安全方面的不足之處，主要關(guān)注網(wǎng)絡(luò)在遭受攻擊的情況下，是否能夠承受得住，能夠承受多少以及攻擊會帶來多大的危害和損失。通過綜合分析設(shè)備數(shù)目和漏洞數(shù)目等信息，從整體上來衡量網(wǎng)絡(luò)面臨威脅的時候可能蒙受的損失程度。

表1 網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系Tab.1 Network security situation factor index system

注：安全設(shè)備主要是指用于檢測網(wǎng)絡(luò)面臨攻擊威脅的設(shè)備，例如IDS、防火墻、病毒墻等。關(guān)鍵設(shè)備主要是指維持網(wǎng)絡(luò)運行的設(shè)備和具有特殊作用的網(wǎng)絡(luò)設(shè)備，例如路由器、DNS服務(wù)器、數(shù)字證書發(fā)布服務(wù)器等。

網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系涵蓋了構(gòu)成信息網(wǎng)絡(luò)實體的各個部分，將構(gòu)成信息網(wǎng)絡(luò)的各個層次納入考慮范疇，能夠從全面、整體的角度審視網(wǎng)絡(luò)的安全狀態(tài)，從而形成整個網(wǎng)絡(luò)安全態(tài)勢，提供全面、準(zhǔn)確的信息支持。指標(biāo)的選取具有以下的特點：

1）覆蓋全面 一方面，指標(biāo)將網(wǎng)絡(luò)目前面臨的主要攻擊威脅都納入指標(biāo)體系的考量范圍之內(nèi)，能夠較為全面地反映網(wǎng)絡(luò)當(dāng)前所遭受的威脅狀況；另一方面，指標(biāo)還將網(wǎng)絡(luò)自身的運行狀態(tài)和防護能力納入考量的范圍之內(nèi)，將二者相結(jié)合，從攻防兩個方面對網(wǎng)絡(luò)安全態(tài)勢進行了描述。

2）分層處理 由于指標(biāo)數(shù)據(jù)涵蓋了網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，指標(biāo)體系的結(jié)構(gòu)也隨著指標(biāo)延伸范圍的擴展而變得復(fù)雜，這就需要對各個一級指標(biāo)進行規(guī)整和分層，對處于同一層次的指標(biāo)進行集中處理。另外，對網(wǎng)絡(luò)安全狀態(tài)影響較大的指標(biāo)，應(yīng)進行單獨處理。

3）動靜結(jié)合 指標(biāo)不僅包含實時動態(tài)變化的數(shù)據(jù)，也包含在一段時間內(nèi)變化不大或變化速度緩慢的數(shù)據(jù)。動態(tài)指標(biāo)數(shù)據(jù)來自于數(shù)據(jù)采集系統(tǒng)的實時收集，靜態(tài)指標(biāo)多為用戶提供，因此，在提取態(tài)勢指標(biāo)時，需要區(qū)別對待，確保其數(shù)據(jù)的合理性和準(zhǔn)確性。

3 網(wǎng)絡(luò)安全態(tài)勢要素數(shù)據(jù)獲取

網(wǎng)絡(luò)設(shè)備數(shù)量多，各個設(shè)備間的關(guān)系復(fù)雜，從各個設(shè)備獲得數(shù)據(jù)具有數(shù)據(jù)量大、成份復(fù)雜、產(chǎn)生時間短、處理時間長等特點[7]，對采集的數(shù)據(jù)直接進行分析是不可取的，因此，需要對采集的數(shù)據(jù)進行一定的處理，才能轉(zhuǎn)化為態(tài)勢評估和態(tài)勢預(yù)測使用的態(tài)勢指標(biāo)數(shù)據(jù)。數(shù)據(jù)處理共分為2個步驟：1）原始數(shù)據(jù)獲取。對采集到的數(shù)據(jù)歸類后放入到原始數(shù)據(jù)庫中；2）態(tài)勢指標(biāo)提取。原始數(shù)據(jù)獲取是態(tài)勢指標(biāo)獲取的第1步，根據(jù)指標(biāo)體系組織形式和系統(tǒng)的實際需求，本文將原始數(shù)據(jù)劃分為網(wǎng)元信息、流量信息、報警信息、漏洞信息和靜態(tài)配置信息5個類別。

1）網(wǎng)元信息 側(cè)重描述網(wǎng)絡(luò)中主機的信息，這里所指的主機包括安全設(shè)備、PC主機、服務(wù)器等，獲取來源主要是通過Nessus掃描日志、Snort日志和Netflow數(shù)據(jù)，其主要包括主機類型、操作系統(tǒng)類型及版本、IP地址、開放端口類型、提供服務(wù)類型等信息。

2）流量信息 側(cè)重描述與流量相關(guān)的信息，其獲取來源主要是通過Netflow數(shù)據(jù)包，主要包括數(shù)據(jù)流入量、不同協(xié)議數(shù)據(jù)包的分布、不同端口數(shù)據(jù)包的分布、數(shù)據(jù)流IP的分布等信息。

