基于有色Petri网的网络安全态势感知模型构建及分析∗

惠馨雅 刘建华 刘 浩

（西安邮电大学 西安 710000）

网络的重要性及其对社会的影响越来越大，网络安全问题成为Internet及各项网络服务和应用进一步发展所需要解决的关键问题。习近平主席在网络安全和信息化工作座谈会上的讲话中指出：“全天候全方位感知网络安全态势。要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来”［1］。

目前，对于用Petri分析网络安全态势感知评估方法的相关研究较少，其中国外学者Shifflet［2］通过整合各种网络安全检测技术提出了单一因素的评估框架结构。Glenn A［3］等提出了一种协作的网络 安 全 系 统（Cooperative Infrastructure Defense，CID），提出了分层协同管理的思想，随着技术的发展，Jereme N.Haack，Glenn A.Fink等在CID的基础上加入了数字蚂蚁的思想［4］。王宁丽、余道华［5］提出一种新的基于有色Petri网模型的分析方法，并利用新方法对具体的Helsinki协议进行建模分析；孔轶艳［6］采用Petri网建模工具，对骨干网络的拓扑结构进行了建模分析，模拟CXPST的攻击过程，建立CXPST攻击过程的特征抽取与建模，实现对大规模骨干网络的安全风险评估；张莉等［7］提出一种基于跳面节点与Petri网的空间信息网可靠性评估算法，完成了可靠性评估指标的建立、可靠性评估。许多建模方法是基于事件的，缺乏对系统状态的明确体现，而Petri网基于状态的建模方法明确定义模型元素的状态，其演进过程受状态的驱动，不但严格区分了活动的授权和活动的执行，而且使过程定义具有更丰富的表达能力，能够动态地修改过程实例，使建模过程具有了更多的柔性特征［8］。

因此，本文基于有色Petri网建立网络安全态势感知评估模型，利用CPN TOOLs对其模型性能进行仿真，能够整体上对模型结构进行验证和分析，为完成各个模块之间的连贯性以及连通性提供一定的依据。

2 模型构建

2.1 网络安全态势感知模型

网络安全态势感知（Network Security Situtation Awareness，NSSA）最早由Endsley于1988年首次提出，是指“在一定的时空范围内，认知、理解环境因素，并对未来的发展趋势进行预测”［9］，与此同时提出了网络安全态势感知模型。本文通过结合网络安全态势感知三级模型，构建出网络安全态势感知模型，如图1，它主要分为三个层次：数据采集层、数据处理层、数据评估层。数据采集层主要是原始数据的采集，例如针对网络的攻击行为；数据处理层是将采集到的数据进行分类，提取态势指标并进行预处理分析；数据评估层是把接受到的预处理数据进行态势评估，最终得出评估结果。

2.2 形式化定义

面向网络安全态势感知模型的Petri网系统的定义。

定义 安全态势感知网定义为一个六元组∑=( P,T,IN,OUT,C,cd)。

1）代表系统状态的库所集P={ p1,p2,…,pn}，代表状态改变的变迁集T={t1,t2,…,tm}，对于正整数集N+，n,m∈N+,P∪T≠φ,P∩T=φ。

2）C是有色集的集合，是一个非空有限集。所需要的库所中包含的托肯可以带有数据值的含义即颜色类，这个数据值可以是任意复杂类型的数据；对于某一个特定的库所来说，其包含的所有托肯的颜色必须属于某一种特定的类型，此类型就称为库所的有色集［10］。

3）cd是一个有色函数，即托肯中带有的复杂类型数据所对应的函数，P∪T→C是有色域的映射。

4）IN:P→T为变迁输入矩阵，IN={aij},aij∈{0 ,1}，当pi是tj的输入时，aij=1，当pi不是tj的输入时，aij=0。

5）OUT:T→P为变迁输出矩阵，OUT={bij},bij∈{0,1}，当pi是tj的输出时，bij=1，当pi不是tj的输出时，bij=0。利用矩阵可以判断安全状态的可达性。

2.3 形式化建模

根据上述安全态势感知网的定义，设计网络安全态势感知模型如图2所示。

库所及变迁的涵义表见表1和表2。

表1 库所说明

图2 网络安全态势感知模型

图1 网络安全态势感知模型

表2 变迁说明

3 模型结构性能分析

结构是指系统内部各个组成要素之间相对稳定的联系方式和内在的表现形式，是系统的内在规定性。一定的结构具有一定的功能。作为系统外在表现形式的功能，与系统的内部结构是密切相关的。只有结构合理，系统才能表现出良好的功能特性。因此，研究系统的结构特性，对于分析信息系统的各种性能、优化系统的结构具有很大的帮助［11］。

3.1 模型结构复杂度分析

设Cn为系统的要素复杂度，它反映系统组成要素的数量特性；Cr为系统的关联复杂度，它描述系统组成要素间的关联特性；Cs为信息系统结构复杂度，则Cs=λCn+(1-λ)Cr。

其中，位置结点数量|P|=m，变迁结点数量|T|=n；pi为位置结点，tj为变迁结点，pi,tj∈X；·x为结点x的入弧集合，x·为结点x的出弧集合，F为网络中所有有向弧的集合，|X|表示集合X中所含元素的个数。

