劉世文，司 成，張紅旗

信息工程大學，鄭州 450001

1 引言

隨著網(wǎng)絡產(chǎn)品和網(wǎng)絡應用的不斷普及，網(wǎng)絡正在變?yōu)閲疑a(chǎn)生活的基礎設施資源。與此同時，網(wǎng)絡安全問題也在持續(xù)發(fā)酵，不斷引發(fā)國內(nèi)外社會的廣泛關注。傳統(tǒng)的單點防御設備只能各自為戰(zhàn)地保護局部網(wǎng)絡的安全狀態(tài)，形成一個個“安全孤島”，無法準確反映網(wǎng)絡整體安全狀態(tài)。網(wǎng)絡威脅態(tài)勢感知融合針對外部威脅的多源異構安全設備信息，對網(wǎng)絡的總體安全狀態(tài)進行準確評估和預測，為管理員決策提供可靠的技術支持，已經(jīng)成為網(wǎng)絡信息安全領域的研究熱點。

Bass[1]首次提出網(wǎng)絡態(tài)勢感知的概念，通過研究入侵檢測技術的發(fā)展現(xiàn)狀，指出基于多源異構傳感器數(shù)據(jù)融合的態(tài)勢感知是未來的研究方向。Leau[2]等回顧了3種主要的網(wǎng)絡安全態(tài)勢評估方法，通過比較它們各自的優(yōu)點和局限性，總結了未來用于態(tài)勢評估模型的設計標準。Pardeep[3]等提出了基于語義網(wǎng)絡的網(wǎng)絡安全態(tài)勢感知框架，該框架具有可擴展性，能夠自動適應網(wǎng)絡配置的變化，同時還提供一種針對異質網(wǎng)絡數(shù)據(jù)的自動融合和處理機制。Li[4]等利用分層的貝葉斯網(wǎng)絡提出了一個自適應的態(tài)勢評估方法，對于不同的層次，采用網(wǎng)絡結構來推理態(tài)勢，通過不同的時間表來自適應地更新網(wǎng)絡參數(shù)。

陳秀真等[5]基于局域網(wǎng)內(nèi)部的網(wǎng)絡環(huán)境信息，提出了層次化結構的網(wǎng)絡安全威脅態(tài)勢評估模型，該模型按照主機、服務和網(wǎng)絡結構的層級順序，對網(wǎng)絡威脅態(tài)勢進行量化計算，進而實現(xiàn)對網(wǎng)絡安全態(tài)勢的評估。唐成華[6]、李方偉等[7]分別運用DS證據(jù)理論方法和神經(jīng)網(wǎng)絡方法等數(shù)據(jù)融合方法來綜合分析各種安全態(tài)勢要素，以解決態(tài)勢評估的正確性和合理性等問題。賈雪飛等[8]針對傳統(tǒng)態(tài)勢感知方法評估要素選取不全面的問題，構建了攻擊方、防護方、網(wǎng)絡環(huán)境三方面的能力機會意圖模型，使態(tài)勢感知的評估結果更符合實際。席榮榮等[9]提出一種基于環(huán)境屬性的網(wǎng)絡威脅態(tài)勢量化評估方法，通過驗證警報對目標網(wǎng)絡環(huán)境屬性的有效性，提高了威脅態(tài)勢量化評估結果的準確性。劉效武等[10]基于跨層結構和認知環(huán)構建一種網(wǎng)絡安全態(tài)勢認知融合感控模型，通過對網(wǎng)絡威脅演化趨勢的分析，實現(xiàn)了安全態(tài)勢的自主感知和自主調(diào)控。

