基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估

趙嵐，李俊葉

（華東交通大學(xué)理工學(xué)院，江西南昌330000）

現(xiàn)代網(wǎng)絡(luò)中存儲(chǔ)著大量的數(shù)據(jù)信息，其中許多都是非常敏感的，甚至是影響國(guó)家安全的機(jī)密信息，正因?yàn)槿绱?，許多不法之徒就會(huì)以各種目的對(duì)網(wǎng)絡(luò)發(fā)動(dòng)攻擊，計(jì)算機(jī)犯罪案件發(fā)案率逐年上升，并呈愈演愈烈之勢(shì)，今天計(jì)算機(jī)犯罪已經(jīng)成為一個(gè)普遍的國(guó)際問(wèn)題。為解決日益嚴(yán)重的各種安全問(wèn)題，許多安全產(chǎn)品也被開(kāi)發(fā)出來(lái)，以對(duì)付這些攻擊，這些安全產(chǎn)品在一定程度上可以起到網(wǎng)絡(luò)保護(hù)的作用[1]。在這些安全態(tài)勢(shì)評(píng)估中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是一個(gè)新興的熱門(mén)研究課題，對(duì)于整個(gè)網(wǎng)絡(luò)的安全保衛(wèi)工作具有重要意義?！熬W(wǎng)絡(luò)態(tài)勢(shì)”是指由各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)行為以及用戶(hù)行為等因素構(gòu)成的網(wǎng)絡(luò)整體現(xiàn)狀和發(fā)展趨勢(shì)。應(yīng)當(dāng)指出，態(tài)勢(shì)是一種狀態(tài)，是一種趨勢(shì)，是整體的、全局的概念，不能把任何單一的情形或狀態(tài)都稱(chēng)為態(tài)勢(shì)。其中網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估包括態(tài)勢(shì)要素提取、當(dāng)前態(tài)勢(shì)分析、形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖等，為網(wǎng)絡(luò)管理者提供輔助決策信息。

目前，國(guó)外對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的研究主要是采用集成化的思想，建立專(zhuān)門(mén)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架結(jié)構(gòu)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的研究具有一定的參考價(jià)值。與國(guó)外相比，中國(guó)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知的研究還處于起步階段，主要研究成果有：基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法、基于日志審計(jì)和性能修正算法的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估方法和基于模糊粗糙集的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估方法，但現(xiàn)有的態(tài)勢(shì)評(píng)估方法由于無(wú)法發(fā)現(xiàn)潛在的、未知的安全漏洞和威脅，導(dǎo)致評(píng)估結(jié)果的準(zhǔn)確性和評(píng)估效果較差，因此引入了灰色關(guān)聯(lián)分析技術(shù)?；疑P(guān)聯(lián)分析主要是通過(guò)樣本數(shù)據(jù)序列的發(fā)展趨勢(shì)、所表現(xiàn)出的幾何形態(tài)、數(shù)據(jù)序列之間的相似度來(lái)表征各數(shù)據(jù)因素間的關(guān)聯(lián)程度。實(shí)踐中，如果以數(shù)據(jù)序列幾何形狀的相似近似度來(lái)衡量各數(shù)據(jù)因素之間的關(guān)聯(lián)程度，則可得到多種不同的關(guān)聯(lián)度計(jì)算方法。運(yùn)用灰色關(guān)聯(lián)分析法，旨在提高網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)價(jià)結(jié)果的可信性和準(zhǔn)確性。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估方法設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估采用監(jiān)控平臺(tái)-采集代理結(jié)構(gòu)，其中監(jiān)控部分主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，集成了數(shù)據(jù)分析指標(biāo)提取模塊、安全態(tài)勢(shì)評(píng)估模塊、插件定義模塊、采集命令生成模塊、轉(zhuǎn)換模塊、數(shù)據(jù)庫(kù)中間件模塊以及其他功能模塊，為用戶(hù)或傳感器在采集前進(jìn)行調(diào)用和向上層傳感器集成平臺(tái)傳輸數(shù)據(jù)提供了接口，此外，在監(jiān)控平臺(tái)的擴(kuò)展功能中，還保留了與服務(wù)故障恢復(fù)相關(guān)的功能模塊，為用戶(hù)或傳感器在采集前進(jìn)行配置提供了方便、友好的用戶(hù)界面，用于實(shí)時(shí)顯示采集時(shí)監(jiān)控代理發(fā)出的命令，在采集完成后提交各種形式的評(píng)估報(bào)告[2]。基于灰色關(guān)聯(lián)分析技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)價(jià)的具體實(shí)施流程見(jiàn)圖1。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估流程圖

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估包括兩個(gè)過(guò)程，即對(duì)網(wǎng)絡(luò)系統(tǒng)當(dāng)前運(yùn)行狀態(tài)的評(píng)估和對(duì)未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)系統(tǒng)運(yùn)行狀況的預(yù)測(cè)。情形判斷流程見(jiàn)圖2。

