姚書科

（黃淮學(xué)院 國(guó)際學(xué)院，河南 駐馬店 463000）

由于網(wǎng)絡(luò)中設(shè)備類型多種多樣，數(shù)據(jù)類型紛繁復(fù)雜，要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)全面、準(zhǔn)確的掌握，建立一個(gè)覆蓋廣泛、內(nèi)容全面的網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系是必不可少的。從紛繁復(fù)雜的數(shù)據(jù)中選取能夠反映網(wǎng)絡(luò)安全狀態(tài)的指標(biāo)數(shù)據(jù)，用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)。為了能夠建立一個(gè)全面、系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系，筆者提出了一套全面、系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系，以及基于Netflow、Snort和Nessus的數(shù)據(jù)采集與提取方法和態(tài)勢(shì)指標(biāo)的計(jì)算方法。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系構(gòu)建原則

指標(biāo)體系的建立不能漫無(wú)目的地憑空想象，而需要根據(jù)網(wǎng)絡(luò)的組織結(jié)構(gòu)和實(shí)際需求，充分考慮各個(gè)指標(biāo)之間的相互關(guān)系，從整體上對(duì)指標(biāo)體系進(jìn)行把握。在研究了網(wǎng)絡(luò)安全指標(biāo)體系領(lǐng)域研究成果[1-2]的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)安全的實(shí)際需要，本文總結(jié)歸納出以下4條指標(biāo)體系的建立原則。

1）全面性與相對(duì)獨(dú)立性原則 即要全面考慮對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響的要素；又要兼顧獨(dú)立性，將安全狀態(tài)用幾個(gè)相對(duì)獨(dú)立的性質(zhì)表示出來(lái)，并用相應(yīng)指標(biāo)進(jìn)行分別評(píng)估。處理好全面性與相對(duì)獨(dú)立性，是建立網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)體系重要的一步。

2）系統(tǒng)化與層次化原則 網(wǎng)絡(luò)指標(biāo)體系龐大，涉及的影響因素多，采用系統(tǒng)化、層次化的方法劃分指標(biāo)體系，符合了網(wǎng)絡(luò)層次化結(jié)構(gòu)的實(shí)際需求，也可以作為全面性與相對(duì)獨(dú)立性的補(bǔ)充，使整個(gè)指標(biāo)體系多而不亂，條理清楚。

3）相似相近原則 影響網(wǎng)絡(luò)安全狀態(tài)的因素相當(dāng)多，其中一些是近似的、相互影響的，如數(shù)據(jù)包的分布、數(shù)據(jù)包大小的分布，這些指標(biāo)應(yīng)該被統(tǒng)一考慮。

4）科學(xué)性原則 指標(biāo)的選擇和設(shè)計(jì)應(yīng)建立在網(wǎng)絡(luò)事件和系統(tǒng)需求基礎(chǔ)之上，具有較強(qiáng)的針對(duì)性和代表性。同時(shí)，指標(biāo)的計(jì)算方法、數(shù)據(jù)收集、指標(biāo)范圍、權(quán)重選擇等都必須有科學(xué)依據(jù)。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系的構(gòu)建

文中在研究了網(wǎng)絡(luò)安全領(lǐng)域近期的研究成果[3-4]和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)[5-6]的基礎(chǔ)上，從當(dāng)前網(wǎng)絡(luò)的實(shí)際情況出發(fā)，對(duì)網(wǎng)絡(luò)普遍存在的、人們關(guān)注較多的安全信息進(jìn)行了詳細(xì)的論證，對(duì)其應(yīng)用于網(wǎng)絡(luò)的可行性進(jìn)行了分析，構(gòu)建了網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系，如表1所示。

生存性、威脅性、脆弱性3個(gè)指標(biāo)，分別代表了網(wǎng)絡(luò)的3個(gè)獨(dú)立性質(zhì)，從不同視角對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了描述。

生存性指標(biāo)側(cè)重描述網(wǎng)絡(luò)自身對(duì)安全事件的防范能力、網(wǎng)絡(luò)能夠承受和抵抗攻擊的能力，以及網(wǎng)絡(luò)在遭受攻擊的情況下繼續(xù)為用戶提供服務(wù)的能力。

