第1期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·43· 通过对Snort划分攻击威胁等级机理的深入 网络自底向上分为服务层、主机层和网络层。按 研究，本文提出了攻击威胁等级划分原则，如表6 照层次关系，以攻击对网络造成的危害程度为核 所示。 心评估安全态势，如图5所示。 表6威胁等级划分原则 Table 6 Classification principles of attack severity 类别 描述 威胁等级 计算机权限 获取计算机控制权限 空 网络层 隐私信息 获取系统内部信息 为 带宽消耗 消耗网络带宽 多 主机层 网络扫描 扫描获取网络信息 低 HTTP FTP SMTP DNS 2)威胁等级量化 服务层 本文将权系数理论)与攻击威胁等级划分原 Attack 1 Attack 2 Attack 3 Attack n 则有机结合以量化威胁等级。权系数分布函数如 图4所示，横轴是排队等级（威胁等级），纵轴是对 图5层次化网络安全威胁态势评估 Fig.5 Hierarchical threat assessment model for computer 应的权系数（威胁值）。 networks 1)服务层态势 攻击威胁因子和攻击概率等态势因子会影响 服务态势，服务态势随着网络运行状况实时发生 变化，在时间窗口△：内第k台主机上第j个服务 的态势为 S(t0)= (12) 20)x) 式中：g为该时间窗口内的攻击总数；m(attack,)为 排队等级 第i个攻击对应的攻击概率；f(attack,)为第i个攻 图4权系数函数分布 击对应的攻击威胁因子值。 Fig.4 Distribution of the weight function 2)主机层态势 为简化量化过程，将权系数函数离散化处理 主机的态势情况由主机上运行的服务态势及 得到权系数公式，n为攻击等级个数，i为排列顺 其在主机上的重要性决定，在时间窗口△1内，第 序，权系数只与决策目标数和攻击严重等级有 k台主机的态势值为 关。仅需定义威胁等级，使用权系数公式就能够 hu(t)=f(Sk(t),V(t))=Sk(t)Vi(t) (13) 计算出攻击威胁因子值。在一定程度上减轻了主 S(t)=(sk1(),S2(0),·,s()为此时间段内运 观依赖问题。 行在该主机上服务态势的向量，其中n为运行的 权系数为 服务数，V()=(,2,…,ya)为该主机上运行服 21 务的权值向量。服务权值计算方法为 白 6 1≤i< S山Sf材 (14) n suxjSfe W= i22 (11) S4()=(s1,s42,,Sun)表示该主机上使用应 -2In 用层服务的用户数量的向量，Sf()=(sf,sf2,…,sfn) 为该主机上各个服务使用频率向量。 i<n 3)网络层态势 1.5.2态势评估 网络层态势是由网络中每台主机的态势及每 本文采用层次化网络安全威胁评估模型，将 台主机的权值决定的，整个网络的态势为通过对 Snort 划分攻击威胁等级机理的深入 研究，本文提出了攻击威胁等级划分原则，如表 6 所示。 表 6 威胁等级划分原则 Table 6 Classification principles of attack severity 类别 描述 威胁等级 计算机权限 获取计算机控制权限 高 隐私信息 获取系统内部信息 中 带宽消耗 消耗网络带宽 中 网络扫描 扫描获取网络信息 低 2) 威胁等级量化 本文将权系数理论[3] 与攻击威胁等级划分原 则有机结合以量化威胁等级。权系数分布函数如 图 4 所示，横轴是排队等级 (威胁等级)，纵轴是对 应的权系数 (威胁值)。 x 2 f(0) f(x) 排队等级 0 6σ 3σ 权系数 图 4 权系数函数分布 Fig. 4 Distribution of the weight function i 为简化量化过程，将权系数函数离散化处理 得到权系数公式，n 为攻击等级个数， 为排列顺 序，权系数只与决策目标数和攻击严重等级有 关。仅需定义威胁等级，使用权系数公式就能够 计算出攻击威胁因子值。在一定程度上减轻了主 观依赖问题。 权系数为 Wi =    1 2 + √ −2ln 2i n 6 , 1 ⩽ i < n 2 1 2 , i = n 2 1 2 − √ −2ln( 2− 2i n ) 6 , n 2 < i < n (11) 1.5.2 态势评估 本文采用层次化网络安全威胁评估模型，将 网络自底向上分为服务层、主机层和网络层。按 照层次关系，以攻击对网络造成的危害程度为核 心评估安全态势，如图 5 所示。 ... HTTP FTP SMTP DNS ... ... 网络层 主机层 服务层 Attack 1 Attack 2 Attack 3 Attack n 图 5 层次化网络安全威胁态势评估 Fig. 5 Hierarchical threat assessment model for computer networks 1) 服务层态势 ∆t 攻击威胁因子和攻击概率等态势因子会影响 服务态势，服务态势随着网络运行状况实时发生 变化，在时间窗口 内第 k 台主机上第 j 个服务 的态势为 sk j(t) = ∑g i=1 m(attacki)10f(attacki) (12) m(attacki) f (attacki) 式中：g 为该时间窗口内的攻击总数； 为 第 i 个攻击对应的攻击概率； 为第 i 个攻 击对应的攻击威胁因子值。 2) 主机层态势 ∆t 主机的态势情况由主机上运行的服务态势及 其在主机上的重要性决定，在时间窗口 内，第 k 台主机的态势值为 hk(t) = f (Sk (t),V(t)) = Sk (t)Vk(t) (13) Sk (t) = (sk1 (t),sk2 (t),··· ,skn (t)) n Vk(t) = (vk1, vk2,··· , vkn) 为此时间段内运 行在该主机上服务态势的向量，其中 为运行的 服务数， 为该主机上运行服 务的权值向量。服务权值计算方法为 vk j = suk js fk j ∑n j=1 suk js fk j (14) Suk(t) = (suk1,suk2,··· ,sukn) S f k (t) = (s fk1,s fk2,··· ,s fkn) 表示该主机上使用应 用层服务的用户数量的向量， 为该主机上各个服务使用频率向量。 3) 网络层态势 网络层态势是由网络中每台主机的态势及每 台主机的权值决定的，整个网络的态势为 第 1 期 常利伟，等：基于多源异构数据融合的网络安全态势评估体系 ·43·