劉世文，司 成，張紅旗

信息工程大學(xué)，鄭州 450001

1 引言

隨著網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)正在變?yōu)閲?guó)家生產(chǎn)生活的基礎(chǔ)設(shè)施資源。與此同時(shí)，網(wǎng)絡(luò)安全問題也在持續(xù)發(fā)酵，不斷引發(fā)國(guó)內(nèi)外社會(huì)的廣泛關(guān)注。傳統(tǒng)的單點(diǎn)防御設(shè)備只能各自為戰(zhàn)地保護(hù)局部網(wǎng)絡(luò)的安全狀態(tài)，形成一個(gè)個(gè)“安全孤島”，無法準(zhǔn)確反映網(wǎng)絡(luò)整體安全狀態(tài)。網(wǎng)絡(luò)威脅態(tài)勢(shì)感知融合針對(duì)外部威脅的多源異構(gòu)安全設(shè)備信息，對(duì)網(wǎng)絡(luò)的總體安全狀態(tài)進(jìn)行準(zhǔn)確評(píng)估和預(yù)測(cè)，為管理員決策提供可靠的技術(shù)支持，已經(jīng)成為網(wǎng)絡(luò)信息安全領(lǐng)域的研究熱點(diǎn)。

Bass[1]首次提出網(wǎng)絡(luò)態(tài)勢(shì)感知的概念，通過研究入侵檢測(cè)技術(shù)的發(fā)展現(xiàn)狀，指出基于多源異構(gòu)傳感器數(shù)據(jù)融合的態(tài)勢(shì)感知是未來的研究方向。Leau[2]等回顧了3種主要的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，通過比較它們各自的優(yōu)點(diǎn)和局限性，總結(jié)了未來用于態(tài)勢(shì)評(píng)估模型的設(shè)計(jì)標(biāo)準(zhǔn)。Pardeep[3]等提出了基于語義網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架，該框架具有可擴(kuò)展性，能夠自動(dòng)適應(yīng)網(wǎng)絡(luò)配置的變化，同時(shí)還提供一種針對(duì)異質(zhì)網(wǎng)絡(luò)數(shù)據(jù)的自動(dòng)融合和處理機(jī)制。Li[4]等利用分層的貝葉斯網(wǎng)絡(luò)提出了一個(gè)自適應(yīng)的態(tài)勢(shì)評(píng)估方法，對(duì)于不同的層次，采用網(wǎng)絡(luò)結(jié)構(gòu)來推理態(tài)勢(shì)，通過不同的時(shí)間表來自適應(yīng)地更新網(wǎng)絡(luò)參數(shù)。

陳秀真等[5]基于局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)環(huán)境信息，提出了層次化結(jié)構(gòu)的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)評(píng)估模型，該模型按照主機(jī)、服務(wù)和網(wǎng)絡(luò)結(jié)構(gòu)的層級(jí)順序，對(duì)網(wǎng)絡(luò)威脅態(tài)勢(shì)進(jìn)行量化計(jì)算，進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。唐成華[6]、李方偉等[7]分別運(yùn)用DS證據(jù)理論方法和神經(jīng)網(wǎng)絡(luò)方法等數(shù)據(jù)融合方法來綜合分析各種安全態(tài)勢(shì)要素，以解決態(tài)勢(shì)評(píng)估的正確性和合理性等問題。賈雪飛等[8]針對(duì)傳統(tǒng)態(tài)勢(shì)感知方法評(píng)估要素選取不全面的問題，構(gòu)建了攻擊方、防護(hù)方、網(wǎng)絡(luò)環(huán)境三方面的能力機(jī)會(huì)意圖模型，使態(tài)勢(shì)感知的評(píng)估結(jié)果更符合實(shí)際。席榮榮等[9]提出一種基于環(huán)境屬性的網(wǎng)絡(luò)威脅態(tài)勢(shì)量化評(píng)估方法，通過驗(yàn)證警報(bào)對(duì)目標(biāo)網(wǎng)絡(luò)環(huán)境屬性的有效性，提高了威脅態(tài)勢(shì)量化評(píng)估結(jié)果的準(zhǔn)確性。劉效武等[10]基于跨層結(jié)構(gòu)和認(rèn)知環(huán)構(gòu)建一種網(wǎng)絡(luò)安全態(tài)勢(shì)認(rèn)知融合感控模型，通過對(duì)網(wǎng)絡(luò)威脅演化趨勢(shì)的分析，實(shí)現(xiàn)了安全態(tài)勢(shì)的自主感知和自主調(diào)控。