近年來網(wǎng)絡攻擊呈現(xiàn)出協(xié)同化、可持續(xù)的特點，大部分網(wǎng)絡威脅事件不再孤立發(fā)揮作用，彼此間實現(xiàn)了攻擊的高度協(xié)調(diào)和關聯(lián)。傳統(tǒng)網(wǎng)絡安全防御方法作用對象單一，防護手段彼此相互獨立，已經(jīng)不能滿足當下的防御需求，同時評估粒度較粗，影響評估結果的準確性。文獻[11]利用改進D-S證據(jù)理論，提出基于漏洞和服務信息融合的網(wǎng)絡安全態(tài)勢評估模型，實現(xiàn)了對網(wǎng)絡安全態(tài)勢的評估和預測。文獻[12]基于形式化的描述方法，建立一個兩層威脅傳播模型，評估全網(wǎng)惡意威脅的傳播態(tài)勢。以上方法評估結果的粒度較粗，無法從不同的結構層次來反映網(wǎng)絡各個組成部分遭受威脅入侵的情況，無法滿足不同粒度的估計需求，評估方法可訂制性不強。針對這一問題，本文提出一種細粒度的網(wǎng)絡威脅態(tài)勢評估方法，按照從局部到整體、從微觀到宏觀的評估策略，對網(wǎng)絡的各個組成部分進行量化評估，能夠滿足對網(wǎng)絡威脅態(tài)勢不同需求的細粒度評估，得到了較為準確的評估結果。

2 網(wǎng)絡威脅態(tài)勢評估模型

隨著網(wǎng)絡規(guī)模日益增大、網(wǎng)絡結構日趨復雜，傳統(tǒng)的網(wǎng)絡宏觀態(tài)勢評估結果已經(jīng)不能滿足現(xiàn)實需求，需要進一步細粒度地對網(wǎng)絡威脅態(tài)勢進行評估，即通過對多源異構網(wǎng)絡安全設備產(chǎn)生的威脅事件、網(wǎng)絡資產(chǎn)、脆弱性等海量網(wǎng)絡威脅態(tài)勢要素信息，進行融合處理和關聯(lián)分析，從威脅入侵的不同階段、網(wǎng)絡結構的不同層次等角度對網(wǎng)絡威脅態(tài)勢進行評估，從而準確反映網(wǎng)絡的安全狀況，提高管理人員的預警和決策能力。

本文按照從局部到整體、從微觀到宏觀的評估策略，分別對威脅節(jié)點、威脅鏈路、威脅路徑、威脅目標和全網(wǎng)威脅態(tài)勢進行細粒度評估。下面給出評估模型中一些概念的定義。

定義1（威脅影響度）反映了威脅事件所造成破壞的有效性和嚴重程度，用I(t)表示。

定義2（威脅發(fā)生率）表示網(wǎng)絡威脅利用操作系統(tǒng)、安全配置、網(wǎng)絡實體漏洞、應用服務等多種網(wǎng)絡環(huán)境信息對網(wǎng)絡節(jié)點入侵成功的概率，用H(t)表示。

定義3（資產(chǎn)價值）表示受到威脅的網(wǎng)絡實體價值，用V(t)表示。

定義4（威脅路徑選擇概率）表示威脅入侵目標時選擇某一條路徑的概率，用C(t)表示。

為滿足管理人員對網(wǎng)絡安全狀況多角度、多層面訂制化評估需求，本文提出了網(wǎng)絡威脅態(tài)勢細粒度評估模型，按照從局部到整體、從微觀到宏觀的評估策略，對受到威脅的網(wǎng)絡各部分進行評估，如圖1所示。

根據(jù)此模型，按照如下步驟進行評估：

步驟1威脅評估指標量化。根據(jù)收集到的網(wǎng)絡態(tài)勢要素信息分別計算威脅影響度I(t)、威脅發(fā)生率H(t)和資產(chǎn)價值V(t)三個量化指標。

