一种基于链路性能分析的网络安全态势评估方法

张展翔　钟成琦　陈钧

摘 要 本文对面向攻击和面向脆弱性的网络安全态势评估方法进行了研究，提出了基于时间窗D-S（TWDS）和攻击图的网络安全态势评估模型。在该模型中，对网络安全设备响应时间对信息融合结果造成的偏差、传统评估方法不能评估复合攻击的缺陷等问题进行了改进。

关键词 链路性能分析 网络安全

中图分类号：TP393.08 文献标识码：A

本文将层次结构与权重分析相结合的方法运用于面向服务的网络安全态势评估方法的研究中，提出了基于链路性能分析的网络安全态势评估方法，该方法以网络链路为可测对象的最小元素来建立层次结构的网络安全态势量化评估模型，通过测量分析链路上的客观性能信息来评估网络的安全状况，对未知攻击具有良好的感知能力。

1攻击分类

根据攻击目的的不同和人们对攻击熟知程度的不同可以将攻击进行分类，见表1。已知攻击和未知攻击的攻击目的都是破坏网络信息的安全特性，网络信息的安全特性主要包括完整性、保密性、可靠性和可用性等四个方面，当它们遭受破坏后，网络系统中都会有相应的性能指标发生变化从而对攻击进行反映。因此，虽然未知攻击不能像已知攻击那样可以用网络安全检测设备来察觉发现，但是它可以通过相应性能指标出现的变化来感知发现。在网络安全态势评估研究中，针对不同的攻击和网络环境应该选择不同的网络性能指标。

2网络性能指标的处理

可测对象的性能信息是本文网络安全态势评估方法的数据源，因此对其进行的处理尤为重要。为了更好地说明网络性能指标的处理方法，先介绍以下概念：

（1）positive指标：表示该指标的值与网络性能成正相关，即该指标的值越大代表网络性能越好；反之，该指标的值越小，网络性能越差。

（2）negative指标：表示该指标的值与网络性能成反相关，即该指标的值越大代表网络性能越差；反之，该指标的值越小，网络性能越好。

在网络安全态势评估的研究中，可测对象的性能指标很有可能同时出现positive指标和negative指标，这时为了统一，需要计算出指标的无量纲的相对数，其计算公式如下：

其中，和分别为第j个可测对象的第项positive指标和negative指标的无量纲的相对数，为第个可测对象的第i项测量指标值，为第i项测量指标可能出现的最不理想的取值，为第i项指标可能出现的最理想的取值。为参加评价的可测对象的个数。通过以上处理，最终得到的无量纲的相对数保持了与人们正常思维的一致性，即其值越大，网络性能越好。

3评估模型

文献[2][3]指出通过测量网络中所有相关链路而获取的性能指标可以反映网络整体状况。因此本章网络安全态势评估模型中可测对象的最小元素是网络链路，将网络链路上的流量作为数据源，通过统计分析得到网络性能指标，将往返延迟、丢包率和可利用带宽作为反映网络可用性状态的性能指标，提出的评估框架如图1所示：

第一步，根据不同时刻各链路的往返延迟、丢包率和可利用带宽计算获取不同时段的各链路性能差熵。然后，根据各链路性能差熵计算各链路的安全态势值，以矩阵表示。

第二步，通过服务权重计算主机权重，通过主机权重计算链路权重，然后将链路安全态势值与链路权重进行加权求和得到网络不同时段的安全态势，以向量表示。

参考文献

[1] 黄正兴，苏旸.基于链路性能分析的网络安全态势评估研究[J].计算机应用， 2013，33（11）：3224-3227.

[2] 张冬艳，胡铭曾，张宏莉.基于测量的网络性能评价方法研究[J].通信学报， 2006，27（10）：74-79+85.

[3] 王坤，邱辉，杨豪璞.基于攻击模式识别的网络安全态势评估方法[J].计算机应用，2016，36（1）：194-198.