3）漏洞信息 側(cè)重描述漏洞的相關(guān)信息，其獲取來源主要是通過掃描和系統(tǒng)日志，包括漏洞的類型、影響系統(tǒng)類型、危害等級等信息。

4）報警信息 側(cè)重描述已經(jīng)發(fā)生或檢測出的惡意攻擊行為的相關(guān)信息，其獲取來源主要是通過Snort報警日志和用戶上報等，主要包括安全設(shè)備檢測到的攻擊類型、安全設(shè)備所檢測到攻擊的IP分布、安全事件發(fā)生時間等信息。

5）靜態(tài)配置信息 側(cè)重描述整個網(wǎng)絡(luò)的基本信息，其獲取的主要來源是用戶提供，主要包括網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)帶寬和服務(wù)器的最大連接數(shù)，需要說明的是，由于這些數(shù)據(jù)具有相對穩(wěn)定的特點，因而，靜態(tài)配置信息不需要經(jīng)常更新。態(tài)勢指標(biāo)提取是態(tài)勢指標(biāo)獲取的中心環(huán)節(jié)，依據(jù)各指標(biāo)的需要對原始數(shù)據(jù)進行篩選，選取適當(dāng)?shù)臄?shù)據(jù)字段，通過一定的計算方法，從中提取指標(biāo)信息獲取態(tài)勢指標(biāo)。

3.1 態(tài)勢要素數(shù)據(jù)的采集與提取

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)要實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的全面掌握，就需要盡可能全面地獲取能夠反映網(wǎng)絡(luò)安全狀態(tài)的數(shù)據(jù)信息。按照目前的網(wǎng)絡(luò)現(xiàn)狀和指標(biāo)體系的實際需求，本文選取Netflow數(shù)據(jù)、Snort日志和Nessus掃描日志作為態(tài)勢指標(biāo)數(shù)據(jù)源。這三種數(shù)據(jù)涵蓋了流量、攻擊和漏洞三方面的信息，反映了網(wǎng)絡(luò)基本運行狀態(tài)信息、面臨的攻擊威脅和潛在的安全威脅狀況，能夠為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)提供較為全面的數(shù)據(jù)支持。

1）Netflow數(shù)據(jù)提取

Netflow技術(shù)作為網(wǎng)絡(luò)流量的檢測技術(shù)，能夠?qū)崟r地提供詳盡網(wǎng)絡(luò)流量信息和統(tǒng)計預(yù)分析功能，并能很好地避免資源過載，現(xiàn)已經(jīng)成為被業(yè)界廣泛認可的標(biāo)準(zhǔn)，有很強的代表性。Netflow報文都是由報文頭和多個流信息記錄兩部分構(gòu)成。報文頭主要由版本號、流記錄數(shù)、序列號等組成；流信息記錄中存放有詳細的流信息，主要有源IP地址、目的IP地址、TCP/UDP端口號、服務(wù)類型、包和字節(jié)計數(shù)、路由信息等。Netflow的數(shù)據(jù)格式[8]如表2所示。

2）Snort數(shù)據(jù)提取

Snort是一個開放源碼的、免費的網(wǎng)絡(luò)入侵檢測系統(tǒng)，Snort報警信息可以根據(jù)用戶的要求選取字段輸出。在采集數(shù)據(jù)前，需要對Snort數(shù)據(jù)字段進行篩選，摒除無用的字段。根據(jù)指標(biāo)體系的實際需要，從Snort數(shù)據(jù)中選取了14個字段，如表3所示。通過這14個字段提供的安全信息，能夠較為清晰地了解一次攻擊的主要信息，例如，攻擊發(fā)起者是誰，基于什么樣的服務(wù)和協(xié)議，實施了什么類型的攻擊，被攻擊目標(biāo)是誰等。

表2 獲取Netflow數(shù)據(jù)字段Tab.2 Acquisition of Netflow data field

3）Nessus數(shù)據(jù)提取

Nessus是一個功能強大而又易于使用的開源網(wǎng)絡(luò)漏洞掃描器，在Nessus系統(tǒng)中，用戶可以實現(xiàn)對網(wǎng)段、主機、端口和服務(wù)的掃描，發(fā)現(xiàn)網(wǎng)內(nèi)存在的漏洞信息，將掃描結(jié)果以報告的形式呈現(xiàn)給用戶的。根據(jù)指標(biāo)體系的實際需要，從Nessus數(shù)據(jù)中選取了12個字段作為指標(biāo)數(shù)據(jù)源，涵蓋了端口、服務(wù)等目標(biāo)主機的相關(guān)信息和存在的漏洞威脅信息，實現(xiàn)對目標(biāo)主機的相關(guān)信息較為全面的掌握。如表4所示。