近年來網(wǎng)絡(luò)攻擊呈現(xiàn)出協(xié)同化、可持續(xù)的特點(diǎn)，大部分網(wǎng)絡(luò)威脅事件不再孤立發(fā)揮作用，彼此間實(shí)現(xiàn)了攻擊的高度協(xié)調(diào)和關(guān)聯(lián)。傳統(tǒng)網(wǎng)絡(luò)安全防御方法作用對(duì)象單一，防護(hù)手段彼此相互獨(dú)立，已經(jīng)不能滿足當(dāng)下的防御需求，同時(shí)評(píng)估粒度較粗，影響評(píng)估結(jié)果的準(zhǔn)確性。文獻(xiàn)[11]利用改進(jìn)D-S證據(jù)理論，提出基于漏洞和服務(wù)信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估和預(yù)測(cè)。文獻(xiàn)[12]基于形式化的描述方法，建立一個(gè)兩層威脅傳播模型，評(píng)估全網(wǎng)惡意威脅的傳播態(tài)勢(shì)。以上方法評(píng)估結(jié)果的粒度較粗，無法從不同的結(jié)構(gòu)層次來反映網(wǎng)絡(luò)各個(gè)組成部分遭受威脅入侵的情況，無法滿足不同粒度的估計(jì)需求，評(píng)估方法可訂制性不強(qiáng)。針對(duì)這一問題，本文提出一種細(xì)粒度的網(wǎng)絡(luò)威脅態(tài)勢(shì)評(píng)估方法，按照從局部到整體、從微觀到宏觀的評(píng)估策略，對(duì)網(wǎng)絡(luò)的各個(gè)組成部分進(jìn)行量化評(píng)估，能夠滿足對(duì)網(wǎng)絡(luò)威脅態(tài)勢(shì)不同需求的細(xì)粒度評(píng)估，得到了較為準(zhǔn)確的評(píng)估結(jié)果。

2 網(wǎng)絡(luò)威脅態(tài)勢(shì)評(píng)估模型

隨著網(wǎng)絡(luò)規(guī)模日益增大、網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)宏觀態(tài)勢(shì)評(píng)估結(jié)果已經(jīng)不能滿足現(xiàn)實(shí)需求，需要進(jìn)一步細(xì)粒度地對(duì)網(wǎng)絡(luò)威脅態(tài)勢(shì)進(jìn)行評(píng)估，即通過對(duì)多源異構(gòu)網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的威脅事件、網(wǎng)絡(luò)資產(chǎn)、脆弱性等海量網(wǎng)絡(luò)威脅態(tài)勢(shì)要素信息，進(jìn)行融合處理和關(guān)聯(lián)分析，從威脅入侵的不同階段、網(wǎng)絡(luò)結(jié)構(gòu)的不同層次等角度對(duì)網(wǎng)絡(luò)威脅態(tài)勢(shì)進(jìn)行評(píng)估，從而準(zhǔn)確反映網(wǎng)絡(luò)的安全狀況，提高管理人員的預(yù)警和決策能力。

本文按照從局部到整體、從微觀到宏觀的評(píng)估策略，分別對(duì)威脅節(jié)點(diǎn)、威脅鏈路、威脅路徑、威脅目標(biāo)和全網(wǎng)威脅態(tài)勢(shì)進(jìn)行細(xì)粒度評(píng)估。下面給出評(píng)估模型中一些概念的定義。

定義1（威脅影響度）反映了威脅事件所造成破壞的有效性和嚴(yán)重程度，用I(t)表示。

定義2（威脅發(fā)生率）表示網(wǎng)絡(luò)威脅利用操作系統(tǒng)、安全配置、網(wǎng)絡(luò)實(shí)體漏洞、應(yīng)用服務(wù)等多種網(wǎng)絡(luò)環(huán)境信息對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)入侵成功的概率，用H(t)表示。

定義3（資產(chǎn)價(jià)值）表示受到威脅的網(wǎng)絡(luò)實(shí)體價(jià)值，用V(t)表示。

定義4（威脅路徑選擇概率）表示威脅入侵目標(biāo)時(shí)選擇某一條路徑的概率，用C(t)表示。

為滿足管理人員對(duì)網(wǎng)絡(luò)安全狀況多角度、多層面訂制化評(píng)估需求，本文提出了網(wǎng)絡(luò)威脅態(tài)勢(shì)細(xì)粒度評(píng)估模型，按照從局部到整體、從微觀到宏觀的評(píng)估策略，對(duì)受到威脅的網(wǎng)絡(luò)各部分進(jìn)行評(píng)估，如圖1所示。

