基于證據(jù)推理的無線網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估

徐 健,馮寶龍

(東北農(nóng)業(yè)大學(xué),黑龍江 哈爾濱 150038)

1 引言

隨著互聯(lián)網(wǎng)技術(shù)普及力度的提升,無線網(wǎng)絡(luò)開始面臨著不同類型的安全威脅,例如木馬、蠕蟲攻擊等,新的攻擊形式層出不窮[1]。當(dāng)前,網(wǎng)絡(luò)攻擊行為具有組織嚴(yán)密、目標(biāo)直接化等特點(diǎn),如何保障網(wǎng)絡(luò)安全是有關(guān)領(lǐng)域?qū)W者研究的重要課題。目前,網(wǎng)絡(luò)安全技術(shù)只能探測(cè)到部分攻擊,對(duì)于復(fù)雜、大規(guī)模的攻擊卻無能為力,更不能直接防御某些攻擊所帶來的威脅[2]。當(dāng)前普遍采用防火墻技術(shù)保護(hù)網(wǎng)絡(luò)安全,但大多是局部防御,無法全面了解無線網(wǎng)絡(luò)運(yùn)行狀況與隱患。

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估問題,文獻(xiàn)[3]采用熵關(guān)聯(lián)度把警報(bào)信息變換成態(tài)勢(shì)時(shí)間樣本序列,運(yùn)用可變域空間得到預(yù)測(cè)初始值,使用時(shí)變加權(quán)馬爾可夫鏈預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。但方法復(fù)雜度高,無法在較短時(shí)間內(nèi)完成預(yù)期安全態(tài)勢(shì)評(píng)估目標(biāo)。文獻(xiàn)[4]離散化處理態(tài)勢(shì)指標(biāo),采用貝葉斯網(wǎng)絡(luò)逐層向上融合至態(tài)勢(shì)層,獲得網(wǎng)絡(luò)態(tài)勢(shì)評(píng)定結(jié)果。但該方法沒有考慮網(wǎng)絡(luò)時(shí)序特征,導(dǎo)致評(píng)估結(jié)果精度不高。

為此,本文提出一種證據(jù)推理規(guī)則下無線網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法。在創(chuàng)建無線網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)的基礎(chǔ)上,使用模糊調(diào)度策略收集網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù),并分析網(wǎng)絡(luò)入侵攻擊告警情況,通過證據(jù)推理規(guī)則實(shí)現(xiàn)高精度網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià),在仿真中進(jìn)一步驗(yàn)證了所提方法的可用性,為今后優(yōu)化無線網(wǎng)絡(luò)抗攻擊性能發(fā)揮重要作用。

2 安全態(tài)勢(shì)評(píng)估指標(biāo)體系構(gòu)建

無線網(wǎng)絡(luò)安全指標(biāo)體系創(chuàng)建的核心思想為:依照無線網(wǎng)絡(luò)安全性能要素創(chuàng)建基礎(chǔ)評(píng)估指標(biāo)架構(gòu),為了更完整地衡量入侵攻擊特征[5],還要考慮攻擊屬性要素。安全屬性劃分如下:

1)保密性:不向未經(jīng)授權(quán)用戶或?qū)嶓w展現(xiàn)網(wǎng)絡(luò)信息特征;

2)完整性:在沒有經(jīng)過許可的情況下,網(wǎng)絡(luò)信息不會(huì)被隨意刪除、修改、偽造;

3)可靠性:可靠性是指在一定時(shí)間下,網(wǎng)絡(luò)信息系統(tǒng)可以實(shí)現(xiàn)指定功能。無線網(wǎng)絡(luò)系統(tǒng)中,安全可靠度分為抗毀性、生存性和有效性三大類[6]?？箵p性是指在人為破壞情況下系統(tǒng)的可靠度;生存性指由隨機(jī)入侵和移動(dòng)引起的網(wǎng)絡(luò)拓?fù)涓淖?對(duì)網(wǎng)絡(luò)可靠度的影響;有效性表示當(dāng)網(wǎng)絡(luò)遭受攻擊時(shí),系統(tǒng)各部分發(fā)生故障后,能否依舊為用戶提供網(wǎng)絡(luò)服務(wù)的能力;

