漁政管理系統(tǒng)網(wǎng)絡(luò)環(huán)境威脅態(tài)勢分析*

陳孟婕，劉慧媛，蔣慶朝，徐 碩，倪晨翰

(中國水產(chǎn)科學(xué)研究院漁業(yè)工程研究所，北京100141)

0 引言

漁政管理系統(tǒng)是面向漁業(yè)管理的全國性政務(wù)系統(tǒng)。 在云計算、大數(shù)據(jù)背景下，層出不窮的信息安全事件給包括漁政管理系統(tǒng)在內(nèi)的各類政務(wù)系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維工作帶來巨大的挑戰(zhàn)。由于網(wǎng)絡(luò)攻擊的方式日趨規(guī)?；?、分布化、復(fù)雜化，破壞性越來越大，傳統(tǒng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)在對攻擊行為做出攔截時，系統(tǒng)運(yùn)維人員對全局狀態(tài)的感知能力較差。系統(tǒng)的網(wǎng)絡(luò)日志遍布于數(shù)據(jù)庫、Web 中間件、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各個節(jié)點(diǎn)，數(shù)據(jù)指標(biāo)從不同角度反映了網(wǎng)絡(luò)環(huán)境，對網(wǎng)絡(luò)日志數(shù)據(jù)的分析研究可以準(zhǔn)確掌握系統(tǒng)運(yùn)行狀態(tài)以及潛在網(wǎng)絡(luò)安全威脅等信息，為系統(tǒng)功能與性能的優(yōu)化、安全方案的制定提供依據(jù)。

網(wǎng)絡(luò)態(tài)勢評估可實(shí)現(xiàn)態(tài)勢因子集合到態(tài)勢結(jié)果的映射。 相關(guān)研究包括理論創(chuàng)新引入到態(tài)勢評估領(lǐng)域，例如集對分析理論、證據(jù)理論、粗糙集理論、灰關(guān)聯(lián)分析理論；以及傳統(tǒng)方法的擴(kuò)展，例如貝葉斯技術(shù)、基于知識的方法、向量機(jī)方法、人工神經(jīng)網(wǎng)絡(luò)方法、模糊邏輯方法等[1-7]。 集對分析理論相比于其他方法，具有模型計算復(fù)雜度低，不需要推理規(guī)則、先驗(yàn)知識，結(jié)果易于解釋等優(yōu)點(diǎn)，在多個領(lǐng)域有廣泛應(yīng)用，例如多方案比選、工程風(fēng)險評價、資源環(huán)境評估、安全管理等[8-9]。

集對分析理論是由我國學(xué)者趙克勤于1989 年首次提出[10-11]，該理論在后續(xù)研究中不斷發(fā)展完善，形成了聯(lián)系數(shù)、集對勢、偏聯(lián)系數(shù)等計算模型與理論解釋[12-16]，實(shí)現(xiàn)對系統(tǒng)的客觀、定量、綜合評價與趨勢分析。 集對分析理論中，系統(tǒng)聯(lián)系數(shù)表示為u=a+bi，也稱作二元聯(lián)系數(shù)，其中 a 表示系統(tǒng)確定性因素，b 表示系統(tǒng)不確定性因素，公式表現(xiàn)了系統(tǒng)確定性因素和不確定性因素對系統(tǒng)的綜合影響。根據(jù)不確定性的強(qiáng)弱程度，集對分析理論進(jìn)一步細(xì)化該因素，擴(kuò)展為三元聯(lián)系數(shù)u=a+bi+cj、四元聯(lián)系數(shù)u=a+bi+cj+dk 等多元聯(lián)系數(shù)。 基于集對分析理論的網(wǎng)絡(luò)威脅評估是對網(wǎng)絡(luò)態(tài)勢定量化測算，相比層次分析法、關(guān)聯(lián)分析、神經(jīng)網(wǎng)絡(luò)等數(shù)據(jù)分析挖掘模型，除了模型復(fù)雜度較低以外，分析結(jié)果對于網(wǎng)絡(luò)環(huán)境現(xiàn)狀和發(fā)展趨勢的刻畫更為全面、準(zhǔn)確。

