網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型

張展翔　鐘成琦　陳鈞

摘 要 隨著網(wǎng)絡(luò)的迅速發(fā)展，新的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法被不斷提出，其作用已然在網(wǎng)絡(luò)安全領(lǐng)域顯得尤為重要。本文研究分析了現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，對(duì)現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型進(jìn)行了介紹。

關(guān)鍵詞 網(wǎng)絡(luò)安全 態(tài)勢(shì)評(píng)估 性能分析

中圖分類號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A

網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是指以網(wǎng)絡(luò)安全態(tài)勢(shì)的定量計(jì)算為目的而建立的模型。網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型之上。首先介紹下網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究歷程。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念是Tim Bass在1999年首次提出的，而圖中網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究歷程是從1999年之前開始的，這主要是因?yàn)門im Bass在提出的IDS數(shù)據(jù)融合模型和IDS數(shù)據(jù)挖掘模型中應(yīng)用了已有的OODA（Observe Orient Decision Act）模型，而且IDS數(shù)據(jù)融合模型的層次及層次之間的關(guān)系與已有的JDL模型異曲同工。到了2006年，網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的研究已經(jīng)趨于成熟，模型主要包括：JDL模型、DFIG（Data Fusion Informaion Group）模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等，其中的JDL功能模型和Endsley模型已在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究中被普遍認(rèn)可，為網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的研究奠定了基礎(chǔ)。自2006年之后，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的研究開始衰退，而作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心內(nèi)容，網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的研究一直進(jìn)行著。下面介紹幾種典型的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。

2006年，陳秀真中提出了層次化網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型，如圖1所示。

根據(jù)圖1可知，層次化網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的數(shù)據(jù)源是攻擊信息或者脆弱性信息，因此它是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型或是面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。它采取“先下后上，從局部到整體”的評(píng)估策略，整個(gè)局域網(wǎng)的安全態(tài)勢(shì)值是局域網(wǎng)內(nèi)所有主機(jī)的安全態(tài)勢(shì)值的融合，每臺(tái)主機(jī)的安全態(tài)勢(shì)值是主機(jī)所包含的所有服務(wù)的安全態(tài)勢(shì)值的融合，而每個(gè)服務(wù)的安全態(tài)勢(shì)值是服務(wù)所遭受的所有攻擊的威脅等級(jí)的融合或是服務(wù)所具有的所有脆弱性的危害程度的融合。

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是通過(guò)日志信息運(yùn)用D-S證據(jù)理論計(jì)算出某種攻擊的發(fā)生支持概率，而后將該攻擊所依賴的漏洞和網(wǎng)絡(luò)中主機(jī)的漏洞進(jìn)行匹配從而得到攻擊成功的支持概率，進(jìn)而與該攻擊的威脅等級(jí)進(jìn)行綜合得到該攻擊的安全態(tài)勢(shì)值。雖然該過(guò)程與脆弱性有著密不可分的關(guān)系，但是它最終還是通過(guò)融合各個(gè)攻擊的安全態(tài)勢(shì)值來(lái)得到節(jié)點(diǎn)態(tài)勢(shì)值，因此基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型?；谛畔⑷诤系木W(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型也是層次化的模型，網(wǎng)絡(luò)安全態(tài)勢(shì)值融合的是網(wǎng)絡(luò)中所有主機(jī)的安全態(tài)勢(shì)值，而主機(jī)安全態(tài)勢(shì)值融合的是主機(jī)所遭受的所有成功攻擊的安全態(tài)勢(shì)值。

馬建平提出了分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型，如圖2所示。

根據(jù)圖2可知，分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的數(shù)據(jù)源是網(wǎng)絡(luò)性能指標(biāo)，因此它是面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型將網(wǎng)絡(luò)的性能指標(biāo)進(jìn)行分層，將復(fù)雜的性能指標(biāo)細(xì)化，細(xì)化的指標(biāo)是底層設(shè)備可以直接獲取的統(tǒng)計(jì)值，將獲取的性能指標(biāo)進(jìn)行有規(guī)則的融合從而得到二級(jí)指標(biāo)，最終將二級(jí)指標(biāo)根據(jù)決策規(guī)則進(jìn)行融合用于評(píng)估網(wǎng)絡(luò)是否安全。分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型也是層次化的模型。

除了以上介紹的模型，還有許多網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型都是層次化的模型。雖然隨著網(wǎng)絡(luò)規(guī)模的越來(lái)越大，在網(wǎng)絡(luò)安全的研究中引入了云模型以表示復(fù)雜的巨型網(wǎng)絡(luò)，但是直到目前，大多數(shù)評(píng)估方法還在運(yùn)用層次化的模型來(lái)建立量化評(píng)估模型，這說(shuō)明層次化的模型在網(wǎng)絡(luò)安全研究中的應(yīng)用還沒(méi)有過(guò)時(shí)，還有其獨(dú)具的優(yōu)勢(shì)。其優(yōu)點(diǎn)在于：一是將龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng)進(jìn)行簡(jiǎn)化，便于理解；二是將復(fù)雜問(wèn)題分層處理，便于量化。因此，本文所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法都基于層次化的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。

參考文獻(xiàn)

[1] 卓瑩.基于拓?fù)?流量挖掘的網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)研究[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)研究生院，2010.

[2] Blasch E，Plano S.DFIG Level 5（User Refinement）issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion（FUSION），2005：35-43.

[3] Tadda G，Salerno J，Boulwarea D，Hinmana M， Gorton S. Realizing Situation Awareness in a Cyber Environment[C].Belur V，Multisensor，Multisource Information Fusion：Architectures，Algorithms， and Applications 2006， Proceedings of SPIE Vol.6242，624204（2006）：1-8.

[4] 馬建平.面向服務(wù)的網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法研究[D].哈爾濱工程大學(xué)，2011.

[5] 王坤，邱輝，楊豪璞.基于攻擊模式識(shí)別的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用，2016，36（1）：194-198.