步驟2威脅節(jié)點態(tài)勢評估。根據(jù)威脅評估量化的三個指標，計算威脅節(jié)點態(tài)勢。

步驟3威脅鏈路態(tài)勢評估。根據(jù)威脅節(jié)點態(tài)勢及威脅事件所占的權重，計算威脅鏈路態(tài)勢。

圖1 網(wǎng)絡威脅態(tài)勢細粒度評估模型

步驟4威脅路徑態(tài)勢評估。將威脅路徑上的各個威脅鏈路合并，得到威脅路徑態(tài)勢。

步驟5威脅目標態(tài)勢評估。根據(jù)威脅路徑態(tài)勢及其威脅路徑選擇概率，計算威脅目標態(tài)勢。

步驟6全網(wǎng)威脅態(tài)勢評估。將威脅目標態(tài)勢進行融合，得到全網(wǎng)威脅態(tài)勢。

3 細粒度網(wǎng)絡威脅態(tài)勢評估方法

3.1 網(wǎng)絡威脅評估指標量化

3.1.1 威脅影響度

威脅影響度I(t)用來衡量威脅對網(wǎng)絡節(jié)點造成的危害程度。本文參考Snort用戶手冊[13]中攻擊的分類方法及其等級設定分數(shù)，將威脅影響度分為高、中、低、很低4個等級，分別設定分數(shù)為0.4、0.3、0.2、0.1。

3.1.2 威脅發(fā)生率

威脅的發(fā)生與網(wǎng)絡攻擊和網(wǎng)絡自身的環(huán)境信息密不可分，有些攻擊針對網(wǎng)絡的某些特定漏洞才能成功，而有些攻擊不需要利用網(wǎng)絡的明顯漏洞就可以實施。因此，本文利用操作系統(tǒng)、安全漏洞、應用服務、系統(tǒng)配置等網(wǎng)絡環(huán)境屬性信息，來計算威脅發(fā)生率，計算公式為：其中，R表示相關度函數(shù)，ω?表示各網(wǎng)絡環(huán)境屬性信息的相關度函數(shù)所占的權重，i表示網(wǎng)絡環(huán)境屬性信息的數(shù)量，在計算過程中用來標識各屬性信息。

定義5（相關度函數(shù)R）將網(wǎng)絡威脅事件引發(fā)的報警信息與網(wǎng)絡環(huán)境屬性信息進行匹配，確定警報與該網(wǎng)絡的相關性，報警信息與網(wǎng)絡環(huán)境屬性信息的匹配性越高，表示警報與該網(wǎng)絡的相關性越大，則該威脅事件發(fā)生的可能性越大，即威脅發(fā)生率越大。

如果警報信息與網(wǎng)絡環(huán)境屬性信息無關，則R=0；如果無法確定警報與網(wǎng)絡環(huán)境相關屬性是否匹配，則R=0.5；如果警報信息與網(wǎng)絡環(huán)境屬性信息相關，則R=1。

相關度函數(shù)的權重系數(shù)ω?采用優(yōu)序圖法來計算，將專家的調(diào)查結果繪制成優(yōu)序圖[9]，通過互補校驗后，進行歸一化計算，得到權重系數(shù)ω?值。

3.1.3 資產(chǎn)價值

資產(chǎn)是受到威脅的網(wǎng)絡實體，在風險評估過程中，資產(chǎn)的價值不是用其經(jīng)濟價值來衡量的，而是由機密性、完整性、可用性3個安全屬性評價指標來確定和度量，安全屬性的達成程度將直接影響著資產(chǎn)的價值。本文依據(jù)CVSS基本評價指標集[14]對資產(chǎn)價值進行計算。該評價指標集包括機密性指標(Con)、完整性指標(Int)、可用性指標(Ava)，如表1所示。

表1 資產(chǎn)價值評價指標集

基本評價指標集中的3類基本指標影響越大，指標數(shù)值越大，說明資產(chǎn)價值受到威脅后的損失越嚴重?；谠撛u價指標集，給出資產(chǎn)價值的計算公式：

其中，μ1,?μ2,?μ3分別表示資產(chǎn)價值的機密性指標權重、完整性指標權重、可用性指標權重；I1,?I2,?I3分別表示資產(chǎn)價值的機密性等級數(shù)值、完整性等級數(shù)值、可用性等級數(shù)值。資產(chǎn)價值V(t)結果保留兩位小數(shù)。

