張展翔　鐘成琦　陳鈞

摘 要 隨著網(wǎng)絡(luò)的迅速發(fā)展，新的網(wǎng)絡(luò)安全態(tài)勢評估方法被不斷提出，其作用已然在網(wǎng)絡(luò)安全領(lǐng)域顯得尤為重要。網(wǎng)絡(luò)安全態(tài)勢評估方法由于人們研究側(cè)重點(diǎn)的不同而變得紛繁復(fù)雜，因此本文對網(wǎng)絡(luò)安全態(tài)勢評估進(jìn)行了簡要介紹，并指出了各類評估方法的優(yōu)缺點(diǎn)。

關(guān)鍵詞 網(wǎng)絡(luò)安全 態(tài)勢評估 性能分析

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

作為網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness，NSSA）研究的核心內(nèi)容，網(wǎng)絡(luò)安全態(tài)勢評估已經(jīng)得到了國內(nèi)外的廣泛關(guān)注。

Time Bass于1999年在文獻(xiàn)中首次提出網(wǎng)絡(luò)安全態(tài)勢感知的概念，其目的是關(guān)聯(lián)相互獨(dú)立的IDS以融合攻擊信息用于評估網(wǎng)絡(luò)安全。同年，Andrew Blyth在文獻(xiàn)中提出了通過觀察黑客的攻擊足跡從而進(jìn)一步定性地評估網(wǎng)絡(luò)受到的安全威脅。但是他們僅限于理論上的研究，并未對理論模型進(jìn)行實(shí)現(xiàn)。2001年，Information Extraction & Transport在研究攻擊的檢測方法和攻擊對網(wǎng)絡(luò)安全的影響時(shí)，為了檢測廣域計(jì)算機(jī)的攻擊和評估態(tài)勢響應(yīng)，開發(fā)了一種SSARE工具，將理論方法付諸應(yīng)用，但是由于該工具所用方法過于依賴專家主觀經(jīng)驗(yàn)，因此為了解決這個(gè)問題。

2005年，Jajdia等人以檢測網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)為目的，設(shè)計(jì)了一種拓?fù)淙觞c(diǎn)分析工具TVA，該工具可以通過分析拓?fù)淙觞c(diǎn)來評估網(wǎng)絡(luò)的安全狀況。2011年，Gabreil Jakobson等人在文獻(xiàn)中提出了影響依賴圖的概念，設(shè)計(jì)了基于影響依賴圖的網(wǎng)絡(luò)安全態(tài)勢評估方法，加強(qiáng)了對復(fù)合攻擊的評估。2012年，Stephen E.Smith在文獻(xiàn)中提出綜合利用現(xiàn)有網(wǎng)絡(luò)安全工具，包括流量分析工具、脆弱性掃描工具和入侵檢測系統(tǒng)等，以便于全面評估和保護(hù)網(wǎng)絡(luò)安全，并以現(xiàn)有工具的集成為目的對系統(tǒng)進(jìn)行了設(shè)計(jì)。

國內(nèi)學(xué)者對網(wǎng)絡(luò)安全態(tài)勢評估方法的研究相對較晚，理論及應(yīng)用研究均亟需進(jìn)一步提高與完善。

為了綜合考慮攻擊和脆弱性對網(wǎng)絡(luò)安全的影響，考慮到攻擊和脆弱性之間存在對應(yīng)關(guān)系，韋勇于在2009年提出了通過匹配攻擊所依賴的脆弱性信息與目標(biāo)節(jié)點(diǎn)的脆弱性信息來獲取攻擊成功支持概率。基于對攻擊和脆弱性之間、脆弱性和脆弱性之間的關(guān)聯(lián)關(guān)系的考慮，劉剛于2012年針對網(wǎng)絡(luò)中節(jié)點(diǎn)的漏洞和攻擊層面的風(fēng)險(xiǎn)分析需求，提出了漏洞信度和攻擊信度的概念，做到了將網(wǎng)絡(luò)中的漏洞信息和攻擊信息進(jìn)行關(guān)聯(lián)。王坤等于2016年通過對已有網(wǎng)絡(luò)安全態(tài)勢評估方法的分析與比較，提出了一種基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法。首先，對網(wǎng)絡(luò)中的報(bào)警數(shù)據(jù)進(jìn)行因果分析，識別出攻擊意圖與當(dāng)前的攻擊階段；然后，以攻擊階段為要素進(jìn)行態(tài)勢評估；最后，構(gòu)建攻擊階段狀態(tài)轉(zhuǎn)移圖（STG），結(jié)合主機(jī)的漏洞與配置信息，實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。

對以上研究現(xiàn)狀進(jìn)行分析可知，國內(nèi)外研究者一般以網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)性能指標(biāo)變化以及它們的綜合影響為側(cè)重點(diǎn)來研究網(wǎng)絡(luò)安全態(tài)勢評估方法。因此，根據(jù)研究側(cè)重點(diǎn)的不同可以將網(wǎng)絡(luò)安全態(tài)勢評估方法分為三個(gè)基礎(chǔ)類：面向攻擊的網(wǎng)絡(luò)安全態(tài)勢評估方法、面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢評估方法和面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢評估方法。對三類網(wǎng)絡(luò)安全態(tài)勢評估方法的介紹見下表。

參考文獻(xiàn)

[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion， 1999：24-27.

[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999，4（3）：43-53.

[3] DAmbrosio B，Takikawa M，Upper D，F(xiàn)itzgerald J，Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf，&Exposition II，Anaheim，California，USA，2001：387-394.

[4] Ahmed M， Al-Shaer E， Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway，NJ：IEEE，2008：1957-1965.

[5] Gorodetsky V，Karsaeyv O，Samoilov V.On-line update of situation assessment：a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems，2005，9（4）：361-365.

[6] Stephen E.Smith.Tightening the net：Examining and Demonstrating Commonly Available Network Security Tools[D].Submitted to the Faculty of the Department of Computing and Mathematical Sciences Texas A&M University，Corpus Christi，Texas， 2012.

[7] 王坤，邱輝，楊豪璞.基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計(jì)算機(jī)應(yīng)用，2016，36（1）：194-198.