基于加权时间序列的跨域交换风险智能评估预测系统设计*
2022-04-11程永新廖竣锴甘迎辉
程永新,廖竣锴,付 江,甘迎辉
(中国电子科技集团公司第三十研究所,四川 成都 610041)
0 引言
随着信息化技术的不断发展,业务应用系统为了完成复杂、精准的工作流程,越来越需要与运行在其他网络域的多种业务系统进行数据共享和信息交换[1],然而这给业务应用系统带来便利的同时,也给业务应用系统所在的网络域带来了大量的安全威胁。因此,需要建立安全、可控、合规的跨域交换系统,以便在确保安全的基础上,满足业务应用的跨域交换需求。
跨域交换系统连接了两个或多个网络域,在提供数据共享和信息交换能力的同时,也会带来更多的攻击来源、更先进的攻击方法、数据管理更容易失控等多方面的安全威胁[2]。因此需要从多个角度、多个层面设计跨域交换系统,确保跨域交换系统的安全性。
跨域交换系统需要在多个层面采取丰富的安全保密防护手段,但将这些安全保密手段有机结合在一起进行有效安全防护,需要跨域交换系统具备高效运维管理能力。
本文针对跨域交换系统在复杂环境下的高效运维管理需求,设计了一种跨域交换风险智能评估预测系统,并针对多种跨域安全保密手段,构造跨域交换风险评估模型,采用加权时间序列方法对跨域交换风险进行智能预测,为跨域交换管理运维人员提供跨域交换风险评估[3]和预测能力[4-5],为指定安全保密策略提供支撑,降低管理运维人员的管理压力。
1 跨域交换风险评估
跨域交换系统部署在两个或多个网络域间,将会给网络域带来非法接入、业务连通、数据内容泄露、恶意代码扩散、伪造身份等多种安全威胁。因此,需要强化安全防护措施,确保跨域交换系统的安全性。
1.1 跨域交换系统评估模型
针对跨域交换系统部署的关键位置和面临的安全威胁,综合考虑多种安全防护手段,依据网络安全、内容安全、认证安全、行为安全等4 类安全要素设计风险评估模型,对各类安全要素进行要素指标设计,以实现对跨域交换系统的安全交换风险评估。
这里采用层次分析法(Analytic Hierarchy Process,AHP)[6-7]构建评估目标层、评估要素层和要素指标层的3 层评估方法,对跨域交换系统进行交换风险评估。评估模型如图1 所示。
图1 跨域交换风险评估模型
1.1.1 网络安全要素
网络安全[8]要素包括边界访问控制、网络传输保护、攻击监测分析和分布式拒绝服务(Distributed Deny of Service,DDoS)攻击防护[9]等要素指标。其中,边界访问控制是指网络层访问控制能力,即应能及时发现非法访问行为,确保只有合法的业务系统或终端地址可以进行信息交换;网络传输保护是指对传输信息进行保护,包括使用私有协议或者加密传输等手段,防止传输数据被篡改和伪造;攻击监测分析是指应能发现从内部网络发起的如缓冲器溢出、网络漏洞利用、应用漏洞等网络攻击行为;DDoS 攻击防护是指能够发现从内部网络发起的分布式拒绝服务攻击,并根据策略及时阻止。
1.1.2 内容安全要素
内容安全要素包括格式内容检查、真实性完整性保护、恶意代码查杀和数据泄露检查[10]等要素指标。其中,格式内容检查是指应具备对交换数据信息的格式内容检查能力,及时发现非法格式和数据的传输行为,并防止其进行信息交换;真实性完整性保护是指应具备数据信息传输真实性和完整性保护能力,及时发现未采取保护措施的非法数据信息;恶意代码查杀是指对数据信息的恶意代码检查能力,即应能及时发现传输内容中的病毒或恶意代码内容;数据泄露检查是指数据泄露检查措施,即应能够及时发现交换数据信息中的敏感信息和涉密信息。
1.1.3 认证安全要素
