赵岚,李俊叶
(华东交通大学理工学院,江西南昌330000)
现代网络中存储着大量的数据信息,其中许多都是非常敏感的,甚至是影响国家安全的机密信息,正因为如此,许多不法之徒就会以各种目的对网络发动攻击,计算机犯罪案件发案率逐年上升,并呈愈演愈烈之势,今天计算机犯罪已经成为一个普遍的国际问题。为解决日益严重的各种安全问题,许多安全产品也被开发出来,以对付这些攻击,这些安全产品在一定程度上可以起到网络保护的作用[1]。在这些安全态势评估中,网络安全态势评估是一个新兴的热门研究课题,对于整个网络的安全保卫工作具有重要意义。“网络态势”是指由各种网络设备的运行状态、网络行为以及用户行为等因素构成的网络整体现状和发展趋势。应当指出,态势是一种状态,是一种趋势,是整体的、全局的概念,不能把任何单一的情形或状态都称为态势。其中网络安全态势评估包括态势要素提取、当前态势分析、形成态势分析报告和网络综合态势图等,为网络管理者提供辅助决策信息。
目前,国外对网络安全态势感知系统的研究主要是采用集成化的思想,建立专门的网络安全态势感知系统框架结构,对网络安全态势感知系统的研究具有一定的参考价值。与国外相比,中国对网络态势感知的研究还处于起步阶段,主要研究成果有:基于信息融合的网络安全态势评估方法、基于日志审计和性能修正算法的网络态势评估方法和基于模糊粗糙集的网络态势评估方法,但现有的态势评估方法由于无法发现潜在的、未知的安全漏洞和威胁,导致评估结果的准确性和评估效果较差,因此引入了灰色关联分析技术。灰色关联分析主要是通过样本数据序列的发展趋势、所表现出的几何形态、数据序列之间的相似度来表征各数据因素间的关联程度。实践中,如果以数据序列几何形状的相似近似度来衡量各数据因素之间的关联程度,则可得到多种不同的关联度计算方法。运用灰色关联分析法,旨在提高网络安全态势优化评价结果的可信性和准确性。
网络安全态势优化评估采用监控平台-采集代理结构,其中监控部分主要负责对网络安全态势进行评估,集成了数据分析指标提取模块、安全态势评估模块、插件定义模块、采集命令生成模块、转换模块、数据库中间件模块以及其他功能模块,为用户或传感器在采集前进行调用和向上层传感器集成平台传输数据提供了接口,此外,在监控平台的扩展功能中,还保留了与服务故障恢复相关的功能模块,为用户或传感器在采集前进行配置提供了方便、友好的用户界面,用于实时显示采集时监控代理发出的命令,在采集完成后提交各种形式的评估报告[2]。基于灰色关联分析技术的网络安全态势优化评价的具体实施流程见图1。
图1 网络安全态势优化评估流程图
网络安全态势评估包括两个过程,即对网络系统当前运行状态的评估和对未来一段时间内网络系统运行状况的预测。情形判断流程见图2。
图2 安全态势要素感知框图
根据当前网络状况,选择Netflow 作为数据源。网络流量不仅能够实时提供详尽的网络流量信息和统计预分析,而且能够有效避免资源超载,为网络安全态势感知提供必要的数据和服务支持[3]。将数据包按到达的流量采样间隔进行采集,对所有采集到的数据包进行过滤和聚合,形成大量的数据流,然后将其以流记录格式存储在缓存中,满足导出条件后,再通过UDP 协议导出。最后以网络安全态势感知数据为支撑,对网络安全态势优化进行评估。
根据网络系统的结构和使用情况,采用网站监测数据,选取影响网络态势的主要漏洞和安全事件,通过对网络系统数据的统计,利用这些漏洞和安全事件所带来的损失,并根据评价特征,分别量化其风险等级。在表1 中显示了网络安全态势的等级划分。
表1 网络安全态势等级划分表
以表1 中网络安全态势分级标准为网络安全态势优化评价标准,分别计算出网络安全态势评价指标,并与表1 中的期望值和熵值区间进行比较,从而得到量化的网络安全态势优化评价结果[4]。