本文從漁政管理系統(tǒng)的網(wǎng)絡(luò)安全需求入手，針對大規(guī)模、復(fù)雜、不確定的網(wǎng)絡(luò)環(huán)境特點(diǎn)，研究網(wǎng)絡(luò)環(huán)境綜合評估方法，促進(jìn)系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維人員對網(wǎng)絡(luò)環(huán)境的認(rèn)識和理解。 通過構(gòu)建基于集對分析理論的網(wǎng)絡(luò)環(huán)境威脅評估模型，量化網(wǎng)絡(luò)攻擊威脅程度，提供系統(tǒng)整體外部網(wǎng)絡(luò)環(huán)境風(fēng)險指數(shù)，準(zhǔn)確識別、預(yù)測當(dāng)前網(wǎng)絡(luò)態(tài)勢。 本文研究是漁政管理系統(tǒng)網(wǎng)絡(luò)安全的先行實(shí)踐，也對信息系統(tǒng)網(wǎng)絡(luò)管理日志的有效開發(fā)與利用提供應(yīng)用實(shí)踐。

1 網(wǎng)絡(luò)管理日志數(shù)據(jù)

漁政管理系統(tǒng)部署在農(nóng)業(yè)農(nóng)村部信息中心，網(wǎng)絡(luò)環(huán)境與基礎(chǔ)物理環(huán)境方面依托信息中心提供安全管理服務(wù)，而服務(wù)器及軟件方面由軟件開發(fā)團(tuán)隊提供運(yùn)行維護(hù)支持。

信息中心的網(wǎng)絡(luò)管理系統(tǒng)提供了對交換網(wǎng)絡(luò)的監(jiān)控與保護(hù)，重點(diǎn)對常見的掃描攻擊、賬號嗅探、后門程序、FTP 攻擊、NetBIOS、遠(yuǎn)程溢出攻擊、遠(yuǎn)程登錄、病毒、惡意代碼、DDoS、郵件服務(wù)器攻擊、針對CGI 的攻擊、Web 服務(wù)攻擊以及用戶定義的可疑行為、非授權(quán)訪問、欺騙和主機(jī)異常等多種攻擊行為進(jìn)行檢測、識別與攔截。 網(wǎng)絡(luò)管理系統(tǒng)對各類網(wǎng)絡(luò)攻擊行為均記錄在日志數(shù)據(jù)中，數(shù)據(jù)反映了系統(tǒng)整體網(wǎng)絡(luò)環(huán)境特點(diǎn)。

本文收集了2020 年期間網(wǎng)絡(luò)管理系統(tǒng)日志數(shù)據(jù)，結(jié)合公共漏洞數(shù)據(jù)庫CNNVD(China National Vulnerability Database of Information Security，中國國家信息安全漏洞數(shù)據(jù)庫)、CVE(Common Vulnerabilities and Exposures，通漏洞披露)等信息的融合處理，初步形成了網(wǎng)絡(luò)攻擊數(shù)據(jù)共計6 000 余條，每條數(shù)據(jù)均包含了訪問時間、訪問來源、訪問行為、訪問端口、計數(shù)、威脅等級、漏洞類型、威脅類型等信息。 其中，訪問時間、訪問來源、訪問行為、訪問端口、計數(shù)是網(wǎng)絡(luò)攻擊數(shù)據(jù)的攻擊基本信息，從網(wǎng)絡(luò)管理設(shè)備中導(dǎo)出；而威脅等級、漏洞類型、威脅類型是網(wǎng)絡(luò)攻擊數(shù)據(jù)的分級分類信息，反映攻擊行為威脅程度，數(shù)據(jù)內(nèi)容引用CNNVD、CVE 等數(shù)據(jù)進(jìn)行補(bǔ)充完善。數(shù)據(jù)示例如表1 所示。

表1 數(shù)據(jù)樣本片段

2 網(wǎng)絡(luò)環(huán)境威脅數(shù)據(jù)分布

對收集的網(wǎng)絡(luò)管理日志數(shù)據(jù)的攻擊威脅分布進(jìn)行統(tǒng)計特征分析，掌握網(wǎng)絡(luò)環(huán)境威脅的基本特點(diǎn)。 在日志管理數(shù)據(jù)中，威脅等級包括低危、中危、高危、超危四個等級，其中85%的漏洞威脅等級為中危/高危，14%的漏洞為超危等級，僅有 1%的漏洞為低危。