威脅性指標(biāo)側(cè)重描述各種網(wǎng)絡(luò)活動(dòng)對(duì)于網(wǎng)絡(luò)內(nèi)部可能產(chǎn)生的威脅的程度以及危害的嚴(yán)重性，主要統(tǒng)計(jì)已知攻擊、疑似攻擊和惡意代碼的數(shù)量或頻率，通過(guò)模型計(jì)算，得出衡量網(wǎng)絡(luò)環(huán)境的參數(shù)。威脅性指標(biāo)不僅從外部來(lái)考量網(wǎng)絡(luò)的安全狀況，同時(shí)也將網(wǎng)絡(luò)內(nèi)部的惡意代碼威脅納入考量范圍之內(nèi)，使得對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估更加準(zhǔn)確、全面。

脆弱性指標(biāo)側(cè)重描述網(wǎng)絡(luò)自身在安全方面的不足之處，主要關(guān)注網(wǎng)絡(luò)在遭受攻擊的情況下，是否能夠承受得住，能夠承受多少以及攻擊會(huì)帶來(lái)多大的危害和損失。通過(guò)綜合分析設(shè)備數(shù)目和漏洞數(shù)目等信息，從整體上來(lái)衡量網(wǎng)絡(luò)面臨威脅的時(shí)候可能蒙受的損失程度。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系Tab.1 Network security situation factor index system

注：安全設(shè)備主要是指用于檢測(cè)網(wǎng)絡(luò)面臨攻擊威脅的設(shè)備，例如IDS、防火墻、病毒墻等。關(guān)鍵設(shè)備主要是指維持網(wǎng)絡(luò)運(yùn)行的設(shè)備和具有特殊作用的網(wǎng)絡(luò)設(shè)備，例如路由器、DNS服務(wù)器、數(shù)字證書發(fā)布服務(wù)器等。

網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系涵蓋了構(gòu)成信息網(wǎng)絡(luò)實(shí)體的各個(gè)部分，將構(gòu)成信息網(wǎng)絡(luò)的各個(gè)層次納入考慮范疇，能夠從全面、整體的角度審視網(wǎng)絡(luò)的安全狀態(tài)，從而形成整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)，提供全面、準(zhǔn)確的信息支持。指標(biāo)的選取具有以下的特點(diǎn)：

1）覆蓋全面 一方面，指標(biāo)將網(wǎng)絡(luò)目前面臨的主要攻擊威脅都納入指標(biāo)體系的考量范圍之內(nèi)，能夠較為全面地反映網(wǎng)絡(luò)當(dāng)前所遭受的威脅狀況；另一方面，指標(biāo)還將網(wǎng)絡(luò)自身的運(yùn)行狀態(tài)和防護(hù)能力納入考量的范圍之內(nèi)，將二者相結(jié)合，從攻防兩個(gè)方面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了描述。

2）分層處理 由于指標(biāo)數(shù)據(jù)涵蓋了網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，指標(biāo)體系的結(jié)構(gòu)也隨著指標(biāo)延伸范圍的擴(kuò)展而變得復(fù)雜，這就需要對(duì)各個(gè)一級(jí)指標(biāo)進(jìn)行規(guī)整和分層，對(duì)處于同一層次的指標(biāo)進(jìn)行集中處理。另外，對(duì)網(wǎng)絡(luò)安全狀態(tài)影響較大的指標(biāo)，應(yīng)進(jìn)行單獨(dú)處理。

3）動(dòng)靜結(jié)合 指標(biāo)不僅包含實(shí)時(shí)動(dòng)態(tài)變化的數(shù)據(jù)，也包含在一段時(shí)間內(nèi)變化不大或變化速度緩慢的數(shù)據(jù)。動(dòng)態(tài)指標(biāo)數(shù)據(jù)來(lái)自于數(shù)據(jù)采集系統(tǒng)的實(shí)時(shí)收集，靜態(tài)指標(biāo)多為用戶提供，因此，在提取態(tài)勢(shì)指標(biāo)時(shí)，需要區(qū)別對(duì)待，確保其數(shù)據(jù)的合理性和準(zhǔn)確性。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)要素?cái)?shù)據(jù)獲取