认证安全要素包括用户身份认证[11]、应用接入认证、交换审批情况和交换权限检查等要素指标。其中,用户身份认证是指身份认证机制,即应能发现非法用户冒用合法身份的行为并及时制止;应用接入认证是指接入认证机制,即能发现未经过认证的应用系统进行信息交换并及时制止;交换审批情况是指举报信息交换审批和检查机制,即能发现未经过审批的信息交换行为;交换权限检查是指具备信息交换权限检查机制,即能够发现用户有意或故意的越权传输行为,并及时制止。
1.1.4 行为安全要素
行为安全要素包括交换设备状态、交换流量分析、交换行为分析[12]和交换数据分析等要素指标。其中,交换设备状态是指能够对跨域交换系统内部各设备状态进行监控,及时发现设备异常状态;交换流量分析是指通过交换流量分析手段,及时发现交换流量异常情况;交换行为分析是指通过交换行为异常分析措施,发现异常信息交换行为;交换数据分析是指能够基于数据属性(密级、类型、大小、时间等)对已经发生的交换行为进行分析,及时发现异常行为。
1.2 标度方法和危害等级
跨域交换风险评估模型中提出了4 大类共16种安全保密措施,虽然这些安全保密手段都是必不可少的,但各种安全保密措施的重要程度是有差别的,因此需要计算各安全保密措施的权重。本文根据AHP 方法,计算各种安全保密措施的权重。
1.2.1 标度方法
这里采用1~9 标度方法[13]来构造判断矩阵,以便衡量两个要素的相对重要程度。如表1 所示。
表1 1~9 标度方法
1.2.2 危害等级评分
根据跨域信息交换各个细分评估指标的特点,将评估指标的评分标准[14]按照危害程度分为:极低风险、低风险、中等风险、高风险和高危风险5个等级。对这些风险进行量化后,分别赋值1、2、3、4、5 等5 个分值,具体如表2 所示。
表2 评估指标的评分标准
风险量化评估值可以作为单个评估指标的量化值,也可以作为某类要素的量化值。当计算跨域信息安全交换评估值后,也可以映射到该表,以便管理人员判断跨域信息交换面临的安全风险,决定如何采取相应措施。
1.3 跨域交换评估要素权重计算
1.3.1 网络安全指标权重计算
网络安全评价指标包括:边界访问控制U11、网络传输保护U12、攻击监测分析U13 和DDoS 攻击防护U14,根据专家评判权重如表3 所示。
表3 网络安全权重
得出这几种网络安全事件指标的一致性向量,经过一致性检查后,可得出权重为:
1.3.2 内容安全指标权重计算
内容安全评价指标包括格式内容检查U21、真实性完整性保护U22、恶意代码查杀U23、数据泄露检查U24,权重如表4 所示。
表4 内容安全权重
得出这几种内容安全事件指标的一致性向量,经过一致性检查后,可得出权重为:
1.3.3 认证安全指标权重计算
认证安全评价指标包括用户身份认证U31、应用接入认证U32、交换审批情况U33、交换权限检查U34,权重如表5 所示。
表5 认证安全权重
得出这几种认证安全事件指标的一致性向量,经过一致性检查后,可得出权重为:
1.3.4 行为安全指标权重计算
行为安全评价指标包括交换设备状态U41、交换流量分析U42、交换行为分析U43、交换数据分析U44,权重如表6 所示。
表6 行为安全权重
得出这几种行为安全事件指标的一致性向量,经过一致性检查后,可得出权重为:
1.3.5 跨域交换要素权重计算
根据专家评判,跨域交换风险各类安全保密措施权重如表7 所示。
表7 跨域交换要素权重
得出跨域信息交换指标的一致性向量,经过一致性检查后,可得出权重为:
1.3.6 综合权重计算
跨域交换系统中,各种安全保密措施指标的综合权重如表8 所示。
