摘要：在信息時代，大數(shù)據(jù)、云計算等先進信息技術(shù)的發(fā)展，為人們的生產(chǎn)生活提供了極大的便利，但網(wǎng)絡(luò)安全問題也愈發(fā)突出，各種網(wǎng)絡(luò)攻擊事件層出不窮，不僅給企業(yè)造成了難以挽回的經(jīng)濟損失，還影響了社會的和諧安定。因此，利用量化評估方法對層次化網(wǎng)絡(luò)安全威脅態(tài)勢進行識別勢在必行。本文簡要分析了網(wǎng)絡(luò)安全的現(xiàn)實意義，基于網(wǎng)絡(luò)安全威脅態(tài)勢量化評估發(fā)展現(xiàn)狀與理論基礎(chǔ)，重點闡述了層次化網(wǎng)絡(luò)安全威脅量化評估方法的應(yīng)用要點，旨在提高網(wǎng)絡(luò)安全防護能力，創(chuàng)設(shè)安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：層次化；網(wǎng)絡(luò)安全威脅；態(tài)勢量化評估

一、引言

在互聯(lián)網(wǎng)時代，計算機網(wǎng)絡(luò)的主要發(fā)展趨勢為共享化、開放化，這種發(fā)展模式為網(wǎng)絡(luò)惡意攻擊留下了可乘之機。傳統(tǒng)的單點安全防護模式，已經(jīng)無法滿足網(wǎng)絡(luò)對高安全性的需求，因此，創(chuàng)新網(wǎng)絡(luò)安全防護模式成為現(xiàn)代安全工作研究的重點內(nèi)容和方向。在這種背景下，多層次安全威脅態(tài)勢定量評價技術(shù)應(yīng)運而生，這種安全防護技術(shù)不僅能夠?qū)W(wǎng)絡(luò)系統(tǒng)的整體狀態(tài)進行客觀評價，及時排查出潛在的威脅問題，還能夠減少不必要的資源浪費，將網(wǎng)絡(luò)系統(tǒng)安全威脅問題的發(fā)生概率控制在最小范圍內(nèi)。

二、網(wǎng)絡(luò)安全的現(xiàn)實意義

我國互聯(lián)網(wǎng)用戶的數(shù)量較為龐大，根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2023年上半年，我國網(wǎng)絡(luò)用戶規(guī)模高達10.79億人，同比增長1000萬人以上，互聯(lián)網(wǎng)普及率高達76%以上。互聯(lián)網(wǎng)的普及使人們的通信更加簡單方便，對社會經(jīng)濟的發(fā)展起著積極的促進作用，但隨之而來的網(wǎng)絡(luò)攻擊事件也大幅度增長。近年來，我國企業(yè)內(nèi)部服務(wù)器受到惡意威脅和網(wǎng)絡(luò)攻擊的頻率逐年遞增，企業(yè)受網(wǎng)絡(luò)攻擊而產(chǎn)生的經(jīng)濟損失，平均值高達280億美元左右。網(wǎng)絡(luò)安全問題不僅會給企業(yè)的正常經(jīng)營造成不良影響，甚至?xí)＜皣覍用娴男畔踩?。因此，網(wǎng)絡(luò)安全問題亟待重視。利用層次化網(wǎng)絡(luò)安全威脅態(tài)勢評估方法，對網(wǎng)絡(luò)運行狀態(tài)進行動態(tài)化追蹤、全方位管理，一方面能夠及時識別網(wǎng)絡(luò)的異常情況，幫助相關(guān)人員采取行之有效的措施解決問題，降低網(wǎng)絡(luò)安全威脅帶來的不良影響和損失。另一方面，其能夠判斷出攻擊者的身份、目的以及行為，實時檢測計算機網(wǎng)絡(luò)的態(tài)勢，從而全面保證網(wǎng)絡(luò)的穩(wěn)定性與安全性，為企業(yè)的長效健康發(fā)展提供堅實的保障[1]。