根據(jù)此模型，按照如下步驟進(jìn)行評(píng)估：

步驟1威脅評(píng)估指標(biāo)量化。根據(jù)收集到的網(wǎng)絡(luò)態(tài)勢(shì)要素信息分別計(jì)算威脅影響度I(t)、威脅發(fā)生率H(t)和資產(chǎn)價(jià)值V(t)三個(gè)量化指標(biāo)。

步驟2威脅節(jié)點(diǎn)態(tài)勢(shì)評(píng)估。根據(jù)威脅評(píng)估量化的三個(gè)指標(biāo)，計(jì)算威脅節(jié)點(diǎn)態(tài)勢(shì)。

步驟3威脅鏈路態(tài)勢(shì)評(píng)估。根據(jù)威脅節(jié)點(diǎn)態(tài)勢(shì)及威脅事件所占的權(quán)重，計(jì)算威脅鏈路態(tài)勢(shì)。

圖1 網(wǎng)絡(luò)威脅態(tài)勢(shì)細(xì)粒度評(píng)估模型

步驟4威脅路徑態(tài)勢(shì)評(píng)估。將威脅路徑上的各個(gè)威脅鏈路合并，得到威脅路徑態(tài)勢(shì)。

步驟5威脅目標(biāo)態(tài)勢(shì)評(píng)估。根據(jù)威脅路徑態(tài)勢(shì)及其威脅路徑選擇概率，計(jì)算威脅目標(biāo)態(tài)勢(shì)。

步驟6全網(wǎng)威脅態(tài)勢(shì)評(píng)估。將威脅目標(biāo)態(tài)勢(shì)進(jìn)行融合，得到全網(wǎng)威脅態(tài)勢(shì)。

3 細(xì)粒度網(wǎng)絡(luò)威脅態(tài)勢(shì)評(píng)估方法

3.1 網(wǎng)絡(luò)威脅評(píng)估指標(biāo)量化

3.1.1 威脅影響度

威脅影響度I(t)用來衡量威脅對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)造成的危害程度。本文參考Snort用戶手冊(cè)[13]中攻擊的分類方法及其等級(jí)設(shè)定分?jǐn)?shù)，將威脅影響度分為高、中、低、很低4個(gè)等級(jí)，分別設(shè)定分?jǐn)?shù)為0.4、0.3、0.2、0.1。

3.1.2 威脅發(fā)生率

威脅的發(fā)生與網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)自身的環(huán)境信息密不可分，有些攻擊針對(duì)網(wǎng)絡(luò)的某些特定漏洞才能成功，而有些攻擊不需要利用網(wǎng)絡(luò)的明顯漏洞就可以實(shí)施。因此，本文利用操作系統(tǒng)、安全漏洞、應(yīng)用服務(wù)、系統(tǒng)配置等網(wǎng)絡(luò)環(huán)境屬性信息，來計(jì)算威脅發(fā)生率，計(jì)算公式為：其中，R表示相關(guān)度函數(shù)，ω?表示各網(wǎng)絡(luò)環(huán)境屬性信息的相關(guān)度函數(shù)所占的權(quán)重，i表示網(wǎng)絡(luò)環(huán)境屬性信息的數(shù)量，在計(jì)算過程中用來標(biāo)識(shí)各屬性信息。

定義5（相關(guān)度函數(shù)R）將網(wǎng)絡(luò)威脅事件引發(fā)的報(bào)警信息與網(wǎng)絡(luò)環(huán)境屬性信息進(jìn)行匹配，確定警報(bào)與該網(wǎng)絡(luò)的相關(guān)性，報(bào)警信息與網(wǎng)絡(luò)環(huán)境屬性信息的匹配性越高，表示警報(bào)與該網(wǎng)絡(luò)的相關(guān)性越大，則該威脅事件發(fā)生的可能性越大，即威脅發(fā)生率越大。

如果警報(bào)信息與網(wǎng)絡(luò)環(huán)境屬性信息無關(guān)，則R=0；如果無法確定警報(bào)與網(wǎng)絡(luò)環(huán)境相關(guān)屬性是否匹配，則R=0.5；如果警報(bào)信息與網(wǎng)絡(luò)環(huán)境屬性信息相關(guān)，則R=1。

