李方偉，黃 卿，朱 江，張海波

(重慶郵電大學 移動通信技術(shù)重慶市重點實驗室，重慶 400065)

1 引言

網(wǎng)絡安全態(tài)勢感知［1］是在分析歷史數(shù)據(jù)、檢測當前網(wǎng)絡安全狀況的基礎上，對未來一段時間進行安全告警的新型安全技術(shù)，主要包括態(tài)勢要素獲取、態(tài)勢評估、態(tài)勢預測三個階段。安全態(tài)勢評估技術(shù)屬于網(wǎng)絡安全態(tài)勢感知的重要環(huán)節(jié)，是銜接態(tài)勢要素獲取和態(tài)勢預測的重要橋梁。國外方面，文獻［2］根據(jù)不同網(wǎng)絡配置和無線網(wǎng)絡的特性，提出了一種四層無線網(wǎng)絡的風險評估機制;文獻［3］根據(jù)國家漏洞數(shù)據(jù)庫(National Vulnerability Database，NVD)提出了一種通過檢測漏洞威脅來評估網(wǎng)絡風險的方法;文獻［4］基于模糊集理論，將數(shù)據(jù)信息映射為自然語言，并進行風險評估。國內(nèi)方面，文獻［5］在DS 證據(jù)理論的多源數(shù)據(jù)融合基礎上對網(wǎng)絡風險進行評估;文獻［6］針對入侵意圖難于發(fā)現(xiàn)的問題，采用了一種基于動態(tài)攻擊圖，并結(jié)合資產(chǎn)、脆弱性的實時網(wǎng)絡評估方法。以上研究在網(wǎng)絡風險評估方面具有眾多優(yōu)勢，但也普遍存在一些待完善的地方:一是攻擊成功概率的計算只依賴漏洞信息，客觀性不足;二是攻擊威脅值的定義過于寬泛，多種相同威脅因子的攻擊，威脅值存在差異;三是重要性權(quán)重的計算方法精確度不高，導致評估結(jié)果不夠準確。

為了進一步完善網(wǎng)絡風險評估，本文提出了一種項目反應理論與層次化網(wǎng)絡風險評估模型相結(jié)合的方法，利用系統(tǒng)配置信息、系統(tǒng)運行信息以及通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System，CVSS)［7］，并結(jié)合安全防御強度，解決了計算攻擊成功概率時客觀性不足的問題;通過項目反應理論提出攻擊能力值的概念，解決了攻擊威脅值區(qū)分度不高的問題;依靠三標度層次分析法解決了重要性權(quán)重精確度不高的問題。最后對服務邏輯層、主機邏輯層和網(wǎng)絡邏輯層分別進行風險定量分析，繪制各層的風險態(tài)勢圖，直觀顯示網(wǎng)絡各部分的風險及變化規(guī)律，為安全策略的制定提供了依據(jù)。

2 基于項目反應理論的實時網(wǎng)絡風險評估

2.1 實時網(wǎng)絡風險態(tài)勢評估框架

為應對現(xiàn)實生活中網(wǎng)絡規(guī)模的不斷擴大，依照通信系統(tǒng)架構(gòu)，自底向上將網(wǎng)絡系統(tǒng)(System)依次劃分為漏洞邏輯層(Vulnerability)、服務邏輯層(Service)、主機邏輯層(Host)和網(wǎng)絡邏輯層(Network)，并利用態(tài)勢圖直觀顯示出網(wǎng)絡的風險大小，再針對大風險服務或主機進行重點防范。

實時網(wǎng)絡風險態(tài)勢評估框架如圖1 所示。

圖1 實時網(wǎng)絡風險態(tài)勢評估框架Fig.1 The real－time network security risk assessment framework

以入侵檢測系統(tǒng)(Intrusion Detection System，IDS)的報警信息、目標網(wǎng)絡拓撲、漏洞信息為基礎，結(jié)合規(guī)則庫，從服務邏輯層開始，逐步評估網(wǎng)絡各邏輯層的風險態(tài)勢。

2.2 基于項目反應理論的算法定義

項目反應理論［8－9］又稱潛在特質(zhì)理論，廣泛應用于心理學與教育學，它是對測試者能力值的一種估計，并將測試者對每個測試項目的某種反應概率與此項目的一定特質(zhì)聯(lián)系起來的方法。

(1)攻擊威脅值

針對網(wǎng)絡攻擊中的權(quán)限、流量威脅，采用了文獻［5］和文獻［10］中利用威脅因子對服務威脅值進行定義的方法，通過區(qū)分端口掃描攻擊、拒絕服務攻擊、提升權(quán)限攻擊和遠程用戶攻擊的方法對所有攻擊行為分類，并以四種攻擊類型的威脅因子作為評判威脅值大小的主要因素。