按不同威脅等級分類統(tǒng)計漏洞攻擊次數(shù)隨時間的變化情況，統(tǒng)計結(jié)果如圖 1 所示。 低危漏洞的攻擊僅在t1~t2 時間中出現(xiàn)；中危漏洞在 t2 時間的攻擊次數(shù)遠(yuǎn)高于其他等級，在t3~t4 時間攻擊次數(shù)回落到較低水平后，在t5~t6 時間又持續(xù)上升；對高危漏洞的攻擊同樣在t5~t6 時間持續(xù)上升，并且超過t1~t4 時間；超危漏洞的攻擊次數(shù)在 t2 時間高于其他時間段，在 t4 時間降到最低點(diǎn)，而后在 t5、t6 時間緩慢上升。 初步判斷，t2 時間和t6 時間的整體威脅指數(shù)較大，t4 時間和t1 時間整體威脅指數(shù)小于其他時間。 系統(tǒng)威脅整體呈上升趨勢。

圖1 攻擊威脅時間分布

3 網(wǎng)絡(luò)環(huán)境威脅綜合評估模型構(gòu)建

3.1 評估模型構(gòu)建

上述分析中，對系統(tǒng)網(wǎng)絡(luò)威脅程度的理解通過多主題、多維度的網(wǎng)絡(luò)日志數(shù)據(jù)分析評估所得，分析結(jié)果不夠直觀，特別是對系統(tǒng)的整體情況和發(fā)展趨勢的識別仍不夠準(zhǔn)確。 本文采用集對分析方法，研究構(gòu)建網(wǎng)絡(luò)環(huán)境威脅評估模型，綜合計算評估網(wǎng)絡(luò)環(huán)境威脅指數(shù)。

網(wǎng)絡(luò)安全風(fēng)險評估模型一般包括危險性、脆弱性、可用性、可靠性四個方面的分析[17-18]。 本文重點(diǎn)對網(wǎng)絡(luò)環(huán)境威脅程度進(jìn)行評估，即分析網(wǎng)絡(luò)環(huán)境在危險性指標(biāo)上的表現(xiàn)。 對于網(wǎng)絡(luò)危險性指標(biāo)，基于本文作者收集的網(wǎng)絡(luò)管理日志數(shù)據(jù)，分為流量、威脅等級、相關(guān)度三類威脅方向。 不同指標(biāo)數(shù)值反映了不同網(wǎng)絡(luò)危險程度，例如，網(wǎng)絡(luò)流量的分布體現(xiàn)了危險的分布概率，流量越大，危險概率越大。對于每一類威脅方向，從基礎(chǔ)情況和變化情況兩個維度細(xì)化指標(biāo)，確定了網(wǎng)絡(luò)漏洞流量、網(wǎng)絡(luò)漏洞等級、網(wǎng)絡(luò)攻擊等級流量、網(wǎng)絡(luò)漏洞變化量、網(wǎng)絡(luò)漏洞等級變化量、網(wǎng)絡(luò)漏洞等級變化流量、網(wǎng)絡(luò)攻擊相關(guān)性、網(wǎng)絡(luò)攻擊相關(guān)度流量共計8 項(xiàng)評估指標(biāo)。 基于網(wǎng)絡(luò)威脅主題和分析維度構(gòu)建的網(wǎng)絡(luò)環(huán)境威脅指標(biāo)體系如表2 所示。 各項(xiàng)指標(biāo)分配一定權(quán)重，表示指標(biāo)對系統(tǒng)模型的影響程度，指標(biāo)取值依據(jù)風(fēng)險等級，劃分為高風(fēng)險、中風(fēng)險、低風(fēng)險三類。

表2 網(wǎng)絡(luò)環(huán)境威脅指標(biāo)體系

運(yùn)用集對分析理論，構(gòu)建系統(tǒng)網(wǎng)絡(luò)環(huán)境威脅綜合評估模型，如式(1)～式(3)所示。 式(1)中，μm表示某個網(wǎng)絡(luò)威脅指標(biāo)的聯(lián)系數(shù)，反映網(wǎng)絡(luò)威脅中該指標(biāo)項(xiàng)的確定性高威脅影響(am)、不確定性威脅影響(bm)以及確定性低威脅影響(cm)。 式(2)中，μ 表示系統(tǒng)網(wǎng)絡(luò)環(huán)境威脅評估聯(lián)系數(shù)，根據(jù)聯(lián)系數(shù)加法性質(zhì)[13]，由各個指標(biāo)分量加權(quán)綜合求得，wm表示指標(biāo)項(xiàng)的權(quán)重。 式(3)由式(1)、式(2)推導(dǎo)得出，即系統(tǒng)網(wǎng)絡(luò)環(huán)境威脅的整體評估由各個指標(biāo)分量的確定性高威脅影響、不確定性威脅影響以及確定性的低威脅影響依據(jù)指標(biāo)對模型的作用力(wm)綜合評價。

