一種評估通信基礎(chǔ)設(shè)施對網(wǎng)絡(luò)暴露威脅影響的分布式框架

摘 要：近年來，物聯(lián)網(wǎng)涉及的網(wǎng)絡(luò)安全范圍越來越廣泛，網(wǎng)絡(luò)威脅也隨之迅速變化。網(wǎng)絡(luò)威脅嚴(yán)重影響了公司的業(yè)績，而公司網(wǎng)絡(luò)安全狀況很大程度上取決于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的健康狀況。因此，文中從整體框架上介紹了網(wǎng)絡(luò)可能存在的安全暴露風(fēng)險，并提出了一種分布式測量解決方案的設(shè)計和實現(xiàn)，用以評估信息通信技術(shù)（ICT）基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險，通過提供自動化和可重復(fù)的測量過程來定義網(wǎng)絡(luò)安全指標(biāo)。通過在現(xiàn)實世界的基礎(chǔ)設(shè)施上進(jìn)行測試來證明所提出方法的有效性，討論了在2種不同情況下獲得的信息：具有不同特征的網(wǎng)絡(luò)比較和定義指標(biāo)的實時監(jiān)控。經(jīng)驗證，文中所提出的解決方法是一種有效的自動網(wǎng)絡(luò)監(jiān)控工具，它針對于異常趨勢能夠提供更有用的信息，并能觸發(fā)網(wǎng)絡(luò)安全修復(fù)活動。

關(guān)鍵詞：物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全；分布式測量；網(wǎng)絡(luò)安全指標(biāo)；自動化；ICT

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2024）08-00-04

DOI：10.16667/j.issn.2095-1302.2024.08.016

0 引 言

網(wǎng)絡(luò)安全又稱為信息技術(shù)安全，是保護計算機、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)和設(shè)備免受惡意攻擊的技術(shù)[1]。網(wǎng)絡(luò)安全的主要目標(biāo)是保證信息系統(tǒng)的信息安全三要素（機密性、完整性、可用性）的安全。網(wǎng)絡(luò)攻擊通常包含訪問、修改和破壞敏感信息，并借此向用戶勒索金錢或者中斷正常業(yè)務(wù)流程。

如今，數(shù)字國家的經(jīng)濟和福利服務(wù)都基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施實現(xiàn)[2]。漏洞可能會嚴(yán)重影響個人、企業(yè)甚至整個國家。安全事件還可能涉及物理基礎(chǔ)設(shè)施，導(dǎo)致重要服務(wù)不可使用，并造成經(jīng)濟損失，甚至造成人員傷亡[3]。在這種情況下，一個普遍的假設(shè)是：所有基于失誤造成的損失都可以歸咎于惡意的攻擊意圖。每種類型的攻擊都涉及一個受害者的存在，這個受害者可以是一個組織、一個國家或一個人。

如果網(wǎng)絡(luò)攻擊的受害者是一家企業(yè)，除了聲譽受損外，攻擊還會造成嚴(yán)重的財務(wù)損失，例如競爭力喪失或戰(zhàn)略資產(chǎn)控制權(quán)的喪失。網(wǎng)絡(luò)攻擊可以針對現(xiàn)代社會的關(guān)鍵基礎(chǔ)設(shè)施（衛(wèi)生、能源和交通等基本服務(wù)的網(wǎng)絡(luò)架構(gòu)），從而波及到普通民眾。研究表明，網(wǎng)絡(luò)安全是歐洲的第二大緊急情況[1]。據(jù)估計，網(wǎng)絡(luò)犯罪使經(jīng)濟成本增加了5倍，造成的財產(chǎn)損失從2011年的1 000多億美元增加到2017年的超5 000億美元，影響了全球近十億人口。此外，據(jù)估計，87%的網(wǎng)絡(luò)攻擊是由組織內(nèi)經(jīng)驗不足的員工造成的。

由于網(wǎng)絡(luò)安全范圍廣泛而復(fù)雜，并且威脅快速變化，所以很難對整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行量化和客觀的安全評估，導(dǎo)致評估過程的完全自動化和擴展性變得難以實現(xiàn)。正如開源安全測試方法手冊中所建議的，“有能力的分析人員將需要充足的網(wǎng)絡(luò)知識、成熟的安全測試技能和批判性思維能力，以確保通過相關(guān)性分析來收集事實數(shù)據(jù)并產(chǎn)生實際結(jié)果”，這些技能在理解和實施安全準(zhǔn)則時都是必需的[4]。為了進(jìn)一步了解網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性并更明確地控制，量化度量指標(biāo)是直接且有效的方法[4]。

1 相關(guān)工作

以往的文獻(xiàn)中已經(jīng)提出了許多用于度量信息和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)。Pendleton等人[5]描述了系統(tǒng)安全度量的維度，包括漏洞、防御、攻擊等。文中的度量標(biāo)準(zhǔn)屬于測量“接口誘導(dǎo)”漏洞一類，并考慮了軟件系統(tǒng)對某些攻擊的易感性。文中匯總了攻擊面和威脅暴露度的度量標(biāo)準(zhǔn)，用于評估系統(tǒng)的攻擊易感性。