相關(guān)度函數(shù)的權(quán)重系數(shù)ω?采用優(yōu)序圖法來計(jì)算，將專家的調(diào)查結(jié)果繪制成優(yōu)序圖[9]，通過互補(bǔ)校驗(yàn)后，進(jìn)行歸一化計(jì)算，得到權(quán)重系數(shù)ω?值。

3.1.3 資產(chǎn)價(jià)值

資產(chǎn)是受到威脅的網(wǎng)絡(luò)實(shí)體，在風(fēng)險(xiǎn)評(píng)估過程中，資產(chǎn)的價(jià)值不是用其經(jīng)濟(jì)價(jià)值來衡量的，而是由機(jī)密性、完整性、可用性3個(gè)安全屬性評(píng)價(jià)指標(biāo)來確定和度量，安全屬性的達(dá)成程度將直接影響著資產(chǎn)的價(jià)值。本文依據(jù)CVSS基本評(píng)價(jià)指標(biāo)集[14]對(duì)資產(chǎn)價(jià)值進(jìn)行計(jì)算。該評(píng)價(jià)指標(biāo)集包括機(jī)密性指標(biāo)(Con)、完整性指標(biāo)(Int)、可用性指標(biāo)(Ava)，如表1所示。

表1 資產(chǎn)價(jià)值評(píng)價(jià)指標(biāo)集

基本評(píng)價(jià)指標(biāo)集中的3類基本指標(biāo)影響越大，指標(biāo)數(shù)值越大，說明資產(chǎn)價(jià)值受到威脅后的損失越嚴(yán)重。基于該評(píng)價(jià)指標(biāo)集，給出資產(chǎn)價(jià)值的計(jì)算公式：

其中，μ1,?μ2,?μ3分別表示資產(chǎn)價(jià)值的機(jī)密性指標(biāo)權(quán)重、完整性指標(biāo)權(quán)重、可用性指標(biāo)權(quán)重；I1,?I2,?I3分別表示資產(chǎn)價(jià)值的機(jī)密性等級(jí)數(shù)值、完整性等級(jí)數(shù)值、可用性等級(jí)數(shù)值。資產(chǎn)價(jià)值V(t)結(jié)果保留兩位小數(shù)。

資產(chǎn)價(jià)值評(píng)價(jià)指標(biāo)權(quán)重μ是三個(gè)評(píng)價(jià)指標(biāo)在資產(chǎn)價(jià)值總量中所占的比例，滿足歸一化原則，其計(jì)算公式為：

3.2 網(wǎng)絡(luò)威脅態(tài)勢(shì)量化評(píng)估

根據(jù)網(wǎng)絡(luò)威脅態(tài)勢(shì)細(xì)粒度評(píng)估模型，按照從微觀到宏觀、從局部到整體的思路，分別對(duì)威脅節(jié)點(diǎn)態(tài)勢(shì)、威脅鏈路態(tài)勢(shì)、威脅路徑態(tài)勢(shì)、威脅目標(biāo)態(tài)勢(shì)和全網(wǎng)威脅態(tài)勢(shì)進(jìn)行評(píng)估。

網(wǎng)絡(luò)威脅節(jié)點(diǎn)態(tài)勢(shì)取決于威脅影響度、威脅發(fā)生率、資產(chǎn)價(jià)值3個(gè)網(wǎng)絡(luò)威脅評(píng)估指標(biāo)，將這3個(gè)指標(biāo)相結(jié)合得到網(wǎng)絡(luò)威脅節(jié)點(diǎn)態(tài)勢(shì)評(píng)估指數(shù)N(t)：

威脅鏈路包括威脅及其直接作用的網(wǎng)絡(luò)節(jié)點(diǎn)，是網(wǎng)絡(luò)威脅傳播的基本單元，將網(wǎng)絡(luò)威脅節(jié)點(diǎn)態(tài)勢(shì)及其受到威脅后的節(jié)點(diǎn)態(tài)勢(shì)相結(jié)合，得到網(wǎng)絡(luò)威脅鏈路態(tài)勢(shì)評(píng)估指數(shù)L(t)：

