網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)測(cè)探析

0 引言

在1981年8月，整個(gè)世界上僅僅213臺(tái)主機(jī)形成互聯(lián)網(wǎng)，但是到了2014年互聯(lián)網(wǎng)主機(jī)數(shù)目超過(guò)了9億臺(tái)，而且數(shù)量還在不斷增加。隨著用戶(hù)數(shù)級(jí)不斷增長(zhǎng)，規(guī)模也隨之發(fā)生著巨大變化，并且越來(lái)越繁雜。但是從實(shí)況來(lái)看，目前的網(wǎng)絡(luò)安全態(tài)勢(shì)讓人擔(dān)憂(yōu)，雖然投入了大量的安全產(chǎn)品，如防火墻、各種補(bǔ)丁、入侵檢測(cè)系統(tǒng)等，但是互聯(lián)網(wǎng)中的安全問(wèn)題依然比較嚴(yán)重。在這種形勢(shì)下，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)測(cè)具有現(xiàn)實(shí)意義。

1 構(gòu)建評(píng)測(cè)模型

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)的概念及構(gòu)成

1.1.1 基本概念

所謂網(wǎng)絡(luò)安全態(tài)勢(shì)，也就是在網(wǎng)絡(luò)環(huán)境下將能夠造成網(wǎng)絡(luò)的安全態(tài)勢(shì)出現(xiàn)變化的狀態(tài)信息收集起來(lái)，同時(shí)對(duì)這些信息進(jìn)行理解、分析、處理及預(yù)測(cè)，從而對(duì)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。當(dāng)然這屬于全局概念，擺脫了單一安全要素，如果僅僅著眼單一狀態(tài)變化是不能稱(chēng)之態(tài)勢(shì)。從宏觀角度來(lái)看，網(wǎng)絡(luò)安全態(tài)勢(shì)體現(xiàn)出網(wǎng)絡(luò)運(yùn)行狀態(tài)，不但能夠體現(xiàn)出網(wǎng)絡(luò)當(dāng)前的狀態(tài)，還能夠反映網(wǎng)絡(luò)歷史狀態(tài)，對(duì)網(wǎng)絡(luò)未來(lái)狀態(tài)進(jìn)行預(yù)測(cè)。因?yàn)榉治鼍W(wǎng)絡(luò)態(tài)勢(shì)中原始數(shù)據(jù)基本從日志文件、網(wǎng)絡(luò)設(shè)備以及各種網(wǎng)絡(luò)監(jiān)控軟件等中獲得，并對(duì)所獲得信息實(shí)施處理及整合，進(jìn)行關(guān)聯(lián)分析等，從而全面了解網(wǎng)絡(luò)運(yùn)行狀態(tài)。

分析網(wǎng)絡(luò)安全態(tài)勢(shì)，首先就要檢測(cè)與獲取影響網(wǎng)絡(luò)安全性的各種網(wǎng)絡(luò)要素，因?yàn)橛绊懢W(wǎng)絡(luò)安全要素并非單一性，不但有時(shí)間上因素，還有空間上因素，收集與獲得要素之后，就必須要采用信息手段對(duì)安全信息進(jìn)行分類(lèi)，合并及關(guān)聯(lián)，對(duì)信息進(jìn)行融合，對(duì)融合后信息實(shí)施綜合分析和評(píng)估，從而獲知整體網(wǎng)絡(luò)的安全狀態(tài)信息，之后依據(jù)已有安全態(tài)勢(shì)信息預(yù)測(cè)未來(lái)安全態(tài)勢(shì)。

1.1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)的構(gòu)成

對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)而言，主要是幾個(gè)部分共同構(gòu)成的：

其一獲取態(tài)勢(shì)要素；采集與獲得的網(wǎng)絡(luò)環(huán)境中各種重要信息與線(xiàn)索，從中得到原始態(tài)勢(shì)的數(shù)據(jù)，給評(píng)估與預(yù)測(cè)奠定基礎(chǔ)。

其二理解態(tài)勢(shì)；當(dāng)整合收集了原始態(tài)勢(shì)的數(shù)據(jù)與信息，要分析彼此的相關(guān)性。

其三評(píng)估態(tài)勢(shì)；依據(jù)所確定指標(biāo)體系，對(duì)當(dāng)前網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定性定量分析，查找薄弱環(huán)節(jié)，同時(shí)制定出合理的解決方案。

其四預(yù)測(cè)態(tài)勢(shì)；對(duì)原始信息進(jìn)行理解與分析，預(yù)測(cè)網(wǎng)絡(luò)安全今后的發(fā)展?fàn)顟B(tài)與趨勢(shì)，實(shí)現(xiàn)研究網(wǎng)絡(luò)態(tài)勢(shì)的終極目標(biāo)。