表8 跨域安全保密指标综合权重
1.4 跨域交换风险评估计算
利用综合权重计算结果,设计跨域交换风险评估计算公式为:
式中:S为当前单位观测时间内初步的信息交换风险评估值,S的数值越大,则当前信息交换风险越大;Sij为单位时间内,单项评估指标的信息交换风险评估值;δij为在单位观测时间内,该评估指标的风险值;Vij为该指标的综合总权重,详见综合权重表(表8);ωij为加权调节参数,当评估指标处在高风险及以上程度时,需要进行高风险数值加权。
式中:Δt为单位观测时间;aij为第i类要素中的第j个指标的风险值。例如,在单位观测时间(如5分钟)内,如果恶意代码查杀指标风险值为4.5,则其风险计算值为:
由于对高风险数值进行了加权,可能导致最终初步的跨域信息交换风险评估值超过危害程度量化值,因此,需要对最终的跨域信息交换风险评估值进行修正,修正公式为:
2 基于分组加权时间序列的跨域交换智能风险预测
通过采集跨域信息交换系统之前发生的多组跨域信息安全交换风险评估值,可以对这些跨域信息安全交换风险值进行加权计算,进而推断以后一个或多个观测周期内的跨域信息安全交换风险,以便跨域安全管理人员及时预警并采取措施避免带来不可挽回的损失。
2.1 跨域信息交换智能预测公式
本文采用加权时间序列方法对跨域交换面临的风险进行预测。时间序列预测方法[15-17]是典型的时间序列分析任务,对于辅助决策、资源配置、提前采取止损措施等方面有重要意义。
对跨域信息安全交换进行预测时,首先需要采集已经发生的跨域信息安全交换风险评估值,采集数量应适量,不应太多或太少;其次对采集到的风险评估值进行分组,并对各组进行加权计算;最后计算将要发生的信息交换风险值。计算公式如下:
式中:t为需要预测的时间段;t时间段之前已经发生的跨域信息交换风险评估值分为k组,距离t时间最近的为第1 组,最远的为第k组;αi为第i组的加权值,加权值大于0 且小于1,所有加权值总和为1;θi为第i组(每个分组的数量不需要一致)的风险平均值,计算方法为该组所有数值累加,并除以该组的风险值数量。
经过预测计算过的t时间段跨域信息交换风险评估值可以作为下一个时刻t+1的初始值,参与下一时间段的跨域信息安全交换风险预测。
2.2 训练数据选择
对于每一套单独建立的跨域信息交换系统来说,由于其部署环境、连接网域等各不相同,其面临的跨域信息安全交换风险也各不相同。因此,对每一个跨域信息交换系统,需要采集已经发生的数据,来训练其在式(5)中的参数。
在式(5)中,需要对当前跨域信息交换系统进行持续的安全风险评估计算,这些风险评估将作为分组参数k和加权参数α的训练集合。考虑攻击方法具有一定的时效性和延续性,过于久远的风险评估值参考意义不大,故应尽可能选择距离预测时间段近的分组数据。训练集合选择如表9 所示。
表9 训练集合选择表
训练集合共5 种类型,根据训练数据多少进行分类,训练数据分别为:50 个、100 个、200 个、500 个、1 000 个。每种类型选择10 组数据进行训练。
2.3 分组和加权参数优化计算
完成跨域信息交换智能预测模型设计后,需要对其进行预测能力评估。这里采用均方根误差(Root Mean Squared Error,RMSE)[18]对预测效果进行评估。RMSE 表示目标数据和预测数据之间的差异,通过获取所有误差的平方均值的平方根来计算,较低的RMSE 值意味着更好的预测能力,其公式为:
式中:SRMSE为计算的均方根误差值;为该时间的真实风险值;Si为通过预测计算得出的风险值。
在每组训练数据中,选择最后5%的数据作为需要预测的风险值,前面95%的数据作为已发生的值,通过前面95%的风险数据对后面5%的数据进行预测评估。