其中，N(t)?表示受到威脅作用前的網(wǎng)絡(luò)節(jié)點(diǎn)態(tài)勢(shì)評(píng)估指數(shù)，t∈Pre(nj)表示威脅事件的全部前繼網(wǎng)絡(luò)節(jié)點(diǎn)，H(t)表示該威脅的發(fā)生率。

將一個(gè)威脅路徑上的全部威脅鏈路累加求和，得到威脅路徑態(tài)勢(shì)評(píng)估指數(shù)P(t)：

其中，Li(t)表示m條威脅鏈路中的第i條威脅鏈路。

攻擊者往往智能地選擇攻擊復(fù)雜度較低的網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施攻擊，因此本文選擇文獻(xiàn)[13]提出的脆弱點(diǎn)攻擊復(fù)雜度分級(jí)量化標(biāo)準(zhǔn)，來計(jì)算針對(duì)威脅目標(biāo)的威脅路徑選擇概率。選取威脅路徑中任意一個(gè)威脅鏈路l(ni,t,nj),攻擊者到達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)ni后，其對(duì)應(yīng)的脆弱點(diǎn)攻擊復(fù)雜度為vci，則威脅鏈路目標(biāo)選擇概率為：

其中，Con(nj)表示攻擊者到達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)ni后，可以選擇的下一步攻擊目標(biāo)節(jié)點(diǎn)nj的集合。

將威脅路徑上的全部威脅鏈路結(jié)合起來，得到威脅路徑選擇概率CP：

其中，φi-1,?i表示受到入侵的兩個(gè)連續(xù)網(wǎng)絡(luò)節(jié)點(diǎn)的威脅鏈路目標(biāo)選擇概率。

威脅目標(biāo)態(tài)勢(shì)表示攻擊者通過全部威脅路徑入侵目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)可能造成的整體危害，該評(píng)估指數(shù)綜合考慮威脅路徑選擇概率和威脅路徑態(tài)勢(shì)評(píng)估指數(shù)，計(jì)算公式為：其中，CPi表示攻擊者選擇第i條威脅路徑的概率，Pi(t)表示第i條威脅路徑態(tài)勢(shì)的評(píng)估指數(shù)。

將全網(wǎng)所有威脅目標(biāo)進(jìn)行綜合考慮，得到全網(wǎng)威脅態(tài)勢(shì)評(píng)估指數(shù)NTSA：

其中，i為網(wǎng)絡(luò)威脅目標(biāo)的個(gè)數(shù)。

本文的評(píng)估方法采用Snort用戶手冊(cè)、優(yōu)序圖、CVSS基本評(píng)價(jià)指標(biāo)集、脆弱點(diǎn)攻擊復(fù)雜度分級(jí)量化標(biāo)準(zhǔn)[15]等為國(guó)內(nèi)外認(rèn)可并廣泛使用的評(píng)價(jià)標(biāo)準(zhǔn)和算法，具有評(píng)估方法穩(wěn)定性強(qiáng)、易用性好等優(yōu)點(diǎn)，操作簡(jiǎn)便，節(jié)約成本。

4 實(shí)驗(yàn)分析

為驗(yàn)證模型的有效性，搭建了如圖2所示的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括一臺(tái)攻擊者主機(jī)、防火墻、Web服務(wù)器、交換機(jī)、文件服務(wù)器、IDS、主機(jī)、工作站。其中，Web服務(wù)器安裝Linux操作系統(tǒng)，文件服務(wù)器、工作站安裝Windows操作系統(tǒng)，IDS安裝Snort檢測(cè)系統(tǒng)，主機(jī)安裝Mac OS系統(tǒng)，數(shù)據(jù)源采用防火墻、IDS產(chǎn)生的報(bào)警信息，及主機(jī)產(chǎn)生的安全審計(jì)日志信息。

攻擊者首先對(duì)網(wǎng)絡(luò)中所有設(shè)備進(jìn)行IPSweep掃描探測(cè)，確定其中存在Sadmind服務(wù)漏洞的主機(jī)設(shè)備，Apache Web Server分塊編碼對(duì)存在該漏洞的設(shè)備進(jìn)行緩沖區(qū)溢出攻擊，安裝木馬程序并激活，獲取root權(quán)限，伺機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。

圖2 網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境

通過計(jì)算，得到各網(wǎng)絡(luò)威脅節(jié)點(diǎn)的態(tài)勢(shì)評(píng)估指數(shù)，如表2所示。

表2 威脅節(jié)點(diǎn)態(tài)勢(shì)評(píng)估數(shù)據(jù)