所以，要素复杂度：

关联复杂度：

Cn对Cs的相关系数［6］：

由网络安全态势感知模型可知：

位置结点集合所含元素个数为m=|P|=12；

变迁结点集合所含元素个数为n=|T|=9；

前集和后集元素不同时为零的结点个数为|X|=21；

带入以上各式，可分别求得Cn=0.90,Cr=0.53,λ=0.08；

最后可得模型所构成的网络安全态势感知模型结构复杂度为Cs=0.56。

由文献［11］可知，关联复杂度Cr=0.5，对应着一种较为理想的关联结构，所以在确保系统功能实现和性能稳定的前提下，应该尽量优化模型，降低模型结构复杂度。

3.2 模型关键功能结点分析

网眼，是指可以从给定网中的一个顶点集直接生成的一个子网，在该子网中，各顶点的前集和后集之和等于且仅等于2［11］。对于这个子网，我们可以设（P'，T'，F'）是（P，T，F）的一个子网，而且仅当

1）（P'，T'，F'）和（P，T，F）都是网

2）P'⊆P，T'⊆T，F'⊆F

3）F'=F∩(P'×T'∪T'×P')

设xi∈P∪T为网上任一结点，且满足|·xi|≠0˄|xi·|≠0，令d（xi）为结点xi对于整个网络结构的耦合强度，且有

其中，Mxi为与结点xi相关联的所有网眼的集合；Ms为网络中网眼的总数；Rmax（xi）为结点xi的前集和后集元素之和以及与其相关的最大网眼中所包含的所有其他结点集合中的较大者；|X|为所有其前集和后集都不为空的结点集合。

对于一个给定的Petri网模型，当其中某个结点xi耦合强度大于整个网络模型的平均耦合强度时，就称其为重权结点，并记为xi*。

因此，由以上定义得网络安全态势感知模型中所有的网眼，即Ms=2，求得网络模型中各结点的耦合强度d（xi）和重权结点xi*，如表3。

表3 各结点耦合强度和重权结点

由此可得，网络安全态势感知评估模型的关键功能结点集合Tk=｛T0，T1，T4，T5，T6｝，Pk=｛P1，P2，P7，P8｝。对于这些关键功能和关键资源结点，我们在模型的日常维护和结构调整过程中，应该尽量避免或减少对它们的修改，以保证系统运行的可靠性和总体结构的相对稳定。

4 模型结构性能仿真分析

建立基于Petri网的网络安全态势感知模型，需要先对模型中的变量进行说明，如表1、2所示；然后对有色集进行定义，对于网络安全态势感知模型来说，针对每一个特定的库所所对应的模块，都有不同数据类型组成它的有色集，对应于网络安全态势感知模型中数据采集层的数据采集模块中采集的数据类型、数据处理层中态势指标提取模块中提取的指标类型等；最后说明cd为有色函数，对应于网络安全态势感知模型中数据类型采集的方法、指标类型提取的方法等。

利用CPN Tools建立的模型如图2所示，其中，库所P0中有一个托肯，代表的是采集了一个传感器数据，在实际需求中，可以相应增加其数量。采集处理后的数据最终会可视化展示评估结果，完成一次评估过程。利用CPN Tools对网络安全态势感知模型的机构特性进行仿真分析，主要包括其状态空间分析、系统可达性、活性和有界性等，从而确定所建模型是否存在死锁，判断系统的准确性与可行性。通过动态行为验证，确定出该模型是否能够表达所建立的网络安全态势感知过程［12］。仿真界面如图3所示。

图3 仿真界面

1）状态空间分析

根据CPNTools得到标准状态空间报告统计分析，如表4所示，其中状态空间所给出的节点和连接弧的个数和强连接图的结点和连接弧的个数相同，达到了所建立模型的预期要求，说明状态空间分析是合理的。

表4 状态空间分析报告

2）系统可达性

可达性决定了一个给定的表示是不是能够从初始标识到达最终端，是模型动态行为的重要指标。根据图2初始状态P0变迁情况以及表5模型上下界结果可以知道，所建立模型具有可达性。

3）有界性分析

有界性是分析模型正确与否的关键性质，它所说明的是Petri网中的库所是有界的。根据表5数据分析可得，每个库所都是有界的，符合模型的要求。

表5 有界性分析报告

4）活性分析

死标识表示的是在这个标识下一切赋值变迁都是不能使能的，也就是说这个变迁在模型中的任何发生序列都是没办法进行的。相反，活变迁则表示任何可达标识下都可以在一个发生序列中。根据表6中列出来的模型活性分析报告可以知道，所建模型不存在死变迁，这就说明了模型的设计是合理的，除了结束标识外，其他所有的标识都是活的，所以模型是无死锁的。

表6 活性分析报告

5 结语

本文通过有色Petri网对网络安全态势感知系统进行形式化建模，所建模型具有一定的通用性。研究分析了系统整体结构特性，对系统的其他性能分析以及后期优化系统有一定的帮助。利用CPN Tools对所建模型进行了动态行为分析以及性能验证。通过状态空间分析可以了解模型基本特性，证明模型的合理性与正确性。文章中仿真验证的是整体的模型，并没有具体化到模块，故需要在此基础上，继续进一步性能细化，使模型更加合理优化。