事實(shí)上，也只有真正了解到了網(wǎng)絡(luò)安全態(tài)勢(shì)及今后發(fā)展態(tài)勢(shì)，才能夠分析復(fù)雜環(huán)境下存在的大量安全問(wèn)題，并且采取合理的對(duì)應(yīng)措施，確保網(wǎng)絡(luò)能夠安全運(yùn)行，確保網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)測(cè)在網(wǎng)絡(luò)安全中發(fā)揮重要重要，體現(xiàn)研究的重要價(jià)值。

1.2 建立評(píng)測(cè)模型

評(píng)測(cè)模型是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)測(cè)之基礎(chǔ)與前提，依據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)測(cè)需求差異，必然會(huì)得到不同結(jié)果。對(duì)安全態(tài)勢(shì)的評(píng)測(cè)分析及結(jié)果必然存在極強(qiáng)的多樣性與主觀性。比如網(wǎng)絡(luò)管理人員主要關(guān)心網(wǎng)絡(luò)運(yùn)行的狀態(tài)、識(shí)別漏洞及檢測(cè)網(wǎng)絡(luò)入侵。而從銀行系統(tǒng)角度來(lái)看，最重要就是數(shù)據(jù)完備性；從軍事部門(mén)角度來(lái)看，非常重要的是保密性。因此網(wǎng)絡(luò)安全狀態(tài)是不能僅僅通過(guò)單一數(shù)值實(shí)施描述，必須要依據(jù)網(wǎng)絡(luò)不同規(guī)模，用戶(hù)需求分別進(jìn)行處理?，F(xiàn)在研究安全態(tài)勢(shì)的評(píng)估及預(yù)測(cè)比較多，自然所設(shè)計(jì)評(píng)估及預(yù)測(cè)模型也多。相對(duì)較為典型有：

Bass研究入侵監(jiān)測(cè)系統(tǒng)（IDS）就指明多個(gè)網(wǎng)絡(luò)傳感器檢測(cè)安全事件就構(gòu)成了多源數(shù)據(jù)，從而形成了高層抽象，同時(shí)轉(zhuǎn)換成態(tài)勢(shì)感知。Bass就提出了一種結(jié)構(gòu)模型，如下圖所示。

圖1 動(dòng)態(tài)的網(wǎng)絡(luò)安全模型

從這個(gè)模型中來(lái)看，主要是由網(wǎng)絡(luò)傳感器對(duì)網(wǎng)絡(luò)環(huán)境信息進(jìn)行收集，而網(wǎng)絡(luò)安全態(tài)勢(shì)中包含了安全態(tài)勢(shì)的覺(jué)察，理解以及預(yù)測(cè)，之后依據(jù)分析結(jié)果評(píng)估網(wǎng)絡(luò)威脅，最后把結(jié)果傳遞給決策層，執(zhí)行決策。同時(shí)這個(gè)層次還具有安全防護(hù)的作用。

并且危險(xiǎn)評(píng)估就是建立在網(wǎng)絡(luò)安全態(tài)勢(shì)分析的基礎(chǔ)上，通過(guò)對(duì)態(tài)勢(shì)進(jìn)行準(zhǔn)確、實(shí)時(shí)的分析，這樣才能夠真正實(shí)現(xiàn)危險(xiǎn)評(píng)估，也才能夠在這個(gè)基礎(chǔ)上采用有效策略確保網(wǎng)絡(luò)安全，否則無(wú)法實(shí)施深度防御，確保網(wǎng)絡(luò)安全。

本文通過(guò)相關(guān)模型，提出數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、提取指標(biāo)體系、事件關(guān)聯(lián)分析、評(píng)估態(tài)勢(shì)及態(tài)勢(shì)預(yù)測(cè)六級(jí)評(píng)測(cè)模型，如下圖2所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型

其一數(shù)據(jù)采集；采集網(wǎng)絡(luò)安全的影響因素?cái)?shù)據(jù)，比如網(wǎng)絡(luò)設(shè)備的狀態(tài)信息、日志信息以及網(wǎng)絡(luò)流量信息等，只有這樣才能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知，才能夠采集所需的態(tài)勢(shì)信息，也才能夠更好的評(píng)估與預(yù)測(cè)態(tài)勢(shì)。

其二預(yù)處理數(shù)據(jù)；事實(shí)上，所用各種采集手段獲得數(shù)據(jù)信息并不完備，有一些是不可讀的，也有有一些數(shù)據(jù)不全，重復(fù)記錄等各種問(wèn)題，這樣就必須要處理這些數(shù)據(jù)，消除噪音，從中獲取到有效數(shù)據(jù)信息。

其三提取指標(biāo)體系；在安全態(tài)勢(shì)進(jìn)行分析，對(duì)一些重要安全狀態(tài)信息采取定量描述與定量分析，但網(wǎng)路狀態(tài)信息各式各樣，信息中哪一些需要分析、哪一些不要分析，均屬于重要問(wèn)題，也只有選擇了正確的指標(biāo)體系，才能夠確保評(píng)估與預(yù)測(cè)的準(zhǔn)確性與實(shí)時(shí)性，所以模型是否合理是評(píng)估與預(yù)測(cè)之關(guān)鍵環(huán)節(jié)。如果缺乏了護(hù)理科學(xué)的分析模型，極難體現(xiàn)出預(yù)測(cè)結(jié)果的有效性與準(zhǔn)確性。

