摘要

為了分析威脅傳播對(duì)網(wǎng)絡(luò)系統(tǒng)的影響，準(zhǔn)確、全面地評(píng)估系統(tǒng)的安全性，并給出相應(yīng)的加固方案，提出一種基于 Markov 博弈分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法。通過(guò)對(duì)多傳感器檢測(cè)到的安全數(shù)據(jù)進(jìn)行融合，得到資產(chǎn)、威脅和脆弱性的規(guī)范化數(shù)據(jù)；

對(duì)每個(gè)威脅，分析其傳播規(guī)律,建立相應(yīng)的威脅傳播網(wǎng)絡(luò)；通過(guò)對(duì)威脅、管理員和普通用戶的行為進(jìn)行博弈分析，建立三方參與的 Markov博弈模型，并對(duì)相關(guān)算法進(jìn)行優(yōu)化分析，使得評(píng)估過(guò)程能夠?qū)崟r(shí)運(yùn)行。Markov博弈模型能夠動(dòng)態(tài)評(píng)估系統(tǒng)安全態(tài)勢(shì)，并為管理員提供最佳的加固方案。通過(guò)對(duì)具體網(wǎng)絡(luò)的測(cè)評(píng)分析表明，基于 Markov 博弈分析的方法符合實(shí)際應(yīng)用，評(píng)估結(jié)果準(zhǔn)確、有效，提供的加固方案可有效抑制威脅的擴(kuò)散。

介紹

網(wǎng)絡(luò)安全技術(shù)已經(jīng)從關(guān)注單個(gè)安全問(wèn)題的解決發(fā)展到研究網(wǎng)絡(luò)的整體安全狀況及變化趨勢(shì),網(wǎng)絡(luò)安全態(tài)勢(shì)感知(network security situation awareness,簡(jiǎn)稱 NSSA)成為下一代安全技術(shù)的焦點(diǎn)。
對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知，主要從以下三個(gè)角度考慮：

• 從網(wǎng)絡(luò)連接可視化的角度
  將網(wǎng)絡(luò)的安全狀態(tài)以可視化視圖的形式表現(xiàn)出來(lái)
• 從層次化分析的角度
  對(duì)網(wǎng)絡(luò)進(jìn)行分層計(jì)算，譬如將網(wǎng)絡(luò)分為服務(wù)、主機(jī)、系統(tǒng)進(jìn)行分層計(jì)算，再進(jìn)行綜合分析得到網(wǎng)絡(luò)安全態(tài)勢(shì)圖
• 從數(shù)據(jù)融合的角度
  譬如將數(shù)據(jù)融合過(guò)程分為數(shù)據(jù)精煉、對(duì)象精煉、態(tài)勢(shì)精煉、影響評(píng)估和過(guò)程精煉

網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架

網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。NSSA 是在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。

NSSA 需要考慮多方因素:首先,數(shù)據(jù)來(lái)源要全面和豐富,包括網(wǎng)絡(luò)結(jié)構(gòu)、資產(chǎn)、脆弱性、 威脅等數(shù)據(jù);其次,態(tài)勢(shì)感知過(guò)程要簡(jiǎn)潔和客觀,盡可能地實(shí)現(xiàn)自動(dòng)化和滿足實(shí)時(shí)性;最后,態(tài)勢(shì)感知結(jié)果要到深度廣度兼?zhèn)?滿足多種用戶需求,提供加固方案給管理員以提高系統(tǒng)安全性.本文在態(tài)勢(shì)感知概念模型基礎(chǔ)上, 結(jié)合數(shù)據(jù)融合的思想,給出了如圖 1 所示的 NSSA 系統(tǒng)框架。

系統(tǒng)框架

該框架通過(guò)多傳感器檢測(cè)網(wǎng)絡(luò)系統(tǒng)的各種安全信息，根據(jù)態(tài)勢(shì)感知模型評(píng)估系統(tǒng)的安全態(tài)勢(shì)及其變化趨勢(shì)，并給出安全加固方案，主要包括以下幾個(gè)模塊:

(1) 數(shù)據(jù)采集:通過(guò)多傳感器監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況,檢測(cè)大量的原始安全數(shù)據(jù);
(2) 態(tài)勢(shì)理解:采用規(guī)范化分析、冗余檢測(cè)和沖突檢測(cè)等方法,分析原始數(shù)據(jù),得到規(guī)范化的數(shù)據(jù)集;
(3) 態(tài)勢(shì)評(píng)估:采用態(tài)勢(shì)評(píng)估算法,分析態(tài)勢(shì)理解模塊的數(shù)據(jù),定量描述系統(tǒng)的安全態(tài)勢(shì);
(4) 態(tài)勢(shì)預(yù)測(cè):采用態(tài)勢(shì)預(yù)測(cè)算法,分析態(tài)勢(shì)的變化規(guī)律,預(yù)測(cè)系統(tǒng)安全態(tài)勢(shì)變化趨勢(shì);
(5) 加固方案生成:分析系統(tǒng)最薄弱的節(jié)點(diǎn),給出加固方案,指導(dǎo)管理員提高系統(tǒng)安全性.。

