網(wǎng)絡(luò)安全態(tài)勢感知模型的構(gòu)建

張 睿

（中國石化集團(tuán)共享服務(wù)有限公司 北京 100010）

0 引言

隨著網(wǎng)絡(luò)用戶人數(shù)的增加，數(shù)據(jù)信息更加豐富，查詢速度、覆蓋面有了很大幅度的提升[1]。在此時代背景下，信息泄露問題較為嚴(yán)重，一些惡意軟件入侵用戶設(shè)備網(wǎng)絡(luò)體系，加大了網(wǎng)絡(luò)安全威脅[2]。近年來，開發(fā)的一些網(wǎng)絡(luò)防御工具，未能起到很好的功效，網(wǎng)絡(luò)攻擊問題仍然很嚴(yán)重。網(wǎng)絡(luò)安全影響數(shù)據(jù)信息（cyber threat intelligence，CTI）的出現(xiàn)，為網(wǎng)絡(luò)安全研究開辟了新的路徑[3]。該項(xiàng)技術(shù)借助網(wǎng)絡(luò)安全影響數(shù)據(jù)信息獲取大量數(shù)據(jù)，而后通過數(shù)據(jù)共享與分析，從中挖掘網(wǎng)絡(luò)惡意行為信息，有助于APT的預(yù)防。由于CTI的研究時間比較短，尚未形成較為完善的CTI網(wǎng)絡(luò)態(tài)勢感知模型[4]。本文嘗試從網(wǎng)絡(luò)安全態(tài)勢感知準(zhǔn)確性判斷角度出發(fā)，通過構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知模型，對網(wǎng)絡(luò)運(yùn)行期間的安全性加以診斷。

1 基于網(wǎng)絡(luò)安全影響數(shù)據(jù)信息的網(wǎng)絡(luò)態(tài)勢感知模型

1.1 網(wǎng)絡(luò)安全影響數(shù)據(jù)信息下的態(tài)勢察覺方法

網(wǎng)絡(luò)安全影響數(shù)據(jù)信息指的是一種可以為網(wǎng)絡(luò)威脅的響應(yīng)分析與處理決策提供支撐的技術(shù)，以信息資產(chǎn)醞釀中的證據(jù)性相關(guān)知識、IT信息等為核心，對其含有的標(biāo)示、上下文、能夠執(zhí)行建議、實(shí)施上下文等進(jìn)行威脅響應(yīng)分析與處理，從而達(dá)到快速獲取網(wǎng)絡(luò)安全態(tài)勢診斷結(jié)果的目的[5]。按照網(wǎng)絡(luò)安全影響數(shù)據(jù)信息來源不同，可以將其分為兩種類型，分別是外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息、內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息。

（1）外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息：一般情況下，此項(xiàng)情報(bào)主要用于描述網(wǎng)絡(luò)安全預(yù)警信息、安全事件信息、網(wǎng)絡(luò)公開漏洞信息。

（2）內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息：該類型情報(bào)指的是機(jī)構(gòu)或者企業(yè)網(wǎng)絡(luò)運(yùn)營下產(chǎn)生的網(wǎng)絡(luò)安全影響數(shù)據(jù)信息數(shù)據(jù)，作為業(yè)務(wù)流程、機(jī)構(gòu)或者企業(yè)的內(nèi)部信息資產(chǎn)的保護(hù)支撐。一般情況下，網(wǎng)絡(luò)系統(tǒng)遭受惡意攻擊后，利用入侵系統(tǒng)可以檢測出相關(guān)數(shù)據(jù)集，按照數(shù)據(jù)類別加以分析，經(jīng)過一番對比，最終生成系統(tǒng)內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息，作為網(wǎng)絡(luò)安全態(tài)勢感知工具。

本研究設(shè)計(jì)的威脅態(tài)勢覺察方法是通過處理目標(biāo)系統(tǒng)，挖掘攻擊工具、攻擊目的、網(wǎng)絡(luò)影響相關(guān)信息。借助STIX2.0提取威脅屬性、網(wǎng)絡(luò)威脅對象，將數(shù)據(jù)融合到一起，形成安全事件[6]。通過計(jì)算這些事件的權(quán)重，對其造成的網(wǎng)絡(luò)安全威脅價值展開更加深入的分析，經(jīng)過分析得以獲取內(nèi)源威脅信息。