基于聯(lián)系數(shù)的系統(tǒng)網(wǎng)絡(luò)環(huán)境威脅綜合評估模型，運(yùn)用聯(lián)系數(shù)、偏聯(lián)系數(shù)、集對勢等集對分析理論工具進(jìn)行數(shù)據(jù)分析，一方面，分析系統(tǒng)在單一指標(biāo)中的網(wǎng)絡(luò)風(fēng)險程度及網(wǎng)絡(luò)威脅變化趨勢，另一方面，綜合評價系統(tǒng)整體的網(wǎng)絡(luò)風(fēng)險程度和網(wǎng)絡(luò)威脅變化趨勢。對于系統(tǒng)或指標(biāo)的當(dāng)前風(fēng)險程度分析，通過模型的集勢分析(a/c、a/(a+c))可得，對于系統(tǒng)或指標(biāo)潛在變化趨勢的分析，通過模型的偏聯(lián)系數(shù)分析可得。

3.2 數(shù)據(jù)處理轉(zhuǎn)換

對于網(wǎng)絡(luò)管理日志數(shù)據(jù)，網(wǎng)絡(luò)威脅各項(xiàng)指標(biāo)的權(quán)重依專家經(jīng)驗(yàn)劃分，其中，流量類指標(biāo)占 0.25(含μ1、μ4)，威脅等 級類指 標(biāo)占 0.4(含 μ2、μ5)，相 關(guān)類指標(biāo)占 0.2(即 μ7)，混 合類指標(biāo)占 0.15(含 μ3、μ6、μ8)。

對于各項(xiàng)指標(biāo)取值，分為高風(fēng)險、中風(fēng)險、低風(fēng)險三類。 流量類指標(biāo)，以閾值劃分為三類：大于 1 000(高風(fēng)險)、大于 100 且小于等于 1 000(中風(fēng)險)、小于等于 100(低風(fēng)險)。 對于威脅等級、相關(guān)度指標(biāo)，基本采用原有分類：高風(fēng)險(含超高風(fēng)險)/高相關(guān)度，中風(fēng)險/中相關(guān)度，低風(fēng)險/低相關(guān)度。 將網(wǎng)絡(luò)管理日志數(shù)據(jù)按以上標(biāo)準(zhǔn)轉(zhuǎn)換處理與歸一化，構(gòu)建系統(tǒng)評估模型的聯(lián)系數(shù)，如表3 所示。

表3 網(wǎng)絡(luò)威脅評估模型聯(lián)系數(shù)

3.3 評估計算

集對勢反映了系統(tǒng)當(dāng)前的風(fēng)險程度，用SHI(μ)=a/c 表示。 當(dāng) SHI(μ)＞1 時，系統(tǒng)風(fēng)險表現(xiàn)為同勢，即高風(fēng)險威脅較低風(fēng)險威脅更大。 當(dāng) SHI(μ)=1 時，系統(tǒng)風(fēng)險表現(xiàn)為均勢，即高風(fēng)險與低風(fēng)險威脅程度相當(dāng)。 當(dāng) SHI(μ)＜1 時，系統(tǒng)風(fēng)險表現(xiàn)為反勢，即 高風(fēng)險較低風(fēng)險威脅程度更小。