根据网络安全态势评估原理,在考虑网络复杂性、不确定性、动态性等因素的基础上,分别从网络风险、脆弱性、可用性和可靠性四个方面建立评估指标体系[5]。与之相关的网络风险评估指标有:报警器数量和种类、攻击事件发生频率、数据流量、流量增长率、各关键设备访问主流网站的频率等;与之相关的脆弱性评估指标有:安全设备数量、各关键设备提供的服务类型及其版本、设备总的开放端口数量等;可用性指标有:网络带宽、带宽利用率、CPU 利用率、内存利用率、最大并发线程数量等;可靠性指标有:流量变化率、数据流量总量、关键设备平均无故障时间等。上述网络安全态势评估指标中网络流量变化率指标可以表示为:
式(1)中I 归属地在统计范围内的所有IP 的集合,flow_seq 表示已经看到的所有信息流的序列计数器,而dOctets 为字节总量。同理可以得出网络安全态势评估指标的量化结果。
首先对各指标ui分别按评判集中各vj进行评分;然后按式2 计算各指标对评判集中的第j 个元素vj的值。
式(2)中nij和ntotal分别表示的是指标体系中的第i 个指标ui作出第j 个评价的专家数目和专家总数[6]。由此便可以得出指标的评价向量,通过上述方法,就可以知道n 个指标有n 个评价向量,即可确定映射关系为:
由此可以得出网络安全态势的评估矩阵为:
分别将设置的网络安全态势评估指标导入到公式4 中,便可以得出对应安全态势优化评估的量化表达式。
设为综合评估指标,其观测数据为,对评估指标进行无量纲处理,并利用公式5 计算每个比较序列与参考序列对应元素之间的灰色关联系数。
式(5)中|x0(k)-xi(k)|表示的是各序列和参考序列对应元素间的绝对差值,min 和max 分别为最大值和最小值,ρ 为分辨系数[7]。当取值为(0,1)时,越小,对相关系数的判别能力越强。在此基础上,采用灰色关联系数平均构成向量r,进行规一化处理,得到各指标的权向量。
为更好地对网络运行状况进行安全态势分析,将灰色理论中的关联分析与层次分析相结合,分别从网络攻击层、关联层、服务层、主机层和系统层得到评价指标计算结果。以主机层为例其安全态势值可以表示为:
式(6)中m 为主机Hk所提供的服务个数。V'为服务Sj在主机Hk提供的各项服务中所占有的重要性权值,X(t)为求解得出的综合指标计算结果。同理可以得出其他网络层的安全态势值求解结果,将综合态势值计算结果与表1 中的评价划分等级标准进行比对,便可以得出最终的网络安全态势优化评估结果。
为了测试设计的基于灰色关联分析的网络安全态势优化评估方法的评估功能,设计对比实验,对比设计评估方法和传统评估方法以及文献[7]中提出的基于深度自编码网络的网络安全态势评估方法作为实验的两个对比方法。所使用的模拟硬件环境为:CPUP43-0GHz,1 GB 内存,20 GB 硬盘自由空间,2 Mbps 网卡。其软件环境是:Windows XP 操作系统、MATLAB2007 软件包。模拟实验数据来源于美国MIT 林肯实验室的网络入侵检测数据集KDDCup99。该模型分为两个部分,第一部分对网络安全态势评估模型进行训练,第二部分对网络安全态势评估模型进行测试,以验证模型的评估结果与实际结果是否一致。将准备的实验样本数据转换为安全态势数据,并以此作为实验的判定标准,测试数据集中网络安全态势值的分布情况如图3 所示。
图3 测试数据集中网络安全态势值分布
将图3 中的态势值数据代入到表1 中,便可以得出实验的标准对比数据。
通过网络安全态势评估,可以监测网络安全变化趋势,发现可能发生的网络攻击行为,并采取有效措施加以防范,提高网络安全水平。根据目前网络安全态势评估中存在的问题,将灰色关联分析法应用于网络安全态势评估,实现了传统方法的优化。试验结果表明,灰色关联分析理论的应用有效地提高了评估的精确度。能够捕捉到网络安全的总体变化趋势,因此,评价方法的设计和发展有助于指导网络管理员对未来可能发生的网络安全事件作出相应的应对措施。