4)可用性:表示網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)和系統(tǒng)能夠持久、高效地運(yùn)行,允許使用者在任何時(shí)間、地點(diǎn)進(jìn)行資源分享和互動(dòng)。

入侵攻擊的屬性要素包含攻擊時(shí)間、網(wǎng)絡(luò)等級(jí)、攻擊代價(jià)。攻擊時(shí)間是指在達(dá)到預(yù)定目標(biāo)前的持續(xù)時(shí)長(zhǎng)[7];網(wǎng)絡(luò)等級(jí)指網(wǎng)絡(luò)的重要性;攻擊代價(jià)是指進(jìn)行一次入侵攻擊時(shí),所需要的技術(shù)需求以及消耗設(shè)施數(shù)量等。根據(jù)以上分析,可得出如圖1所示的無線網(wǎng)絡(luò)安全性指標(biāo)體系。

圖1 安全態(tài)勢(shì)評(píng)估指標(biāo)體系

3 無線網(wǎng)絡(luò)數(shù)據(jù)采集與入侵告警

為完成可靠的入侵攻擊下無線網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估,使用子空間辨識(shí)法創(chuàng)建網(wǎng)絡(luò)安全態(tài)勢(shì)分布模型,運(yùn)用A個(gè)單分布節(jié)點(diǎn)監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài),融合模糊調(diào)度策略組建網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)采集模型[8],得到網(wǎng)絡(luò)安全態(tài)勢(shì)特征序列,記作

B={B1,B2,…,BN}

(1)

式中,BN是無線網(wǎng)絡(luò)安全態(tài)勢(shì)空間分布中第N個(gè)特征矢量。

空間分布特征矢量之間為正態(tài)相關(guān),倘若B滿足K分布函數(shù),則網(wǎng)絡(luò)安全態(tài)勢(shì)傳輸控制的信道模型為

x(n)=c(n)+d(n)

(2)

式中,c(n)是入侵攻擊下無線網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的向量數(shù)據(jù)集,d(n)是無線網(wǎng)絡(luò)態(tài)勢(shì)分布特征數(shù)據(jù)集。

使用信道均衡調(diào)整策略,重構(gòu)網(wǎng)絡(luò)安全態(tài)勢(shì)特征空間,在重構(gòu)的矢量數(shù)據(jù)集內(nèi)實(shí)現(xiàn)安全態(tài)勢(shì)數(shù)據(jù)序列統(tǒng)計(jì)[9]。統(tǒng)計(jì)輸出的特征量為

(3)

式中,an(t)是網(wǎng)絡(luò)安全調(diào)試不均衡特征,γn(t)是網(wǎng)絡(luò)頻段的輸出延時(shí),fc是網(wǎng)絡(luò)信道調(diào)制頻度,l是網(wǎng)絡(luò)波動(dòng)特征向量。

入侵攻擊下采集無線網(wǎng)絡(luò)數(shù)據(jù)時(shí),一般會(huì)生成大量告警數(shù)據(jù),為有效定義告警數(shù)據(jù)中網(wǎng)絡(luò)安全態(tài)勢(shì)的有效性,引入告警質(zhì)量因子,表示成

Ale=CA1×CA1×…×CAn

(4)

式中,(A1,A2,…,An)是告警屬性,CAi是屬性Ai的取值范圍。告警屬性不但涵蓋告警的基礎(chǔ)屬性,譬如告警源IP、目標(biāo)IP、類型等信息,也涵蓋告警的統(tǒng)計(jì)特征,如告警頻率Alf、告警重要水平Alc和告警嚴(yán)重水平Als等。

Alf是告警出現(xiàn)頻率,代表單位時(shí)間中告警出現(xiàn)的對(duì)應(yīng)數(shù)量。將告警頻率看作告警質(zhì)量的統(tǒng)計(jì)特性,描述為

(5)

式中,mi是第i條告警信息,P是全部告警個(gè)數(shù)。

Alc是告警重要水平,代表無線網(wǎng)絡(luò)安全狀況產(chǎn)生變化的高低水準(zhǔn),告警重要水平越大,證明網(wǎng)絡(luò)安全狀況產(chǎn)生變化的概率越高[10]。如果在數(shù)據(jù)采集時(shí)產(chǎn)生新的告警信息,表明網(wǎng)絡(luò)正處于被攻擊狀態(tài)。依照告警出現(xiàn)的情況劃分成三種類型:在此次數(shù)據(jù)采樣周期中已出現(xiàn)過的告警、在前O個(gè)周期中出現(xiàn)過的告警、在前O個(gè)周期中沒出現(xiàn)過的告警。

