基于復雜網絡的多維網絡安全威脅評估模型
摘 要:
網絡安全威脅評估技術被廣泛應用在態勢感知、攻擊預警等方面。目前,大多威脅評估模型構建僅考慮節點自身的狀態,但節點間的交互關系對安全威脅評估有較大影響。因此,提出一種基于復雜網絡的多維網絡安全威脅評估模型,從目標脆弱性、安全威脅狀態和攻擊危害損失3個維度衡量節點的初始狀態,借助構建連續動力學復雜網絡模型,模擬節點間的交互關系,實現對網絡綜合態勢的評估。采用2020年12月—2021年2月某云上獲取的數據進行安全威脅評估,實驗結果表明,提出的評估模型可準確反映安全威脅態勢。
0 引 言
隨著計算機網絡技術和通信技術的快速發展,計算機網絡的資源共享進一步增強,互聯網已經深入人類生產生活的方方面面,并影響著社會經濟的發展和人們的生活方式。目前,網絡攻擊行為日益猖獗,網絡攻擊方式層出不窮,對個人、企事業單位乃至國家機關造成了極大的經濟損失,網絡安全正面臨著巨大挑戰。人們對網絡安全威脅態勢分析的分析已經從單一的主機節點上升到組織、區域、綜合場景等多個層面。網絡安全威脅態勢分析人員迫切需要一種能夠解決復雜網絡環境下具備多層次多維度的網絡安全威脅評估技術。
近年來,針對網絡安全威脅評估的研究較多。Manadhata等對網絡系統中用戶行為及其資源訪問活動等進行監控,計算目標系統總的損失代價值,根據代價值的變化得到系統安全狀態的變化情況。Vinod等提出了基于蜜網系統的網絡威脅態勢評估的方法,在對告警進行解析和分類的基礎上繪制威脅態勢曲線。Abad建立了一個安全事件數據庫系統UCLog+,對安全事件進行查詢和分類,對目標資產的脆弱性和無效的安全策略進行關聯分析預警。馬杰針對當前網絡安全威脅態勢評估存在的告警誤報率偏高、評估模型無統一標準等問題,提出了基于告警分析的威脅感知方法和基于信息融合的網絡威脅態勢量化評估方法。呂慧穎等提出了基于時空關聯分析的網絡實時威脅識別與評估方法。王志平構建了多層次的網絡安全指標體系,提出了網絡安全指標標準化方法和基于模糊評價的層次式計算方法。陳秀真等提出了層次化網絡安全態勢威脅量化評估方法,采用自上而下、先局部后整體評估策略。周德懋等提出通過將網絡流量數據看成時間序列來進行小波變換建模。田建偉等提出基于威脅傳播的多節點網絡安全態勢量化評估方法,加入了網絡節點間風險的關聯性分析。楊豪璞等提出一種面向多步攻擊的網絡安全態勢評估方法。程珊等提出基于證據推理規則的網絡安全態勢評估方法。唐贊玉等提出一種新的多階段大規模網絡攻擊下的網絡安全態勢評估方法。曲向華等提出一種基于層次分析法的網絡安全態勢評估框架模型,將網絡安全態勢評估細化為評估對象價值評估、脆弱性評估和威脅評估3個評估要素。黃焱設計了攻擊指標因子,采用基于優化后的BP神經網絡構建網絡態勢評估模型指標體系,實時統計監控分析網絡安全狀態。
不同于當前文獻的方法和思路,本文對節點安全威脅程度從重要目標脆弱性評估、安全態勢評估和攻擊危害損失評估等維度進行分析,實現對節點安全威脅程度的初始計算,最后基于復雜網絡的安全威脅傳播模型,引入連續動力學模型,對復雜網絡中通聯節點間的安全威脅狀態進行評估,以實現網絡安全威脅綜合態勢的評估。
1 基于復雜網絡的安全威脅傳播模型框架
基于復雜網絡的多維網絡安全威脅評估模型在構建的多層次多維度網絡安全威脅評估指標體系的基礎上,結合安全威脅態勢分析人員在綜合態勢、區域態勢、組織態勢不同層面的關注方面和需求點,根據網絡間的通聯關系構建綜合復雜網絡、區域級復雜網絡和組織級復雜網絡3級復雜網絡,模型框架如圖1所示。
