◆王益斌

层次化网络安全威胁态势量化评估方法

◆王益斌

(西南科技大学城市学院 四川 621000)

随着我国互联网的不断普及，互联网带来的信息安全问题愈发严重，系统性的信息安全风险愈演愈烈，已经得到全社会的共同关注。只有系统性识别安全威胁，才能够提出最有效的安全措施。本文分析了层次化网络安全威胁态势量化评估方法，着重介绍了相关的建模方法，希望可以为相关人士提供帮助。

层次化；网络安全；态势评估；安全威胁；方法

0 引言

当前，比较常用的网络安全防御系统为了防范入侵，实时产生的数据量可能都是G级别的，同时只有不到百分之二是真正的警报，其他都是无关警报。报警量太大，真正有安全威胁的太少，这都大大增加了安全防御系统的过载。为了节约资源，提升安全防护效率，同时大大降低系统化的安全威胁，本文分析了层次化的网络安全威胁态势量化评估方法，让管理员能宏观了解系统的安全性能。

1 前期准备工作

以数据为研究对象，网络安全态势评估研究方法大致有两大类是比较常规的，一类是依托于系统配置信息的网络安全态势评估，另外是一种系统运行信息的网络安全态势评估。在这两种方法中，前者主要是考虑到系统的软硬件设计和配置使用情况，比如服务器的设置，其系统设计的漏洞就是最主要的威胁因素；后者主要是从系统被攻击的次数、频率和威胁程度等等情况来着手，安全系统产生的数据库就是主要的数据源。

本文中所构建的层次化网络安全态势量化评估方法，就是建立在系统配置信息基础上的。利用马尔可夫模型，测算出居心不良者攻破安全网络所需要的成本的均值，然后对系统的安全性能做出量化分析，对系统的改进提出一些建议。当前常见的一些安全态势评估方法，主要是针对特定的威胁给安全系统带来的威胁进行量化，跟日常需要的层次相比，过于简单，因此本文下面就将建立起层次化的网络安全威胁态势量化评估模型，供读者参考。

2 层次化网络安全威胁态势量化评估模型建立

2.1 模型分析

按照网络、链条的规模以及层级关系，网络系统一般性的分解为三个层次，这三个层次是网络系统、主机系统、服务系统，当前网络环境下大部分的黑客攻击都是以主机系统为主要攻击对象的。根据分层理论，我们就可以将主要资源都用在保护主机系统上，因此就可以设计出层次化网络安全态势量化评估模型，从上到下分别是上述三个网络系统层级，然后再加上供给层级，这就是这一套态势量化评估系统的主要建构逻辑。根据这一结构特点，可以采用先上后下，先局部后整体的原则，展开层次化网络安全威胁态势量化评估平台的预先设置。采用这种模型，可以用报警数据和漏洞扫描数据为数据源，然后评估单次供给可能造成的威胁的均值，以及用统一的标准评估这些威胁，就能够为量化分析打下坚实的基础。

一般的黑客攻击都属于DDoS类攻击，这一类攻击主要损害的是网络系统里面的主机层，量化分析这一层的安全威胁，可以从单次攻击的危害程度入手进行分析，分析单次供给单台主机以及总体服务可能带来的损失，然后通过加权平均的方式，就能够完成整个层次化网络安全威胁量化评估的计算过程。这一过程中，需要对全部主机所遇到的所有威胁，尤其是潜在威胁进行分析和计算，对威胁可能造成的损失、网络带宽资源的使用量、可能遭受攻击的次数甚至是时间等问题进行全面分析，以此为基础就能够评定主机层次的安全性能。