資產(chǎn)價值評價指標權重μ是三個評價指標在資產(chǎn)價值總量中所占的比例，滿足歸一化原則，其計算公式為：

3.2 網(wǎng)絡威脅態(tài)勢量化評估

根據(jù)網(wǎng)絡威脅態(tài)勢細粒度評估模型，按照從微觀到宏觀、從局部到整體的思路，分別對威脅節(jié)點態(tài)勢、威脅鏈路態(tài)勢、威脅路徑態(tài)勢、威脅目標態(tài)勢和全網(wǎng)威脅態(tài)勢進行評估。

網(wǎng)絡威脅節(jié)點態(tài)勢取決于威脅影響度、威脅發(fā)生率、資產(chǎn)價值3個網(wǎng)絡威脅評估指標，將這3個指標相結合得到網(wǎng)絡威脅節(jié)點態(tài)勢評估指數(shù)N(t)：

威脅鏈路包括威脅及其直接作用的網(wǎng)絡節(jié)點，是網(wǎng)絡威脅傳播的基本單元，將網(wǎng)絡威脅節(jié)點態(tài)勢及其受到威脅后的節(jié)點態(tài)勢相結合，得到網(wǎng)絡威脅鏈路態(tài)勢評估指數(shù)L(t)：

其中，N(t)?表示受到威脅作用前的網(wǎng)絡節(jié)點態(tài)勢評估指數(shù)，t∈Pre(nj)表示威脅事件的全部前繼網(wǎng)絡節(jié)點，H(t)表示該威脅的發(fā)生率。

將一個威脅路徑上的全部威脅鏈路累加求和，得到威脅路徑態(tài)勢評估指數(shù)P(t)：

其中，Li(t)表示m條威脅鏈路中的第i條威脅鏈路。

攻擊者往往智能地選擇攻擊復雜度較低的網(wǎng)絡節(jié)點實施攻擊，因此本文選擇文獻[13]提出的脆弱點攻擊復雜度分級量化標準，來計算針對威脅目標的威脅路徑選擇概率。選取威脅路徑中任意一個威脅鏈路l(ni,t,nj),攻擊者到達網(wǎng)絡節(jié)點ni后，其對應的脆弱點攻擊復雜度為vci，則威脅鏈路目標選擇概率為：

其中，Con(nj)表示攻擊者到達網(wǎng)絡節(jié)點ni后，可以選擇的下一步攻擊目標節(jié)點nj的集合。

將威脅路徑上的全部威脅鏈路結合起來，得到威脅路徑選擇概率CP：

其中，φi-1,?i表示受到入侵的兩個連續(xù)網(wǎng)絡節(jié)點的威脅鏈路目標選擇概率。

威脅目標態(tài)勢表示攻擊者通過全部威脅路徑入侵目標網(wǎng)絡節(jié)點可能造成的整體危害，該評估指數(shù)綜合考慮威脅路徑選擇概率和威脅路徑態(tài)勢評估指數(shù)，計算公式為：其中，CPi表示攻擊者選擇第i條威脅路徑的概率，Pi(t)表示第i條威脅路徑態(tài)勢的評估指數(shù)。

將全網(wǎng)所有威脅目標進行綜合考慮，得到全網(wǎng)威脅態(tài)勢評估指數(shù)NTSA：

其中，i為網(wǎng)絡威脅目標的個數(shù)。

本文的評估方法采用Snort用戶手冊、優(yōu)序圖、CVSS基本評價指標集、脆弱點攻擊復雜度分級量化標準[15]等為國內(nèi)外認可并廣泛使用的評價標準和算法，具有評估方法穩(wěn)定性強、易用性好等優(yōu)點，操作簡便，節(jié)約成本。

4 實驗分析

為驗證模型的有效性，搭建了如圖2所示的網(wǎng)絡實驗環(huán)境，該網(wǎng)絡拓撲結構包括一臺攻擊者主機、防火墻、Web服務器、交換機、文件服務器、IDS、主機、工作站。其中，Web服務器安裝Linux操作系統(tǒng)，文件服務器、工作站安裝Windows操作系統(tǒng)，IDS安裝Snort檢測系統(tǒng)，主機安裝Mac OS系統(tǒng)，數(shù)據(jù)源采用防火墻、IDS產(chǎn)生的報警信息，及主機產(chǎn)生的安全審計日志信息。

