网络拓扑层次化安全评估范文

1引言

随着互联网技术的飞速发展,网络技术的应用已经越来越普及,但是也出现了越来越多的网络安全问题.根据国家计算机网络应急技术处理协调中心(CNCERT/CC)的《2013年中国互联网网络安全报告》[1],2013年国内共有420多万台主机被木马或者僵尸程序控制,另外有600多万手机用户感染移动恶意程序,并监测发现了1万多个针对国内网站的仿冒页面.在安全漏洞方面,国家信息安全漏洞共享平台(CNVD)统计,2014年新增漏洞进8000个,其中高危漏洞占比三分之一,主要涵盖微软、IBM、苹果、谷歌、甲骨文等知名厂商的各类主流产品[2].目前,网络安全技术已经得到了巨大的发展,但是,不断涌现的互联网新技术也面临更多的新的安全威胁和挑战.网络攻击技术与安全防范手段在一定时期和范围内仍将共同向前发展.因此,利用各种安全评估手段,了解当前网络安全状态信息是解决信息系统安全防范的一个重要手段,尤其是针对大规模网络的安全态势.大规模网络安全态势评估不同于单个信息系统或小型局域网的安全风险评估.在单个信息系统或小型局域网中,影响安全状态的风险因素相对较少,安全信息的来源也相对有限,因此安全风险的评估过程也比较简单.但是在大规模网络中,网络拓扑结构非常复杂,网络节点数量相对庞大,同时安全信息的来源也非常广泛,因此针对大规模网络的安全态势评估是一个综合的过程.本文结合大规模网络的结构特点,同时参考了传统的安全评估的模式和方法,设计了网络拓扑层次化安全评估框架(HTSAP).并在HTSAP的基础上重点研究了影响大规模网络安全评估的风险因素的权值的计算方法.

2HTSAP介绍

根据已有的信息安全风险评估规范[3]的标准,典型的安全风险评估过程包括:分析系统特性、识别威胁、识别脆弱点、分析现有控制措施、确定损害发生的可能性、分析影响、确定风险、提出控制措施建议和评估结果管理等步骤.在确定风险的过程中涉及到风险的三个重要因素,即威胁、脆弱点和对资产造成的潜在影响.利用传统的安全评估方法,针对一个大规模网络,我们需要首先识别出该网络中的所有资产,包括各类网络设备、安全设备、应用系统、终端主机等等,然后针对每一个资产识别其脆弱点以及外部威胁,并分析这些威胁利用该资产的脆弱点所产生的影响.在具体的实践过程中,上述方法几乎无法实现.首先,在一个大规模网络环境下,资产数量非常庞大,针对每一个资产进行风险分析计算需要耗费大量的资源.另外,通过该方法无法体现各个资产对整个大规模网络的安全态势分析所贡献的比例.核心层中的一台交换机,其重要性明显要比在接入层中的一台同样的交换机要高的多,前者对整个网络的安全态势的贡献也要比后者高.同样,在终端层中,不同的终端用户根据其承载的业务类型其重要性也各不相同.HTSAP分为三个层次如图1所示,分别是目标层、拓扑层和风险因素层.目标层即我们需要评估的整体的大规模网络安全态势;拓扑层包括大规模网络的五个拓扑层次——出口层、核心层、汇聚层、接入层和终端层;风险因素层即风险评估的三要素——资产影响、威胁和脆弱性.

3层次分析法概述

层次分析法(AnalyticHierarchyProcess,AHP)是由匹兹堡大学的T.L.Saaty教授于上世纪70年代提出的[4].其基本思想是将一个复杂的问题分解为多个组成元素,并将这些元素进行分组,从而形成一个有序的递进层次结构.由于无法直接给各层次中的组成元素进行权重赋值,因此通过对每两个元素进行比较确定其相对重要性,然后结合专家的判断决定各元素相对重要性的总体排序.如图2所示,通常情况下将一个复杂问题自上而下按照相关因素的属性分解为三个层次:目标层、准则层和方案层.上层元素和下层元素存在一定的关联.假设准则层B含有n个元素,方案层C含有m个元素.首先可以针对上层次中的某元素确定本层次与之相关的元素的重要性顺序的权重值,即层次单排序.然后利用同一个层次中的所有层次单排序结果计算针对上层某元素的本层所有元素的重要性的权值,即层次总排序.