1.2 態(tài)勢感知模型的構(gòu)建

本研究根據(jù)網(wǎng)絡(luò)安全態(tài)勢分析需求，探究態(tài)勢覺察過程，引入相似度分析方法，構(gòu)建態(tài)勢感知模型。圖1為模型設(shè)計(jì)方案。

該模型中，以網(wǎng)絡(luò)用戶的資產(chǎn)狀態(tài)、風(fēng)險狀態(tài)、日志警告作為信息采集指標(biāo)，對網(wǎng)絡(luò)威脅態(tài)勢要素進(jìn)行采集，采集信息作為態(tài)勢覺察信息支撐。關(guān)于態(tài)勢覺察分為3部分，分別是數(shù)據(jù)預(yù)處理、數(shù)據(jù)建模、覺察結(jié)果。其中，數(shù)據(jù)預(yù)處理包括數(shù)據(jù)篩選與清洗；數(shù)據(jù)建模包括數(shù)據(jù)分析、數(shù)據(jù)關(guān)聯(lián)，即通過數(shù)據(jù)分析，挖掘各個數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，從而創(chuàng)建數(shù)據(jù)關(guān)聯(lián)體系，以便分析。關(guān)于數(shù)據(jù)模型的構(gòu)建，應(yīng)用外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息作為開發(fā)工具，通過相似度分析，生成內(nèi)源威脅信息；覺察結(jié)果分為兩部分，分別是異常攻擊行為、攻擊行為特征，利用數(shù)據(jù)模型進(jìn)行分析，可以獲取這兩項(xiàng)結(jié)果。在此基礎(chǔ)上，通過態(tài)勢理解，將覺察結(jié)果轉(zhuǎn)化為理解結(jié)果，包括兩部分，分別是防御策略、攻擊策略。理解結(jié)果將作為攻防博弈處理支撐，經(jīng)過攻防博弈作業(yè)應(yīng)用，生成投射結(jié)果，包括量化預(yù)測、威脅評估。另外，覺察結(jié)果也將作為STIX結(jié)構(gòu)化分析依據(jù)，經(jīng)過結(jié)構(gòu)化分析與處理，生成內(nèi)源威脅信息，形成內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息。

1.3 相似度分析

威脅價值信息獲取涉及的工具為相似度分析作業(yè)流程如下。

第1步：態(tài)勢觀察結(jié)果。

第2步：STIX拆分為5個部分，分別是Indcator、Tool、Attack Pattern、Observed Data、Vulnerability。

第3步：按照上述數(shù)據(jù)類型，將數(shù)據(jù)融合到一起，形成安全事件。

第4步：采用相似度計(jì)算方法，通過訪問ECTI數(shù)據(jù)庫，對當(dāng)前收集到的網(wǎng)絡(luò)數(shù)據(jù)信息安全性加以判斷，如果網(wǎng)絡(luò)安全性低于或者等于網(wǎng)絡(luò)安全威脅標(biāo)準(zhǔn)，則執(zhí)行第5步，如果網(wǎng)絡(luò)安全性高于網(wǎng)絡(luò)安全威脅標(biāo)準(zhǔn)，更新異常行為數(shù)據(jù)庫，而后返回第3步。

第5步：生成內(nèi)源威脅信息。

1.4 權(quán)重計(jì)算

由于開源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息庫比較龐大，將其與內(nèi)部SI匹配成功的可能性比較低。所以，將安全事件類型作為標(biāo)準(zhǔn)，利用與該類型相同的網(wǎng)絡(luò)安全影響數(shù)據(jù)信息作為分析支撐，經(jīng)過一番情報(bào)分析后，生成安全事件。本研究針對ECTI的分類，使用CAPEC-id進(jìn)行網(wǎng)絡(luò)攻擊分類，更為清晰地統(tǒng)計(jì)每一種網(wǎng)絡(luò)安全影響數(shù)據(jù)信息類型。其中，情報(bào)中的威脅數(shù)據(jù)具有SI特性。