2.2 定量分析

（1）服务级

对于一个层次化的网络系统来说，网络服务中产生的威胁，能够成为影响网络的关键因素。在所有因素中，潜在威胁的危害程度、后果以及因此造成的服务量波动，都能够对整个网络系统造成很大的威胁。因此，攻击发生的时间不一致，服务器访问量以及服务发生量都会有很大的差别，这种差异性会对计算产生很大的影响。在计算时，必须要以时间为重要的标度，对时间变化进行分析，并且针对某个特定时刻尤其是威胁高发的时刻进行重点分析和计算。在计算过程中，可以将一天的时间翻开来进行分析，举例来讲，根据一般威胁发生的时间段，可以将一整天的时间分为午夜0点到上午8点、上午8点到晚上6点、晚上6点到晚上12点三个段，把数据源中的数据按照三个时间段进行分类，如果呈现出了某一个时间段过于集中，那么可以进行适当的合并与分类，将集中的时间段进行进一步细分，不集中的时间段进行合并。分组结果完成之后，对数据记录进行赋权，以各时间段的加权平均数为结果进行分级，一般都是分成5个级别，可以用数字分类，也可以用文字进行记叙，比如低级、普通级、中级、高级、特高级这五个级别。对原始数据进行加权处理之后，能够得到计算机易于分析的、正常的访问量数值，在此基础上，对威胁的严重程度和后果的损害程度进行调查分析，确定相关威胁指数是不是有效合理，从而确保这个结果符合一定的精确度标准。根据一般的建模经验，如果在这个层次化网络安全威胁态势量化评估模型中不加入严重程度的话，那么威胁程度不同的攻击类别存在着最终产生同样危害效果的可能，这就导致建模模拟的效果最终不能真实反映到实际的应用之中，这样的建模成果与实际误差过大，就无法做到对网络安全威胁的预警和反映，这样的模型就不合格。

（2）主机级

跟上述的服务级建模类似，主机级的安全威胁，也必须要首先对数据进行分时段的处理，分时段的处理方法与上述是类似的，应当注意到的是，主机级与服务级对威胁攻击次数的分层方法是一样的，避免产生不必要的计算量。同时，在对数据进行分时段处理之后，就要对数据进行加权平均处理，以求出每个时间段内的主机受到安全威胁的次数以及威胁等信息。得出了数据之后，必须要将产生的数据乘上一个安全威胁数值，也就是威胁的重要程度，防止出现上述的问题。这个指数可以命名为威胁指数，指数越大，表明受威胁程度越高。除了某一特定时刻的威胁指数很重要，某一个时间段的威胁指数也是有着很高的参考价值。

（3）网络系统级

网络系统级的参数建立与上述的主机级和服务级原理是一样的，都需要先对数据进行同样分时段处理，然后做加权平均整理，得到每一个阶段的网络系统受到的攻击的平均数，以及一定时间段内的被攻击的威胁程度，然后计算出专属于网络系统级的网络系统威胁指数，将指数与参数相乘，得到的结果就是某一个时段中网络系统级安全威胁量化评估处理的结果。

（4）参数确定

在针对各个层次的威胁指数进行计算的时候，都必须要确定出各个层级的威胁指数、重要权重、网络带宽使用率等关键数值。确定各个层级的威胁指数，可以将安全日志中的无意义攻击尝试都清除，留下最有分析价值的数据，从而减少计算量，提升模型计算的效率与准确率。因为在网路系统安全日志中，一定会存在着很多的无效供给记录，上文说过这个比例达到了99%左右，因此如果无法有效地过滤这些没有意义或者是低价值的数据，就会加重系统过载，大大降低建模的有效性，同时造成资源的浪费。对网络带宽使用量进行分析，就可以为分析攻击次数以及威胁提供重要而基础的依据，因为只要攻击是有效的，就一定会或多或少使用了网络带宽，让系统拒绝为这次动作服务。如果攻击是无效的，那么就有可能没有使用带宽，因此带宽使用一定是有效攻击的表现。此外，还要分析系统中尤其是主要的服务器中的动态数据，以及人为因素等对服务器和主机的影响重要性权重，这样分析的结果才是最完备的，才能建立最合理的模型。

3 总结

本文所提出的，层次化网络安全威胁态势量化评估方法，是基于大量的报警信息以及网络性能指标，同时综合网络主机自身的性能，重新考虑了网络威胁态势量化评估模型。借着这一模型，可以对整个安全链进行监控，确保安全人员可以实时监控整个系统的情况，对安全威胁做出直接的反馈，让最有效的策略最快提出，确保整个系统的安全。

[1]张新刚，王保平，程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用，2012.

[2]陈锋，刘德辉，张怡等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展，2011.

[3]梁礼，杨君刚，朱广良等.基于实时告警的层次化网络安全风险评估方法[J].计算机工程与设计，2013.