基于复杂网络的多维网络安全威胁评估模型*

刘晓影，王 淮，乌吉斯古愣

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

随着计算机网络技术和通信技术的快速发展，计算机网络的资源共享进一步增强，互联网已经深入人类生产生活的方方面面，并影响着社会经济的发展和人们的生活方式。目前，网络攻击行为日益猖獗，网络攻击方式层出不穷，对个人、企事业单位乃至国家机关造成了极大的经济损失，网络安全正面临着巨大挑战。人们对网络安全威胁态势分析已经从单一的主机节点上升到组织、区域、综合场景等多个层面。网络安全威胁态势分析人员迫切需要一种能够解决复杂网络环境下具备多层次多维度的网络安全威胁评估技术。

近年来，针对网络安全威胁评估的研究较多。Manadhata 等[1]对网络系统中用户行为及其资源访问活动等进行监控，计算目标系统总的损失代价值，根据代价值的变化得到系统安全状态的变化情况。Vinod 等[2]提出了基于蜜网系统的网络威胁态势评估方法，在对告警进行解析和分类的基础上绘制威胁态势曲线。Abad 等[3]建立了一个安全事件数据库系统UCLog+，对安全事件进行查询和分类，对目标资产的脆弱性和无效的安全策略进行关联分析预警。马杰[4]针对当前网络安全威胁态势评估存在的告警误报率偏高、评估模型无统一标准等问题，提出了基于告警分析的威胁感知方法和基于信息融合的网络威胁态势量化评估方法。吕慧颖等[5]提出了基于时空关联分析的网络实时威胁识别与评估方法。王志平[6]构建了多层次的网络安全指标体系，提出了网络安全指标标准化方法和基于模糊评价的层次式计算方法。陈秀真等[7]提出了层次化网络安全态势威胁量化评估方法，采用自上而下、先局部后整体的评估策略。周德懋等[8]提出通过将网络流量数据看成时间序列来进行小波变换建模。田建伟等[9]提出基于威胁传播的多节点网络安全态势量化评估方法，加入了网络节点间风险的关联性分析。杨豪璞等[10]提出一种面向多步攻击的网络安全态势评估方法。程珊等[11]提出基于证据推理规则的网络安全态势评估方法。唐赞玉等[12]提出一种新的多阶段大规模网络攻击下的网络安全态势评估方法。曲向华等[13]提出一种基于层次分析法的网络安全态势评估框架模型，将网络安全态势评估细化为评估对象价值评估、脆弱性评估和威胁评估3 个评估要素。黄焱[14]设计了攻击指标因子，采用基于优化后的BP 神经网络构建网络态势评估模型指标体系，实时统计监控分析网络安全状态。

不同于当前文献的方法和思路，本文对节点安全威胁程度从重要目标脆弱性评估、安全态势评估和攻击危害损失评估等维度进行分析，实现对节点安全威胁程度的初始计算，最后基于复杂网络的安全威胁传播模型，引入连续动力学模型，对复杂网络中通联节点间的安全威胁状态进行评估，以实现网络安全威胁综合态势评估。

1 基于复杂网络的安全威胁传播模型框架

基于复杂网络的多维网络安全威胁评估模型在构建的多层次、多维度网络安全威胁评估指标体系的基础上，结合安全威胁态势分析人员在综合态势、区域态势、组织态势不同层面的关注和需求点，根据网络间的通联关系构建综合复杂网络、区域级复杂网络和组织级复杂网络3 级复杂网络，模型框架如图1 所示。

图1 基于复杂网络的安全威胁传播模型框架

组织级复杂网络中的节点由主机、服务器或网络设备构成，网络中的边表示节点间的通联关系；区域级复杂网络中的节点由该区域的组织构成，网络中的边表示组织间的通联关系；综合复杂网络中的节点由多个区域构成，网络中的边表示区域间的通联关系。

网络安全威胁评估模型采用逐层传递的思路进行安全威胁评估，具体步骤如下。

（1）先通过主机、服务器或网络设备自身的安全指标体系中的要素计算初始的安全威胁程度，再通过构建的复杂网络安全威胁传播模型计算节点当前的安全威胁程度。

（2）组织级安全威胁程度的初值计算将来源于两方面：一方面通过组织自身的安全指标体系中的要素进行评估；另一方面来源于组织中包含的节点的平均安全威胁程度。二者的加权计算将获得组织级安全威胁程度的初值，再通过构建的复杂网络安全威胁传播模型计算组织当前的安全威胁程度。

（3）区域级安全威胁程度的初值计算将来源于两方面：一方面通过区域自身的安全指标体系中的要素进行评估；另一方面来源于区域中包含的组织的平均安全威胁程度。二者的加权计算将获得区域级安全威胁程度的初值，再通过构建的复杂网络安全威胁传播模型计算区域当前的安全威胁程度。

（4）综合复杂网络安全威胁程度的评估将考虑两方面：一方面通过综合复杂网络自身的安全指标体系中的要素进行评估；另一方面来源于综合复杂网络中包含的组织平均安全威胁程度。二者的加权计算出综合复杂网络安全威胁程度。

基于复杂网络的多维网络安全威胁评估模型的优点在于，在安全模型的同一层级不仅考虑了节点自身的安全指标情况，也考虑了节点间相互作用对安全威胁程度的影响。在不同层级间，下级节点的安全威胁状态也将影响其所属的上级节点的安全威胁状态。

