基于层次化网络的多源头威胁态势高效评估方法

任 帅，李笑满

(1.河南财政金融学院,河南 郑州 450046;2.河南省经济技术中等职业学校,河南 郑州 450044)

0 引 言

网络逐渐成为人们生产与生活的重要工具，网络资源开放性与信息共享性为各行业提供极大便利。恰恰因为网络的开放性，导致人们在合理使用网络的同时面临恶意行为入侵威胁，严重影响网络环境安全[1]。层次化网络中的攻击威胁来源复杂，网络一旦遭受黑客攻击，会造成网络局部或整体性瘫痪，因此，各种保障网络环境安全的方法应运而生，如何高效评估层次化网络多源头威胁态势成为重点研究的课题[2]。

文献[3]针对当前网络安全评估方法，存在数据来源单一、评估类别和范围有限，且模型相对复杂的问题，提出了描述的基于信息融合的网络安全态势量化评估方法， 采用分级朴素贝叶斯分类器融合主机中的多源异构信息源中的非确定因素，利用优化推理和平缓参数学习计算各主机的安全系数，对安全势态指标进行量化，完成基于信息融合的网络安全态势量化评估。该方法适用于信息源的类型整理，但其未计算网络多源头威胁态势指数，得到的评估结果比较宽泛误差较大，影响网络多源头威胁态势高效评估精确度。文献[4]针对网络空间作战防御威胁问题，提出了基于模糊动态贝叶斯网络的威胁态势评估模型，根据模糊处理和概率计算析对势态要素进行状态分析，构建一种威胁估量和势态感知模型，将采集的观测数据引入模型中。并结合贝叶斯网络模型对势态进行评估，在基于网络空间的评估方法评估网络层次化威胁态势过程中，没有考虑网络各层多源头威胁级别，而是从全网络角度计算攻击威胁等级，导致识别的攻击种类不全面，评估结果不可靠。文献[5]针对当前安全势态评估的发网络结构过于复杂的问题，提出基于威胁传播的多节点网络安全态势量化评估方法，根据节点定义内容采用图像理论对网络结构进行建模，结合安全态势量化分析法，对威胁概率进行量化分析，根据白化权方法计算威胁因子，将因子带入评估模型，对网络安全态势进行分级量化评估。描述的基于威胁传播的评估方法，从威胁传播角度入手，评估的指标量巨大，大大增加评估用时，不能实现网络威胁高效评估。

针对上述评估网络威胁态势方法存在的问题，提出一种层次化网络多源头威胁态势高效评估方法，从计算层次化网络各层多源头威胁级别与计算层次化网络多源头威胁态势指数入手[6]，实现层次化网络多源头威胁态势的高效评估。

1 层次化网络多源头威胁态势高效评估方法研究

为了对层次化网络多源头威胁态势高效评估，需要构建层次化网络多源头威胁态势评估模型。以模型为基础融合证据理论获取层次化网络多源头威胁态势，通过网络服务器的安全策略被违背的程度、受威胁攻击时间、次数获取黑客行为。通过威胁后果和威胁比重求出威胁指数，对应的基本概率指派(Basic Probability Assignment，BPA)函数对不同层次威胁指数的重要程度权重，利用DREAD模型获取网络服务遭受的威胁态势指数，结合Markov模型获取网络主机层的机密全面性态势指数值，通过D-S证据推理方法获取主机层可用性态势指数，将不同的预测数据，包括聚类输出，分类器输出等进行融合，弱化了概率理论条件，可以完成层次化网络各层多源头威胁级别的的计算。

1.1 层次化网络多源头威胁态势评估模型

构建图1所示的层次化网络多源头威胁态势评估模型，评估层次化网络多源头威胁态势。模型结构如图1所示：

图1 层次化网络多源头威胁态势评估模型

分析图1能够看出，从网络规模与拓扑结构角度分析，全网、子网、主机以及服务层是网络系统的四个层次[7]，网络不同层次中存在不同源头、不同类型的威胁，与主机服务功能对应的威胁占比较大[8]。该模型的分析数据是网络中的报警数据与漏洞扫描结果，网络攻击威胁信息机密性与全面性程度可在服务层中评估[9]；主机层能够呈现网络攻击威胁造成的危害。

1.2 计算层次化网络各层多源头威胁级别

采用图1描述的层次化网络多源头威胁态势评估模型，以四个层次为基础计算模型中各层多源头威胁级别[10]，应用融合证据理论获取网络遭受每次攻击的威胁级别的BPA函数，即层次化网络各层多源头威胁级别[11]。详细过程为：