Als是告警嚴(yán)重水平,描述了告警產(chǎn)生的負(fù)面影響。該值越大,證明其對(duì)網(wǎng)絡(luò)安全的影響越高,把告警嚴(yán)重水平劃分成高、中、低三個(gè)級(jí)別[11]。

由此可知,告警出現(xiàn)頻率、重要水平與嚴(yán)重水平是決定告警質(zhì)量的核心要素,每個(gè)屬性值均為告警質(zhì)量的量化元素,把告警質(zhì)量描述成每個(gè)屬性值連線生成的面積總和,記作

(6)

式中,Si是告警連線面積取值的臨界值。

4 安全態(tài)勢(shì)量化評(píng)估實(shí)現(xiàn)

證據(jù)推理規(guī)則是量化評(píng)估中最常用的方法,無需大量訓(xùn)練樣本,運(yùn)算速率快[12]。證據(jù)推理規(guī)則計(jì)算中,首先設(shè)定一個(gè)雙層架構(gòu),頂層屬性R在底層具有k′個(gè)基礎(chǔ)屬性{r1,r2,…,rk′}?；A(chǔ)屬性權(quán)重是{ω1,ω2,…,ωk′},且滿足0≤ωi≤1。倘若包含S個(gè)安全態(tài)勢(shì)量化評(píng)估等級(jí){H1,H2,…,HS},則將屬性ri的評(píng)估過程定義為

(7)

將基礎(chǔ)概率指派函數(shù)[13]表示成

(8)

分析剩余基礎(chǔ)概率指派函數(shù),并將其劃分成兩部分,依次記作

(9)

(10)

基于攻擊行為和正常行為峰值,提出了一種基于攻擊和常規(guī)行為相結(jié)合的安全策略來衡量網(wǎng)絡(luò)安全態(tài)勢(shì)變化。網(wǎng)絡(luò)資源的更改是影響網(wǎng)絡(luò)安全形勢(shì)的重要因素[14]。無線網(wǎng)絡(luò)中CPU和存儲(chǔ)資源均為核心資源,如果網(wǎng)絡(luò)中發(fā)生入侵攻擊,會(huì)降低網(wǎng)絡(luò)性能,甚至出現(xiàn)故障。不同的攻擊行為還會(huì)引發(fā)磁盤資源變化,且這些行為都隱含于數(shù)據(jù)流中。

本文采用流量、CPU利用率、內(nèi)存消耗、硬盤消耗等安全因素量化評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì),并把四個(gè)安全因素設(shè)定成證據(jù)推理規(guī)則中的基礎(chǔ)屬性。依照上述內(nèi)容,設(shè)定頂層的屬性R是無線網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí),底層屬性包含正常行為與攻擊行為。將量化評(píng)估整體結(jié)構(gòu)表示成圖2。

圖2 無線網(wǎng)絡(luò)安全態(tài)勢(shì)量化整體結(jié)構(gòu)

為獲取安全態(tài)勢(shì)證據(jù),采集到數(shù)據(jù)后要對(duì)其采取預(yù)處理,將數(shù)據(jù)預(yù)處理解析式記作

r={r1{r11,r12,r13,r14},r2{r21,r22,r23,r24}}

(11)

式中,r1是正常行為,r2是攻擊行為,r11～r14、r21～r24依次為正常行為與攻擊行為下的內(nèi)存消耗、流量、CPU利用率及磁盤消耗情況。

以600s為一個(gè)統(tǒng)計(jì)時(shí)段,基礎(chǔ)屬性的值是600s內(nèi)超過指定臨界值的次數(shù),若網(wǎng)絡(luò)流量特征值超出0.7,則網(wǎng)絡(luò)極有可能處在危險(xiǎn)狀態(tài),為此將臨界值設(shè)置為0.7。無線網(wǎng)絡(luò)安全狀態(tài)對(duì)內(nèi)存消耗、CPU利用率與流量的影響極大[15],對(duì)磁盤消耗的影響較小。與正常行為相比,入侵攻擊行為對(duì)網(wǎng)絡(luò)形成的損耗較為嚴(yán)重,因此將r1的證據(jù)權(quán)重設(shè)定為0.2,r2的證據(jù)權(quán)重為0.8,將量化評(píng)估等級(jí)劃分成優(yōu)秀、良好、一般、較差四個(gè)級(jí)別。