網(wǎng)絡(luò)設(shè)備數(shù)量多，各個(gè)設(shè)備間的關(guān)系復(fù)雜，從各個(gè)設(shè)備獲得數(shù)據(jù)具有數(shù)據(jù)量大、成份復(fù)雜、產(chǎn)生時(shí)間短、處理時(shí)間長(zhǎng)等特點(diǎn)[7]，對(duì)采集的數(shù)據(jù)直接進(jìn)行分析是不可取的，因此，需要對(duì)采集的數(shù)據(jù)進(jìn)行一定的處理，才能轉(zhuǎn)化為態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)使用的態(tài)勢(shì)指標(biāo)數(shù)據(jù)。數(shù)據(jù)處理共分為2個(gè)步驟：1）原始數(shù)據(jù)獲取。對(duì)采集到的數(shù)據(jù)歸類后放入到原始數(shù)據(jù)庫(kù)中；2）態(tài)勢(shì)指標(biāo)提取。原始數(shù)據(jù)獲取是態(tài)勢(shì)指標(biāo)獲取的第1步，根據(jù)指標(biāo)體系組織形式和系統(tǒng)的實(shí)際需求，本文將原始數(shù)據(jù)劃分為網(wǎng)元信息、流量信息、報(bào)警信息、漏洞信息和靜態(tài)配置信息5個(gè)類別。

1）網(wǎng)元信息 側(cè)重描述網(wǎng)絡(luò)中主機(jī)的信息，這里所指的主機(jī)包括安全設(shè)備、PC主機(jī)、服務(wù)器等，獲取來(lái)源主要是通過(guò)Nessus掃描日志、Snort日志和Netflow數(shù)據(jù)，其主要包括主機(jī)類型、操作系統(tǒng)類型及版本、IP地址、開放端口類型、提供服務(wù)類型等信息。

2）流量信息 側(cè)重描述與流量相關(guān)的信息，其獲取來(lái)源主要是通過(guò)Netflow數(shù)據(jù)包，主要包括數(shù)據(jù)流入量、不同協(xié)議數(shù)據(jù)包的分布、不同端口數(shù)據(jù)包的分布、數(shù)據(jù)流IP的分布等信息。

3）漏洞信息 側(cè)重描述漏洞的相關(guān)信息，其獲取來(lái)源主要是通過(guò)掃描和系統(tǒng)日志，包括漏洞的類型、影響系統(tǒng)類型、危害等級(jí)等信息。

4）報(bào)警信息 側(cè)重描述已經(jīng)發(fā)生或檢測(cè)出的惡意攻擊行為的相關(guān)信息，其獲取來(lái)源主要是通過(guò)Snort報(bào)警日志和用戶上報(bào)等，主要包括安全設(shè)備檢測(cè)到的攻擊類型、安全設(shè)備所檢測(cè)到攻擊的IP分布、安全事件發(fā)生時(shí)間等信息。

5）靜態(tài)配置信息 側(cè)重描述整個(gè)網(wǎng)絡(luò)的基本信息，其獲取的主要來(lái)源是用戶提供，主要包括網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)帶寬和服務(wù)器的最大連接數(shù)，需要說(shuō)明的是，由于這些數(shù)據(jù)具有相對(duì)穩(wěn)定的特點(diǎn)，因而，靜態(tài)配置信息不需要經(jīng)常更新。態(tài)勢(shì)指標(biāo)提取是態(tài)勢(shì)指標(biāo)獲取的中心環(huán)節(jié)，依據(jù)各指標(biāo)的需要對(duì)原始數(shù)據(jù)進(jìn)行篩選，選取適當(dāng)?shù)臄?shù)據(jù)字段，通過(guò)一定的計(jì)算方法，從中提取指標(biāo)信息獲取態(tài)勢(shì)指標(biāo)。

3.1 態(tài)勢(shì)要素?cái)?shù)據(jù)的采集與提取

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的全面掌握，就需要盡可能全面地獲取能夠反映網(wǎng)絡(luò)安全狀態(tài)的數(shù)據(jù)信息。按照目前的網(wǎng)絡(luò)現(xiàn)狀和指標(biāo)體系的實(shí)際需求，本文選取Netflow數(shù)據(jù)、Snort日志和Nessus掃描日志作為態(tài)勢(shì)指標(biāo)數(shù)據(jù)源。這三種數(shù)據(jù)涵蓋了流量、攻擊和漏洞三方面的信息，反映了網(wǎng)絡(luò)基本運(yùn)行狀態(tài)信息、面臨的攻擊威脅和潛在的安全威脅狀況，能夠?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)提供較為全面的數(shù)據(jù)支持。