4基于AHP的综合熵权算法

通过层次分析法可以对HTSAP中各元素的权重进行计算,它可以将一个复杂的网络进行层次化,并将复杂的问题分解为有序的递进层级.但是层次分析法在计算HTSAP中各元素权重时也存在一些问题.首先,根据层次分析法可以把负责的HTSAP分解为递进的层次,它仅仅关注了上一层次中的元素对下一层次中的元素的约束关系,但是同一层次中的元素之间的关系则认为是独立的,从而忽视了元素间的关联关系对上一层次的贡献.其次,层次分析法中的两两比较矩阵中的两个元素间的重要度赋值完全依赖于专家的经验,具有很强烈的主观性,从而忽视了HTSAP中个元素之间客观存在的属性,因此不同专家的判断之间会存在比较大的偏差.另外,层次分析法中给两两比较矩阵赋值的九分位标示法显得比较粗糙,虽然现在也有其他的标示法,比如三角标示法、分数标示法、指数标示法等[7],但是总体上来说仍然显得不够精准.因此本文将在层次分析法的基础上对HTSAP中元素权值的计算进行改进,为了减小层次分析法中因为依赖主观因素对最终计算结果造成的影响,采用熵权的计算进行修正.熵最早是热力学中的一个物理量,它用来表示分子状态混乱的程度.1948年,香农借用热力学中熵的理论,提出了信息熵[8]的概念.在信息论中,信息熵表示信号在被接收之前,在传输过程中损失的信息量.信息熵用来测量不确定性,是一个随机变量可能出现的期望值.一个信息出现的机会越多则其概率越大,那么它的不确定性则越小;同理,一个信息出现的机会越少则其概率越小,那么它的不确定性越大.

5实验分析

本文以中国科技网骨干网为例,基于HTSAP框架,中国科技网骨干网的拓扑层可以分为出口层、核心层、汇聚层、接入层、终端层.其风险因素层包括资产影响、威胁和脆弱性.资产影响包括资产的保密性、完整性、可用性和业务相关性4个因素;威胁包括物理环境问题或自然灾害、物理破坏、软硬件故障、操作失误、恶意代码攻击、越权或权限滥用、网络攻击、失泄密、篡改、抵赖、管理缺失11个因素;脆弱性包括该脆弱点的影响级别、技术难度、利用价值、管理漏洞、防范措施5个因素.实验中我们邀请10位专家分别进行评估,这10位专家由核心运维人员3人、安全管理人员3人和终端用户网络管理员4人组成.首先构建拓扑层针对目标层的两两比较矩阵,分别计算其随机一致性比例CR,结果均小于0.1,因此可以认为该10名专家构建的两两比较矩阵满足一致性要求.从表3和图3中我们可以分析拓扑层相对于整体安全态势的权重分布.根据层次分析法计算的结果显示,汇聚层的权重最高,其次是终端层,核心层和出口层的权重相似,接入层的权重显著较低.而根据综合熵权法计算的结果显示,接入层的权重最高,核心层的权重其次,其他三层的权重显著较低.但是我们在实际的运维过程中发现核心层和汇聚层一般都位于核心机房,设备数量较接入层和终端层少.另一方面,汇聚层一般情况下都有冗余,因此该层设备即使出现故障也不会对整体网络造成太大的威胁.而对于广泛分布的接入层和终端层来说,其设备数量比较庞大,单就接入层和终端层来说,接入层的重要性要高于终端层,因为终端层的计算机等设备即使被攻击或者损坏也不会对骨干网造成太大损失,但是接入层负责大量的终端接入,一个设备故障可能导致非常多的终端无法与互联网连接.因此通过综合熵权法计算出来的权重比较能真实的反映出拓扑层对整体网络安全态势的贡献度.根据上述方法计算风险因素层各因素针对拓扑层个因素的权重,最后计算风险因素层个因素针对目标层即整体网络安全态势的权值.从图4风险因素权重结果分析中分析发现,基于层次分析法对风险因素计算的权重数值比较平均,都在平均值5%上下波动,波动大小不超过±1%.因此基于传统的层次分析法计算的风险因素权值不能明显的表示各个风险因素对整体态势评估的贡献度.而基于本文提出的综合熵权算法。从上述实验结果的分析来看,本文提出的基于AHP的综合熵权算法比传统的层次分析法在HTSAP的权重计算结果上要更加精确,计算过程更加合理.

6结语

本文在特定的大规模网络环境下,提出了一种网络拓扑层次化安全评估框架,并基于该框架设计了一种安全评估中风险因素权重的计算方法,通过在中国科技网上的验证,该算法计算结果更加合理.但是该算法也还存在一些问题,比如当安全因素数量过多时,专家在构建两两比较矩阵时工作量太大,另外构建的矩阵一致性也难以保证,这些都是下一步研究工作中需要解决的问题。

作者：万巍 李俊 单位：中国科学院计算机网络信息中心 中国科学院大学