刘世文，司 成，张红旗

信息工程大学，郑州 450001

1 引言

随着网络产品和网络应用的不断普及，网络正在变为国家生产生活的基础设施资源。与此同时，网络安全问题也在持续发酵，不断引发国内外社会的广泛关注。传统的单点防御设备只能各自为战地保护局部网络的安全状态，形成一个个“安全孤岛”，无法准确反映网络整体安全状态。网络威胁态势感知融合针对外部威胁的多源异构安全设备信息，对网络的总体安全状态进行准确评估和预测，为管理员决策提供可靠的技术支持，已经成为网络信息安全领域的研究热点。

Bass[1]首次提出网络态势感知的概念，通过研究入侵检测技术的发展现状，指出基于多源异构传感器数据融合的态势感知是未来的研究方向。Leau[2]等回顾了3种主要的网络安全态势评估方法，通过比较它们各自的优点和局限性，总结了未来用于态势评估模型的设计标准。Pardeep[3]等提出了基于语义网络的网络安全态势感知框架，该框架具有可扩展性，能够自动适应网络配置的变化，同时还提供一种针对异质网络数据的自动融合和处理机制。Li[4]等利用分层的贝叶斯网络提出了一个自适应的态势评估方法，对于不同的层次，采用网络结构来推理态势，通过不同的时间表来自适应地更新网络参数。

陈秀真等[5]基于局域网内部的网络环境信息，提出了层次化结构的网络安全威胁态势评估模型，该模型按照主机、服务和网络结构的层级顺序，对网络威胁态势进行量化计算，进而实现对网络安全态势的评估。唐成华[6]、李方伟等[7]分别运用DS证据理论方法和神经网络方法等数据融合方法来综合分析各种安全态势要素，以解决态势评估的正确性和合理性等问题。贾雪飞等[8]针对传统态势感知方法评估要素选取不全面的问题，构建了攻击方、防护方、网络环境三方面的能力机会意图模型，使态势感知的评估结果更符合实际。席荣荣等[9]提出一种基于环境属性的网络威胁态势量化评估方法，通过验证警报对目标网络环境属性的有效性，提高了威胁态势量化评估结果的准确性。刘效武等[10]基于跨层结构和认知环构建一种网络安全态势认知融合感控模型，通过对网络威胁演化趋势的分析，实现了安全态势的自主感知和自主调控。

近年来网络攻击呈现出协同化、可持续的特点，大部分网络威胁事件不再孤立发挥作用，彼此间实现了攻击的高度协调和关联。传统网络安全防御方法作用对象单一，防护手段彼此相互独立，已经不能满足当下的防御需求，同时评估粒度较粗，影响评估结果的准确性。文献[11]利用改进D-S证据理论，提出基于漏洞和服务信息融合的网络安全态势评估模型，实现了对网络安全态势的评估和预测。文献[12]基于形式化的描述方法，建立一个两层威胁传播模型，评估全网恶意威胁的传播态势。以上方法评估结果的粒度较粗，无法从不同的结构层次来反映网络各个组成部分遭受威胁入侵的情况，无法满足不同粒度的估计需求，评估方法可订制性不强。针对这一问题，本文提出一种细粒度的网络威胁态势评估方法，按照从局部到整体、从微观到宏观的评估策略，对网络的各个组成部分进行量化评估，能够满足对网络威胁态势不同需求的细粒度评估，得到了较为准确的评估结果。

2 网络威胁态势评估模型

随着网络规模日益增大、网络结构日趋复杂，传统的网络宏观态势评估结果已经不能满足现实需求，需要进一步细粒度地对网络威胁态势进行评估，即通过对多源异构网络安全设备产生的威胁事件、网络资产、脆弱性等海量网络威胁态势要素信息，进行融合处理和关联分析，从威胁入侵的不同阶段、网络结构的不同层次等角度对网络威胁态势进行评估，从而准确反映网络的安全状况，提高管理人员的预警和决策能力。