三、網(wǎng)絡(luò)安全威脅態(tài)勢量化評估發(fā)展現(xiàn)狀與理論基礎(chǔ)

（一）發(fā)展現(xiàn)狀

計算機網(wǎng)絡(luò)設(shè)備在運行的過程中，各項參數(shù)可能會發(fā)生一定的變化，如用戶操作網(wǎng)絡(luò)設(shè)備或者優(yōu)化設(shè)備等，都會使參數(shù)變動，這種變化情況就是網(wǎng)絡(luò)狀態(tài)。安全態(tài)勢是指利用傳感器等設(shè)備對網(wǎng)絡(luò)狀態(tài)展開監(jiān)測，在這一過程中，監(jiān)測設(shè)備會采集與網(wǎng)絡(luò)狀態(tài)相關(guān)的信息數(shù)據(jù)，而網(wǎng)絡(luò)安全威脅態(tài)勢量化評估就是對監(jiān)測設(shè)備中的信息數(shù)據(jù)進行深層次的分析和解讀，從中排查出異常數(shù)據(jù)，在此基礎(chǔ)上，對網(wǎng)絡(luò)設(shè)備的真實狀況進行量化評估。

現(xiàn)階段，我國網(wǎng)絡(luò)安全狀態(tài)量化評估技術(shù)主要有兩種，分別是組態(tài)數(shù)據(jù)評估和系統(tǒng)運行數(shù)據(jù)評估，前者指的是對網(wǎng)絡(luò)設(shè)備的軟件系統(tǒng)、硬件設(shè)施等組態(tài)的運行狀態(tài)進行安全評價，這種評價方法適用于信息系統(tǒng)泄露所誘發(fā)的安全威脅評估。后者指的是對網(wǎng)絡(luò)系統(tǒng)在運行過程中產(chǎn)生的信息數(shù)據(jù)進行采集，獲得各種數(shù)據(jù)源后，再分析網(wǎng)絡(luò)系統(tǒng)遭受惡意攻擊的頻率和次數(shù)等[2]。

隨著科學(xué)技術(shù)的不斷發(fā)展，我國的網(wǎng)絡(luò)安全威脅態(tài)勢量化評估工作取得了一定的成效，對網(wǎng)絡(luò)安全起著重要的保障作用，但現(xiàn)有的評價指標(biāo)和體系較為簡單，還需要進一步完善和優(yōu)化，而多層次的網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法，能夠解決評價指標(biāo)和體系單一的問題，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)多層次威脅的有效識別和評估，為企業(yè)內(nèi)部服務(wù)器的安全性提供有力的支持。

（二）理論基礎(chǔ)

在多層次網(wǎng)絡(luò)安全威脅態(tài)勢量化評估體系中，安全狀態(tài)感知模塊占據(jù)著關(guān)鍵的地位，該技術(shù)模塊的主要作用是采集網(wǎng)絡(luò)設(shè)備的各種參數(shù)，并在大數(shù)據(jù)融合技術(shù)的支持下，對各種參數(shù)進行融合處理，計算出評價結(jié)果。在采集、整理、融合以及處理各種參數(shù)的過程中，需要用到以下理論：

1.報警關(guān)聯(lián)理論

這種理論指的是提前設(shè)置好一定的邏輯關(guān)系后，驅(qū)動報警系統(tǒng)按照既定的邏輯程序，對信號加以融合處理，這種融合方法能夠簡化數(shù)據(jù)處理流程，促進報警技術(shù)更加準(zhǔn)確，快速掌握攻擊者的入侵目的，但基于報警關(guān)聯(lián)理論的數(shù)據(jù)融合模型構(gòu)建難度較大[3]。

在設(shè)計報警關(guān)聯(lián)模型的過程中，需要根據(jù)關(guān)聯(lián)圖展開邊權(quán)值的計算，通常情況下，報警關(guān)聯(lián)圖中的權(quán)值變化狀態(tài)，如表1所示。