攻擊者首先對網(wǎng)絡中所有設備進行IPSweep掃描探測，確定其中存在Sadmind服務漏洞的主機設備，Apache Web Server分塊編碼對存在該漏洞的設備進行緩沖區(qū)溢出攻擊，安裝木馬程序并激活，獲取root權限，伺機對目標主機進行攻擊。

圖2 網(wǎng)絡實驗環(huán)境

通過計算，得到各網(wǎng)絡威脅節(jié)點的態(tài)勢評估指數(shù)，如表2所示。

表2 威脅節(jié)點態(tài)勢評估數(shù)據(jù)

該實驗環(huán)境的網(wǎng)絡威脅節(jié)點共有6個，分別計算威脅影響度、威脅發(fā)生率和資產(chǎn)價值，得到威脅節(jié)點態(tài)勢評估指數(shù)N(t)，通過觀測數(shù)據(jù)可以得知n4、n5、n6節(jié)點的評估指數(shù)較高，需要管理人員重點關注。

進一步計算，得到威脅鏈路態(tài)勢評估指數(shù)L(t)、威脅路徑態(tài)勢評估指數(shù)P(t)、威脅目標態(tài)勢評估指數(shù)G(t)，如表3所示。

表3 L(t)、P(t)、G(t)評估數(shù)據(jù)

威脅鏈路共有6條，威脅路徑共有3條，威脅目標共有2個，其中，威脅路徑P2和P3的評估指數(shù)較高，威脅目標G2的評估指數(shù)較高，需要管理人員重點防范針對這些路徑和目標脆弱性的攻擊。

根據(jù)以上計算結果，計算全網(wǎng)威脅態(tài)勢評估指數(shù)，選取攻擊開始時前5分鐘的數(shù)據(jù)繪成態(tài)勢評估指數(shù)圖，并與文獻[11]的實驗結果進行對比，如圖3所示。

圖3 全網(wǎng)威脅態(tài)勢評估指數(shù)對比

橫軸表示時刻，縱軸表示態(tài)勢評估指數(shù)，指數(shù)越大表示網(wǎng)絡遭受攻擊的危害程度越深。按照實驗場景的設定，隨著攻擊階段的不斷推進，攻擊者逐步實現(xiàn)攻擊目的，相應的威脅態(tài)勢評估指數(shù)應呈現(xiàn)增大趨勢才基本符合實情。文獻[11]只考慮每次單個攻擊的影響，缺乏對攻擊間前后因果關系的考慮，在時刻4受到安裝木馬程序攻擊時，其態(tài)勢評估指數(shù)要明顯高于后續(xù)攻擊階段的評估指數(shù)，存在一定的不合理性。本文方法在充分分析網(wǎng)絡結構的基礎上，細粒度地評估網(wǎng)絡各個組成部分的威脅態(tài)勢，深入關聯(lián)攻擊的前后關系，得到的態(tài)勢評估指數(shù)隨著攻擊階段的深入而不斷增大，能夠體現(xiàn)攻擊程度的加深趨勢，因此本文方法更具有合理性。

此外，文獻[5]和文獻[16]都只從服務、主機和網(wǎng)絡系統(tǒng)三個層次來評估網(wǎng)絡威脅態(tài)勢，對于處于同一層次的網(wǎng)絡節(jié)點、鏈路等對象無法進行更細粒度的評估，而本文方法針對威脅節(jié)點、威脅鏈路、威脅路徑、威脅目標和整個網(wǎng)絡五個網(wǎng)絡威脅主體進行評估，評估對象精確到威脅發(fā)生的部位，進一步提高了評估結果的精度，同時可以根據(jù)系統(tǒng)不同部位的安全需求任意組合以上五個網(wǎng)絡威脅主體，進行選擇性評估，從而提高了評估方法的靈活性和適用性。