本文按照从局部到整体、从微观到宏观的评估策略，分别对威胁节点、威胁链路、威胁路径、威胁目标和全网威胁态势进行细粒度评估。下面给出评估模型中一些概念的定义。

定义1（威胁影响度）反映了威胁事件所造成破坏的有效性和严重程度，用I(t)表示。

定义2（威胁发生率）表示网络威胁利用操作系统、安全配置、网络实体漏洞、应用服务等多种网络环境信息对网络节点入侵成功的概率，用H(t)表示。

定义3（资产价值）表示受到威胁的网络实体价值，用V(t)表示。

定义4（威胁路径选择概率）表示威胁入侵目标时选择某一条路径的概率，用C(t)表示。

为满足管理人员对网络安全状况多角度、多层面订制化评估需求，本文提出了网络威胁态势细粒度评估模型，按照从局部到整体、从微观到宏观的评估策略，对受到威胁的网络各部分进行评估，如图1所示。

根据此模型，按照如下步骤进行评估：

步骤1威胁评估指标量化。根据收集到的网络态势要素信息分别计算威胁影响度I(t)、威胁发生率H(t)和资产价值V(t)三个量化指标。

步骤2威胁节点态势评估。根据威胁评估量化的三个指标，计算威胁节点态势。

步骤3威胁链路态势评估。根据威胁节点态势及威胁事件所占的权重，计算威胁链路态势。

图1 网络威胁态势细粒度评估模型

步骤4威胁路径态势评估。将威胁路径上的各个威胁链路合并，得到威胁路径态势。

步骤5威胁目标态势评估。根据威胁路径态势及其威胁路径选择概率，计算威胁目标态势。

步骤6全网威胁态势评估。将威胁目标态势进行融合，得到全网威胁态势。

3 细粒度网络威胁态势评估方法

3.1 网络威胁评估指标量化

3.1.1 威胁影响度

威胁影响度I(t)用来衡量威胁对网络节点造成的危害程度。本文参考Snort用户手册[13]中攻击的分类方法及其等级设定分数，将威胁影响度分为高、中、低、很低4个等级，分别设定分数为0.4、0.3、0.2、0.1。

3.1.2 威胁发生率

威胁的发生与网络攻击和网络自身的环境信息密不可分，有些攻击针对网络的某些特定漏洞才能成功，而有些攻击不需要利用网络的明显漏洞就可以实施。因此，本文利用操作系统、安全漏洞、应用服务、系统配置等网络环境属性信息，来计算威胁发生率，计算公式为：其中，R表示相关度函数，ω∙表示各网络环境属性信息的相关度函数所占的权重，i表示网络环境属性信息的数量，在计算过程中用来标识各属性信息。

定义5（相关度函数R）将网络威胁事件引发的报警信息与网络环境属性信息进行匹配，确定警报与该网络的相关性，报警信息与网络环境属性信息的匹配性越高，表示警报与该网络的相关性越大，则该威胁事件发生的可能性越大，即威胁发生率越大。

如果警报信息与网络环境属性信息无关，则R=0；如果无法确定警报与网络环境相关属性是否匹配，则R=0.5；如果警报信息与网络环境属性信息相关，则R=1。

相关度函数的权重系数ω∙采用优序图法来计算，将专家的调查结果绘制成优序图[9]，通过互补校验后，进行归一化计算，得到权重系数ω∙值。

3.1.3 资产价值

资产是受到威胁的网络实体，在风险评估过程中，资产的价值不是用其经济价值来衡量的，而是由机密性、完整性、可用性3个安全属性评价指标来确定和度量，安全属性的达成程度将直接影响着资产的价值。本文依据CVSS基本评价指标集[14]对资产价值进行计算。该评价指标集包括机密性指标(Con)、完整性指标(Int)、可用性指标(Ava)，如表1所示。

表1 资产价值评价指标集

基本评价指标集中的3类基本指标影响越大，指标数值越大，说明资产价值受到威胁后的损失越严重。基于该评价指标集，给出资产价值的计算公式：

其中，μ1,∙μ2,∙μ3分别表示资产价值的机密性指标权重、完整性指标权重、可用性指标权重；I1,∙I2,∙I3分别表示资产价值的机密性等级数值、完整性等级数值、可用性等级数值。资产价值V(t)结果保留两位小数。