該實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)威脅節(jié)點(diǎn)共有6個(gè)，分別計(jì)算威脅影響度、威脅發(fā)生率和資產(chǎn)價(jià)值，得到威脅節(jié)點(diǎn)態(tài)勢(shì)評(píng)估指數(shù)N(t)，通過觀測(cè)數(shù)據(jù)可以得知n4、n5、n6節(jié)點(diǎn)的評(píng)估指數(shù)較高，需要管理人員重點(diǎn)關(guān)注。

進(jìn)一步計(jì)算，得到威脅鏈路態(tài)勢(shì)評(píng)估指數(shù)L(t)、威脅路徑態(tài)勢(shì)評(píng)估指數(shù)P(t)、威脅目標(biāo)態(tài)勢(shì)評(píng)估指數(shù)G(t)，如表3所示。

表3 L(t)、P(t)、G(t)評(píng)估數(shù)據(jù)

威脅鏈路共有6條，威脅路徑共有3條，威脅目標(biāo)共有2個(gè)，其中，威脅路徑P2和P3的評(píng)估指數(shù)較高，威脅目標(biāo)G2的評(píng)估指數(shù)較高，需要管理人員重點(diǎn)防范針對(duì)這些路徑和目標(biāo)脆弱性的攻擊。

根據(jù)以上計(jì)算結(jié)果，計(jì)算全網(wǎng)威脅態(tài)勢(shì)評(píng)估指數(shù)，選取攻擊開始時(shí)前5分鐘的數(shù)據(jù)繪成態(tài)勢(shì)評(píng)估指數(shù)圖，并與文獻(xiàn)[11]的實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比，如圖3所示。

圖3 全網(wǎng)威脅態(tài)勢(shì)評(píng)估指數(shù)對(duì)比

橫軸表示時(shí)刻，縱軸表示態(tài)勢(shì)評(píng)估指數(shù)，指數(shù)越大表示網(wǎng)絡(luò)遭受攻擊的危害程度越深。按照實(shí)驗(yàn)場(chǎng)景的設(shè)定，隨著攻擊階段的不斷推進(jìn)，攻擊者逐步實(shí)現(xiàn)攻擊目的，相應(yīng)的威脅態(tài)勢(shì)評(píng)估指數(shù)應(yīng)呈現(xiàn)增大趨勢(shì)才基本符合實(shí)情。文獻(xiàn)[11]只考慮每次單個(gè)攻擊的影響，缺乏對(duì)攻擊間前后因果關(guān)系的考慮，在時(shí)刻4受到安裝木馬程序攻擊時(shí)，其態(tài)勢(shì)評(píng)估指數(shù)要明顯高于后續(xù)攻擊階段的評(píng)估指數(shù)，存在一定的不合理性。本文方法在充分分析網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，細(xì)粒度地評(píng)估網(wǎng)絡(luò)各個(gè)組成部分的威脅態(tài)勢(shì)，深入關(guān)聯(lián)攻擊的前后關(guān)系，得到的態(tài)勢(shì)評(píng)估指數(shù)隨著攻擊階段的深入而不斷增大，能夠體現(xiàn)攻擊程度的加深趨勢(shì)，因此本文方法更具有合理性。

此外，文獻(xiàn)[5]和文獻(xiàn)[16]都只從服務(wù)、主機(jī)和網(wǎng)絡(luò)系統(tǒng)三個(gè)層次來評(píng)估網(wǎng)絡(luò)威脅態(tài)勢(shì)，對(duì)于處于同一層次的網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等對(duì)象無法進(jìn)行更細(xì)粒度的評(píng)估，而本文方法針對(duì)威脅節(jié)點(diǎn)、威脅鏈路、威脅路徑、威脅目標(biāo)和整個(gè)網(wǎng)絡(luò)五個(gè)網(wǎng)絡(luò)威脅主體進(jìn)行評(píng)估，評(píng)估對(duì)象精確到威脅發(fā)生的部位，進(jìn)一步提高了評(píng)估結(jié)果的精度，同時(shí)可以根據(jù)系統(tǒng)不同部位的安全需求任意組合以上五個(gè)網(wǎng)絡(luò)威脅主體，進(jìn)行選擇性評(píng)估，從而提高了評(píng)估方法的靈活性和適用性。

