一種基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

張展翔　鐘成琦　陳鈞

摘 要 本文對(duì)面向攻擊和面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法進(jìn)行了研究，提出了基于時(shí)間窗D-S（TWDS）和攻擊圖的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。在該模型中，對(duì)網(wǎng)絡(luò)安全設(shè)備響應(yīng)時(shí)間對(duì)信息融合結(jié)果造成的偏差、傳統(tǒng)評(píng)估方法不能評(píng)估復(fù)合攻擊的缺陷等問題進(jìn)行了改進(jìn)。

關(guān)鍵詞 鏈路性能分析 網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

本文將層次結(jié)構(gòu)與權(quán)重分析相結(jié)合的方法運(yùn)用于面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的研究中，提出了基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，該方法以網(wǎng)絡(luò)鏈路為可測(cè)對(duì)象的最小元素來建立層次結(jié)構(gòu)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型，通過測(cè)量分析鏈路上的客觀性能信息來評(píng)估網(wǎng)絡(luò)的安全狀況，對(duì)未知攻擊具有良好的感知能力。

1攻擊分類

根據(jù)攻擊目的的不同和人們對(duì)攻擊熟知程度的不同可以將攻擊進(jìn)行分類，見表1。已知攻擊和未知攻擊的攻擊目的都是破壞網(wǎng)絡(luò)信息的安全特性，網(wǎng)絡(luò)信息的安全特性主要包括完整性、保密性、可靠性和可用性等四個(gè)方面，當(dāng)它們?cè)馐芷茐暮?，網(wǎng)絡(luò)系統(tǒng)中都會(huì)有相應(yīng)的性能指標(biāo)發(fā)生變化從而對(duì)攻擊進(jìn)行反映。因此，雖然未知攻擊不能像已知攻擊那樣可以用網(wǎng)絡(luò)安全檢測(cè)設(shè)備來察覺發(fā)現(xiàn)，但是它可以通過相應(yīng)性能指標(biāo)出現(xiàn)的變化來感知發(fā)現(xiàn)。在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究中，針對(duì)不同的攻擊和網(wǎng)絡(luò)環(huán)境應(yīng)該選擇不同的網(wǎng)絡(luò)性能指標(biāo)。

2網(wǎng)絡(luò)性能指標(biāo)的處理

可測(cè)對(duì)象的性能信息是本文網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的數(shù)據(jù)源，因此對(duì)其進(jìn)行的處理尤為重要。為了更好地說明網(wǎng)絡(luò)性能指標(biāo)的處理方法，先介紹以下概念：

（1）positive指標(biāo)：表示該指標(biāo)的值與網(wǎng)絡(luò)性能成正相關(guān)，即該指標(biāo)的值越大代表網(wǎng)絡(luò)性能越好；反之，該指標(biāo)的值越小，網(wǎng)絡(luò)性能越差。

（2）negative指標(biāo)：表示該指標(biāo)的值與網(wǎng)絡(luò)性能成反相關(guān)，即該指標(biāo)的值越大代表網(wǎng)絡(luò)性能越差；反之，該指標(biāo)的值越小，網(wǎng)絡(luò)性能越好。

在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的研究中，可測(cè)對(duì)象的性能指標(biāo)很有可能同時(shí)出現(xiàn)positive指標(biāo)和negative指標(biāo)，這時(shí)為了統(tǒng)一，需要計(jì)算出指標(biāo)的無量綱的相對(duì)數(shù)，其計(jì)算公式如下：

其中，和分別為第j個(gè)可測(cè)對(duì)象的第項(xiàng)positive指標(biāo)和negative指標(biāo)的無量綱的相對(duì)數(shù)，為第個(gè)可測(cè)對(duì)象的第i項(xiàng)測(cè)量指標(biāo)值，為第i項(xiàng)測(cè)量指標(biāo)可能出現(xiàn)的最不理想的取值，為第i項(xiàng)指標(biāo)可能出現(xiàn)的最理想的取值。為參加評(píng)價(jià)的可測(cè)對(duì)象的個(gè)數(shù)。通過以上處理，最終得到的無量綱的相對(duì)數(shù)保持了與人們正常思維的一致性，即其值越大，網(wǎng)絡(luò)性能越好。

3評(píng)估模型

文獻(xiàn)[2][3]指出通過測(cè)量網(wǎng)絡(luò)中所有相關(guān)鏈路而獲取的性能指標(biāo)可以反映網(wǎng)絡(luò)整體狀況。因此本章網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型中可測(cè)對(duì)象的最小元素是網(wǎng)絡(luò)鏈路，將網(wǎng)絡(luò)鏈路上的流量作為數(shù)據(jù)源，通過統(tǒng)計(jì)分析得到網(wǎng)絡(luò)性能指標(biāo)，將往返延遲、丟包率和可利用帶寬作為反映網(wǎng)絡(luò)可用性狀態(tài)的性能指標(biāo)，提出的評(píng)估框架如圖1所示：

第一步，根據(jù)不同時(shí)刻各鏈路的往返延遲、丟包率和可利用帶寬計(jì)算獲取不同時(shí)段的各鏈路性能差熵。然后，根據(jù)各鏈路性能差熵計(jì)算各鏈路的安全態(tài)勢(shì)值，以矩陣表示。

第二步，通過服務(wù)權(quán)重計(jì)算主機(jī)權(quán)重，通過主機(jī)權(quán)重計(jì)算鏈路權(quán)重，然后將鏈路安全態(tài)勢(shì)值與鏈路權(quán)重進(jìn)行加權(quán)求和得到網(wǎng)絡(luò)不同時(shí)段的安全態(tài)勢(shì)，以向量表示。

參考文獻(xiàn)

[1] 黃正興，蘇旸.基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究[J].計(jì)算機(jī)應(yīng)用， 2013，33（11）：3224-3227.

[2] 張冬艷，胡銘曾，張宏莉.基于測(cè)量的網(wǎng)絡(luò)性能評(píng)價(jià)方法研究[J].通信學(xué)報(bào)， 2006，27（10）：74-79+85.

[3] 王坤，邱輝，楊豪璞.基于攻擊模式識(shí)別的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)應(yīng)用，2016，36（1）：194-198.