根據(jù)表1相關(guān)內(nèi)容計算出報警關(guān)聯(lián)圖的權(quán)值后，還需要計算報警關(guān)聯(lián)度等內(nèi)容，在各個環(huán)節(jié)中一旦出現(xiàn)計算誤差，就會影響到報警關(guān)聯(lián)模型，因此，這種量化評估方法的操作較為復(fù)雜，要謹(jǐn)慎使用。

2.DS證據(jù)理論

DS證據(jù)理論在信息融合領(lǐng)域發(fā)揮著重要的作用，在處理網(wǎng)絡(luò)安全信息數(shù)據(jù)的過程中，很多信息本身存在一定的不確定因素，而DS算法能夠?qū)Σ淮_定信息加以處理，進而為數(shù)據(jù)的融合創(chuàng)造有利條件。在實際操作DS算法的過程中，主要涉及三個環(huán)節(jié)，即證據(jù)收集——證據(jù)傳遞——證據(jù)合成，這種算法能夠有效驗證網(wǎng)絡(luò)中的信任度，實現(xiàn)對不確定信息的高效處理[4]。

3.加權(quán)平均數(shù)

加權(quán)平均數(shù)主要是利用數(shù)學(xué)模型，對數(shù)據(jù)進行融合處理。這種算法的優(yōu)勢在于操作簡單，但受人為主觀因素影響較大，一旦相關(guān)人員缺少經(jīng)驗，就會影響數(shù)據(jù)融合效果，因此，這種算法缺乏客觀性。

4.貝葉斯推論

這種算法指的是通過后測概率，對數(shù)據(jù)之間的節(jié)點展開邏輯推理，再設(shè)計融合方法。其優(yōu)點在于計算流程簡單、復(fù)雜度較低，但在計算過程中，一旦出現(xiàn)誤差，就會給后期的數(shù)據(jù)處理和融合造成不良影響。同時，貝葉斯推論的計算量較大，難以達成實時性、動態(tài)化評估的目的。在構(gòu)建貝葉斯模型的過程中，主要的程序有整理先驗知識、構(gòu)建初步模型以及檢測節(jié)點關(guān)聯(lián)性等，如圖1所示。

在計算推理貝葉斯的過程中，可采用變量消除法、聯(lián)合樹算法以及群集算法等。以變量消除法為例，如公式（1）所示：

" "（1）

貝葉斯算法的推理方式較多，還需要結(jié)合層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估系統(tǒng)的實際情況，有針對性地應(yīng)用相關(guān)算法。

四、層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估要點

（一）采集信息數(shù)據(jù)

在層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估中，信息數(shù)據(jù)的采集屬于重點環(huán)節(jié)，常規(guī)數(shù)據(jù)有兩大類，一類是組態(tài)信息，另一類是系統(tǒng)運行信息。本文所研究的定量評估方法的核心結(jié)構(gòu)為馬爾可夫，主要應(yīng)用組態(tài)數(shù)據(jù)，這種運行模式，不僅能夠準(zhǔn)確地計算出攻擊者成功入侵網(wǎng)絡(luò)所需的平均時間，還能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的定量評價。

多層次網(wǎng)絡(luò)安全威脅態(tài)勢定量評估的數(shù)據(jù)主要來源于服務(wù)器、交換設(shè)備以及終端設(shè)備等，如表2所示。

為提高網(wǎng)絡(luò)安全威脅態(tài)勢量化評估的客觀性與準(zhǔn)確性，獲取大量的信息數(shù)據(jù)后，還要采用各種融合技術(shù)進行處理，包括上文提到的貝葉斯理論、DS證據(jù)推理以及加權(quán)平均數(shù)等。以貝葉斯理論為例，在數(shù)據(jù)融合的層次化處理中，主要通過網(wǎng)絡(luò)安全態(tài)勢定量感知實現(xiàn)，如圖2所示。