Ramos等人[6]對基于模型的定量網(wǎng)絡(luò)安全度量（Network Security Metrics， NSM）進(jìn)行了綜述，但該技術(shù)仍處在發(fā)展中，基于模型的定量方法對決策有價值，但不能完美反映網(wǎng)絡(luò)的安全水平。

Munir等人[4]提出了另一種衡量IT網(wǎng)絡(luò)安全水平的方法，使用漏洞掃描工具確定節(jié)點的漏洞水平并分類。該方法與文中的方法并不矛盾，但文中通過整合度量標(biāo)準(zhǔn)可以進(jìn)一步減少漏洞掃描工具提供的錯誤警報。互聯(lián)網(wǎng)安全中心（Center for Internet Security， CIS）也面臨網(wǎng)絡(luò)安全領(lǐng)域缺乏廣泛認(rèn)可和明確度量標(biāo)準(zhǔn)的問題。

Weintraub等人[7]進(jìn)行的研究旨在通過提供關(guān)于危害系統(tǒng)可用性事件的客觀、定量和實時信息，降低與風(fēng)險評估相關(guān)的不確定性，但該研究存在局限性。如所提出的圖形管理方法不一定可行，用于描述每個組件的實時狀態(tài)及其與其他組件的相互關(guān)系可能并不包括所有的安全特征；兩個節(jié)點之間的各種可能連接：文中認(rèn)為，這種局限性是由于對該領(lǐng)域并未進(jìn)行徹底評估造成的。

從相關(guān)文獻(xiàn)可知，在網(wǎng)絡(luò)安全領(lǐng)域，任何可能影響網(wǎng)絡(luò)安全的因素都不能被忽視，而當(dāng)前尚未提供真正的標(biāo)準(zhǔn)來定義網(wǎng)絡(luò)安全姿態(tài)。此外，關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的物理和邏輯暴露問題的研究工作相對較少，并且沒有提出解決方案并給出統(tǒng)一的標(biāo)準(zhǔn)[8-9]。為此，文中提出了一種新的量化標(biāo)準(zhǔn)解決方案。

2 模型定義

文中提供了一個詳細(xì)的度量模型，該模型是設(shè)計分布式框架的基礎(chǔ)。設(shè)計該模型的目的是為企業(yè)的各種資產(chǎn)保管提供詳細(xì)指導(dǎo)，用于降低信息與通信技術(shù)基礎(chǔ)設(shè)施的暴露風(fēng)險。為此，文中建議從評估攻擊面開始，以提取最終滿足信息需求的度量標(biāo)準(zhǔn)。這些信息需求可以針對公司內(nèi)的多個接收者，定義要采取的安全對策。實際上，在公司內(nèi)部，不同層次的信息需求是必要的：（1）執(zhí)行層級；（2）業(yè)務(wù)/流程層級；

（3）實施/運營層級。

執(zhí)行層級向業(yè)務(wù)/流程層級提供任務(wù)優(yōu)先級、可用資源和整體風(fēng)險容忍度，以更直接地感知系統(tǒng)的健康狀況。然而，這種方法對特定暴露配置相關(guān)風(fēng)險的理解是有缺失的。為了解決該問題，信息需求以風(fēng)險評估的形式呈現(xiàn)，提供更細(xì)粒度的信息。

在業(yè)務(wù)/流程層級，信息需求是風(fēng)險管理過程的輸入。通過與實施層級建立直接渠道，可以共享業(yè)務(wù)需求并建立檔案。這使得執(zhí)行層級能夠及時了解整體風(fēng)險管理情況，并讓實施/運營層級了解業(yè)務(wù)影響[10]。

文中目標(biāo)是提供一組詳細(xì)的度量標(biāo)準(zhǔn)，反映對網(wǎng)絡(luò)威脅的暴露情況，即信息需求。引入的模型以概念定義的方式描述了如何量化實地探測獲得的相關(guān)屬性，并將其轉(zhuǎn)化為相關(guān)度量標(biāo)準(zhǔn)。該模型按照5個級別劃分，每個級別的特點是信息聚合程度逐漸增加，直到信息需求成為最終目標(biāo)。

在第一級別，使用工程工具來提取環(huán)境屬性，并獲取信息來源，包括基于簽名的入侵檢測系統(tǒng)、NetFlows以及目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的規(guī)格說明。其中，基于簽名的入侵檢測系統(tǒng)和NetFlows以JSON格式提供數(shù)據(jù)，這些數(shù)據(jù)是文中測量模型的主要來源。通過對這些數(shù)據(jù)的收集和分析，能夠深入了解目標(biāo)網(wǎng)絡(luò)的通信模式、流量特征以及潛在的入侵行為。同時，結(jié)合基礎(chǔ)設(shè)施設(shè)計規(guī)格，能夠?qū)h(huán)境屬性與預(yù)期配置進(jìn)行對比，從而檢測出異?；顒踊蚺渲闷睢?/p>