然而，考慮到相同攻擊類型不同攻擊行為的威脅值可能存在差異，為了提高傳統(tǒng)攻擊威脅值的區(qū)分度，利用項目反應理論引入攻擊能力值的概念，并重新定義了一個新的攻擊威脅值公式:

式中，θi表示第i 種攻擊行為的攻擊能力值，由項目反應理論的單參數(shù)Logistic 函數(shù)以及攻擊反應矩陣進行參數(shù)估計確定;Fi∈(1，2，3)表示第i 種攻擊行為所屬攻擊類型的威脅因子。

(2)攻擊成功概率

攻擊成功執(zhí)行與某些條件是密不可分的，如特殊端口的打開、某些位置具有安全缺陷、存在可被利用的安全漏洞等。針對文獻［6］并未考慮安全防御強度和攻擊能力值的影響，依據(jù)項目反應理論重新定義了攻擊成功概率的求取方法。

定義1 服務安全等級(L):表示服務受到攻擊后的阻抗程度，由服務存在的漏洞信息(C)和安全防御強度(I)組成，服務安全等級越高，安全性越強。漏洞信息由CVSS 確定，并根據(jù)攻擊復雜度(AC)、攻擊途徑(AV)以及身份認證(AU)的指標描述將高、中、低難度等級分別定量為3、2、1，且規(guī)定;根據(jù)服務所受到的保護措施，將安全防御強度I 分為3個等級，且I∈(1，2，3)。由以上分析，定義服務安全等級公式如下:

式中，λ1、λ2分別表示漏洞與安防在服務安全性方面所占比重，依照以往經(jīng)驗，λ1、λ2取值分別為0.4、0.6。

通過定義1 的服務安全等級，結(jié)合項目反應理論的單參數(shù)Logistic 模型，進一步提出攻擊成功概率P 的計算公式如下:

式中，θi表示第i 種攻擊行為的攻擊能力值，D=1.7是一個常數(shù)。隨著時間的推移，新的攻擊行為被檢測出來，使原有的攻擊反應矩陣發(fā)生了改變，攻擊能力值更新，從而達到了攻擊威脅值和攻擊成功概率實時更新的效果。

3 層次化風險態(tài)勢

3.1 風險權(quán)重因子

根據(jù)影響服務性能因素可知，主機中服務重要性的客觀反映主要由平均訪問量、訪問頻率以及服務在主機中地位所決定，利用(0，1，2)三標度層次分析法［11］對服務重要性權(quán)重進行定量計算，獲得相對準確的服務重要性權(quán)重。

3.2 風險態(tài)勢值

定義2 服務風險態(tài)勢(RS):在時間(t，t +Δt)內(nèi)，服務Si(0≤i≤m)受到的攻擊總數(shù)為Ni，每項攻擊的攻擊成功概率為Pi，其中第k(0≤k≤n)項攻擊的數(shù)目為Nik，且，第k 項攻擊的威脅因子及能力值為Fk和θk，則服務Si的風險態(tài)勢為

定義3 主機風險態(tài)勢(RH):在時間(t，t+Δt)內(nèi)，主機Hg(1≤g≤v)上運行u 種服務，且服務Si(0≤i≤u)的重要程度為，則主機Hg風險態(tài)勢為

定義4 網(wǎng)絡風險態(tài)勢(RN):在時間(t，t+Δt)內(nèi)，網(wǎng)絡中運行了v 臺主機，主機Hg(1≤g≤v)在網(wǎng)絡中的重要性權(quán)重為，則網(wǎng)絡的風險態(tài)勢為

4 實例仿真分析

為了驗證提出方法的科學性和全面性，我們利用實驗室搭建的模擬平臺，建立了簡易的網(wǎng)絡拓撲結(jié)構(gòu)圖，如圖2 所示，利用Nessus 檢測主機的漏洞，采集了2013 年7 月1 日到8 月31 日共兩個月的校園網(wǎng)絡防護數(shù)據(jù)進行仿真研究，并對存在服務漏洞的主機進行動態(tài)風險分析。

圖2 網(wǎng)絡拓撲結(jié)構(gòu)圖Fig.2 The network topology

4.1 三標度法權(quán)重的計算

利用服務信息與漏洞信息，以服務重要性為目標層;以評判網(wǎng)絡服務重要性的3個指標，即平均訪問量、訪問頻率、主機中地位為準則層;以待確定重要性的服務為方案層，由專家經(jīng)驗定義平均訪問量、訪問頻率、主機中地位的相互間比重為［0.2 0.2 0.6］。以存在漏洞且IP 為192.168.0.1 的主機為例，其含有DNS、WWW、FTP、SMTP 四種服務，可得準則層的3個指標相對于四種服務的權(quán)重分別為BⅠ=［0.1376 0.5132 0.2751 0.0741］，BⅡ=［0.0989 0.5183 0.2839 0.0989］，BⅢ=［0.0989 0.2839 0.5183 0.0989］，根據(jù)(0，1，2)三標度法計算出服務重要性權(quán)重及主機重要性權(quán)重，如表1 所示。

