程永新，廖竣鍇，付 江，甘迎輝

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著信息化技術的不斷發(fā)展，業(yè)務應用系統(tǒng)為了完成復雜、精準的工作流程，越來越需要與運行在其他網絡域的多種業(yè)務系統(tǒng)進行數(shù)據共享和信息交換[1]，然而這給業(yè)務應用系統(tǒng)帶來便利的同時，也給業(yè)務應用系統(tǒng)所在的網絡域帶來了大量的安全威脅。因此，需要建立安全、可控、合規(guī)的跨域交換系統(tǒng)，以便在確保安全的基礎上，滿足業(yè)務應用的跨域交換需求。

跨域交換系統(tǒng)連接了兩個或多個網絡域，在提供數(shù)據共享和信息交換能力的同時，也會帶來更多的攻擊來源、更先進的攻擊方法、數(shù)據管理更容易失控等多方面的安全威脅[2]。因此需要從多個角度、多個層面設計跨域交換系統(tǒng)，確保跨域交換系統(tǒng)的安全性。

跨域交換系統(tǒng)需要在多個層面采取豐富的安全保密防護手段，但將這些安全保密手段有機結合在一起進行有效安全防護，需要跨域交換系統(tǒng)具備高效運維管理能力。

本文針對跨域交換系統(tǒng)在復雜環(huán)境下的高效運維管理需求，設計了一種跨域交換風險智能評估預測系統(tǒng)，并針對多種跨域安全保密手段，構造跨域交換風險評估模型，采用加權時間序列方法對跨域交換風險進行智能預測，為跨域交換管理運維人員提供跨域交換風險評估[3]和預測能力[4-5]，為指定安全保密策略提供支撐，降低管理運維人員的管理壓力。

1 跨域交換風險評估

跨域交換系統(tǒng)部署在兩個或多個網絡域間，將會給網絡域帶來非法接入、業(yè)務連通、數(shù)據內容泄露、惡意代碼擴散、偽造身份等多種安全威脅。因此，需要強化安全防護措施，確保跨域交換系統(tǒng)的安全性。

1.1 跨域交換系統(tǒng)評估模型

針對跨域交換系統(tǒng)部署的關鍵位置和面臨的安全威脅，綜合考慮多種安全防護手段，依據網絡安全、內容安全、認證安全、行為安全等4 類安全要素設計風險評估模型，對各類安全要素進行要素指標設計，以實現(xiàn)對跨域交換系統(tǒng)的安全交換風險評估。

這里采用層次分析法（Analytic Hierarchy Process，AHP）[6-7]構建評估目標層、評估要素層和要素指標層的3 層評估方法，對跨域交換系統(tǒng)進行交換風險評估。評估模型如圖1 所示。

圖1 跨域交換風險評估模型

1.1.1 網絡安全要素

網絡安全[8]要素包括邊界訪問控制、網絡傳輸保護、攻擊監(jiān)測分析和分布式拒絕服務（Distributed Deny of Service，DDoS）攻擊防護[9]等要素指標。其中，邊界訪問控制是指網絡層訪問控制能力，即應能及時發(fā)現(xiàn)非法訪問行為，確保只有合法的業(yè)務系統(tǒng)或終端地址可以進行信息交換；網絡傳輸保護是指對傳輸信息進行保護，包括使用私有協(xié)議或者加密傳輸?shù)仁侄危乐箓鬏敂?shù)據被篡改和偽造；攻擊監(jiān)測分析是指應能發(fā)現(xiàn)從內部網絡發(fā)起的如緩沖器溢出、網絡漏洞利用、應用漏洞等網絡攻擊行為；DDoS 攻擊防護是指能夠發(fā)現(xiàn)從內部網絡發(fā)起的分布式拒絕服務攻擊，并根據策略及時阻止。

1.1.2 內容安全要素

內容安全要素包括格式內容檢查、真實性完整性保護、惡意代碼查殺和數(shù)據泄露檢查[10]等要素指標。其中，格式內容檢查是指應具備對交換數(shù)據信息的格式內容檢查能力，及時發(fā)現(xiàn)非法格式和數(shù)據的傳輸行為，并防止其進行信息交換；真實性完整性保護是指應具備數(shù)據信息傳輸真實性和完整性保護能力，及時發(fā)現(xiàn)未采取保護措施的非法數(shù)據信息；惡意代碼查殺是指對數(shù)據信息的惡意代碼檢查能力，即應能及時發(fā)現(xiàn)傳輸內容中的病毒或惡意代碼內容；數(shù)據泄露檢查是指數(shù)據泄露檢查措施，即應能夠及時發(fā)現(xiàn)交換數(shù)據信息中的敏感信息和涉密信息。

