层次化网络安全威胁态势量化评估方法
2020-07-14申培培
陈 明 申培培
(国网河北省电力有限公司信息通信分公司,河北 石家庄 050000)
1 网络安全的重要意义
我国作为互联网用户数量最庞大的国家,每年受到的各种类型的网络攻击也最多, 受到的损害也最大。 根据国际权威机构IEEE 出具的一份有关全球网络安全的报告显示,2019 年发生的网络攻击事件相较于2018 年出现了大幅增长。 其中, 发生在中国境内,或者以中国国籍的服务器终端为目标的网络攻击事件同比增长了5 倍有余。 尽管在全世界范围内,网络攻击给私人企业造成的损失环比有所下降,但是对于中国企业而言,这种损失并没有降低,反而有逆势上涨的趋势,而中国企业的损失平均值约为260 万美元。 由此可见,不论从保障企业经营利益或者个人隐私角度考量,还是从国家安全层面考虑,网络安全都有着极其重要意义。
2 国内外网络安全威胁的态势进行量化评估的现状
2.1 发达国家对于网络安全威胁的态势进行量化评估的先进理念
美国作为最早建设网络设施,最早研究网络安全的国家,也是最早把网络安全威胁的态势进行量化评估的国家。 现在,美国进一步将统计学理论与计算机网络技术相结合, 通过用采集来的数据建立数学模型,客观立体地展现出安全威胁的态势,并根据模型计算出的结果, 将所有可能出现的安全威胁层次化,对潜在风险的严重程度予以排序和评估,并找出最简单有效、以最低的成本预防风险的办法。 在网络安全风险评估商业化方面,美国的经验也独树一帜,通过对网络风险数据图形化,然后简化并整合在一款杀毒软件中,该软件安装简单,使用方便,对计算机性能要求不高,具有很好的兼容性。例如卡巴斯基,就是这种平民化网络安全评估数据库的最杰出代表。
2.2 我国国内网络安全威胁的态势进行量化评估的现状
整体而言, 我国的网络安全状况形势不容乐观,因此根据对于网络信息安全的需求,我国国内网络安全威胁的态势进行量化评估要求相对较高。相比于严峻的网络安全形势,我国对于网络安全威胁态势量化评估重视程度不足,而且信息来源过于单一,这也直接导致其评估指标缺乏可靠性、客观性。 根据最新研究成果,传感器的数据化应用可以有效完成与特定数据的融合,通过这一创新技术,完全可以构建一个指定的网络安全评估状态要求的“私人订制”环境,然后再利用这一 “主场优势” 甄别发起攻击的身份IP 归属、技术手段、攻击目的、判断其威胁性,并以此为根据来对网络空间安全进行有效的评估。 尽管如此,在具体应用过程中却很少能够达到目标要求的循环系统。 当前情况下,应用最为广泛的评估方法仍然是以SSARE 为基础衍生而出的可总共评估框架,我国通过调用查看IDS 日志库来完成对网络攻击的抽样分析工作。 一方面,通过bug 的分析可以发现对主机存在漏洞,在此基础上,建立一个具有层次化的网络安全威胁态势量化评估体系。 另一方面,可以利用建立的体系层次对重点网元bug、 网络漏洞等几个方面进行安全评估。
3 层次化网络安全威胁的态势进行量化评估势的几种办法
3.1 根据被攻击次数建立数据库模型化评估
作为美国预防安全威胁态势的成功经验,将包括攻击次数在内的攻击记录输入网络安全评估数据库用以完善评估模型的办法对预防网络攻击有很好的效果。 在网络规模方面,通过各个层级间的通信关系记录的调查和采样, 将整个网络按照功能性分成三类,终端服务器、通信网络协议、相关服务协议等。 网络安全威胁最大, 后果最严重的就是各种非法访问。根据统计结果可以得出结论,大多数非法访问者都是通过合法访问不断“踩点”,熟悉目标系统的安全防卫模式,然后根据固有模式的漏洞来完成攻击,从而形成威胁。 基于以上攻击手段,可以通过不同的网络结构,来进行评估模式的设计。终端服务器、通信网络协议和相关服务协议是对网络安全造成威胁的重要层次,根据对这三个层次的划分,再展开整体性评估。一方面得出运作过程中存在漏洞的原始信息,另一方面对安全措施所消耗的网络资源进行综合性的评估,最后实现对每个终端和协议可能潜在的威胁进行全面了解,同时对威胁可能造成的损失、可能发起的攻击规模、 网络宽带能够占用的数据等进行可靠评估,以此来对与之相关的系统进行软件或硬件升级和有针对性的改造。
除此之外,通过数学模型对网络攻击手法和攻击频率进行概率计算,也可以有效地分析出网络攻击源头,甚至可以对网络攻击做出一定程度的预警,进而为判断网络攻击发起者的身份和发起网络攻击目的提供依据。
3.2 根据攻击态势设定相关参数
通过具体模型参数的仿真模拟对于层次化的网络安全而言,将成为评估网络安全形势最重要因素之一。因为,通过对攻击时间分布的模拟,和对重点服务器访问量的模拟会呈现出某种规律。 所以,在计算过程中, 一定要把攻击时间点因素纳入仿真数学模型中,并以此为基础对某些具体时刻的服务威胁指数进行计算。此外,在计算时,还要完成对较长时间段的离散化分布。例如,将某一天划分为三个不等的时间段,然后根据访问量峰值和谷值为依据对正常访问量向量进行加权计算,并划分出若干个等级的访问量。 通过根据计算分析得出的结果与实际结果的比对,能够得到正常访问量向量值。 在此基础上,按照攻击事件的严重程度开展调查,判断评估结果对存在威胁指数的可靠程度,保证评估结果符合标准。最后,在计算威胁指数时,应注意增加攻击严重程度的加权,以免威胁指数计算结果因特殊状态而与现实之间出现偏差而产生严重后果。
4 结束语
本文对于网络攻击的形式、 常见攻击方法以及层次化网络安全威胁的态势进行量化评估及相关方法予以简要描述和探讨, 在分析其数学模型工作原理的基础上,对其用法和注意事项也做出一些说明。希望可以通过本文对从事设计网络安全架构、 钻研计算机及相关网络并寻找其漏洞的工程师们有一定的帮助和启发,为我国的网络工程事业尽到自己一份微薄之力。