本研究以Indicator為例，討論外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息中Indicator出現(xiàn)的次數(shù)，通過計(jì)算ECTI中出現(xiàn)Indicator的頻率，構(gòu)建目標(biāo)矩陣，對元組下屬性權(quán)重進(jìn)行計(jì)算。按照屬性不同，將Indicator拆分為3種類型，分別是Name、Labels、pattam，出現(xiàn)頻次小組劃分記為idn，統(tǒng)計(jì)不同屬性出現(xiàn)頻次。其中，屬性為Name出現(xiàn)頻次為idn小組的屬性出現(xiàn)次數(shù)記為x1n；屬性為Labels出現(xiàn)頻次為idn小組的屬性出現(xiàn)次數(shù)記為x2n；屬性為pattam出現(xiàn)頻次為idn小組的屬性出現(xiàn)次數(shù)記為x3n。

在此基礎(chǔ)上，計(jì)算ECTI中各個屬性出現(xiàn)頻率，公式如下：

相對優(yōu)越度矩陣中目標(biāo)對象為rij，隨著頻次的增加，網(wǎng)絡(luò)運(yùn)營生成的網(wǎng)絡(luò)安全影響數(shù)據(jù)信息代表性更強(qiáng)。目標(biāo)系統(tǒng)安全狀態(tài)的反映準(zhǔn)確性主要取決于網(wǎng)絡(luò)安全影響數(shù)據(jù)信息準(zhǔn)確性。利用以下公式可以計(jì)算出相對優(yōu)越值rij：

關(guān)于ECTI屬性權(quán)重的計(jì)算如下：

利用上述公式進(jìn)行計(jì)算，獲取Indicator權(quán)重，記為ω′=(ω′11，ω′12，ω′13)。采用同樣的方法可以計(jì)算出屬性權(quán)重，獲取SI中其他元素屬性權(quán)重?cái)?shù)值，記為ω′ij。通過收集和整理網(wǎng)絡(luò)運(yùn)行系統(tǒng)中的安全數(shù)據(jù)，獲取各個元組權(quán)重，記為ωi。同時，也可以計(jì)算元組對應(yīng)的屬性權(quán)重值，記為ωij，以下為權(quán)重的計(jì)算公式：

公式（4）中，yij代表內(nèi)部安全事件發(fā)生次數(shù)。關(guān)于ωi的計(jì)算，通過構(gòu)建數(shù)據(jù)集獲取計(jì)算結(jié)果，即ωi={ωi1,ωi2,…,ωij}。其中，i的取值范圍1，2，3，4，5，j取正整數(shù)。

通過對比ω′ij和ωij，計(jì)算二者的差值。如果差值比較小，則同類ECTI與安全事件的相似性較大，反之，如果差值比較大，則二者之間的相似性較小。

采用同樣的方法，可以計(jì)算ECTI與各個元組的相似度，將計(jì)算結(jié)果中的最大值作為最終分析數(shù)據(jù)，記為外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息與網(wǎng)絡(luò)內(nèi)部安全事件之間的相似度。判斷該結(jié)果是否低于或者等于安全威脅標(biāo)準(zhǔn)，如果符合此情景，則判定當(dāng)前網(wǎng)絡(luò)存在安全威脅。如果該結(jié)果高于安全威脅標(biāo)準(zhǔn)，那么判定當(dāng)前網(wǎng)絡(luò)不存在安全威脅。通過安全態(tài)勢評估獲取當(dāng)前網(wǎng)絡(luò)狀況信息后，采取相應(yīng)的網(wǎng)絡(luò)安全防御措施。

2 基于網(wǎng)絡(luò)安全影響數(shù)據(jù)信息的網(wǎng)絡(luò)安全防攻模型

2.1 網(wǎng)絡(luò)安全攻防模型的構(gòu)建

網(wǎng)絡(luò)運(yùn)行系統(tǒng)遭受攻擊時，往往采取的應(yīng)對措施會對網(wǎng)絡(luò)運(yùn)行狀態(tài)造成較大影響，需要系統(tǒng)更新后才可以使用。當(dāng)新的系統(tǒng)啟動后，仍然面臨著遭受網(wǎng)絡(luò)攻擊的問題，發(fā)現(xiàn)攻擊行為后，再次采取應(yīng)對措施加以處理，更新系統(tǒng)后才可以恢復(fù)系統(tǒng)正常作業(yè)。這個安全攻防過程采用的思想為博弈思想。而這個思想符合本研究提出的基于網(wǎng)絡(luò)安全影響數(shù)據(jù)信息的網(wǎng)絡(luò)安全防攻模型構(gòu)建要求。所以，本研究采用隨機(jī)博弈思想構(gòu)建網(wǎng)絡(luò)攻防模型。圖2為內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息生產(chǎn)主要流程。