1）Netflow數(shù)據(jù)提取

Netflow技術(shù)作為網(wǎng)絡(luò)流量的檢測(cè)技術(shù)，能夠?qū)崟r(shí)地提供詳盡網(wǎng)絡(luò)流量信息和統(tǒng)計(jì)預(yù)分析功能，并能很好地避免資源過(guò)載，現(xiàn)已經(jīng)成為被業(yè)界廣泛認(rèn)可的標(biāo)準(zhǔn)，有很強(qiáng)的代表性。Netflow報(bào)文都是由報(bào)文頭和多個(gè)流信息記錄兩部分構(gòu)成。報(bào)文頭主要由版本號(hào)、流記錄數(shù)、序列號(hào)等組成；流信息記錄中存放有詳細(xì)的流信息，主要有源IP地址、目的IP地址、TCP/UDP端口號(hào)、服務(wù)類型、包和字節(jié)計(jì)數(shù)、路由信息等。Netflow的數(shù)據(jù)格式[8]如表2所示。

2）Snort數(shù)據(jù)提取

Snort是一個(gè)開放源碼的、免費(fèi)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，Snort報(bào)警信息可以根據(jù)用戶的要求選取字段輸出。在采集數(shù)據(jù)前，需要對(duì)Snort數(shù)據(jù)字段進(jìn)行篩選，摒除無(wú)用的字段。根據(jù)指標(biāo)體系的實(shí)際需要，從Snort數(shù)據(jù)中選取了14個(gè)字段，如表3所示。通過(guò)這14個(gè)字段提供的安全信息，能夠較為清晰地了解一次攻擊的主要信息，例如，攻擊發(fā)起者是誰(shuí)，基于什么樣的服務(wù)和協(xié)議，實(shí)施了什么類型的攻擊，被攻擊目標(biāo)是誰(shuí)等。

表2 獲取Netflow數(shù)據(jù)字段Tab.2 Acquisition of Netflow data field

3）Nessus數(shù)據(jù)提取

Nessus是一個(gè)功能強(qiáng)大而又易于使用的開源網(wǎng)絡(luò)漏洞掃描器，在Nessus系統(tǒng)中，用戶可以實(shí)現(xiàn)對(duì)網(wǎng)段、主機(jī)、端口和服務(wù)的掃描，發(fā)現(xiàn)網(wǎng)內(nèi)存在的漏洞信息，將掃描結(jié)果以報(bào)告的形式呈現(xiàn)給用戶的。根據(jù)指標(biāo)體系的實(shí)際需要，從Nessus數(shù)據(jù)中選取了12個(gè)字段作為指標(biāo)數(shù)據(jù)源，涵蓋了端口、服務(wù)等目標(biāo)主機(jī)的相關(guān)信息和存在的漏洞威脅信息，實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的相關(guān)信息較為全面的掌握。如表4所示。

3.2 態(tài)勢(shì)要素指標(biāo)數(shù)據(jù)計(jì)算

原始數(shù)據(jù)獲取僅僅完成了態(tài)勢(shì)指標(biāo)數(shù)據(jù)獲取的第一步。由于原始數(shù)據(jù)數(shù)量巨大，類型多樣，需要進(jìn)行分析處理，才能得到態(tài)勢(shì)指標(biāo)數(shù)據(jù)。本文態(tài)勢(shì)指標(biāo)數(shù)據(jù)處理主要有流量變化率計(jì)算、數(shù)量計(jì)算和分布計(jì)算3種。

流量變化率的計(jì)算：設(shè)t時(shí)刻網(wǎng)絡(luò)數(shù)據(jù)的字節(jié)總量IQt為：

表3 獲取Snort數(shù)據(jù)字段Tab.3 Acquisition of Snort data field

表4 獲取Nessus數(shù)據(jù)字段Tab.4 Acquisition of Nessus data field

其中，flow_seq為Netflow數(shù)據(jù)流中的流編號(hào)，dOctets為第flow_seq條信息流的數(shù)據(jù)包中第3層字節(jié)的總個(gè)數(shù)。網(wǎng)絡(luò)流量變化率IQR為：