圖2 數(shù)據(jù)融合層次化結(jié)構(gòu)示意圖

除此之外，在采集信息數(shù)據(jù)的過程中，還要科學(xué)應(yīng)用數(shù)據(jù)挖掘技術(shù)，從大量的信息數(shù)據(jù)中，提取出有代表性的數(shù)據(jù)，即這類數(shù)據(jù)要能夠反映網(wǎng)絡(luò)狀態(tài)的真實情況，因此，要在數(shù)據(jù)挖掘技術(shù)的支持下，對網(wǎng)絡(luò)設(shè)備的組態(tài)信息等進行大規(guī)模的采集，并提取出有價值的數(shù)據(jù)，從而提高定量評估的質(zhì)量和效率。

（二）構(gòu)建評估模型

在構(gòu)建多層次網(wǎng)絡(luò)安全威脅態(tài)勢定量評估模型時，主要設(shè)置三個層級結(jié)構(gòu)，分別是網(wǎng)絡(luò)管理模塊、服務(wù)器管理模塊以及業(yè)務(wù)管理模塊。通過對各種惡意攻擊行為發(fā)生次數(shù)和頻率的綜合分析可知，服務(wù)器管理系統(tǒng)受到攻擊的次數(shù)和頻率較高，是黑客攻擊的主要對象。因此，設(shè)計定量評估模型時，可以分層理論為導(dǎo)向，創(chuàng)設(shè)出層次化的態(tài)勢評估模式，遵循自上而下的原則，對網(wǎng)絡(luò)系統(tǒng)進行層次劃分。上述三個層次與供給層次有機結(jié)合后，就能夠形成網(wǎng)絡(luò)安全威脅態(tài)勢定量評估的邏輯關(guān)系[5]。

根據(jù)既定的結(jié)構(gòu)邏輯，采用“局部先、總體后”的工作模式，對定量評估系統(tǒng)進行預(yù)先設(shè)定。通過這種運行模式，不僅能夠快速接收報警信號以及漏洞掃描等信息數(shù)據(jù)，還能夠?qū)┙o層次中的危險數(shù)據(jù)平均值進行計算，按照統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，對這類危險源實行客觀準(zhǔn)確的分析，從而為網(wǎng)絡(luò)安全威脅態(tài)勢量化評估提供可靠的數(shù)據(jù)保障。另外，由于主機是攻擊者主要的入侵對象，因此，在構(gòu)建評估模型時，要設(shè)置專門的分析統(tǒng)計系統(tǒng)，用于主機潛在風(fēng)險的識別，對威脅可能產(chǎn)生的頻率、可能持續(xù)的時長以及網(wǎng)絡(luò)寬帶資源的綜合利用效率等進行全方位的分析，實現(xiàn)對主機安全狀態(tài)的有效評定。

（三）展開定量分析

1.服務(wù)量

層次化網(wǎng)絡(luò)系統(tǒng)在運行的過程中，潛在的風(fēng)險隱患會給網(wǎng)絡(luò)的安全穩(wěn)定運行造成嚴(yán)重的干擾，而服務(wù)量的異常變動就屬于典型的潛在威脅之一。黑客在攻擊網(wǎng)絡(luò)系統(tǒng)的過程中，攻擊的時間不同，服務(wù)量也會有所不同，這種差異性會直接影響到定量分析的結(jié)果。因此在實際計算過程中，要以時間為前提，在時間變化趨勢的基礎(chǔ)上，掌握各個時間段的潛在威脅等級，針對威脅等級最高的時間段進行定量分析。例如，在實際操作中，可以將一天劃分為3個時間段，第一個時間段為0：00-8：00；第二個時間段為8：00-18：00；第三個時間段為18：00-24：00，以時間作為定量分析的標(biāo)度展開計算，能夠確定潛在威脅的等級，以及可能造成的損失。