偏聯(lián)系數(shù)刻畫了系統(tǒng)在不確定性上的潛在發(fā)展趨勢，例如，一階偏聯(lián)系數(shù)(?μ)反映了從發(fā)展觀點(diǎn)上看某個狀態(tài)(如高風(fēng)險)從鄰近的狀態(tài)(如中風(fēng)險)發(fā)展而來的趨勢。 偏聯(lián)系數(shù)有全偏聯(lián)系數(shù)(?μ)、偏 正 聯(lián) 系 數(shù) (?μ+)、偏 負(fù) 聯(lián) 系 數(shù)(?μ-)，偏 正 聯(lián) 系 數(shù)表示系統(tǒng)正向發(fā)展趨勢，偏負(fù)聯(lián)系數(shù)表示系統(tǒng)反向發(fā)展趨勢，全偏聯(lián)系數(shù)表示系統(tǒng)整體發(fā)展趨勢，默認(rèn)偏聯(lián)系數(shù)指的是全偏聯(lián)系數(shù)。 對于三元聯(lián)系數(shù)，二階偏聯(lián)系數(shù)計算如式(4)所示。 二階偏聯(lián)系數(shù)消除了中間不確定影響(i 分量)，當(dāng)二階偏聯(lián)系數(shù)大于0，說明系統(tǒng)潛在發(fā)展趨勢是正向(即高風(fēng)險)，當(dāng)二階偏聯(lián)系數(shù)小于0，說明系統(tǒng)潛在發(fā)展趨勢是反向(低 風(fēng) 險)。

對于系統(tǒng)中的不確定性分析，i 取值范圍為[-1，1]，當(dāng) i 取[0，1]時，不確定量偏正影響(偏高風(fēng)險)，當(dāng) i取[-1，0]時，不確定量偏負(fù)影響(偏低風(fēng)險)。

根據(jù)集對勢、偏聯(lián)系數(shù)、不確定理論計算系統(tǒng)當(dāng)前狀態(tài)和發(fā)展?fàn)顟B(tài)，其中不確定分析中，i 取-1，0，1。 計算結(jié)果如表 4、表 5 所示。

表4 計算結(jié)果1

表5 計算結(jié)果2

3.4 評估結(jié)果分析

集對勢計算結(jié)果中，綜合集對勢取值略小于1，說明系統(tǒng)集對勢為反勢，根據(jù)取值大小，說明整體風(fēng)險程度略微偏低風(fēng)險。 對于各項(xiàng)指標(biāo)，流量類指標(biāo)(指標(biāo) 1、指標(biāo) 4)集對勢略大于 0、小于 1，在評估中這類指標(biāo)反映的風(fēng)險程度為低風(fēng)險；威脅等級類指標(biāo)(指標(biāo) 2、指標(biāo) 3、指標(biāo) 5)集對勢遠(yuǎn)大于 1，這類指標(biāo)反映出來的風(fēng)險程度為高風(fēng)險；相關(guān)度指標(biāo)(指標(biāo) 7，指標(biāo) 8)大于 1 但數(shù)值不高，這類指標(biāo)反映出來的風(fēng)險程度為高風(fēng)險，但威脅程度不及威脅等級類指標(biāo)。

偏聯(lián)系數(shù)計算結(jié)果中，二階偏聯(lián)系數(shù)為0.000 3，略大于0，說明系統(tǒng)潛在發(fā)展趨勢是高風(fēng)險，其發(fā)展程度較微弱。 對于各個指標(biāo)，相關(guān)度指標(biāo)趨勢為低風(fēng)險，其余指標(biāo)均為高風(fēng)險，說明對系統(tǒng)的威脅發(fā)展中，相關(guān)性威脅程度降低，流量類、威脅等級類威脅程度有提高的趨勢。

系統(tǒng)不確定性分析中，當(dāng)不確定量轉(zhuǎn)換為低風(fēng)險時，系統(tǒng)風(fēng)險程度為低風(fēng)險；當(dāng)不確定量轉(zhuǎn)換為高風(fēng)險時，系統(tǒng)風(fēng)險程度為高風(fēng)險。 當(dāng)不確定量消除時，系統(tǒng)偏低風(fēng)險，這與集對勢中系統(tǒng)整體表現(xiàn)出來的偏低風(fēng)險一致。

4 結(jié)論

網(wǎng)絡(luò)威脅評估是網(wǎng)絡(luò)安全管理的一個方面，本文構(gòu)建的網(wǎng)絡(luò)環(huán)境威脅評估模型通過挖掘網(wǎng)絡(luò)安全管理數(shù)據(jù)，分析了網(wǎng)絡(luò)威脅在特定指標(biāo)上的狀態(tài)和變化趨勢，其計算原理簡單、明了，計算結(jié)果更具分析屬性，便于實(shí)際應(yīng)用。 模型的不足在于其中介紹的評估指標(biāo)及權(quán)重分配，還有待進(jìn)一步在實(shí)踐中完善和改進(jìn)，使評估模型更加完備和實(shí)用。