第1步：收集內(nèi)源威脅信息。

第2步：將內(nèi)源威脅信息與攻防策略均衡應(yīng)用下的預(yù)測結(jié)果進(jìn)行對比，判斷兩者是否達(dá)成一致，如果能夠達(dá)成一致，那么執(zhí)行第3步，反之，返回第1步。

第3步：生成內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息。

利用該模型在分析問題時，需要采取態(tài)勢量化處理。當(dāng)目標(biāo)系統(tǒng)遭受攻擊后，當(dāng)防御方采取一些處理措施后，帶來的收益、成本、效用將發(fā)生很大變化。

根據(jù)MIT林肯實(shí)驗(yàn)室的研究結(jié)果，獲取攻擊分類信息，通過查看威脅行為攻擊示意圖中各個信息之間的關(guān)系，將網(wǎng)絡(luò)安全影響數(shù)據(jù)信息劃分為6種類型。其中，網(wǎng)絡(luò)安全影響數(shù)據(jù)信息類型相同的情況下，各個網(wǎng)絡(luò)安全影響數(shù)據(jù)信息的威脅度均相同，見表1。

表1 威脅度與網(wǎng)絡(luò)安全影響數(shù)據(jù)信息分類

關(guān)于網(wǎng)絡(luò)攻擊防御成本的分類，以外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息處置期間的復(fù)雜程度作為劃分標(biāo)準(zhǔn)，生成4個級別。

DC1級別：該級別沒有采用任何的防御措施，需要付出的網(wǎng)絡(luò)運(yùn)行操作代價為0。

DC2級別：該級別雖然采取的一些防御措施，但是采取的防御措施成本很小。例如，對攻擊行為展開部分監(jiān)測等。

DC3級別：針對網(wǎng)絡(luò)運(yùn)行系統(tǒng)攻擊行為，采取一些阻止性能措施加以防御，該行為需要支出的成本偏高。

DC4級別：修復(fù)網(wǎng)絡(luò)運(yùn)行系統(tǒng)的攻擊安全漏洞，該防御處理措施需要付出的操作成本很大，同時也會對系統(tǒng)造成一定損害。

采用量化分析方法，對操作代價采取處理，需要付出的網(wǎng)絡(luò)攻擊防御處理成本記為DC，取值范圍DC=（0，3，9，11）。

2.2 網(wǎng)絡(luò)安全攻擊預(yù)測

博弈期間，經(jīng)過納什均衡處理后生成的博弈策略均為最優(yōu)方案。當(dāng)攻擊者對網(wǎng)絡(luò)進(jìn)行攻擊時，網(wǎng)絡(luò)防御方希望盡可能降低預(yù)防成本，從中獲取更為可觀的利益。面對此類情況，根據(jù)納什均衡操作特點(diǎn)，處理后一定可以得到均衡點(diǎn)。所以，本研究選取納什均衡作為預(yù)測工具，提出攻擊預(yù)測方案研究。

攻防期間，攻擊方與防御方采取的策略均存在盲點(diǎn)，所以，在不改動納什均衡的情況下無法得到準(zhǔn)確的網(wǎng)絡(luò)安全攻擊預(yù)測結(jié)果。關(guān)于納什均衡在安全攻擊預(yù)測中的應(yīng)用，假設(shè)網(wǎng)絡(luò)安全防御、網(wǎng)絡(luò)安全攻擊需要根據(jù)概率向量選擇具體的應(yīng)對策略，通過構(gòu)建混合策略，形成安全防御、安全攻擊預(yù)測體系。根據(jù)攻擊者效益期望值，推算防御者效益期望值。從混合策略中找到均衡效用期望，作為預(yù)測最優(yōu)值。將此部分參數(shù)作為預(yù)測分析依據(jù)，對網(wǎng)絡(luò)安全攻擊展開全面預(yù)測。