5 結語

本文對常見的網(wǎng)絡安全態(tài)勢評估方法進行了回顧，通過比較分析，發(fā)現(xiàn)現(xiàn)有態(tài)勢評估方法評估粒度較粗，無法從不同角度、不同層次對復雜的網(wǎng)絡攻擊進行關聯(lián)分析和準確評估，不能滿足管理人員不同粒度的評估需求。針對這一問題，本文提出一種細粒度的網(wǎng)絡威脅態(tài)勢評估方法，首先對網(wǎng)絡威脅評估指標進行量化計算，然后按照威脅節(jié)點、威脅鏈路、威脅路徑、威脅目標、全網(wǎng)威脅態(tài)勢的結構層次進行評估，最后通過實驗分析，驗證了評估方法能夠達到預期評估效果。本文的威脅評估指標中，資產(chǎn)價值是重要的基礎數(shù)據(jù)，雖然本文設計了基本評價指標集的計算方法，但是針對不同的資產(chǎn)如何準確確定其資產(chǎn)價值參數(shù)，需要進一步研究。

：

[1]Bass T.Intrusion detection systems and multisensor data fusion：creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）：99-105.

[2]Leau Y B，Manickam S，Chong Y W.Network security situation assessment：a review and discussion[J].Information Science and Applications，2015，339（5）：407-414.

[3]Pardeep B，Msnptrry S.Building a framework for network security situation awareness[C]//Proceedings of the 3rd International Conference on Computing for Sustainable Global Development，2016：2578-2583.

[4]Li Chen，Cao Mingyuan，Tian Lihua.Situation assessment approach based on a hierarchic multi-timescale Bayesian network[C]//Proceedings of the 2nd International Conference on Information Science and Control Engineering.Changsha：The Institute of Electrical and Electronics Engineers，2015：911-915.

[5]陳秀真，鄭慶華，管曉紅，等.層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法[J].軟件學報，2006，17（4）：885-897.

[6]唐成華，唐申生，強寶華.DS融合知識的網(wǎng)絡安全態(tài)勢評估及驗證[J].計算機科學，2014，41（4）：107-125.

[7]李方偉，鄭波，朱江，等.一種基于AC-RBF神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測方法[J].計算機研究與發(fā)展，2014，51（8）：1681-1694.

[8]賈雪飛，劉玉嶺，嚴妍，等.基于能力機會意圖模型的網(wǎng)絡安全態(tài)勢感知方法[J].計算機應用研究，2016，33（6）：1775-1779.

[9]席榮榮，云曉春，張永錚.基于環(huán)境屬性的網(wǎng)絡威脅態(tài)勢量化評估方法[J].軟件學報，2015，26（7）：1638-1649.

[10]劉效武，王慧強，呂宏武，等.網(wǎng)絡安全態(tài)勢認知融合感控模型[J].軟件學報，2016，27（8）：2099-2114.

[11]韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型[J].計算機研究與發(fā)展，2009，46（3）：353-362.

[12]Yu Shui，Gu Guofei，Barnawi A，et al.Malware propagation in large-scale networks[J].IEEE Transactions on Knowledge and Data Engineering，2015，27（1）：170-179.

[13]The Snort Project.Snort users manual 2.9.7[R].California：Cisco and/or its affiliates，2014.

[14]Common Vulnerability Scoring System Special Interest Group.CVSS v3.0 preview 2：metrics/formula/examples[EB/OL].（2014-12-12）[2016-12-04].https：//www.first.org/_assets/downloads/cvss/cvss-v30-preview2-formula-december-2014.pdf.

[15]張永錚，云曉春，胡銘曾.基于特權提升的多維量化屬性弱點分類法的研究[J].通信學報，2004，25（7）：107-114.

[16]陳鋒，劉德輝，張怡，等.基于威脅傳播模型的層次化網(wǎng)絡安全評估方法[J].計算機研究與發(fā)展，2011，48（6）：945-954.