2 安全威胁初始度量

节点的安全威胁将分别从网络安全风险、网络安全状态以及攻击危害损失等方面分析其安全威胁指数。

2.1 安全威胁指数通用计算模型

网络安全事件造成的威胁由其攻击特征指标确定，给定时间周期Δt，定义t时刻的某类网络安全指标的威胁指数为：

式中：Ai(t)为t时刻指标Ai的值；g[Ai(t)]为Ai(t)的归一化值。

归一化函数为：

式中：Vmax和Vmin分别为指标的历史最大值和历史最小值，通过分析保存在数据库中的历史数据得到。

wi为各指标Ai对应的权重，满足归一化约束：

wi的权重按照平均分配的原则，即，其中m为本类指标中参与计算的指标数。利用以上方法对应的评价指标指数进行加权平均后，得到各类安全指标的安全威胁指数。

2.2 网络安全风险评估

网络安全风险评估在关键基础设施与重要信息系统的目标网络结构、安全防御体系以及服务运行状态等进行持续监测的基础上，分析评估其安全性和脆弱性，主要应用到如表1 所示的指标。

表1 网络安全风险评估指标

网络安全风险评估值R(t)为：

式中：n为参与评估的指标的种类数。

2.3 网络安全状态评估

网络安全状态评估针对当前网络中受到的安全攻击事件进行评估。主要应用到如表2 所示的指标。

表2 网络安全状态评估指标

安全威胁指数D(t)为：

式中：l为参与评估的安全威胁事件指标的种类数。

2.4 攻击危害损失评估

攻击危害损失评估主要在网络遭受攻击后，分析危害程度，主要应用到如表3 所示的指标。

表3 攻击危害损失评估指标

攻击危害损失评估指数S(t)为：

式中：m为参与评估的攻击危害损失的种类数。

2.5 网络安全威胁综合评估

网络安全威胁综合评估研究在网络安全风险评估、网络安全状态评估以及攻击危害损失评估等维度下，不同领域、不同地域的全视图网络安全态势评估，使安全态势分析人员全面掌握网络安全态势，从而为网络安全辅助决策、态势分析等提供精、广、深的知识支撑。

各类安全指标的权重采用熵权法进行赋权，也可根据专家知识进行人工分配。

熵权法的具体步骤如下。

（1）构造样本矩阵X=[A1,A2,A3]，其中A1、A2、A3分别表示网络安全状态评估指数R(t)、安全威胁指数D(t)和攻击危害损失评估指数S(t)。

（2）将各项指标数值进行归一化处理。

（3）计算各指标的熵值。

（4）将熵值转换为反映差异大小的权数。

（5）节点某一时刻的网络安全威胁态势值为：

3 复杂网络下安全威胁传播综合评估

构建的基于复杂网络的安全威胁传播模型从连续动力学的角度出发，对具有通联关系的节点之间的交互行为展开研究，进而提出了复杂网络中的连续动力学模型。

假设由N个节点组成的复杂网络G(V,E,W)，其中W表示节点之间的关系且满足W={wij|wij∈[0,1]，i,j∈V}，其中w表示节点通联关系的强度。每个节点的安全威胁用符号o表示，且满足o∈[-1,1]，其中o=1 与o=-1 分别表示节点的安全威胁状态，即完全安全与完全威胁。参考已有的Deffuant 模型与Social Judgment 模型，具体的动力学规则如下。

每个时间步t从网络随机选择一个节点，该节点按照其邻居关系大小的一定顺序（从安全威胁正值到负值的正向顺序或者从安全威胁负值到正值的逆向顺序）依次与邻居节点进行安全威胁传播。当节点i与其邻居节点j进行安全威胁传播时，其安全威胁状态的变化规则满足以下动力学行为：

该交互规则主要遵循以下假设：当节点之间存在通联关系时，节点之间的安全威胁传播会使双方安全威胁状态趋同。

4 实验结果与分析

本文实验数据来自北京某云环境采集的从2020年12 月1 日至2021 年2 月28 日安全防护设备日志数据和攻击流量数据，见表4。

表4 实验数据

本文提出的模型（Complex Network，CN）将与采用权重方法计算的估值（Weight Calculation，WC）、人工评估（Human Analysis，HA）的结果进行比较，具体对比结果见图2、图3 和图4，其中横坐标为日期，纵坐标为态势评估风险等级，最低风险为0，最高风险为100。

图2 2020 年12 月态势评估结果对比图3、4

图3 2021 年1 月态势评估结果对比

图4 2021 年2 月态势评估结果对比

本文采用式（13）和式（14）从标准差角度对CN&HA、WC&HA评估结果进行分析，其中N为当月天数，CN&HA为CN 模型和HA 模型计算结果的标准差，WC&HA为WC 模型和HA 模型计算结果的标准差，计算结果见表5。

表5 标准差计算结果

从态势评估结果对比图及标准差计算结果，能够显著看到提出的态势评估结果更接近领域专家的人工分析结果，表明基于复杂网络的多维网络安全威胁评估模型具有较好的理论价值和应用前景。

5 结语

本文针对网络安全威胁评估不够准确等问题，提出多维网络安全威胁评估技术，从重要目标脆弱性评估、安全威胁状态评估以及攻击危害损失评估等方面，研究不同领域、不同地域的全视图网络安全态势评估，基于复杂网络的安全威胁传播模型研究复杂网络中通联节点间的安全威胁状态传播动力学模型，以准确反映网络安全威胁综合态势。实验结果表明，该技术与领域专家的研判分析结果基本保持一致，能够显著降低人工成本，具有较强的网络安全威胁评估能力。