(1)

(2)

(3)

(4)

采用上述方法获取层次化网络各层多源头威胁级别后，以此为前提，详细计算网络关键层的多源头威胁态势指数。

1.3 计算层次化网络关键层的多源头威胁态势指数

根据上述获取的层次化网络各层多源头态势评估模型威胁级别结果，选取网络关键层，并计算网络中关键层的威胁态势指数，包括服务层态势指数、主机层机密全面性态势指数、主机层可用性态势指数。

1.3.1服务层态势指数

网络服务遭受的威胁态势指数可利用安全风险评估(Damage Protential, Reproducibility, Exploitability, Affected users, Discoverability, DREAD)模型获取，即：损伤保护性、再现性、可利用性、受影响用户、可发现性。威胁严重程度可采用公式(5)得到。DREAD模型包含D、R、E、A、D五种指标，在分析主机系统漏洞与安全设施响应的基础上，为攻击报警打分[12]。表1描述了攻击被阻止与未被阻止两种情况下DREAD分值与威胁态势指数。由表1能够看出被阻止与未被阻止时DREAD分值差距与服务层态势指数差距。

Risk=ProbabilityofOccurrence×BusinessImpact=

(R+E)×(D+A+D)

(5)

公式(5)Risk中风险，Probability Of Occurrence代表发生概率， Business Impact代表事件影响。

表1 DREAD模型应用

1.3.2主机层机密全面性态势指数

网络中主机层攻击路径的威胁沉重程度总和可通过Markov模型获取[13]。以网络攻击路径为路线，由安全目标的原始稳定状态端至攻击威胁后的状态端，以此为基础结合Markov模型获取网络主机层的机密全面性态势指数值[14]，该过程可分为三种状态：

(1)没有攻击路径时，网络主机层的机密全面性态势指数值可采用公式(6)计算：

HSCI=0

(6)

(2)有n步攻击存在攻击路径中时，网络主机层的机密全面性态势指数值可采用公式(7)计算：

(7)

(3)有数条攻击路径，那么采用公式(8)计算网络主机层的机密全面性态势指数：

(8)

公式中，网络主机层攻击还原状态下HSSp值为0；网络主机状态是Sq时，主机层机密全面性态势描述成HSSq网络主机；Sq前一刻主机状态集合用Into(Sq)描述，该集合存在|Into(Sq)|个主机状态；此处定义威胁程度高的主机首先遭受攻击，主机状态从Sp到Sq的概率为PSpSq；主机状态从Sp到Sq遭受攻击的DREAD分值为SSpq。此处采用的可用性证据为Ebw、Ert参数，由此获取的评估结果更加科学、可靠。

1.3.3主机层可用性态势指数

通过D-S证据推理方法，结合网络带宽耗用与响应时间延迟性能参数，获取主机层服务可用性遭到损害的程度[15]，其中Ebw表示网络带宽耗用，Ert表示响应时间延迟。主机服务可用性较优时，Ebw与Ert参数值较小。

用Ω={Safe,Unsafe}判别框描述网络系统安全与非安全的状态。公式(9)、(10)描述了基本概率分配函数：

m1({Safe},{Unsafe})=(1-Ebw,Ebw)

(9)

m2({Safe},{Unsafe})=(1-Ert,Ert)

(10)

证据整合之后网络主机层可用性态势即前面描述的局部证据函数，用公式(11)描述：

(11)

根据上述方法确定服务层态势指数、主机层机密全面性态势指数、主机层可用性态势指数，评估层次化网络多源头威胁态势。

2 实验分析

2.1 实验设置

本文在配置为Intel酷睿双核i3处理器，4 GB内存，2.89 GHz的个人台式机上进行实验，实验采用matlab和C++混合编程。为验证所提方法的性能与优势，展开网络威胁态势评估实验，层次化网络拓扑结构如图2所示，实验相关参数设置情况用表2描述。

2.2 带宽耗用与响应时长分析

基于实验设置的数据向实验网络发出模拟攻击，每次威胁攻击持续180 s。实验过程中，所提方法识别网络威胁攻击的带宽耗用与响应时长用图3描述。

图2 层次化网络拓扑结构

名称数值攻击时长180 s攻击种类4种主机总数4台带宽耗用百分比70%网段总数3个主机响应延时0.23s

图3 所提方法识别网络攻击的带宽耗用与响应时长

分析图3能够看出所提方法识别网络攻击的带宽耗用与响应时长情况。在此过程中，响应时长曲线总体平稳上升，上升趋势稳定，响应时长增加是因为实验过程中网络服务器未正常响应，可利用数据资源不足，提高了服务器与外界交流的时间，导致所提方法识别网络攻击的响应时长逐渐增加。