2.系統(tǒng)級

在網(wǎng)絡(luò)系統(tǒng)級的定量分析中，也要采用以時間為基礎(chǔ)的處理模式，對各種信息數(shù)據(jù)展開科學(xué)合理的加權(quán)整理后，分析各個時段中潛在威脅的危險程度以及可能引發(fā)的后果等，獲取到具體的威脅數(shù)值后，將網(wǎng)絡(luò)參數(shù)與相關(guān)結(jié)果相乘，就能夠得到特定時段中多層次網(wǎng)絡(luò)系統(tǒng)安全威脅量化評估結(jié)果。

（四）實施定量計算

在計算定量評估結(jié)果的過程中，為保證結(jié)果的真實性與準(zhǔn)確性，需要確定各個層級的相關(guān)參數(shù)，如網(wǎng)絡(luò)寬帶利用率以及威脅指數(shù)等，篩選出具有代表性且有價值的參數(shù)用于定量計算中。通過網(wǎng)絡(luò)安全日志的分析可知，很多威脅因子和攻擊事件都屬于無意義事件，并且這種無效攻擊占總威脅比例的99%以上，若未及時采取科學(xué)有效的措施，對這些無效數(shù)據(jù)進行處理，不僅會加重網(wǎng)絡(luò)系統(tǒng)的負(fù)載，還會降低定量計算的效率，因此在定量計算期間，要對各種參數(shù)進行篩選。

（五）優(yōu)化評估結(jié)果

在定量評估結(jié)果的優(yōu)化處理中，重點在于對威脅態(tài)勢指標(biāo)的整理和分析，每一個有價值的指標(biāo)都要進行量化評估，并且還要以真實的網(wǎng)絡(luò)環(huán)境為依托，搭建模擬攻擊模型，對評估結(jié)果進行驗證，確定評估結(jié)果不存在任何問題后，可分析安全威脅存在的原因，并制定科學(xué)合理的防護措施，促進網(wǎng)絡(luò)系統(tǒng)的可持續(xù)安全穩(wěn)定運行。

五、結(jié)束語

綜上所述，層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估技術(shù)，在網(wǎng)絡(luò)系統(tǒng)的安全維護中，發(fā)揮了顯著的作用，因此，要加大對這種技術(shù)的推廣和應(yīng)用力度，提高網(wǎng)絡(luò)系統(tǒng)的風(fēng)險抵御能力，實現(xiàn)對潛在安全威脅的有效處理。

作者單位：張玉玨 黃金鵬 韓運寶 王倩麗 中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心）

參考文獻

[1]王立軍.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法分析[J].信息技術(shù)與信息化，2022，（07）：188-191.

[2]安家驥，狄鶴.數(shù)字中國背景下金融信息安全的威脅情報研究：內(nèi)在邏輯與態(tài)勢感知應(yīng)用[J].情報科學(xué)，2023，41（08）：147-154.

[3]蘇凌.基于馬爾可夫鏈的網(wǎng)絡(luò)安全威脅評估技術(shù)研究[J].通信與信息技術(shù)，2023，（S2）：19-22.

[4]張梓鋅.基于深度加權(quán)特征學(xué)習(xí)的網(wǎng)絡(luò)安全態(tài)勢評估方法研究[D].中國民航大學(xué)，2022.

[5]張建嬌.基于網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的高校網(wǎng)絡(luò)威脅發(fā)現(xiàn)[J].電子技術(shù)與軟件工程，2021，（18）：248-249.

張玉玨（1993.12-），女，漢族，北京，本科，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

黃金鵬（1991.04-），男，漢族，江蘇泰興，碩士研究生，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

韓運寶（1983.02-），男，漢族，河南南陽，碩士研究生，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全；

通訊作者，王倩麗（1996.05-），女，漢族，河北深州，本科，研究方向：網(wǎng)絡(luò)安全和數(shù)據(jù)安全。