圖2 安全態(tài)勢(shì)要素感知框圖

根據(jù)當(dāng)前網(wǎng)絡(luò)狀況，選擇Netflow 作為數(shù)據(jù)源。網(wǎng)絡(luò)流量不僅能夠?qū)崟r(shí)提供詳盡的網(wǎng)絡(luò)流量信息和統(tǒng)計(jì)預(yù)分析，而且能夠有效避免資源超載，為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供必要的數(shù)據(jù)和服務(wù)支持[3]。將數(shù)據(jù)包按到達(dá)的流量采樣間隔進(jìn)行采集，對(duì)所有采集到的數(shù)據(jù)包進(jìn)行過(guò)濾和聚合，形成大量的數(shù)據(jù)流，然后將其以流記錄格式存儲(chǔ)在緩存中，滿(mǎn)足導(dǎo)出條件后，再通過(guò)UDP 協(xié)議導(dǎo)出。最后以網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)為支撐，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化進(jìn)行評(píng)估。

1.2 劃分網(wǎng)絡(luò)安全態(tài)勢(shì)風(fēng)險(xiǎn)等級(jí)

根據(jù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和使用情況，采用網(wǎng)站監(jiān)測(cè)數(shù)據(jù)，選取影響網(wǎng)絡(luò)態(tài)勢(shì)的主要漏洞和安全事件，通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的統(tǒng)計(jì)，利用這些漏洞和安全事件所帶來(lái)的損失，并根據(jù)評(píng)價(jià)特征，分別量化其風(fēng)險(xiǎn)等級(jí)。在表1 中顯示了網(wǎng)絡(luò)安全態(tài)勢(shì)的等級(jí)劃分。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)劃分表

以表1 中網(wǎng)絡(luò)安全態(tài)勢(shì)分級(jí)標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)價(jià)標(biāo)準(zhǔn)，分別計(jì)算出網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)，并與表1 中的期望值和熵值區(qū)間進(jìn)行比較，從而得到量化的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)價(jià)結(jié)果[4]。

1.3 設(shè)置網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)

根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估原理，在考慮網(wǎng)絡(luò)復(fù)雜性、不確定性、動(dòng)態(tài)性等因素的基礎(chǔ)上，分別從網(wǎng)絡(luò)風(fēng)險(xiǎn)、脆弱性、可用性和可靠性四個(gè)方面建立評(píng)估指標(biāo)體系[5]。與之相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估指標(biāo)有：報(bào)警器數(shù)量和種類(lèi)、攻擊事件發(fā)生頻率、數(shù)據(jù)流量、流量增長(zhǎng)率、各關(guān)鍵設(shè)備訪問(wèn)主流網(wǎng)站的頻率等；與之相關(guān)的脆弱性評(píng)估指標(biāo)有：安全設(shè)備數(shù)量、各關(guān)鍵設(shè)備提供的服務(wù)類(lèi)型及其版本、設(shè)備總的開(kāi)放端口數(shù)量等；可用性指標(biāo)有：網(wǎng)絡(luò)帶寬、帶寬利用率、CPU 利用率、內(nèi)存利用率、最大并發(fā)線(xiàn)程數(shù)量等；可靠性指標(biāo)有：流量變化率、數(shù)據(jù)流量總量、關(guān)鍵設(shè)備平均無(wú)故障時(shí)間等。上述網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)中網(wǎng)絡(luò)流量變化率指標(biāo)可以表示為：

式（1)中I 歸屬地在統(tǒng)計(jì)范圍內(nèi)的所有IP 的集合，flow_seq 表示已經(jīng)看到的所有信息流的序列計(jì)數(shù)器，而dOctets 為字節(jié)總量。同理可以得出網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)的量化結(jié)果。

1.4 建立網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估矩陣

首先對(duì)各指標(biāo)ui分別按評(píng)判集中各vj進(jìn)行評(píng)分;然后按式2 計(jì)算各指標(biāo)對(duì)評(píng)判集中的第j 個(gè)元素vj的值。

式（2）中nij和ntotal分別表示的是指標(biāo)體系中的第i 個(gè)指標(biāo)ui作出第j 個(gè)評(píng)價(jià)的專(zhuān)家數(shù)目和專(zhuān)家總數(shù)[6]。由此便可以得出指標(biāo)的評(píng)價(jià)向量，通過(guò)上述方法，就可以知道n 個(gè)指標(biāo)有n 個(gè)評(píng)價(jià)向量，即可確定映射關(guān)系為：

由此可以得出網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估矩陣為：

分別將設(shè)置的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)導(dǎo)入到公式4 中，便可以得出對(duì)應(yīng)安全態(tài)勢(shì)優(yōu)化評(píng)估的量化表達(dá)式。