3.2 態(tài)勢要素指標(biāo)數(shù)據(jù)計算

原始數(shù)據(jù)獲取僅僅完成了態(tài)勢指標(biāo)數(shù)據(jù)獲取的第一步。由于原始數(shù)據(jù)數(shù)量巨大，類型多樣，需要進行分析處理，才能得到態(tài)勢指標(biāo)數(shù)據(jù)。本文態(tài)勢指標(biāo)數(shù)據(jù)處理主要有流量變化率計算、數(shù)量計算和分布計算3種。

流量變化率的計算：設(shè)t時刻網(wǎng)絡(luò)數(shù)據(jù)的字節(jié)總量IQt為：

表3 獲取Snort數(shù)據(jù)字段Tab.3 Acquisition of Snort data field

表4 獲取Nessus數(shù)據(jù)字段Tab.4 Acquisition of Nessus data field

其中，flow_seq為Netflow數(shù)據(jù)流中的流編號，dOctets為第flow_seq條信息流的數(shù)據(jù)包中第3層字節(jié)的總個數(shù)。網(wǎng)絡(luò)流量變化率IQR為：

數(shù)量的計算：主要是用于統(tǒng)計指標(biāo)中的各個屬性在一段時間內(nèi)的出現(xiàn)次數(shù)。以數(shù)據(jù)包端口的數(shù)量為例，給出數(shù)量的計算方法：設(shè)D為N組檢測到的攻擊數(shù)據(jù)集合，Dc為數(shù)據(jù)D中攻擊類型字段，K={K1，K2，…，Km}為攻擊類型的集合，則攻擊 Ki的數(shù)量 PKi為：

分布的計算：以不同協(xié)議數(shù)據(jù)包的分布為例，其分布表示各協(xié)議數(shù)據(jù)包占總數(shù)的百分比。設(shè) P={P1，P2，…，Pn}，Pi為使用第Pi種協(xié)議的數(shù)據(jù)包的數(shù)量，則第i種協(xié)議的分布xi為：

采用這3種計算方法，針對各指標(biāo)的不同要求，可以從原始數(shù)據(jù)中提煉出態(tài)勢指標(biāo)數(shù)據(jù)。

4 結(jié)束語

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)數(shù)據(jù)來源廣泛，種類繁多，因此，如何從紛繁眾多的安全信息中提取能夠全面反映網(wǎng)絡(luò)安全態(tài)勢的指標(biāo)信息，成為研究網(wǎng)絡(luò)安全態(tài)勢感知的首要問題。本文提出了一套為態(tài)勢評估和態(tài)勢預(yù)測提供全面可靠支持的網(wǎng)絡(luò)安全態(tài)勢要素指標(biāo)體系，并對態(tài)勢數(shù)據(jù)獲取和指標(biāo)計算的方法進行了討論。該指標(biāo)體系不僅涵蓋了構(gòu)成信息網(wǎng)絡(luò)實體的各個部分，也將構(gòu)成信息網(wǎng)絡(luò)的各個層次納入考慮范疇，能夠從全面、整體的角度審視網(wǎng)絡(luò)的安全狀態(tài)，從而形成整個網(wǎng)絡(luò)安全態(tài)勢，提供全面、準(zhǔn)確的信息支持。

[1]王慧強，賴積寶，朱亮，等.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學(xué)，2006，10（33）:5-10.WANG Hui-Qiang，LAI Ji-Bao，ZHU Liang，et al.Survey of network situation awareness system[J].Computer Science，2006，10（33）:5-10.

[2]陳彥德，趙陸文，王瓊，等.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計算機工程與應(yīng)用，2008，44（1）:100-102.CHEN Yan-de，ZHAO Lu-wen，WANG Qiong，et al.Summary of network restoration based on topological information[J].Computer Engineering and Applications，2008，44（1）:100-102.

[3]王健，王慧強，趙國生.信息系統(tǒng)可生存性定量評估的指標(biāo)體系[J].計算機工程，2009，3（35）:54-56.WANG Jian，WANG Hui-qiang，ZHAO Guo-sheng.Index system of quantitative evaluation for information systems survivability[J].Computer Engineering，2009，3（35）:54-56.

[4]王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢感知中的指標(biāo)體系研究[J].計算機應(yīng)用，2007，8（27）:1907-1912.WANG Juan，ZHANG Feng-li，F(xiàn)U Chong，et al.Study on index system in network situation awareness[J].Journal of Computer Applications，2007，8（27）:1907-1912.

[5]The International Organization for Standardization.Code of Practice for Information Security Management，ISO/IEC17799:2000[S].2000.

[6]B SI/DISC Committee BDD/2.BS7799 Code of Practice for Information Security Management[S].1999.

[7]鄭麗君.基于日志的安全態(tài)勢傳感器設(shè)計與實現(xiàn)研究[D].哈爾濱:哈爾濱工程大學(xué)，2007.

[8]唐菲.網(wǎng)絡(luò)安全態(tài)勢感知可視化的研究與實現(xiàn) [D].成都:電子科技大學(xué)，2009.