威脅傳播分析

網(wǎng)絡(luò)系統(tǒng)的各個(gè)節(jié)點(diǎn)相互連接，當(dāng)系統(tǒng)中某個(gè)節(jié)點(diǎn)被成功攻擊后，威脅可以傳播到與該節(jié)點(diǎn)相關(guān)聯(lián)的其他節(jié)點(diǎn)，從而使這些節(jié)點(diǎn)遭受安全威脅。

因此，在進(jìn)行態(tài)勢(shì)感知時(shí)不能僅靜態(tài)考慮系統(tǒng)節(jié)點(diǎn)安全狀況，還需對(duì)威脅傳播及其影響進(jìn)行動(dòng)態(tài)分析。張永錚等人提出了用于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)傳播模型，考慮了風(fēng)險(xiǎn)傳播帶來(lái)的潛在風(fēng)險(xiǎn)，實(shí)質(zhì)是分析威脅的傳播對(duì)風(fēng)險(xiǎn)的影響.本文在針對(duì)不同威脅分析其傳播規(guī)律,并結(jié)合相關(guān)的脆弱性分析 對(duì)相關(guān)資產(chǎn)和相關(guān)傳播鏈路的影響,提出威脅傳播網(wǎng)絡(luò)的概念。

定義相關(guān)概念：

1. 資產(chǎn)

   
   
   定義1

2. 威脅

   
   
   定義2

3. 脆弱性

   
   
   定義3

4. 威脅傳播節(jié)點(diǎn)

定義4

5. 威脅傳播路徑

   
   
   定義5

6. 威脅傳播網(wǎng)絡(luò)

   
   
   定義6
   
   

   根據(jù)圖 1 給出的 NSSA 系統(tǒng)框架,給出如圖 2 所示的 NSSA 流程,態(tài)勢(shì)感知過(guò)程分為兩部分:基于 Markov 博弈分析的態(tài)勢(shì)量化評(píng)估和基于時(shí)間序列分析的態(tài)勢(shì)預(yù)測(cè). 態(tài)勢(shì)量化評(píng)估部分是態(tài)勢(shì)感知的核心.首先,數(shù)據(jù)采集模塊檢測(cè)的安全數(shù)據(jù)被融合歸類到資產(chǎn)集合、威脅 集合、脆弱性集合和網(wǎng)絡(luò)結(jié)構(gòu)信息,這些數(shù)據(jù)以規(guī)范化數(shù)據(jù)集的格式保存在數(shù)據(jù)庫(kù)中,可以被實(shí)時(shí)地存取和修 改;接著,對(duì)威脅集合中的每個(gè)威脅建立 TPN;然后,對(duì)威脅、管理員和普通用戶的行為進(jìn)行 Markov 博弈分析,評(píng) 估單個(gè)威脅的保密性態(tài)勢(shì),并給出最佳加固方案;最后,對(duì)威脅集合中的所有威脅的保密性態(tài)勢(shì)綜合分析評(píng)估出 系統(tǒng)保密性態(tài)勢(shì);以同樣的方法評(píng)估系統(tǒng)完整性態(tài)勢(shì)和系統(tǒng)可用性態(tài)勢(shì),根據(jù)不同的應(yīng)用背景和需求,對(duì)保密 性、完整性、可用性態(tài)勢(shì)加權(quán),評(píng)估整個(gè)系統(tǒng)當(dāng)前狀態(tài)的安全態(tài)勢(shì). 態(tài)勢(shì)預(yù)測(cè)部分以態(tài)勢(shì)評(píng)估結(jié)果為基礎(chǔ).系統(tǒng)在不同時(shí)刻安全態(tài)勢(shì)彼此相關(guān),可以利用這種相關(guān)性分析態(tài)勢(shì) 變化規(guī)律對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè).有很多預(yù)測(cè)方法,比如神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、灰色理論等等.在此,采用時(shí)間 序列分析方法[14]刻畫不同時(shí)刻安全態(tài)勢(shì)的前后依賴關(guān)系.

