基于节点态势融合的网络安全态势评估方法

王喆 封春芳 李娟 谭薇

摘  要：随着网络规模不断扩大，全网流量信息爆炸性增长，传统的从网络整体进行的态势评估在性能上已无法满足安全评估的要求，为此该文设计了一种基于节点态势融合的网络安全态势评估方法，将网络划分为若干子网，以子网作为节点，通过多时间序列分析和多节点态势融合实现全网安全态势评估。实践证明，该方法具有客观性、适用性的特点，具有良好的应用前景。

关键词：网络安全态势   评估网络流   特征节点   态势融合

中图分类号：TP393.08                     文献标识码：A文章编号：1672-3791（2021）07（a）-0026-03

Absrtact： With the continuous expansion of the network scale and the explosive growth of the whole network traffic information， the traditional situation assessment from the whole network can not meet the requirements of security assessment in performance. Therefore， this paper designs a network security situation assessment method based on node situation fusion， which divides the network into several subnets with subnets as nodes. The whole network security situation assessment is realized through multi time series analysis and multi node situation fusion. The practice shows that the method has the characteristics of objectivity and applicability， and has a good application prospect.

Key Words： Network security situation; Evaluate network flow; Feature node; Situation fusion

網络安全态势评估，是指通过安全设备和软件对网络数据进行收集、特征提取、关联分析等处理，得出评估网络的安全指标，以此为基础进行数学建模，利用数学模型对网络遭受的安全威胁进行定量分析，由此判断网络面临的安全风险程度，评估网络整体的安全状况。通过态势评估，可以尽早地发现网络中的安全隐患和威胁。对这些隐患与威胁的影响范围与严重程度进行充分评估可以帮助管理人员掌握当前网络的安全状况，以便在发生之前针对这些威胁采取遏制和阻止措施，使系统免受攻击和破坏，使其得到充分保护。

网络安全态势评估是一种新型的技术手段，不仅能够全面评估网络当前的安全状况，还能够通过各种安全指标，预测网络的安全状况，将网络流量信息这种原始“数据”转化为便于人理解的“知识”，帮助网络管理员快速全面地了解网络当前的安全状态，并依此快速准确做出响应，修改完善网络安全策略，降低网络面临的风险程度。

在进行网络流量监控时，某些异常行为（如DDoS）通过单个时间序列分析很难发现其异常，如果进行多时间序列综合分析就可快速检测出异常行为。为满足安全评估的要求，该文提出了一种基于节点态势融合的网络安全态势评估方法，快速检测网络中的异常行为并进行溯源。

1  基于节点态势融合的网络安全态势评估模型

网络安全态势评估利用关联、融合、归并等多种分析方法，发现网络数据流量异常信息，判定网络安全事件，评估事件对网络安全状态的影响[1]。随着网络规模的扩大和速度的提高，网络流数据急剧增加，从网络整体入手进行安全态势分析，很难快速精准地得出结论，可根据网络拓扑结构将网络划分为多个节点，对每个节点分别进行异常检测和态势评估，再将各个节点的态势进行综合考量，这样就不仅可以快速地获得整个网络的安全态势，也大大提高了评估的精度。该文采取“从低到高、从点到面”的层次化定量分析模型，通过对各节点态势进行融合达到对全网安全态势的评估的目的[2]。首先，将网络划分为若干个子网，每个子网作为一个节点，然后通过对每个节点进行网络流划分、特征提取、异常检测和安全态势指数计算，得到每个节点的安全态势，最终通过聚合每个节点安全态势指数，得到网络整体安全态势，具体评估模型如图1所示。

1.1 网络流划分

1.1.1 构建五元组分组序列

利用部署在网络中的流量监测设备获取网络流数据，从中提取出数据包的网络特征信息，主要包括：数据包的源地址和目的地址、源端口号和目的端口号以及封装在数据包中的高层协议数据包的类型，这5种数值构成一组具有相同五元组取值的分组序列。

1.1.2 依据关键路径算法（Critical Path Method，CPM）对网络流数据进行子网划分

CPM是一种网络分析技术，是通过确定网络拓扑当中网络流数据从源到目的每条路径中最长的一条路径，即关键路径，来确定网络流数据路径的方法。如果将网络抽象成一个由点和线构成的二维平面图，那么图中的点代表网络中的各类终端，包括主机、服务器以及各种路由交换设备，流转于各类设备之间的网络流就是平面图中的线。假设网络簇由多个相邻的k-团组成，每个网络簇都有只属于自己的若干个k-团，这样虽然相邻的两个k-团唯一地属于某个网络簇，但它们之间会有共享点，并且这样的点至少会有k-1个。因此，可以由网络中的全部k-团（k≤K，K为给定值）构建的团-团重叠矩阵计算出重叠网络簇，就是划分出来的各个子网[3]。