1.1.3 認證安全要素

認證安全要素包括用戶身份認證[11]、應用接入認證、交換審批情況和交換權限檢查等要素指標。其中，用戶身份認證是指身份認證機制，即應能發(fā)現(xiàn)非法用戶冒用合法身份的行為并及時制止；應用接入認證是指接入認證機制，即能發(fā)現(xiàn)未經過認證的應用系統(tǒng)進行信息交換并及時制止；交換審批情況是指舉報信息交換審批和檢查機制，即能發(fā)現(xiàn)未經過審批的信息交換行為；交換權限檢查是指具備信息交換權限檢查機制，即能夠發(fā)現(xiàn)用戶有意或故意的越權傳輸行為，并及時制止。

1.1.4 行為安全要素

行為安全要素包括交換設備狀態(tài)、交換流量分析、交換行為分析[12]和交換數(shù)據分析等要素指標。其中，交換設備狀態(tài)是指能夠對跨域交換系統(tǒng)內部各設備狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)設備異常狀態(tài)；交換流量分析是指通過交換流量分析手段，及時發(fā)現(xiàn)交換流量異常情況；交換行為分析是指通過交換行為異常分析措施，發(fā)現(xiàn)異常信息交換行為；交換數(shù)據分析是指能夠基于數(shù)據屬性（密級、類型、大小、時間等）對已經發(fā)生的交換行為進行分析，及時發(fā)現(xiàn)異常行為。

1.2 標度方法和危害等級

跨域交換風險評估模型中提出了4 大類共16種安全保密措施，雖然這些安全保密手段都是必不可少的，但各種安全保密措施的重要程度是有差別的，因此需要計算各安全保密措施的權重。本文根據AHP 方法，計算各種安全保密措施的權重。

1.2.1 標度方法

這里采用1～9 標度方法[13]來構造判斷矩陣，以便衡量兩個要素的相對重要程度。如表1 所示。

表1 1～9 標度方法

1.2.2 危害等級評分

根據跨域信息交換各個細分評估指標的特點，將評估指標的評分標準[14]按照危害程度分為：極低風險、低風險、中等風險、高風險和高危風險5個等級。對這些風險進行量化后，分別賦值1、2、3、4、5 等5 個分值，具體如表2 所示。

表2 評估指標的評分標準

風險量化評估值可以作為單個評估指標的量化值，也可以作為某類要素的量化值。當計算跨域信息安全交換評估值后，也可以映射到該表，以便管理人員判斷跨域信息交換面臨的安全風險，決定如何采取相應措施。

1.3 跨域交換評估要素權重計算

1.3.1 網絡安全指標權重計算

網絡安全評價指標包括：邊界訪問控制U11、網絡傳輸保護U12、攻擊監(jiān)測分析U13 和DDoS 攻擊防護U14，根據專家評判權重如表3 所示。

表3 網絡安全權重

得出這幾種網絡安全事件指標的一致性向量，經過一致性檢查后，可得出權重為：

1.3.2 內容安全指標權重計算

內容安全評價指標包括格式內容檢查U21、真實性完整性保護U22、惡意代碼查殺U23、數(shù)據泄露檢查U24，權重如表4 所示。

表4 內容安全權重

得出這幾種內容安全事件指標的一致性向量，經過一致性檢查后，可得出權重為：

1.3.3 認證安全指標權重計算

認證安全評價指標包括用戶身份認證U31、應用接入認證U32、交換審批情況U33、交換權限檢查U34，權重如表5 所示。

表5 認證安全權重

得出這幾種認證安全事件指標的一致性向量，經過一致性檢查后，可得出權重為：

1.3.4 行為安全指標權重計算

行為安全評價指標包括交換設備狀態(tài)U41、交換流量分析U42、交換行為分析U43、交換數(shù)據分析U44，權重如表6 所示。

表6 行為安全權重

得出這幾種行為安全事件指標的一致性向量，經過一致性檢查后，可得出權重為：

1.3.5 跨域交換要素權重計算

根據專家評判，跨域交換風險各類安全保密措施權重如表7 所示。

表7 跨域交換要素權重

得出跨域信息交換指標的一致性向量，經過一致性檢查后，可得出權重為：

1.3.6 綜合權重計算

跨域交換系統(tǒng)中，各種安全保密措施指標的綜合權重如表8 所示。

表8 跨域安全保密指標綜合權重

1.4 跨域交換風險評估計算

利用綜合權重計算結果，設計跨域交換風險評估計算公式為：

式中：S為當前單位觀測時間內初步的信息交換風險評估值，S的數(shù)值越大，則當前信息交換風險越大；Sij為單位時間內，單項評估指標的信息交換風險評估值；δij為在單位觀測時間內，該評估指標的風險值；Vij為該指標的綜合總權重，詳見綜合權重表（表8）；ωij為加權調節(jié)參數(shù)，當評估指標處在高風險及以上程度時，需要進行高風險數(shù)值加權。