圖1 基于復雜網絡的安全威脅傳播模型框架
組織級復雜網絡中的節點由主機、服務器或網絡設備構成,網絡中的邊表示節點間的通聯關系;區域級復雜網絡中的節點由該區域的組織構成,網絡中的邊表示組織間的通聯關系;綜合復雜網絡中的節點由多個區域構成,網絡中的邊表示區域間的通聯關系。
網絡安全威脅評估模型采用逐層傳遞的思路進行安全威脅評估,具體步驟如下。
(1)先通過主機、服務器或網絡設備自身的安全指標體系中的要素計算初始的安全威脅程度,再通過構建的復雜網絡安全威脅傳播模型計算節點當前的安全威脅程度。
(2)組織級安全威脅程度的初值計算將來源于兩方面:一方面通過組織自身的安全指標體系中的要素進行評估;另一方面來源于組織中包含的節點的平均安全威脅程度。二者的加權計算將獲得組織級安全威脅程度的初值,再通過構建的復雜網絡安全威脅傳播模型計算組織當前的安全威脅程度。
(3)區域級安全威脅程度的初值計算將來源于兩方面:一方面通過區域自身的安全指標體系中的要素進行評估;另一方面來源于區域中包含的組織的平均安全威脅程度。二者的加權計算將獲得區域級安全威脅程度的初值,再通過構建的復雜網絡安全威脅傳播模型計算區域當前的安全威脅程度。
(4)綜合復雜網絡安全威脅程度的評估將考慮兩方面:一方面通過綜合復雜網絡自身的安全指標體系中的要素進行評估;另一方面來源于綜合復雜網絡中包含的組織平均安全威脅程度。二者的加權計算出綜合復雜網絡安全威脅程度。
基于復雜網絡的多維網絡安全威脅評估模型的優點在于,在安全模型的同一層級不僅考慮節點自身的安全指標情況,也考慮了節點間相互作用對安全威脅程度的影響。在不同層級間,下級節點的安全威脅狀態也將影響其所屬的上級節點的安全威脅狀態。
2 安全威脅初始度量
節點的安全威脅將分別從網絡安全風險、網絡安全狀態以及攻擊危害損失等方面分析其安全威脅指數。
2.1 安全威脅指數通用計算模型
網絡安全事件造成的威脅由其攻擊特征指標確定,給定時間周期
,定義
時刻的某類網絡安全指標的威脅指數為:
式中:
為t時刻指標
的值,
為
的歸一化值。
歸一化函數為:
式中:
和
分別為指標的歷史最大值和歷史最小值,通過分析保存在數據庫中的歷史數據得到。
為各指標
對應的權重,滿足歸一化約束:
的權重按照平均分配的原則,即
,其中
為本類指標中參與計算的指標數。利用以上方法對應的評價指標指數進行加權平均后,得到各類安全指標的安全威脅指數。
2.2 網絡安全風險評估
網絡安全風險評估在關鍵基礎設施與重要信息系統的目標網絡結構、安全防御體系以及服務運行狀態等進行持續監測的基礎上,分析評估其安全性和脆弱性,主要應用到如表1所示的指標。
表1 網絡安全風險評估指標
網絡安全風險評估值
為:
式中:n為參與評估的指標的種類數。
2.3 網絡安全狀態評估
網絡安全狀態評估針對當前網絡中受到的安全攻擊事件進行評估。主要應用到如表2所示的指標。
表2 網絡安全狀態評估指標
安全威脅指數
為:
式中:
為參與評估的安全威脅事件指標的種類數。
2.4 攻擊危害損失評估
攻擊危害損失評估主要在網絡遭受攻擊后,分析危害程度,主要應用到如表3所示的指標。
表3 攻擊危害損失評估指標
攻擊危害損失評估指數
為:
式中:為參與評估的攻擊危害損失的種類數。