   
   
   NSSA流程

基于 Markov 博弈分析的態(tài)勢(shì)評(píng)估

Markov博弈模型的建立

博弈論是研究決策者在決策主體各方相互作用下如何進(jìn)行決策的理論,每個(gè)決策主體在考慮其他參與者的反應(yīng)后選擇行動(dòng)方案.

Markov決策過(guò)程(MDP)是指決策者根據(jù)每個(gè)時(shí)刻觀察到的狀態(tài)，從可用的行為集合中選用行為的過(guò)程。系統(tǒng)下一步的狀態(tài)是隨機(jī)的，狀態(tài)轉(zhuǎn)移概率具有 Markov 性，即下一時(shí)刻的狀態(tài)只與當(dāng)前時(shí)刻相關(guān)。
Markov 博弈是由博弈論和 MDP 綜合而來(lái)，綜合考慮多個(gè)參加者的決策。博弈分析方法被廣泛用于網(wǎng)絡(luò)安全性分析。本文對(duì)威脅集合中每個(gè)威脅t建立如下的 Markov 博弈模型:

博弈模型

博弈過(guò)程###

將博弈過(guò)程近似認(rèn)為是三角色非零完全信息靜態(tài)非合作博弈.下面以一個(gè)簡(jiǎn)單網(wǎng)絡(luò)為例說(shuō)明博弈過(guò) 程,該網(wǎng)絡(luò)具有 4 個(gè)節(jié)點(diǎn)和 5 條有向邊.對(duì)該網(wǎng)絡(luò)威脅集合的某個(gè)威脅 t,建立 t 的 TPN.博弈三方是威脅 t、管理 員和普通用戶,攻擊方的行為是按照 TPN 向未感染的節(jié)點(diǎn)傳播 t,防守方的行為是管理員修補(bǔ)系統(tǒng)節(jié)點(diǎn)上t 利用 的脆弱性,中立方的行為是普通用戶增加或減少對(duì)該網(wǎng)絡(luò)的訪問(wèn)率,系統(tǒng)狀態(tài)是 t 對(duì)應(yīng) TPN 的所有可能的狀態(tài). 博弈各方根據(jù)系統(tǒng)的狀態(tài)和己方的報(bào)酬函數(shù)動(dòng)態(tài)地選擇己方行為,系統(tǒng)根據(jù)各方行為的影響以一定的概率跳 轉(zhuǎn)到下一狀態(tài),博弈過(guò)程如圖所示

馬爾科夫博弈過(guò)程示意圖

網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估算法###

輸入:數(shù)據(jù)采集模塊檢測(cè)到的各類安全數(shù)據(jù);
輸出:網(wǎng)絡(luò)安全態(tài)勢(shì)。

1. 對(duì)檢測(cè)模塊測(cè)得得安全數(shù)據(jù)進(jìn)行融合,得到資產(chǎn)集合、威脅集合、脆弱性集合和網(wǎng)絡(luò)結(jié)構(gòu)信息;
2. 根據(jù)檢測(cè)模塊得到的網(wǎng)絡(luò)信息,綜合資產(chǎn)集合、威脅集合和脆弱性集合,對(duì)威脅集合中每個(gè)威脅 t 建 立該威脅的威脅傳播網(wǎng)絡(luò) TPN(t);
3. 根據(jù) TPN(t),對(duì) t 建立 Markov 博弈模型,計(jì)算 t 的保密性損害,評(píng)估 t 的保密性態(tài)勢(shì);
4. 根據(jù) TPN(t),對(duì) t 建立 Markov 博弈模型,分析管理員應(yīng)對(duì) t 保密性損害的最佳加固方案;
5. 按照步驟(3)、步驟(4)類似的方法,評(píng)估 t 的完整性態(tài)勢(shì)和可用性態(tài)勢(shì),并分析相應(yīng)的最佳加固方案；
6. 將威脅集合中所有威脅的保密性損害求和,評(píng)估網(wǎng)絡(luò)保密性態(tài)勢(shì);
7. 按照步驟(6)同樣的計(jì)算方法,評(píng)估系統(tǒng)的完整性態(tài)勢(shì)和可用性態(tài)勢(shì);
8. 根據(jù)不同應(yīng)用需求,采用加權(quán)模型評(píng)估網(wǎng)絡(luò)的整體安全態(tài)勢(shì).