式中：Δt為單位觀測時間；aij為第i類要素中的第j個指標的風險值。例如，在單位觀測時間（如5分鐘）內，如果惡意代碼查殺指標風險值為4.5，則其風險計算值為：

由于對高風險數(shù)值進行了加權，可能導致最終初步的跨域信息交換風險評估值超過危害程度量化值，因此，需要對最終的跨域信息交換風險評估值進行修正，修正公式為：

2 基于分組加權時間序列的跨域交換智能風險預測

通過采集跨域信息交換系統(tǒng)之前發(fā)生的多組跨域信息安全交換風險評估值，可以對這些跨域信息安全交換風險值進行加權計算，進而推斷以后一個或多個觀測周期內的跨域信息安全交換風險，以便跨域安全管理人員及時預警并采取措施避免帶來不可挽回的損失。

2.1 跨域信息交換智能預測公式

本文采用加權時間序列方法對跨域交換面臨的風險進行預測。時間序列預測方法[15-17]是典型的時間序列分析任務,對于輔助決策、資源配置、提前采取止損措施等方面有重要意義。

對跨域信息安全交換進行預測時，首先需要采集已經發(fā)生的跨域信息安全交換風險評估值，采集數(shù)量應適量，不應太多或太少；其次對采集到的風險評估值進行分組，并對各組進行加權計算；最后計算將要發(fā)生的信息交換風險值。計算公式如下：

式中：t為需要預測的時間段；t時間段之前已經發(fā)生的跨域信息交換風險評估值分為k組，距離t時間最近的為第1 組，最遠的為第k組；αi為第i組的加權值，加權值大于0 且小于1，所有加權值總和為1；θi為第i組（每個分組的數(shù)量不需要一致）的風險平均值，計算方法為該組所有數(shù)值累加，并除以該組的風險值數(shù)量。

經過預測計算過的t時間段跨域信息交換風險評估值可以作為下一個時刻t+1的初始值，參與下一時間段的跨域信息安全交換風險預測。

2.2 訓練數(shù)據選擇

對于每一套單獨建立的跨域信息交換系統(tǒng)來說，由于其部署環(huán)境、連接網域等各不相同，其面臨的跨域信息安全交換風險也各不相同。因此，對每一個跨域信息交換系統(tǒng)，需要采集已經發(fā)生的數(shù)據，來訓練其在式（5）中的參數(shù)。

在式（5）中，需要對當前跨域信息交換系統(tǒng)進行持續(xù)的安全風險評估計算，這些風險評估將作為分組參數(shù)k和加權參數(shù)α的訓練集合?？紤]攻擊方法具有一定的時效性和延續(xù)性，過于久遠的風險評估值參考意義不大，故應盡可能選擇距離預測時間段近的分組數(shù)據。訓練集合選擇如表9 所示。

表9 訓練集合選擇表

訓練集合共5 種類型，根據訓練數(shù)據多少進行分類，訓練數(shù)據分別為：50 個、100 個、200 個、500 個、1 000 個。每種類型選擇10 組數(shù)據進行訓練。

2.3 分組和加權參數(shù)優(yōu)化計算

完成跨域信息交換智能預測模型設計后，需要對其進行預測能力評估。這里采用均方根誤差（Root Mean Squared Error，RMSE）[18]對預測效果進行評估。RMSE 表示目標數(shù)據和預測數(shù)據之間的差異，通過獲取所有誤差的平方均值的平方根來計算，較低的RMSE 值意味著更好的預測能力，其公式為：

式中：SRMSE為計算的均方根誤差值；為該時間的真實風險值；Si為通過預測計算得出的風險值。

在每組訓練數(shù)據中，選擇最后5%的數(shù)據作為需要預測的風險值，前面95%的數(shù)據作為已發(fā)生的值，通過前面95%的風險數(shù)據對后面5%的數(shù)據進行預測評估。