為得到評(píng)估等級(jí)的信任度,運(yùn)用式(12)明確預(yù)處理后的網(wǎng)絡(luò)數(shù)據(jù)特征:

(12)

式中,W(ri)是證據(jù)ri的輸出值。

使用證據(jù)推理規(guī)則頂層屬性R評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)處于何種程度,過程為:

步驟1:計(jì)算正常行為下網(wǎng)絡(luò)基礎(chǔ)屬性,并分析其信任度;

步驟2:計(jì)算入侵攻擊行為下網(wǎng)絡(luò)基礎(chǔ)屬性,并分析其信任度;

步驟3:推算兩種行為下的概率指派函數(shù),計(jì)算網(wǎng)絡(luò)全局信任度。

運(yùn)用以上過程即可獲得網(wǎng)絡(luò)安全的最終信任度,但網(wǎng)絡(luò)管理員很難依照評(píng)估結(jié)果進(jìn)行決策,還需運(yùn)用式(13)進(jìn)行安全態(tài)勢(shì)量化

(13)

式中,M′是量化迭代次數(shù)。

根據(jù)式(13)獲得網(wǎng)絡(luò)安全態(tài)勢(shì)最終輸出值,態(tài)勢(shì)值越大,證明網(wǎng)絡(luò)危險(xiǎn)指數(shù)越高。

5 實(shí)驗(yàn)分析

為證明所提方法的可靠性,本文使用林肯實(shí)驗(yàn)室DARPA2000中的LLDOS2.0數(shù)據(jù)集實(shí)現(xiàn)無線網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,實(shí)驗(yàn)平臺(tái)為MATLAB。LLDOS2.0數(shù)據(jù)集涵蓋一個(gè)完整的DDOS入侵攻擊場(chǎng)景的網(wǎng)絡(luò)流量,攻擊者會(huì)掃描若干網(wǎng)段,探尋網(wǎng)絡(luò)活躍主機(jī),分析主機(jī)是否存在漏洞并獲得root權(quán)限,最后對(duì)主機(jī)發(fā)起DDOS入侵攻擊。

為再現(xiàn)入侵攻擊場(chǎng)景情況,利用流量重放技術(shù)Tcpreplay重放流量信息,把初始流量安置在入侵檢測(cè)系統(tǒng)snort內(nèi),通過snort完成數(shù)據(jù)分析、儲(chǔ)存告警日志等工作,將入侵者不同階段的攻擊步驟記作表1,呈現(xiàn)其攻擊狀態(tài)全過程。

表1 LLDOS2.0攻擊說明

利用表1中的數(shù)據(jù),設(shè)定入侵攻擊時(shí)間為9:30-11:40,圖3為所提方法下得到的攻擊場(chǎng)景中節(jié)點(diǎn)態(tài)勢(shì)變化情況。

圖3 攻擊場(chǎng)景下所提方法節(jié)點(diǎn)態(tài)勢(shì)變化

從圖3可以看出,9:30分之前,節(jié)點(diǎn)態(tài)勢(shì)值較低,證明此刻節(jié)點(diǎn)沒有受到外部攻擊;在10:05時(shí),節(jié)點(diǎn)態(tài)勢(shì)在提高至20后逐步減少,出現(xiàn)一個(gè)波峰,這是因?yàn)榇藭r(shí)段受到攻擊者的掃描攻擊,之后的下降態(tài)勢(shì)是由于攻擊者沒有進(jìn)行下一步攻擊操作;在10:05-10:35時(shí)段,網(wǎng)絡(luò)節(jié)點(diǎn)態(tài)勢(shì)升高并保持在30左右,此階段攻擊者正采取漏洞掃描主機(jī)操作;10:35-11:25時(shí)段,節(jié)點(diǎn)態(tài)勢(shì)經(jīng)過緩慢升高與迅速升高,在此階段攻擊者給主機(jī)安裝木馬病毒;11:25-11:40時(shí)段,節(jié)點(diǎn)態(tài)勢(shì)快速提升至峰值,證明此階段攻擊者已經(jīng)發(fā)起了DDOS攻擊,在11:50后節(jié)點(diǎn)態(tài)勢(shì)緩慢下降,證明攻擊結(jié)束,無更多告警數(shù)據(jù)產(chǎn)生。由此可知,本文方法能清晰地展現(xiàn)出攻擊者惡意入侵的全部過程,精準(zhǔn)識(shí)別攻擊者對(duì)目標(biāo)主機(jī)的攻擊階段,實(shí)用性強(qiáng)。