1.5 灰色關(guān)聯(lián)分析確定指標(biāo)集權(quán)重

設(shè)為綜合評(píng)估指標(biāo)，其觀測(cè)數(shù)據(jù)為，對(duì)評(píng)估指標(biāo)進(jìn)行無(wú)量綱處理，并利用公式5 計(jì)算每個(gè)比較序列與參考序列對(duì)應(yīng)元素之間的灰色關(guān)聯(lián)系數(shù)。

式（5）中|x0(k)-xi(k)|表示的是各序列和參考序列對(duì)應(yīng)元素間的絕對(duì)差值，min 和max 分別為最大值和最小值，ρ 為分辨系數(shù)[7]。當(dāng)取值為(0，1)時(shí)，越小，對(duì)相關(guān)系數(shù)的判別能力越強(qiáng)。在此基礎(chǔ)上，采用灰色關(guān)聯(lián)系數(shù)平均構(gòu)成向量r，進(jìn)行規(guī)一化處理，得到各指標(biāo)的權(quán)向量。

1.6 實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估

為更好地對(duì)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行安全態(tài)勢(shì)分析，將灰色理論中的關(guān)聯(lián)分析與層次分析相結(jié)合，分別從網(wǎng)絡(luò)攻擊層、關(guān)聯(lián)層、服務(wù)層、主機(jī)層和系統(tǒng)層得到評(píng)價(jià)指標(biāo)計(jì)算結(jié)果。以主機(jī)層為例其安全態(tài)勢(shì)值可以表示為：

式（6）中m 為主機(jī)Hk所提供的服務(wù)個(gè)數(shù)。V'為服務(wù)Sj在主機(jī)Hk提供的各項(xiàng)服務(wù)中所占有的重要性權(quán)值，X(t)為求解得出的綜合指標(biāo)計(jì)算結(jié)果。同理可以得出其他網(wǎng)絡(luò)層的安全態(tài)勢(shì)值求解結(jié)果，將綜合態(tài)勢(shì)值計(jì)算結(jié)果與表1 中的評(píng)價(jià)劃分等級(jí)標(biāo)準(zhǔn)進(jìn)行比對(duì)，便可以得出最終的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估結(jié)果。

2 對(duì)比實(shí)驗(yàn)分析

為了測(cè)試設(shè)計(jì)的基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估方法的評(píng)估功能，設(shè)計(jì)對(duì)比實(shí)驗(yàn)，對(duì)比設(shè)計(jì)評(píng)估方法和傳統(tǒng)評(píng)估方法以及文獻(xiàn)[7]中提出的基于深度自編碼網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法作為實(shí)驗(yàn)的兩個(gè)對(duì)比方法。所使用的模擬硬件環(huán)境為：CPUP43-0GHz，1 GB 內(nèi)存，20 GB 硬盤(pán)自由空間，2 Mbps 網(wǎng)卡。其軟件環(huán)境是：Windows XP 操作系統(tǒng)、MATLAB2007 軟件包。模擬實(shí)驗(yàn)數(shù)據(jù)來(lái)源于美國(guó)MIT 林肯實(shí)驗(yàn)室的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集KDDCup99。該模型分為兩個(gè)部分，第一部分對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型進(jìn)行訓(xùn)練，第二部分對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型進(jìn)行測(cè)試，以驗(yàn)證模型的評(píng)估結(jié)果與實(shí)際結(jié)果是否一致。將準(zhǔn)備的實(shí)驗(yàn)樣本數(shù)據(jù)轉(zhuǎn)換為安全態(tài)勢(shì)數(shù)據(jù)，并以此作為實(shí)驗(yàn)的判定標(biāo)準(zhǔn)，測(cè)試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢(shì)值的分布情況如圖3 所示。

圖3 測(cè)試數(shù)據(jù)集中網(wǎng)絡(luò)安全態(tài)勢(shì)值分布

將圖3 中的態(tài)勢(shì)值數(shù)據(jù)代入到表1 中，便可以得出實(shí)驗(yàn)的標(biāo)準(zhǔn)對(duì)比數(shù)據(jù)。

3 結(jié)束語(yǔ)

通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，可以監(jiān)測(cè)網(wǎng)絡(luò)安全變化趨勢(shì)，發(fā)現(xiàn)可能發(fā)生的網(wǎng)絡(luò)攻擊行為，并采取有效措施加以防范，提高網(wǎng)絡(luò)安全水平。根據(jù)目前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中存在的問(wèn)題，將灰色關(guān)聯(lián)分析法應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，實(shí)現(xiàn)了傳統(tǒng)方法的優(yōu)化。試驗(yàn)結(jié)果表明，灰色關(guān)聯(lián)分析理論的應(yīng)用有效地提高了評(píng)估的精確度。能夠捕捉到網(wǎng)絡(luò)安全的總體變化趨勢(shì)，因此，評(píng)價(jià)方法的設(shè)計(jì)和發(fā)展有助于指導(dǎo)網(wǎng)絡(luò)管理員對(duì)未來(lái)可能發(fā)生的網(wǎng)絡(luò)安全事件作出相應(yīng)的應(yīng)對(duì)措施。