资产价值评价指标权重μ是三个评价指标在资产价值总量中所占的比例，满足归一化原则，其计算公式为：

3.2 网络威胁态势量化评估

根据网络威胁态势细粒度评估模型，按照从微观到宏观、从局部到整体的思路，分别对威胁节点态势、威胁链路态势、威胁路径态势、威胁目标态势和全网威胁态势进行评估。

网络威胁节点态势取决于威胁影响度、威胁发生率、资产价值3个网络威胁评估指标，将这3个指标相结合得到网络威胁节点态势评估指数N(t)：

威胁链路包括威胁及其直接作用的网络节点，是网络威胁传播的基本单元，将网络威胁节点态势及其受到威胁后的节点态势相结合，得到网络威胁链路态势评估指数L(t)：

其中，N(t)∙表示受到威胁作用前的网络节点态势评估指数，t∈Pre(nj)表示威胁事件的全部前继网络节点，H(t)表示该威胁的发生率。

将一个威胁路径上的全部威胁链路累加求和，得到威胁路径态势评估指数P(t)：

其中，Li(t)表示m条威胁链路中的第i条威胁链路。

攻击者往往智能地选择攻击复杂度较低的网络节点实施攻击，因此本文选择文献[13]提出的脆弱点攻击复杂度分级量化标准，来计算针对威胁目标的威胁路径选择概率。选取威胁路径中任意一个威胁链路l(ni,t,nj),攻击者到达网络节点ni后，其对应的脆弱点攻击复杂度为vci，则威胁链路目标选择概率为：

其中，Con(nj)表示攻击者到达网络节点ni后，可以选择的下一步攻击目标节点nj的集合。

将威胁路径上的全部威胁链路结合起来，得到威胁路径选择概率CP：

其中，φi-1,∙i表示受到入侵的两个连续网络节点的威胁链路目标选择概率。

威胁目标态势表示攻击者通过全部威胁路径入侵目标网络节点可能造成的整体危害，该评估指数综合考虑威胁路径选择概率和威胁路径态势评估指数，计算公式为：其中，CPi表示攻击者选择第i条威胁路径的概率，Pi(t)表示第i条威胁路径态势的评估指数。

将全网所有威胁目标进行综合考虑，得到全网威胁态势评估指数NTSA：

其中，i为网络威胁目标的个数。

本文的评估方法采用Snort用户手册、优序图、CVSS基本评价指标集、脆弱点攻击复杂度分级量化标准[15]等为国内外认可并广泛使用的评价标准和算法，具有评估方法稳定性强、易用性好等优点，操作简便，节约成本。

4 实验分析

为验证模型的有效性，搭建了如图2所示的网络实验环境，该网络拓扑结构包括一台攻击者主机、防火墙、Web服务器、交换机、文件服务器、IDS、主机、工作站。其中，Web服务器安装Linux操作系统，文件服务器、工作站安装Windows操作系统，IDS安装Snort检测系统，主机安装Mac OS系统，数据源采用防火墙、IDS产生的报警信息，及主机产生的安全审计日志信息。

攻击者首先对网络中所有设备进行IPSweep扫描探测，确定其中存在Sadmind服务漏洞的主机设备，Apache Web Server分块编码对存在该漏洞的设备进行缓冲区溢出攻击，安装木马程序并激活，获取root权限，伺机对目标主机进行攻击。

图2 网络实验环境

通过计算，得到各网络威胁节点的态势评估指数，如表2所示。

表2 威胁节点态势评估数据

该实验环境的网络威胁节点共有6个，分别计算威胁影响度、威胁发生率和资产价值，得到威胁节点态势评估指数N(t)，通过观测数据可以得知n4、n5、n6节点的评估指数较高，需要管理人员重点关注。

进一步计算，得到威胁链路态势评估指数L(t)、威胁路径态势评估指数P(t)、威胁目标态势评估指数G(t)，如表3所示。

表3 L(t)、P(t)、G(t)评估数据

威胁链路共有6条，威胁路径共有3条，威胁目标共有2个，其中，威胁路径P2和P3的评估指数较高，威胁目标G2的评估指数较高，需要管理人员重点防范针对这些路径和目标脆弱性的攻击。

根据以上计算结果，计算全网威胁态势评估指数，选取攻击开始时前5分钟的数据绘成态势评估指数图，并与文献[11]的实验结果进行对比，如图3所示。

图3 全网威胁态势评估指数对比

横轴表示时刻，纵轴表示态势评估指数，指数越大表示网络遭受攻击的危害程度越深。按照实验场景的设定，随着攻击阶段的不断推进，攻击者逐步实现攻击目的，相应的威胁态势评估指数应呈现增大趋势才基本符合实情。文献[11]只考虑每次单个攻击的影响，缺乏对攻击间前后因果关系的考虑，在时刻4受到安装木马程序攻击时，其态势评估指数要明显高于后续攻击阶段的评估指数，存在一定的不合理性。本文方法在充分分析网络结构的基础上，细粒度地评估网络各个组成部分的威胁态势，深入关联攻击的前后关系，得到的态势评估指数随着攻击阶段的深入而不断增大，能够体现攻击程度的加深趋势，因此本文方法更具有合理性。