在调整分组和加权参数的训练过程中,首先基于已发生的安全风险值(数据集的前95%)进行预测计算,然后算出预测值与实际跨域交换风险评估值(训练集的最后5%)的RMSE。当所有RMSE值均在容忍误差阈值以内,则认为当前分组和加权参数满足要求,否则需要调整分组和加权参数。当有多组分组值和加权参数满足要求时,则选择平均误差最小的一组作为最优值。
本文训练调整分组和加权参数时,采用A 类训练集合,RMSE 容忍误差阈值为1.5。经过优化调整训练,可以得出合理的分组为3 组,其中距离需要预测的时间点最近的25%评估值为第一组,中间40%为第二组,最后35%为第三组。这时,第一组加权系数为0.40,第二组加权系数为0.35,第三组加权系数为0.25。
因此,该跨域交换系统的跨域信息交换风险预测计算公式为:
3 跨域交换风险智能评估预测系统
3.1 系统架构设计
基于跨域交换风险评估方法和风险预测方法,设计跨域交换风险智能评估预测系统。该系统采取分层架构设计,包括数据采集层、风险计算层和风险呈现层。具体架构如图2 所示。
图2 跨域交换风险智能评估预测系统组成
其中,在数据采集层,采集跨域交换系统内各安全保密防护手段,如防火墙、攻击检测、恶意代码检查、数据防泄漏等,提供安全威胁报警,并对其进行归纳整理,生成可供跨域交换评估模型使用的数据。
风险计算层可以分为跨域交换评估和跨域交换预测两部分。跨域交换评估根据数据采集层提供的数据,依据交换评估模型,计算交换指标权重,得出当前的跨域交换风险评估值。预测模块通过历史跨域交换风险评估数据,完成预测参数训练,并根据当前的跨域交换风险数据对后续可能发生的跨域交换风险进行预测。
风险呈现层包括策略配置、交换风险展示和风险预测展示3 部分,实现配置管理人员对跨域交换风险评估和跨域交换风险预测情况的查看分析功能,为管理人员提供跨域交换风险评估预测策略调整功能。
3.2 跨域风险预测实验
根据跨域信息交换风险预测模型的计算公式,在模拟环境中进行试运行和计算。
以5 分钟为1 个观测周期,取最近的100 个观测周期,开展第101 个周期的跨域交换风险预测,其计算过程为:
经过计算,下一个时间点时,f(S101)跨域信息安全交换预测风险值为2.816 2。该时间段跨域交换安全风险处于低风险与中风险之间,需要引起配置管理人员注意,可以采取一定的安全防护措施以降低跨域信息交换的安全威胁。
根据观测周期内的跨域交换风险评估数据进行预测,与实际发生的跨域交换风险评估值对比如图3 所示。
图3 风险预测值与实际评估值对比
经过测试验证,预测值与实际评估值在10 个时间段内,最大误差为0.048 2。该跨域交换风险预测模型的预测结果较为理想,可以有力地支撑安全管理人员对该跨域交换系统进行评估和预测,进而随时调整安全保密策略。
4 结语
本文针对跨域交换系统面临的安全风险,提出了需要部署的网络安全、内容安全、认证安全、行为安全4 大类安全要素。依据这4 大类安全要素设计了跨域交换风险评估模型,对跨域交换安全风险进行实时评估;设计了基于分组加权时间序列的跨域信息交换智能预测模型,能够针对跨域交换风险评估结果对将要面临的安全风险趋势进行预测;给出了跨域交换风险智能评估预测系统的架构设计,用于支撑相关系统的开发应用。本文提出的方法能够协助跨域信息安全管理人员及时掌握当前跨域信息安全交换的风险,并预测未来一段时间内的跨域信息安全交换趋势,从而能够预先调整安全保密防护策略,降低由于信息跨域交换带来的安全风险。这对于完善跨域信息交换体系具有重要意义。