带宽耗用百分比变化趋势微弱，仅在小范围内持续波动，这是因为网络威胁态势评估实验的带宽使用最大值较高，导致正常的带宽耗用所占比重较小。

2.3 网络威胁态势指数分析

采用所提方法获取层次化网络多源头威胁态势过程中的指数评估结果，以单次持续攻击为例，所提方法得到的网络威胁态势指数与实际值对比情况如图4所示。

图4 所提方法的网络威胁态势指数评估结果

分析图4能够看出，所提方法评估得到的网络威胁态势指数与实验网络中真实的威胁态势指数曲线一致，说明所提方法评估层次化网络多源头威胁态势过程中能够获取可靠的网络威胁态势，评估精确度较高，3.5小节将进一步验证所提方法的评估精确度。

2.4 网络攻击种类识别率分析

为验证所提方法评估网络多源头威胁态势的有效性，将本文方法、基于信息融合的评估方法[3]，以及基于网络空间的评估方法[8]作对比。采用这三种方法识别网络攻击种类，计算三种方法的攻击种类识别率，结果如图5所示。

图5 不同方法的攻击种类识别率

分析图5能够看出三种方法的识别率，所提方法位于图像最上方，识别率均值约高达95%，基于网络空间的评估方法位于图像中间部分，基于信息融合的评估方法位于图像最下方。基于网络空间的评估方法随着攻击时长的增加，网络攻击种类的识别率呈上升趋势，该方法的识别率均值约为60%，比所提方法约低35%，这是因为：基于网络空间的评估方法在评估网络威胁过程中，没有考虑网络各层多源头威胁级别，仅从网络整体角度考虑攻击威胁等级，导致识别的攻击种类不全面，识别率较低；基于信息融合的评估方法的识别率最低，且不断降低，实验结束时识别率仅约为15%，该方法不能用于评估层次化网络多源头威胁态势，因为在评估网络威胁过程中，该方法未计算网络多源头威胁态势指数，获取的识别结果存在误差，降低网络攻击的识别率。

综上所述，所提方法识别网络攻击种类的识别率较高，相对同类方法具有优势，为评估网络攻击多源头威胁态势提供有利条件，提高评估精确度。

2.5 评估精确度与效率分析

记录3.4小节实验中三种方法评估层次化网络多源头威胁态势的评估精确度与用时情况，分别用表3、表4、表5描述，以此分析三种方法的评估性能，验证所提方法的优势。

表3 所提方法的识别精确度与用时

表4 基于网络空间的评估方法的识别精确度与用时

表5 基于信息融合的评估方法的识别精确度与用时

对比表3、表4、表5的数据能够看出，所提方法的评估精确度均值高达97.0%，高出基于网络空间的评估方法26.8%，高出基于信息融合的评估方法62.4%，比文献方法精确度平均值高出44.6%，所提方法的评估精确度具有显著优势，这是因为所提方法评估层次化网络多源头威胁态势过程中，从计算层次化网络各层的攻击威胁级别，同时计算网络多源头威胁态势指数，提高了所提方法识别攻击种类的准确度，为评估层次化网络多源头威胁态势提供有利条件。

所提方法评估层次化网络多源头威胁态势平均用时为4.9 s，相比基于网络空间的评估方法、基于信息融合的评估方法分别节约21.3 s、33 s，比文献方法平均检测时间节省27.15 s。说明所提方法的评估效率较高，验证了所提方法评估层次化网络多源头威胁态势的高效性。

3 结 语

本文针对基于网络空间的评估方法、基于信息融合的评估方法无法有效评估层次化网络多源头威胁态势的弊端，提出新的层次化网络多源头威胁态势评估方法。所提方法弥补了上述方法评估精确度低、识别网络攻击种类不全面的缺陷。经实验验证，所提方法的网络攻击种类识别率均值约高达95%，比同类方法精确度平均值高出44.6%，平均检测时间节省27.15 s。相比同类方法具有高效、精确的优势，评估层次化网络多源头威胁态势平均用时仅为4.9 s。所提方法可有效评估层次化网络多源头威胁态势，为防御网络恶意入侵提供可靠方式，同时为预测网络环境是否处于威胁状态提供有效分析依据。