數(shù)量的計(jì)算：主要是用于統(tǒng)計(jì)指標(biāo)中的各個(gè)屬性在一段時(shí)間內(nèi)的出現(xiàn)次數(shù)。以數(shù)據(jù)包端口的數(shù)量為例，給出數(shù)量的計(jì)算方法：設(shè)D為N組檢測(cè)到的攻擊數(shù)據(jù)集合，Dc為數(shù)據(jù)D中攻擊類型字段，K={K1，K2，…，Km}為攻擊類型的集合，則攻擊 Ki的數(shù)量 PKi為：

分布的計(jì)算：以不同協(xié)議數(shù)據(jù)包的分布為例，其分布表示各協(xié)議數(shù)據(jù)包占總數(shù)的百分比。設(shè) P={P1，P2，…，Pn}，Pi為使用第Pi種協(xié)議的數(shù)據(jù)包的數(shù)量，則第i種協(xié)議的分布xi為：

采用這3種計(jì)算方法，針對(duì)各指標(biāo)的不同要求，可以從原始數(shù)據(jù)中提煉出態(tài)勢(shì)指標(biāo)數(shù)據(jù)。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)數(shù)據(jù)來(lái)源廣泛，種類繁多，因此，如何從紛繁眾多的安全信息中提取能夠全面反映網(wǎng)絡(luò)安全態(tài)勢(shì)的指標(biāo)信息，成為研究網(wǎng)絡(luò)安全態(tài)勢(shì)感知的首要問(wèn)題。本文提出了一套為態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)提供全面可靠支持的網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系，并對(duì)態(tài)勢(shì)數(shù)據(jù)獲取和指標(biāo)計(jì)算的方法進(jìn)行了討論。該指標(biāo)體系不僅涵蓋了構(gòu)成信息網(wǎng)絡(luò)實(shí)體的各個(gè)部分，也將構(gòu)成信息網(wǎng)絡(luò)的各個(gè)層次納入考慮范疇，能夠從全面、整體的角度審視網(wǎng)絡(luò)的安全狀態(tài)，從而形成整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)，提供全面、準(zhǔn)確的信息支持。

[1]王慧強(qiáng)，賴積寶，朱亮，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006，10（33）:5-10.WANG Hui-Qiang，LAI Ji-Bao，ZHU Liang，et al.Survey of network situation awareness system[J].Computer Science，2006，10（33）:5-10.

[2]陳彥德，趙陸文，王瓊，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與應(yīng)用，2008，44（1）:100-102.CHEN Yan-de，ZHAO Lu-wen，WANG Qiong，et al.Summary of network restoration based on topological information[J].Computer Engineering and Applications，2008，44（1）:100-102.

[3]王健，王慧強(qiáng)，趙國(guó)生.信息系統(tǒng)可生存性定量評(píng)估的指標(biāo)體系[J].計(jì)算機(jī)工程，2009，3（35）:54-56.WANG Jian，WANG Hui-qiang，ZHAO Guo-sheng.Index system of quantitative evaluation for information systems survivability[J].Computer Engineering，2009，3（35）:54-56.

[4]王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢(shì)感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用，2007，8（27）:1907-1912.WANG Juan，ZHANG Feng-li，F(xiàn)U Chong，et al.Study on index system in network situation awareness[J].Journal of Computer Applications，2007，8（27）:1907-1912.

[5]The International Organization for Standardization.Code of Practice for Information Security Management，ISO/IEC17799:2000[S].2000.

[6]B SI/DISC Committee BDD/2.BS7799 Code of Practice for Information Security Management[S].1999.

[7]鄭麗君.基于日志的安全態(tài)勢(shì)傳感器設(shè)計(jì)與實(shí)現(xiàn)研究[D].哈爾濱:哈爾濱工程大學(xué)，2007.

[8]唐菲.網(wǎng)絡(luò)安全態(tài)勢(shì)感知可視化的研究與實(shí)現(xiàn) [D].成都:電子科技大學(xué)，2009.