2.5 網絡安全威脅綜合評估
網絡安全威脅綜合評估研究在網絡安全風險評估、網絡安全狀態評估以及攻擊危害損失評估等維度下,不同領域、不同地域的全視圖網絡安全態勢評估,使安全態勢分析人員全面掌握網絡安全態勢,從而為網絡安全輔助決策、態勢分析等提供精、廣、深的知識支撐。
各類安全指標的權重采用熵權法進行賦權,也可根據專家知識進行人工分配。
熵權法的具體步驟如下。
(1)構造樣本矩陣
,其中
分別表示網絡安全狀態評估指數
、安全威脅指數
和攻擊危害損失評估指數
。
(2)將各項指標數值按照進行歸一化處理。
(3)計算各指標的熵值。
(4)將熵值轉換為反映差異大小的權數。
(5)節點某一時刻的網絡安全威脅態勢值為:
3
復雜網絡下安全威脅傳播綜合評估
構建的基于復雜網絡的安全威脅傳播模型從連續動力學的角度出發,對具有通聯關系的節點之間的交互行為展開研究,進而提出了復雜網絡中的連續動力學模型。
假設由
個節點組成的復雜網絡
,其中
表示節點之間的關系且滿足
,其中
表示節點通聯關系的強度。每個節點的安全威脅用符號
表示,且滿足
,其中
與
分別表示節點的安全威脅狀態,即完全安全與完全威脅。參考已有的Deffuant模型與Social Judgment模型,具體的動力學規則如下。
每個時間步從網絡隨機選擇一個節點,該節點按照其鄰居關系大小的一定順序(從安全威脅正值到負值的正向順序或者從安全威脅負值到正值的逆向順序)依次與鄰居節點進行安全威脅傳播。當節點
與其鄰居節點
進行安全威脅傳播時,其安全威脅狀態的變化規則滿足以下動力學行為:
定義如下:
該交互規則主要遵循以下假設:當節點之間存在通聯關系時,節點之間的安全威脅傳播會使雙方安全威脅狀態趨同。
4 實驗結果與分析
本文實驗數據來自北京某云環境采集的從2020年12月1日至2021年2月28日安全防護設備日志數據和攻擊流量數據,見表4。
表4 實驗數據
本文提出的模型(Complex Network,CN)將與采用權重方法計算的估值(Weight Calculation,WC)、人工評估(Human Analysis,HA)的結果進行比較,具體對比結果見圖2、圖3和圖4所示,其中橫坐標為日期,縱坐標為態勢評估風險等級,最低風險為0,最高風險為100。
圖2 2020年12月態勢評估結果對比
圖3 2021年1月態勢評估結果對比
圖4 2021年2月態勢評估結果對比
本文采用式(13)和式(14)從標準差角度對
、
評估結果進行分析,其中N為當月天數,為CN模型和HA模型計算結果的標準差,為WC模型和HA模型計算結果的標準差,計算結果見表5。
表5 標準差計算結果
從態勢評估結果對比圖及標準差計算結果,能夠顯著看到提出的態勢評估結果更接近領域專家的人工分析結果,表明基于復雜網絡的多維網絡安全威脅評估模型具有較好的理論價值和應用前景。
5 結 語
本文針對網絡安全威脅評估不夠準確等問題,提出多維網絡安全威脅評估技術,從重要目標脆弱性評估、安全威脅狀態評估以及攻擊危害損失評估等方面,研究不同領域、不同地域的全視圖網絡安全態勢評估,基于復雜網絡的安全威脅傳播模型研究復雜網絡中通聯節點間的安全威脅狀態傳播動力學模型,以準確反映網絡安全威脅綜合態勢。實驗結果表明,該技術與領域專家的研判分析結果基本保持一致,能夠顯著降低人工成本,具有較強的網絡安全威脅評估能力。