表1 網(wǎng)絡服務及權(quán)重分配Table1 Network service and distribution of weight

通過數(shù)據(jù)分析可知，三標度法在降低了九標度法復雜度的同時，也避免了構(gòu)造判斷矩陣時權(quán)重選擇的模糊性，而較于等級賦值重要性權(quán)重的方法，求取的權(quán)重也更精確。

4.2 攻擊成功概率和攻擊威脅值

利用定義的攻擊成功概率和攻擊威脅值算法，以7 月份系統(tǒng)服務信息、系統(tǒng)漏洞信息以及危險報警信息作為數(shù)據(jù)基礎，經(jīng)統(tǒng)計分析，總共有12 種不同的攻擊行為對網(wǎng)絡中的7 種服務進行了攻擊，結(jié)合項目反應理論，利用參數(shù)估計得到每一種攻擊行為的攻擊能力值θ，并通過系統(tǒng)漏洞信息和服務信息獲得自定義參數(shù)服務安全等級L 的值，從而根據(jù)公式(3)即可計算出相應攻擊行為對主機服務的攻擊成功概率，如表2 所示。通過是否考慮攻擊能力值來比較攻擊威脅值的變化，與文獻［10］方法結(jié)果比較如圖3 所示。

為實現(xiàn)網(wǎng)絡風險態(tài)勢的實時評估，對8 月的每天進行攻擊統(tǒng)計，若存在上月未出現(xiàn)的攻擊情況，則將其添加到原來的攻擊反應矩陣中，同時更新概率矩陣和攻擊威脅值。

表2 攻擊成功概率Table 2 Attack successful probability

圖3 兩種攻擊威脅值方法的比較Fig.3 Comparison of threat of attack between two methods

4.3 實時風險態(tài)勢評估

針對2013 年8 月的參數(shù)信息，利用改進的風險態(tài)勢評估算法，每隔Δt=1 天進行一次風險態(tài)勢值的計算，并繪制出一個月的風險態(tài)勢曲線，方便分析與決策。圖4～6 分別表示在8 月內(nèi)服務邏輯層、主機邏輯層、網(wǎng)絡邏輯層的風險態(tài)勢變化。圖4 表示W(wǎng)WW、FTP、TELNET 三種服務的風險態(tài)勢圖，圖5繪制了4 臺存在漏洞主機的風險態(tài)勢圖，圖6 則給出了整個網(wǎng)絡的風險態(tài)勢圖。

圖4 實時服務風險Fig.4 Risk of services in real－time

圖5 實時主機風險Fig.5 Risk of hosts in real－time

圖6 實時網(wǎng)絡風險Fig.6 Risk of network in real－time

通過分析可得到以下結(jié)論:第一，TELNET 服務在當月遭受的攻擊最為嚴重，WWW 服務其次，受到攻擊風險最低的是FTP 服務;第二，主機4 受到的攻擊風險最大，其余3 臺主機風險程度相近;第三，網(wǎng)絡攻擊的發(fā)生絕大部分集中在周末，因此猜測攻擊者很有可能有正當職業(yè)，如在職工作者或?qū)W生。

4.4 網(wǎng)絡風險態(tài)勢的比較

網(wǎng)絡安全事件的發(fā)生存在很大的偶然性與隨機性，若僅考慮造成的損失并不能真實地還原安全狀況，因此提出了通過攻擊成功概率、服務安全等級、服務重要性權(quán)重以及攻擊能力值等概念來對傳統(tǒng)的風險態(tài)勢評估方法進行改進，并融入到各邏輯層的風險評估中。

圖7 給出了本文方法與文獻［5］方法的風險態(tài)勢評估結(jié)果，可以看到，文獻［5］方法得到的風險值明顯高于本文方法，而實際上，由于文獻［5］中并沒有考慮攻擊能力值參數(shù)和服務安全等級參數(shù)所帶來的影響，從而導致了評估結(jié)果的不準確;同時，由于部分攻擊行為存在，但并未攻擊成功，以及攻擊威脅值的計算存在偏差等問題，也很容易導致算法無法真實地反映網(wǎng)絡安全狀況，從而對網(wǎng)絡安全管理員造成誤導，甚至做出錯誤決策。本文方法為克服以上出現(xiàn)的問題，利用項目反應理論引入了攻擊能力值的概念，使網(wǎng)絡風險評估的準確性得到了針對性改善。

圖7 兩種風險評估方法結(jié)果的比較Fig.7 Comparison of network risk assessment between two methods