子算法 2.
單個(gè)威脅保密性態(tài)勢(shì)評(píng)估算法.
輸入:威脅集合中某個(gè)威脅的 TPN(t);
輸出:該威脅保密性態(tài)勢(shì).
A. 令 k=K,取 R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0, 0 t ku = ;
B. 如果 k=0,則跳轉(zhuǎn)到步驟 E;否則,令 k=k?1 后進(jìn)入下一步;
C. 對(duì)每個(gè) TPN 狀態(tài)和每個(gè)歷史依次計(jì)算公式(4);
D. 返回步驟 B;
E. 該威脅保密性態(tài)勢(shì)按照公式(6a)計(jì)算輸出.

子算法 3.
單個(gè)威脅的保密性最佳加固方案生成算法.
輸入:威脅集合中某個(gè)威脅的 TPN(t);
輸出:防守方對(duì)最大損害的最佳加固方案.
A. 令 k=K,取 R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0;
B. 如果 k=0,則跳轉(zhuǎn)到步驟 E;否則,令 k=k?1 后進(jìn)入下一步;
C. 對(duì)每個(gè) TPN 狀態(tài)和每個(gè)歷史依次計(jì)算公式(4);
D. 返回步驟 B;
E. 防守方最佳加固方案按照公式(7a)生成輸出.

實(shí)驗(yàn)##

本文給出態(tài)勢(shì)感知系統(tǒng)在一個(gè)具體公司網(wǎng)絡(luò)測(cè)評(píng)中的應(yīng)用,網(wǎng)絡(luò)主要結(jié)構(gòu)如下圖所示。網(wǎng)絡(luò)中的FTP和HTTP兩個(gè)服務(wù)器通過(guò)交換機(jī)放置在DMZ區(qū)；內(nèi)網(wǎng)辦公區(qū)主機(jī)由交換機(jī)劃分為2 個(gè) VLAN,并與外界通過(guò)防火墻相隔離.遠(yuǎn)程辦公室主機(jī)經(jīng)交換機(jī)相連后遠(yuǎn)程訪問(wèn)公司絡(luò),NetScreen204 是帶防火墻的路由器, Internet 用戶通過(guò)該路由器訪問(wèn)公司網(wǎng)絡(luò)資源,整個(gè)公司部署一個(gè)硬件 IDS.。

待評(píng)估的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

態(tài)勢(shì)感知系統(tǒng)首先進(jìn)行安全數(shù)據(jù)檢測(cè)，包括對(duì)每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)部署資產(chǎn)識(shí)別，對(duì)每個(gè)主機(jī)和兩個(gè)服務(wù)器部署惡意代碼檢測(cè)和脆弱性掃描，對(duì) IDS、防火墻、路由器和交換機(jī)部署滲透測(cè)試和在線測(cè)試，同時(shí)收集 IDS報(bào)警日志數(shù)據(jù)；接著，根據(jù)檢測(cè)數(shù)據(jù)融合得到資產(chǎn)集合、威脅集合、脆弱性集合。然后，對(duì)威脅集合中的每個(gè)威脅建立 TPN，根據(jù) TPN 建立 Markov 博弈模型，分析威脅的安全態(tài)勢(shì)；最后，由每個(gè)威脅的安全態(tài)勢(shì)評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。下面以威脅集合中的某個(gè)威脅 t 的保密性態(tài)勢(shì)評(píng)估過(guò)程為例進(jìn)行描述。首先建立威脅 t 的 TPN，如圖 6 所示，傳播節(jié)點(diǎn)和傳播路徑由檢測(cè)模塊測(cè)得。

威脅t的TPN

威脅t傳播節(jié)點(diǎn)的狀態(tài)

傳播路徑的狀態(tài)見表 2，路徑的價(jià)值以等級(jí)的形式表示切斷該條路徑后造成的損失；路徑性能利用率與資 產(chǎn)性能利用率也類似地分為5 個(gè)等級(jí)；威脅通過(guò)該傳播路徑成功傳播的概率也分5 個(gè)等級(jí)。例如，E8(N4,N5,5, 4,2) 路徑表示威脅t以20% ~ 40%的概率通過(guò)該路徑從節(jié)點(diǎn)4傳播到節(jié)點(diǎn)5，該路徑非常重要，如果切斷對(duì)網(wǎng)絡(luò)造成很大損害，該路徑目前處于10% ~ 30%的利用率。

威脅 t 傳播路徑的狀態(tài)

接著建立威脅t 的 Markov博弈模型，攻擊方為威脅t，動(dòng)作為通過(guò)TPN 進(jìn)行傳播；防守方為系統(tǒng)管理員，動(dòng)作為修復(fù)TPN中傳播節(jié)點(diǎn)上的脆弱性或切斷TPN中某條傳播路徑；中立方為所有普通用戶的統(tǒng)計(jì)特性，狀態(tài)轉(zhuǎn)移概率矩陣可以根據(jù)各方動(dòng)作影響確定。

