基于链路性能分析的网络安全态势评估
时间:2022-08-22 05:37:29
摘要:
针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题,提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论,提出了基于链路性能分析的网络安全态势评估模型。在态势值计算过程中,首先计算不同时段各链路的安全态势值,并把结果以矩阵形式表现出来;然后,将各链路安全态势值进行加权融合,得到不同时段的网络安全态势值,并以向量形式表示。实验结果证明,所提方法能够反映网络局部和整体的安全状况变化,并且对未知攻击具有良好的感知能力,给网络安全管理带来了方便。
关键词:
融合;性能分析;链路安全态势;网络安全态势;未知攻击
0引言
作为网络管理发展的必然趋势,网络态势感知能够在急剧动态变化的复杂环境中高效组织各种信息,将已有的表示网络局部特征的指标综合化,使其能够表示网络的宏观、整体状态,从而加强对网络的管理和控制,方便网络管理员对网络的理解。Tim Bass首次提出网络安全态势感知的概念,并且指出“基于融合的网络态势感知”必将成为网络管理的发展方向[1]。网络管理的需求和广阔的应用前景,共同奠定了网络态势感知的重要地位,有关研究也不断深入。
态势评估作为网络安全态势感知的核心,其研究浩如烟海,传统方法包括贝叶斯技术、基于知识的方法、人工神经网络、模糊逻辑技术,引入的新理论有集对分析、DS证据理论、粗集理论、灰关联分析、聚类分析等。而对于网络这个复杂巨系统的表示,往往使用层次结构模型。因此,层次结构与权重分析相结合是网络安全态势评估方法的主流。比如,陈秀真等[2]使用层次结构建立威胁评估模型,结合权重分析实现安全态势的量化评估。韦勇等[3]使用权重分析逐层汇聚态势要素和节点态势,计算网络安全态势,进一步结合实际性能信息修正节点安全态势值[4]。Fu等[5]在总结层次化分析模型的基础上提出了面向系统容忍性的网络安全态势评估方法。Ahmed等[6]对网络中存在的脆弱点进行安全评估,提出了一个层次化的网络安全测度框架。张永铮等[7]提出了一个多维属性指数分类模型为建构多层次安全指数体系提供了基础。运用层次结构与权重分析相结合的方法还有很多,但是它们有两个共同的缺陷:1)以主机节点为可测对象的最小元素,首先计算主机节点的安全态势,然后与节点权重结合计算得到网络安全态势。此计算过程将网络节点视为独立,而事实上节点之间是相互影响的。比如,当一台主机遭受拒绝服务(Denial of Service, DoS)攻击后,其网络带宽使用率骤增,同一路径上其他主机的可利用带宽随之减少。2)现有层次化模型大多是基于已知攻击的,它们融合现有网络安全检测设备收集的攻击事件信息作为数据基础,对于未知攻击(即网络安全检测设备检测不到的攻击)无能为力。
针对上述问题,本文提出基于链路性能分析的网络安全态势评估方法,以网络链路为可测对象的最小元素来建立网络安全态势评估模型,通过测量分析链路上的客观性能信息来评估网络的安全状况,对未知攻击具有良好的感知能力,是基于已知攻击评估网络安全态势的很好补充。
1评估模型
1.1攻击分类
如表1所示,根据人们对攻击的熟知程度可将攻击分为已知攻击和未知攻击。它们都以破坏网络的安全特性为目的。虽然未知攻击不能像已知攻击那样用网络安全检测设备来察觉,但可以通过其引起的性能指标变化来感知发现。对于网络信息的保密性、完整性、可靠性、可用性等安全特性,都有一些重要的性能指标[8]。根据攻击目的和网络环境不同,选取的性能指标集应该各有侧重。本文以网络系统的可用性为例,介绍网络安全态势的模型及其计算方法。
1.2评估模型
文献[9]指出计算机网络是自主的互联的计算机的集合,要考察一个网络的整体或部分的性能状况必须从网络中单个节点以及连接到这个节点链路的性能状况出发。节点是构成计算机网络的基本元素之一,节点的性能状况是通过测量某条链路表现出来的,网络中的任何节点都会对3网络性能在一定范围内造成影响,但是根据测量的方法和粒度,对某条链路进行测量获得的结果已经可以反映此条链路上节点的运行状况,从而通过这些链路的性能状况可以反映出网络的整体状况。因此本文把网络链路当作网络中可测对象的最小元素来建立网络安全态势评估模型。模型以网络链路上的流量为数据源,对流量进行测量分析得到反映网络性能状况的指标信息,然后根据指标信息计算某条网络链路的安全态势值,进一步关联链路的权重信息得到整个网络的安全态势值。
为了遵循性能评价指标中测量指标的选取原则:1)全面性,所选测量指标无需多,但要尽可能全面;2)易测性,所选测量指标要易于测量;3)相关性,所选测量指标之间的相关性要尽可能小。本文选取文献[9]提出的往返延迟R、丢包率L和可利用带宽BW作为本评估模型中反映网络可用性状况的评价指标。
本文提出的评估框架如图1所示。
2量化评估方法
基于链路性能分析的网络安全态势评估方法包含2个步骤:链路安全态势值计算和网络安全态势值计算。下面对这2个步骤进行详细介绍。
2.1链路安全态势值计算
链路安全态势值计算的依据是链路性能评价指标。链路性能评价指标是将当前时刻在链路两端的节点上直接测量得到的往返延迟R、丢包率L和该条链路的可利用带宽BW进行综合计算。由于性能评价指标有两种类型:一种指标值越大表明性能越好,称为正指标;而另一种指标值越大表明性能越差,称为逆指标。往返延迟R和丢包率L是逆指标,因为往返延迟越大,丢包率越高,链路上的性能越差;相反,可利用带宽BW是正指标。因此,对于上述3个指标需要计算出无量纲的相对数,即功效数,以便于统一。为了符合用户习惯,定义性能评价指标值越高表明该条链路的性能越好,相反,越低表明该条链路的性能越差,其公式如式(1)、(2):