3 測試分析

3.1 測試內(nèi)容與方法

3.1.1 威脅覺察

本次實(shí)驗(yàn)測試中ECTI包括CAPEC-122、CAPEC-185、CAPEC-47、CAPEC-24，對這些對象加以威脅覺察，從中挖掘網(wǎng)絡(luò)攻擊信息。按照表2中的攻擊種類與時間，對外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息與攻擊信息之間的相似度進(jìn)行計(jì)算，根據(jù)計(jì)算結(jié)果判斷此部分信息是否可以生成內(nèi)源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息。

表2 攻擊種類與時間

表2中，將時間設(shè)置為周一、周二、周三、周四、周五，分別在每一天設(shè)置攻擊時段，在各個時段展開威脅覺察測試。

3.1.2 攻擊預(yù)測

本次測試分析選取5處主機(jī)漏洞作為預(yù)測對象，采用如表3所示的防御方法進(jìn)行處理，預(yù)測網(wǎng)絡(luò)攻擊情況。為了體現(xiàn)本研究方法的優(yōu)勢，選取Verhulst灰色模型、RBF神經(jīng)網(wǎng)絡(luò)作為對照。

表3 系統(tǒng)漏洞信息與防御

3.2 測試結(jié)果分析

3.2.1 威脅覺察測試結(jié)果

本次測試中，ECT中Indicator屬性出現(xiàn)頻次見表4。根據(jù)該表中的數(shù)據(jù)，構(gòu)建Indicator目標(biāo)矩陣。

表4 ECT中Indicator屬性出現(xiàn)頻次

計(jì)算外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息權(quán)重為（0.24，0.41，0.32），其他元組的屬性權(quán)重為（0.57，0.43）、（0.57，0.43）、（1）（0.34，0.324，0.324）。通過計(jì)算各個元組權(quán)重，對比外源網(wǎng)絡(luò)安全影響數(shù)據(jù)信息與安全事件，得到相似度結(jié)果為0.24。按照0.5的對比標(biāo)準(zhǔn)，判定當(dāng)前事件具有威脅價值。此覺察結(jié)果符合威脅行為挖掘標(biāo)準(zhǔn)。

3.2.2 攻擊預(yù)測測試結(jié)果

按照測試方法，分別對3種預(yù)測方法的預(yù)測結(jié)果精度進(jìn)行統(tǒng)計(jì)。其中，Verhulst灰色模型的攻擊預(yù)測標(biāo)準(zhǔn)差結(jié)果為0.1069；RBF神經(jīng)網(wǎng)絡(luò)的攻擊預(yù)測標(biāo)準(zhǔn)差結(jié)果為0.0478；本研究方法的攻擊預(yù)測標(biāo)準(zhǔn)差結(jié)果為0.0426。根據(jù)此預(yù)測結(jié)果可以發(fā)現(xiàn)，本研究方法的預(yù)測標(biāo)準(zhǔn)差結(jié)果最小，所以，該方法應(yīng)用下生成的攻擊預(yù)測結(jié)果精度更高，可以作為網(wǎng)絡(luò)安全威脅預(yù)測工具。

4 結(jié)語

本文圍繞網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測問題展開研究，利用網(wǎng)絡(luò)安全影響數(shù)據(jù)信息構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知模型。該模型以網(wǎng)絡(luò)用戶的資產(chǎn)狀態(tài)、風(fēng)險狀態(tài)、日志警告作為信息采集指標(biāo)，采集到的網(wǎng)絡(luò)威脅態(tài)勢要素信息作為態(tài)勢覺察信息支撐，通過威脅覺察獲取一定信息，經(jīng)過安全態(tài)勢評估與預(yù)測，得到網(wǎng)絡(luò)安全預(yù)測結(jié)果，為網(wǎng)絡(luò)防御工作的開展奠定基礎(chǔ)。測試結(jié)果顯示，本研究方案能夠有效覺察，測試精準(zhǔn)度較高，有助于網(wǎng)絡(luò)安全威脅預(yù)測水平的提升。