此外，文献[5]和文献[16]都只从服务、主机和网络系统三个层次来评估网络威胁态势，对于处于同一层次的网络节点、链路等对象无法进行更细粒度的评估，而本文方法针对威胁节点、威胁链路、威胁路径、威胁目标和整个网络五个网络威胁主体进行评估，评估对象精确到威胁发生的部位，进一步提高了评估结果的精度，同时可以根据系统不同部位的安全需求任意组合以上五个网络威胁主体，进行选择性评估，从而提高了评估方法的灵活性和适用性。

5 结语

本文对常见的网络安全态势评估方法进行了回顾，通过比较分析，发现现有态势评估方法评估粒度较粗，无法从不同角度、不同层次对复杂的网络攻击进行关联分析和准确评估，不能满足管理人员不同粒度的评估需求。针对这一问题，本文提出一种细粒度的网络威胁态势评估方法，首先对网络威胁评估指标进行量化计算，然后按照威胁节点、威胁链路、威胁路径、威胁目标、全网威胁态势的结构层次进行评估，最后通过实验分析，验证了评估方法能够达到预期评估效果。本文的威胁评估指标中，资产价值是重要的基础数据，虽然本文设计了基本评价指标集的计算方法，但是针对不同的资产如何准确确定其资产价值参数，需要进一步研究。

：

[1]Bass T.Intrusion detection systems and multisensor data fusion：creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）：99-105.

[2]Leau Y B，Manickam S，Chong Y W.Network security situation assessment：a review and discussion[J].Information Science and Applications，2015，339（5）：407-414.

[3]Pardeep B，Msnptrry S.Building a framework for network security situation awareness[C]//Proceedings of the 3rd International Conference on Computing for Sustainable Global Development，2016：2578-2583.

[4]Li Chen，Cao Mingyuan，Tian Lihua.Situation assessment approach based on a hierarchic multi-timescale Bayesian network[C]//Proceedings of the 2nd International Conference on Information Science and Control Engineering.Changsha：The Institute of Electrical and Electronics Engineers，2015：911-915.

[5]陈秀真，郑庆华，管晓红，等.层次化网络安全威胁态势量化评估方法[J].软件学报，2006，17（4）：885-897.

[6]唐成华，唐申生，强宝华.DS融合知识的网络安全态势评估及验证[J].计算机科学，2014，41（4）：107-125.

[7]李方伟，郑波，朱江，等.一种基于AC-RBF神经网络的网络安全态势预测方法[J].计算机研究与发展，2014，51（8）：1681-1694.

[8]贾雪飞，刘玉岭，严妍，等.基于能力机会意图模型的网络安全态势感知方法[J].计算机应用研究，2016，33（6）：1775-1779.

[9]席荣荣，云晓春，张永铮.基于环境属性的网络威胁态势量化评估方法[J].软件学报，2015，26（7）：1638-1649.

[10]刘效武，王慧强，吕宏武，等.网络安全态势认知融合感控模型[J].软件学报，2016，27（8）：2099-2114.

[11]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009，46（3）：353-362.

[12]Yu Shui，Gu Guofei，Barnawi A，et al.Malware propagation in large-scale networks[J].IEEE Transactions on Knowledge and Data Engineering，2015，27（1）：170-179.

[13]The Snort Project.Snort users manual 2.9.7[R].California：Cisco and/or its affiliates，2014.

[14]Common Vulnerability Scoring System Special Interest Group.CVSS v3.0 preview 2：metrics/formula/examples[EB/OL].（2014-12-12）[2016-12-04].https：//www.first.org/_assets/downloads/cvss/cvss-v30-preview2-formula-december-2014.pdf.

[15]张永铮，云晓春，胡铭曾.基于特权提升的多维量化属性弱点分类法的研究[J].通信学报，2004，25（7）：107-114.

[16]陈锋，刘德辉，张怡，等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展，2011，48（6）：945-954.