最后,利用Markov博弈模型評(píng)估威脅t的保密性態(tài)勢(shì)(子算法2)。以同樣的方法評(píng)估威脅集合中所有威脅的保密性態(tài)勢(shì)，得到網(wǎng)絡(luò)安全態(tài)勢(shì)。下圖為模型對(duì)系統(tǒng)保密性態(tài)勢(shì)評(píng) 估和預(yù)測(cè),包括采用基于傳播分析的 Markov 博弈模型評(píng)估結(jié)果和未考慮威脅傳播的靜態(tài)評(píng)估結(jié)果。

保密性態(tài)勢(shì)評(píng)估與預(yù)測(cè)圖

同時(shí),采用子算法 3 得到應(yīng)對(duì) t 保密性損害的最佳加固方案。以同樣的方法，威脅集合中的每個(gè)威脅找出應(yīng) 對(duì)該威脅保密性損害的最佳加固方法。圖 8 為測(cè)評(píng)系統(tǒng)提供的針對(duì)保密性損害的加固方案。

保密性加固方案

優(yōu)勢(shì)分析及性能優(yōu)化

通過(guò)上述測(cè)評(píng)過(guò)程的分析可以發(fā)現(xiàn),本文提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型具有下列優(yōu)點(diǎn):
(1) 評(píng)估數(shù)據(jù)來(lái)源豐富,采用的多種異構(gòu)檢測(cè)模塊從多個(gè)側(cè)面檢測(cè)網(wǎng)絡(luò)的安全因素;
(2) 采用基于 Markov 博弈分析的態(tài)勢(shì)評(píng)估算法,增加了對(duì)威脅傳播分析和對(duì)普通用戶行為影響分析.比 起將各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)孤立的靜態(tài)分析,能發(fā)現(xiàn)系統(tǒng)的潛在危害,更貼近實(shí)際;
(3) 采用基于 Markov 博弈分析的安全加固方案生成算法,對(duì)威脅傳播和普通用戶行為動(dòng)態(tài)分析,找到危 害程度最大的節(jié)點(diǎn)和路徑,給出最佳加固方案;
(4) 對(duì)不同類型的威脅區(qū)別對(duì)待,從保密性態(tài)勢(shì)、完整性態(tài)勢(shì)和可用性態(tài)勢(shì) 3 個(gè)方面評(píng)估系統(tǒng)的安全態(tài) 勢(shì),評(píng)估結(jié)果細(xì)致全面,針對(duì)性強(qiáng).
此外,本文提出的基于 Markov 博弈模型的分析方法考慮了攻擊方、防守方和中立方三方的博弈過(guò)程,在建 立 TPN 的時(shí)候考慮了傳播節(jié)點(diǎn)和傳播路徑的雙重影響,因此在做決策時(shí)狀態(tài)空間會(huì)很大.在執(zhí)行子算法 2 和子 算法 3 的迭代時(shí),將會(huì)耗費(fèi)大量的資源.尤其在網(wǎng)絡(luò)的節(jié)點(diǎn)和路徑較多時(shí),很難做到實(shí)時(shí)評(píng)估分析,需要考慮性能 優(yōu)化,性能優(yōu)化主要從以下兩個(gè)方面分析:
(1) 博弈模型的狀態(tài)空間隨著資產(chǎn)數(shù)量的增加而指數(shù)增加,當(dāng)網(wǎng)絡(luò)的資產(chǎn)數(shù)量很多時(shí),首先進(jìn)行資產(chǎn)縮 減,合并一些連接緊密功能相似的節(jié)點(diǎn),剔除一些影響不大的資產(chǎn);
(2) 評(píng)估過(guò)程對(duì)每個(gè)威脅都要建立博弈模型,同一個(gè)威脅可能在多次評(píng)估時(shí)遇到.每一次的博弈模型是 相似的,可將每個(gè)威脅對(duì)目標(biāo)網(wǎng)絡(luò)的每個(gè)可能狀態(tài)的一步損害靜態(tài)地存儲(chǔ),在每次評(píng)估時(shí)通過(guò)查表 的方式取得;以類似的方式將管理員每個(gè)行為對(duì)目標(biāo)網(wǎng)絡(luò)的每個(gè)可能狀態(tài)的一步報(bào)酬靜態(tài)地存儲(chǔ), 在評(píng)估時(shí)通過(guò)查表方式獲取,雖然增加了存儲(chǔ)空間的損耗,但是提高了算法的執(zhí)行速度,能夠做到實(shí) 時(shí)評(píng)估.