為進(jìn)一步表明所提方法優(yōu)越性,對(duì)其進(jìn)行對(duì)比實(shí)驗(yàn),對(duì)比方法為文獻(xiàn)[3]自修正系數(shù)修勻法和文獻(xiàn)[4]貝葉斯法。依舊沿用表1的攻擊步驟,以節(jié)點(diǎn)被攻陷概率為衡量指標(biāo),驗(yàn)證三種方法安全態(tài)勢(shì)評(píng)估敏感性,敏感性越高,證明其評(píng)估結(jié)果越準(zhǔn)確,仿真結(jié)果如圖4所示。

圖4 三種方法下節(jié)點(diǎn)被攻陷概率對(duì)比示意圖

從圖4可以看出,所提方法獲得的被攻陷概率在10:35開始呈上升趨勢(shì),但隨后逐漸下降,在11:28再次上升且表現(xiàn)出較大的概率值,在頂峰階段產(chǎn)生略微波動(dòng);自修正系數(shù)修勻法計(jì)算獲得的被攻陷概率表現(xiàn)出兩極化趨勢(shì),11:25之前節(jié)點(diǎn)被攻陷概率接近于0,后面的被攻陷概率接近于1,呈現(xiàn)極不穩(wěn)定的計(jì)算結(jié)果;貝葉斯法得到的節(jié)點(diǎn)被攻陷概率多數(shù)保持在20%左右,無法感知入侵攻擊的動(dòng)態(tài)變化。由此看出,所提方法對(duì)入侵攻擊行為具備更好的敏感性,得到的被攻陷概率更貼合真實(shí)情況。

安全態(tài)勢(shì)量化評(píng)估效率也是衡量方法性能優(yōu)劣的必要條件,設(shè)置入侵攻擊模式為口令攻擊,實(shí)驗(yàn)數(shù)量為70次,以每10次為一個(gè)實(shí)驗(yàn)周期,將各周期的時(shí)間均值擬作對(duì)比目標(biāo),三種方法量化評(píng)估時(shí)間如圖5所示。

圖5 無線網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估時(shí)間對(duì)比

觀察圖5可以看到,所提方法在全部實(shí)驗(yàn)周期中均具備較低的評(píng)估時(shí)長(zhǎng),顯著降低了算法的復(fù)雜度,計(jì)算效率得到極大提高,為快速評(píng)估無線網(wǎng)絡(luò)安全態(tài)勢(shì)提供可靠理論支撐。

6 結(jié)論

面向現(xiàn)有無線網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法缺少對(duì)攻擊方、防御方等態(tài)勢(shì)要素關(guān)聯(lián)計(jì)算的不足,提出一種證據(jù)推理規(guī)則下安全態(tài)勢(shì)量化評(píng)估策略。所提方法能有效劃分入侵攻擊等級(jí),依照不同的攻擊情況挑選恰當(dāng)?shù)姆烙鶛C(jī)制。在仿真中也證明了方法的可靠性與合理性,為無線網(wǎng)絡(luò)攻擊預(yù)測(cè)與全方位安全態(tài)勢(shì)量化提供解決思路。

接下來研究中,會(huì)引入云儲(chǔ)存技術(shù),改進(jìn)安全態(tài)勢(shì)量化的儲(chǔ)存規(guī)模,進(jìn)一步完善方法的實(shí)際應(yīng)用性能,令其在現(xiàn)實(shí)場(chǎng)景中更具操作優(yōu)勢(shì)。