TWDS和攻击图的网络安全态势评估理论

陈钧　张展翔　钟成琦

摘 要 本文对面向攻击和面向脆弱性的网络安全态势评估方法进行了研究，介绍了基于时间窗D-S（TWDS）和攻击图的网络安全态势评估模型。简析了网络安全态势的定量评估，对模型的量化评估方法进行分析。

关键词 TWDS 攻击图 网络安全 评估理论

中图分类号：TP393 文献标识码：A

在网络安全态势评估方法的研究中，攻击是外内，脆弱性是内因，对攻击和脆弱性进行综合研究才能准确地评估网络的安全态势。因此，本文以综合面向攻击和面向脆弱性网络安全态势评估方法的优点目的，介绍了基于TWDS和攻击图的网络安全态势评估模型。为了解决以往研究存在对脆弱性关联关系考虑不充分的问题，在态势评估过程中引入了攻击图。

在网络安全态势评估中引入D-S证据理论是为了融合报警信息，而本文提出的时间窗D-S（Time Window D-S，TWDS）证据理论是为了提高融合的准确性。

D-S证据理论的全称是Dempster/Shafer证据理论，其中Dempster是证据理论的提出者，而Shafer作为Dempster的学生，是证据理论的推广者。D-S证据理论因其具有比贝叶斯概率论约束条件少和更强的表达不确定性的能力而得到了发展。在本文中，需要用到的D-S证据理论相关概念如下：

（1）识别框架：由互不相容的基本命题构成的完备集合。这些命题可以表示出针对某个问题的所有可能答案，并且这些命题中只有一个答案是正确的。

（2）命题：识别框架的子集。

（3）m函数：各命题被分配到的信任程度，也称为基本概率分配。m（A）为基本可信数，表示对A的信度的大小。

如果在某场景下得到了来自多个传感器的基本信度分配，则可以通过Dempster合成规则得到一个新的概率分配，其整个融合过程如图1所示。

图1中，E1，E2，…，Ek表示网络安全检测设备检测到的k个存在的事件，m1（Ai），m2（Ai），…，mk（Ai）（i=1，2，…，n，表示共有n个命题）分别表示k个存在的事件对某个命题Ai的基本概率分配，而m（Ai）表示前面各基本可信数通过Dempster合成规则计算后得到的新的基本概率分配。

K是归一化因子，证据冲突的程度由其大小来体现，目的是为了避免合成时在空集中出现非零概率。

为了解决D-S证据理论中的证据冲突问题，孙全等提出了改进的D-S证据理论，其对多源证据进行合成的公式为

虽然改进的D-S证据理论解决了证据合成时的冲突问题，但是我们可以发现，证据合成结果的准确性依赖于取哪些报警信息作为证据对象。

通常在报警信息中会包含有报警的生成日期与时间，在传统的证据信息融合过程中，总是根据报警的生成日期和时间来进行证据的合成，得到该时间点的攻击事件发生支持概率。而事实上，由于网络安全设备对攻击事件有一定的响应时间，攻击事件的发生到相应日志的生成需要经历一段时间，这段时间的长短由具体攻击事件和网络设备性能决定，比如就防火墙和Snort而言，防火墙存在不可忽略的延迟问题，而Snort是实时的，这就导致了两个问题：

（1）同一时间点生成的日志信息可能不是针对同一个攻击事件的；

（2）不同时间点生成的日志信息却可能是针对同一攻击事件的。

定义1：时间窗（time window，TW）。是指在一定的网络环境下，所有相关网络安全设备针对某个攻击的最长响应时间。

D-S证据理论的合成对象是时间窗内的相似报警行为，因此称之为时间窗D-S证据理论，简称TWDS。那么，公式（1）中的k值由时间窗内相似的报警数量决定，而非由同一时间点的报警数量决定。下面根据图2说明其合理性。

如图2所示，在时刻t0发生了某个攻击事件，相关网络安全设备对其进行了响应，设备1的响应时间最长。依据时间窗定义，时间窗大小应为t1-t0，那么D-S证据理论的合成对象就是时间t0到时间t1之间所有相关网络安全设备生成的相似报警日志。由图可以看出，t0到t1时间段内的报警日志包含了所有相关网络安全设备生成的日志，不会造成报警信息的遗漏，因此时间窗的定义是合理的。

参考文献

[1] 刘效武，王慧强，禹继国，等.基于多源融合的网络安全态势感知模型[J].解放军理工大学学报，2012，13（4）：403-407.

[2] 徐晓辉，刘作良.基于D-S证据理论的态势评估方法[J].电光与控制，2005，12（5）：36-37+65.