在調整分組和加權參數(shù)的訓練過程中，首先基于已發(fā)生的安全風險值（數(shù)據集的前95%）進行預測計算，然后算出預測值與實際跨域交換風險評估值（訓練集的最后5%）的RMSE。當所有RMSE值均在容忍誤差閾值以內，則認為當前分組和加權參數(shù)滿足要求，否則需要調整分組和加權參數(shù)。當有多組分組值和加權參數(shù)滿足要求時，則選擇平均誤差最小的一組作為最優(yōu)值。

本文訓練調整分組和加權參數(shù)時，采用A 類訓練集合，RMSE 容忍誤差閾值為1.5。經過優(yōu)化調整訓練，可以得出合理的分組為3 組，其中距離需要預測的時間點最近的25%評估值為第一組，中間40%為第二組，最后35%為第三組。這時，第一組加權系數(shù)為0.40，第二組加權系數(shù)為0.35，第三組加權系數(shù)為0.25。

因此，該跨域交換系統(tǒng)的跨域信息交換風險預測計算公式為：

3 跨域交換風險智能評估預測系統(tǒng)

3.1 系統(tǒng)架構設計

基于跨域交換風險評估方法和風險預測方法，設計跨域交換風險智能評估預測系統(tǒng)。該系統(tǒng)采取分層架構設計，包括數(shù)據采集層、風險計算層和風險呈現(xiàn)層。具體架構如圖2 所示。

圖2 跨域交換風險智能評估預測系統(tǒng)組成

其中，在數(shù)據采集層，采集跨域交換系統(tǒng)內各安全保密防護手段，如防火墻、攻擊檢測、惡意代碼檢查、數(shù)據防泄漏等，提供安全威脅報警，并對其進行歸納整理，生成可供跨域交換評估模型使用的數(shù)據。

風險計算層可以分為跨域交換評估和跨域交換預測兩部分?？缬蚪粨Q評估根據數(shù)據采集層提供的數(shù)據，依據交換評估模型，計算交換指標權重，得出當前的跨域交換風險評估值。預測模塊通過歷史跨域交換風險評估數(shù)據，完成預測參數(shù)訓練，并根據當前的跨域交換風險數(shù)據對后續(xù)可能發(fā)生的跨域交換風險進行預測。

風險呈現(xiàn)層包括策略配置、交換風險展示和風險預測展示3 部分，實現(xiàn)配置管理人員對跨域交換風險評估和跨域交換風險預測情況的查看分析功能，為管理人員提供跨域交換風險評估預測策略調整功能。

3.2 跨域風險預測實驗

根據跨域信息交換風險預測模型的計算公式，在模擬環(huán)境中進行試運行和計算。

以5 分鐘為1 個觀測周期，取最近的100 個觀測周期，開展第101 個周期的跨域交換風險預測，其計算過程為：

經過計算，下一個時間點時，f(S101)跨域信息安全交換預測風險值為2.816 2。該時間段跨域交換安全風險處于低風險與中風險之間，需要引起配置管理人員注意，可以采取一定的安全防護措施以降低跨域信息交換的安全威脅。

根據觀測周期內的跨域交換風險評估數(shù)據進行預測，與實際發(fā)生的跨域交換風險評估值對比如圖3 所示。

圖3 風險預測值與實際評估值對比

經過測試驗證，預測值與實際評估值在10 個時間段內，最大誤差為0.048 2。該跨域交換風險預測模型的預測結果較為理想，可以有力地支撐安全管理人員對該跨域交換系統(tǒng)進行評估和預測，進而隨時調整安全保密策略。

4 結語

本文針對跨域交換系統(tǒng)面臨的安全風險，提出了需要部署的網絡安全、內容安全、認證安全、行為安全4 大類安全要素。依據這4 大類安全要素設計了跨域交換風險評估模型，對跨域交換安全風險進行實時評估；設計了基于分組加權時間序列的跨域信息交換智能預測模型，能夠針對跨域交換風險評估結果對將要面臨的安全風險趨勢進行預測；給出了跨域交換風險智能評估預測系統(tǒng)的架構設計，用于支撐相關系統(tǒng)的開發(fā)應用。本文提出的方法能夠協(xié)助跨域信息安全管理人員及時掌握當前跨域信息安全交換的風險，并預測未來一段時間內的跨域信息安全交換趨勢，從而能夠預先調整安全保密防護策略，降低由于信息跨域交換帶來的安全風險。這對于完善跨域信息交換體系具有重要意義。