1.1.3 将与子网相关的数据流依据其源和目的地址分为内部流和外部流

某个子网的内部流是指数据包的源地址和目的地址都属于该子网的数据流，外部流则是指数据包的源地址和目的地址只有其中之一属于这个子网的数据流。

1.2 特征提取

安全态势指标构建是态势提取的重要组成部分，它是反映被评估对象安全属性的指示性标志，为态势感知和预测提供计算和评估的依据。为了更加准确地描述网络安全态势的情况，采用各类安全数据采集工具从上报的事件和数据中提取指标，从定量化的角度来描述态势。在网络监控系统、检测系统等安全设备收集和捕获网络性能数据，以及日志系统采集并分析得到的日志统计信息中，可提取到典型的网络流量的特征。选取目前研究主要使用的计数型、流量、度型、均数型和复合型5类网络流特征，用于检测子网内部和外部之间的异常[4]。

（1）计数型特征：单位时间内出现的数值不同的同一属性的个数，如单位时间内出现的不同源地址的个数。

（2）流量特征：单位时间内各种属性对应的数据包数或字节数之和，如单位时间内TCP包总数。

（3）度型特征：单位时间内不同属性的特征值之间对应的个数，如单位时间内向子网内部地址发起链接的个数，也称之为子网的目的地址入度。

（4）均数型特征：单位时间内某属性对应的平均数据包或字节数，如单位时间内TCP包的平均字节数。

（5）复合型特征：某个特征的统计值，如数据包地址的信息熵。

1.3 异常检测

通过对告警数据的关联分析得出各个子网的安全态势指数。网络安全态势值通常受攻击频率、漏洞威胁、资产状况、开设的服务、網络中的部署位置等多种因素综合影响。为保证评估的全面性，各个节点，即各个子网的安全态势可从安全威胁、脆弱性、资产管控能力和安全设备运行状况等方面综合考量。针对各种告警数据进行深入分析，挖掘数据之间的内在逻辑关系，包括告警信息的特征相似性、攻击模型的关联性、攻击的条件和行为之间的关联度等，从中提取共同特征，确定安全态势指数。通过告警关联，能够将告警信息进行归并提取，辅助安全管理人员从海量数据中快速准确捕获到有用信息，从而快速准确地判断出网络面临的安全威胁[5]。

异常事件的类型根据异常的网络流样本集的特征属性，包括平均流大小、平均分组大小、每个特征的特征熵和特征比来判定。每个样本由网络流特征的属性向量来表示。根据属性向量间的相关系数来衡量属性向量之间的相似性，以相似性最大原则进行分类合并，直至合并到同一类别。通过特征属性的学习建立分类模型，对相似的异常进行类型标记，实现异常事件检测，由此得到各子网的安全态势指数。

1.4 安全态势指数计算

通过对各个节点的安全态势指数加权聚合得到全网的安全态势。安全态势评估有效融合外部攻击强度和内在脆弱性，主要和告警置信度、告警严重等级以及资源影响度有关。告警置信度是利用初始定义与融合计算得到的，告警严重等级是设定的，资源影响度和网络配置以及业务相关。由于节点在网络中的位置与作用各不相同，所以节点的安全等级也有很大差异，各个节点，即各个子网安全态势指数值的权重，由各个子网的重要程度决定。通过评估各个节点安全态势，获得了更丰富的态势信息，全面反映了网络的安全状况，因而能够快速准确地评估出网络的安全态势[6-7]。

2  结语

传统的网络安全不仅依赖入侵检测系统和网络设备管理平台，对管理人员的专业技能也要求较高，而网络安全态势评估技术能从宏观上实时掌控网络系统内产生的信息，实时评估网络运行的状态，对潜在的攻击行为和漏洞进行预警，为管理人员的实时调度和策略改变提供重要参考依据，最大限度地降低网络风险带来的损失。

不同于传统的从网络整体进行的安全态势评估，该文将网络划分为若干子网，以子网作为节点，经过时间序列分析、节点态势分析，最终通过子网态势融合实现全网安全态势评估。该评估方法避免了由于网络规模不断扩大、原始“数据”不断暴增给安全评估带来的不利影响，具有客观性、适用性的特点，具有良好的应用前景。

参考文献

[1] 王波，王怀彬.基于主动学习的非均衡异常数据分类算法研究[J].信息网络安全，2017（10）：42-49.

[2] GENG F F， RUAN X L. Campus Network Information Security Risk Assessment Based on FAHP and Matter Element Model[C]//International Conference on Intelligent Computing.Springer， Cham，2017：298-306.

[3] XIAO F.Multi-sensor Data Fusion Based on the Belief Divergence Measure of Evidences and the Belief Entropy[J].Information Fusion，2018，46：23-32.

[4] 周新卫，李小玲.基于改进G-K算法的多节点网络安全态势预测模型[J].科学技术与工程，2018，18（25）：72-77.

[5] 王益斌.层次化网络安全威胁态势量化评估方法[J].网络安全技术与应用，2018（9）：12-13.

[6] 崔艺馨.基于数据挖掘技术的网络安全态势感知技术[J].自动化仪器仪表，2020（12）：6-9，13.

[7] 王建，李玉洲，张宁，等.一种车联网安全态势感知模型[J].汽车实用技术，2021，46（9）：20-24.