5 結(jié)語

本文對(duì)常見的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法進(jìn)行了回顧，通過比較分析，發(fā)現(xiàn)現(xiàn)有態(tài)勢(shì)評(píng)估方法評(píng)估粒度較粗，無法從不同角度、不同層次對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊進(jìn)行關(guān)聯(lián)分析和準(zhǔn)確評(píng)估，不能滿足管理人員不同粒度的評(píng)估需求。針對(duì)這一問題，本文提出一種細(xì)粒度的網(wǎng)絡(luò)威脅態(tài)勢(shì)評(píng)估方法，首先對(duì)網(wǎng)絡(luò)威脅評(píng)估指標(biāo)進(jìn)行量化計(jì)算，然后按照威脅節(jié)點(diǎn)、威脅鏈路、威脅路徑、威脅目標(biāo)、全網(wǎng)威脅態(tài)勢(shì)的結(jié)構(gòu)層次進(jìn)行評(píng)估，最后通過實(shí)驗(yàn)分析，驗(yàn)證了評(píng)估方法能夠達(dá)到預(yù)期評(píng)估效果。本文的威脅評(píng)估指標(biāo)中，資產(chǎn)價(jià)值是重要的基礎(chǔ)數(shù)據(jù)，雖然本文設(shè)計(jì)了基本評(píng)價(jià)指標(biāo)集的計(jì)算方法，但是針對(duì)不同的資產(chǎn)如何準(zhǔn)確確定其資產(chǎn)價(jià)值參數(shù)，需要進(jìn)一步研究。

：

[1]Bass T.Intrusion detection systems and multisensor data fusion：creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）：99-105.

[2]Leau Y B，Manickam S，Chong Y W.Network security situation assessment：a review and discussion[J].Information Science and Applications，2015，339（5）：407-414.

[3]Pardeep B，Msnptrry S.Building a framework for network security situation awareness[C]//Proceedings of the 3rd International Conference on Computing for Sustainable Global Development，2016：2578-2583.

[4]Li Chen，Cao Mingyuan，Tian Lihua.Situation assessment approach based on a hierarchic multi-timescale Bayesian network[C]//Proceedings of the 2nd International Conference on Information Science and Control Engineering.Changsha：The Institute of Electrical and Electronics Engineers，2015：911-915.

[5]陳秀真，鄭慶華，管曉紅，等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào)，2006，17（4）：885-897.

[6]唐成華，唐申生，強(qiáng)寶華.DS融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證[J].計(jì)算機(jī)科學(xué)，2014，41（4）：107-125.

[7]李方偉，鄭波，朱江，等.一種基于AC-RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)研究與發(fā)展，2014，51（8）：1681-1694.

[8]賈雪飛，劉玉嶺，嚴(yán)妍，等.基于能力機(jī)會(huì)意圖模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[J].計(jì)算機(jī)應(yīng)用研究，2016，33（6）：1775-1779.

[9]席榮榮，云曉春，張永錚.基于環(huán)境屬性的網(wǎng)絡(luò)威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào)，2015，26（7）：1638-1649.

[10]劉效武，王慧強(qiáng)，呂宏武，等.網(wǎng)絡(luò)安全態(tài)勢(shì)認(rèn)知融合感控模型[J].軟件學(xué)報(bào)，2016，27（8）：2099-2114.

[11]韋勇，連一峰，馮登國(guó).基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)研究與發(fā)展，2009，46（3）：353-362.

[12]Yu Shui，Gu Guofei，Barnawi A，et al.Malware propagation in large-scale networks[J].IEEE Transactions on Knowledge and Data Engineering，2015，27（1）：170-179.

[13]The Snort Project.Snort users manual 2.9.7[R].California：Cisco and/or its affiliates，2014.

[14]Common Vulnerability Scoring System Special Interest Group.CVSS v3.0 preview 2：metrics/formula/examples[EB/OL].（2014-12-12）[2016-12-04].https：//www.first.org/_assets/downloads/cvss/cvss-v30-preview2-formula-december-2014.pdf.

[15]張永錚，云曉春，胡銘曾.基于特權(quán)提升的多維量化屬性弱點(diǎn)分類法的研究[J].通信學(xué)報(bào)，2004，25（7）：107-114.

[16]陳鋒，劉德輝，張怡，等.基于威脅傳播模型的層次化網(wǎng)絡(luò)安全評(píng)估方法[J].計(jì)算機(jī)研究與發(fā)展，2011，48（6）：945-954.