5 結(jié)束語

本文以IDS 報警信息、系統(tǒng)漏洞信息以及系統(tǒng)服務信息為輸入，分別對服務邏輯層、主機邏輯層以及網(wǎng)絡邏輯層的風險態(tài)勢進行定量分析，提出了一種基于項目反應理論的層次化風險態(tài)勢評估方法，與傳統(tǒng)方法相比，存在以下優(yōu)勢:第一，將CVSS 系統(tǒng)與安全防御強度相結(jié)合所定義的服務安全等級作為安全評價參數(shù)之一，使風險評估結(jié)果更全面、科學;第二，通過三標度層次分析法提高了重要性權(quán)重的精度;第三，結(jié)合項目反應理論，提出了一種區(qū)分度更高、更符合實際的攻擊威脅值算法和攻擊成功概率算法;第四，憑借攻擊成功概率和攻擊威脅值的動態(tài)更新，實現(xiàn)了風險態(tài)勢的實時評估。受到所用數(shù)據(jù)集識別攻擊的準確度影響，該方法也存在一定局限性，下一階段準備在保證評估全面性的基礎上，針對大規(guī)模網(wǎng)絡環(huán)境，對提高數(shù)據(jù)集提取精度的方法展開研究。

［1］龔正虎，卓瑩.網(wǎng)絡態(tài)勢感知研究［J］.軟件學報，2010，21(7):1605－1619.GONG Zhenghu，ZHUO Ying.Research on cyberspace situational awareness［J］.Journal of Software，2010，21(7):1605－1619.(in Chinese)

［2］Tsai H，Huang Y.An Analytic Hierarchy Process－Based Risk Assessment Method for Wireless Networks［J］.IEEE Transactions on Reliability，2011，60(4):801－816.

［3］Abedin M，Nessa S，Al－Shaer E，et al.Vulnerability analysis for evaluating quality of protection of security policies［C］//Proceedings of the 2nd ACM Workshop on Quality of Protection.Alexandria，US:ACM，2006:49－52.

［4］Sanguansat K，Chen S M.A new method for analyzing fuzzy risk based on a new fuzzy ranking method between generalized fuzzy numbers［C］//Proceedings of 2009 International Conference on Machine Learning and Cybernetics.Baoding:IEEE，2009:2823－2827.

［5］劉效武，王慧強，呂宏武，等.基于融合的網(wǎng)絡安全態(tài)勢量化感知［J］.吉林大學學報(工學版)，2013，43(6):1650－1657.LIU Xiaowu，WANG Huiqiang，LYU Hongwu，et al.Quantitative awareness of network security situation based on fusion［J］.Journal of Jilin University(Engineering and Technology Edition)，2013，43(6):1650－1657.(in Chinese)

［6］羅智勇，尤波，許家忠，等.基于三層攻擊圖的入侵意圖自動識別模型［J］.吉林大學學報(工學版)，2014，44(5):1392－1397.LUO Zhiyong，YOU Bo，XU Jiazhong，et al.Based on three layer attack graph automatic intrusion intention recognition model［J］.Journal of Jilin University(Engineering and Technology Edition)，2014，44(5):1392－1397.(in Chinese)

［7］Ali A，Zavarsky P，Lindskog D，et al.A Software Application to Analyze the Effects of Temporal and Environmental Metrics on Overall CVSS v2 Score［C］//Proceedings of 2011 World Congress on Internet Security.London:IEEE，2011:21－23.

［8］Baldiris S，F(xiàn)abregat R，Graf S，et al.Learning Object Recommendations based on Quality and Item Response Theory［C］//Proceedings of 2014 IEEE 14th International Conference on Advanced Learning Technologies.Athens，Greece:IEEE，2014:34－36.

［9］Arnold F，Pieters W，Stoelinga M I A.Quantitative penetration testing with item response theory［C］//Proceedings of 2013 9th International Conference on Information Assurance and Security.Gammarth，Tunisia:IEEE，2014:49－54.

［10］劉剛，李千目，張宏.信度向量正交投影分解的網(wǎng)絡安全風險評估方法［J］.電子與信息學報，2012，34(8):1934－1938.LIU Gang，LI Qianmu，ZHANG Hong.Reliability vector orthogonal projection decomposition method of network security risk assessment［J］.Journal of Electronics and Information Technology，34(8):1934－1938，2012.(in Chinese)

［11］蔣官澄，吳雄軍，王曉軍，等.確定儲層損害預測評價指標權(quán)值的層次分析法［J］.石油學報，2011，32(6):1037－1041.JIANG Guandeng，WU Xiongjun，WANG Xiaojun，et al.Application of the analytical hierarchy process to determining evaluation index weights for the prediction of reservoir damage［J］.Acta Petrolei Sinica，2011，32(6):1037－1041.(in Chinese)