其四分析事件關(guān)聯(lián)；網(wǎng)絡(luò)的安全事件信息中，許多事件均為離散狀態(tài)，必然存在許多誤報(bào)，影響網(wǎng)絡(luò)安全管理，實(shí)際上許多事件上必定存在一些關(guān)聯(lián)，只有發(fā)現(xiàn)了這些關(guān)聯(lián)關(guān)系就容易處理事件，必定要實(shí)施關(guān)聯(lián)分析。

其五態(tài)勢(shì)評(píng)估；依據(jù)所確定指標(biāo)模型，對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定性定量分析，查詢(xún)薄弱環(huán)節(jié)并提出解決方案。

其六態(tài)勢(shì)預(yù)測(cè)；依據(jù)評(píng)估結(jié)果，對(duì)網(wǎng)絡(luò)安全狀態(tài)今后發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，從而給網(wǎng)絡(luò)管理員提供決策。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估與預(yù)測(cè)

2.1 態(tài)勢(shì)評(píng)估

態(tài)勢(shì)評(píng)估就是對(duì)網(wǎng)絡(luò)安全狀態(tài)實(shí)施綜合評(píng)估，網(wǎng)絡(luò)管理者就能夠依據(jù)評(píng)估的數(shù)據(jù)對(duì)目標(biāo)進(jìn)行預(yù)防及保護(hù)，比較常用評(píng)估方法為模糊推理、神經(jīng)網(wǎng)絡(luò)等等。

2.2 態(tài)勢(shì)預(yù)測(cè)

事實(shí)上，評(píng)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)重點(diǎn)在于預(yù)測(cè)。而預(yù)測(cè)也就是對(duì)大量報(bào)警數(shù)據(jù)進(jìn)行分析，從而對(duì)網(wǎng)絡(luò)未來(lái)安全狀態(tài)進(jìn)行預(yù)測(cè)，一旦發(fā)現(xiàn)了入侵規(guī)則，就要預(yù)測(cè)今后是否會(huì)遭到黑客攻擊，預(yù)測(cè)哪些網(wǎng)絡(luò)設(shè)備可能遭到攻擊。有效實(shí)現(xiàn)了分析過(guò)去、預(yù)測(cè)未來(lái)。如今常用預(yù)測(cè)及預(yù)警的方法比較多，比如Kalman算法、灰色理論預(yù)測(cè)以及Box-Jenkins 模型等等各種技術(shù)。而網(wǎng)絡(luò)預(yù)測(cè)模型中較為常見(jiàn)的就是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型，依據(jù)網(wǎng)絡(luò)連接的拓?fù)浣Y(jié)構(gòu)差異，就能夠劃分成前饋網(wǎng)絡(luò)與反饋網(wǎng)絡(luò)兩個(gè)大類(lèi)。

前饋網(wǎng)絡(luò)即采用一個(gè)無(wú)環(huán)圖來(lái)表示，并不存在反饋，而且處理信息能力是通過(guò)非線(xiàn)性的函數(shù)實(shí)現(xiàn)輸入層至輸出層之變化，這種方式結(jié)果簡(jiǎn)單、便于實(shí)現(xiàn)。而反饋網(wǎng)絡(luò)屬于一個(gè)無(wú)向完備圖，就是采取變換狀態(tài)實(shí)現(xiàn)信息處理，這種系統(tǒng)穩(wěn)定性是由聯(lián)想記憶功能所影響，比如Elman 神經(jīng)網(wǎng)絡(luò)即為這種類(lèi)型。時(shí)間序列的預(yù)測(cè)技術(shù)，大部分都是用來(lái)預(yù)測(cè)經(jīng)濟(jì)分析和市場(chǎng)領(lǐng)域，主要特征即為相鄰觀測(cè)值間具備極強(qiáng)依賴(lài)性，而從時(shí)間上分析這種依賴(lài)性。

3 結(jié)束語(yǔ)

如今，網(wǎng)絡(luò)成為了人們生活、工作中的重要幫手，其安全問(wèn)題直接影響著網(wǎng)絡(luò)的正常使用。而是網(wǎng)絡(luò)安全上必須要將預(yù)防作為首要任務(wù)，即通過(guò)評(píng)測(cè)挖掘網(wǎng)絡(luò)當(dāng)前所處的安全態(tài)勢(shì)，依據(jù)所收集數(shù)據(jù)分析及預(yù)測(cè)。從而確保網(wǎng)絡(luò)不被黑客、病毒等侵害，從而影響網(wǎng)絡(luò)的正常使用。