屬性層包括NetFlow.json和IDS.json文件中的相關(guān)信息。NetFlow.json包含IP地址、流狀態(tài)和端口號屬性，其中，IP地址包括有源地址和目標(biāo)地址。流狀態(tài)有3個值：“New”表示數(shù)據(jù)流剛剛開始；“Established”表示正在運行；“Closed”表示流已終止。端口號屬性是源端口和目標(biāo)端口。IDS.json文件是IDS服務(wù)的輸出，包含違規(guī)簽名的數(shù)據(jù)庫。選取的屬性包括簽名ID和警報嚴(yán)重性，范圍為1～5，分別為嚴(yán)重、危險、中度危險、低優(yōu)先級和非優(yōu)先級。實體和屬性劃分如圖1所示。

度量標(biāo)準(zhǔn)被分為兩組，如圖2所示?！肮裘妗苯M包括衡量可能被攻擊利用的物理和邏輯資產(chǎn)的度量標(biāo)準(zhǔn)。這些度量標(biāo)準(zhǔn)定義如下：

（1）檢測到的活動主機（Detected Active Hosts， DAH）用于量化在一定時間范圍內(nèi)檢測到的活動主機數(shù)量；

（2）主機之間的交互（Host-to-Host Interactions， HTHI）用于量化主機之間（IP-源、IP-目標(biāo)）的交互數(shù)量，并根據(jù)數(shù)據(jù)流狀態(tài)進(jìn)行區(qū)分；

（3）端口（Ports）用于量化在給定時間間隔內(nèi)檢測到的開放端口總數(shù)。已知的端口被視為服務(wù)器端口，其余被視為客戶端口。

3 測量過程

測量過程主要分為3個階段，詳細(xì)說明如下：

（1）抽取-轉(zhuǎn)換-加載：從管理分布式探針的系統(tǒng)中抽取必要的實體（NetFlow.json和IDS.json）。每個實體只取100 000行，每行代表一個流（Flow）以及時間戳信息，時間戳的間隔為30 min（測量的持續(xù)時間）。然后對文件進(jìn)行轉(zhuǎn)換，使其符合后續(xù)階段的要求。最終將文件加載到AME（Automatic Measurement and Evaluation）腳本中。

（2）自動測量執(zhí)行：其中一個MATLAB腳本自動化測量過程，顯示模型中定義的指標(biāo)值。

（3）存儲：結(jié)果被存儲并準(zhǔn)備用于測試計劃。

進(jìn)行測試時，完成兩種類型的分析：一種是比較兩種網(wǎng)絡(luò)基礎(chǔ)設(shè)施在面臨威脅方面的情況；另一種是對指標(biāo)進(jìn)行時間序列分析，以監(jiān)測網(wǎng)絡(luò)應(yīng)對可能產(chǎn)生威脅的暴露情況。

在第一種情況下，對2個目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行N次測量過程迭代，并提取它們的平均指標(biāo)值，通過取平均值得到一個更全面的視角，了解系統(tǒng)在不同條件下的表現(xiàn)情況，并綜合考慮多次測量的結(jié)果。為了評估潛在威脅的程度，這些測量值被取平均并與另一基礎(chǔ)設(shè)施的值進(jìn)行比較。

文中采取了更頻繁的測試策略，每天進(jìn)行多次測試，并連續(xù)進(jìn)行k天，隨后在一周后重復(fù)。通過時間序列分析，可以監(jiān)測網(wǎng)絡(luò)指標(biāo)隨時間的變化趨勢，從而推斷網(wǎng)絡(luò)暴露狀態(tài)的可能性。特別要關(guān)注峰值時段，因為它可能存在更高的威脅暴露風(fēng)險，需要特別注意網(wǎng)絡(luò)安全性。

持續(xù)的測試和分析還有助于驗證已采取的安全措施是否有效。通過觀察測量值的變化，可以評估這些措施對網(wǎng)絡(luò)性能和安全性的影響。如果發(fā)現(xiàn)措施沒有達(dá)到預(yù)期效果，可以對基礎(chǔ)設(shè)施配置進(jìn)行調(diào)整，填補差距或改進(jìn)結(jié)果，這種迭代過程可以持續(xù)優(yōu)化網(wǎng)絡(luò)的安全性和性能，并確保網(wǎng)絡(luò)在不斷變化的威脅環(huán)境中的適應(yīng)性。

測量測試每天重復(fù)進(jìn)行5次，分別在一天的不同時間段進(jìn)行（8：30—9：00，11：00—11：30，13：30—14：00，16：00—16：30，18：30—19：00），每次測試持續(xù)30 min。測量在連續(xù)三天內(nèi)重復(fù)進(jìn)行，在一周后的另外三天內(nèi)再次重復(fù)，共進(jìn)行了30次實驗。

4 結(jié)果分析

對所提方法進(jìn)行詳細(xì)測試，以評估其有效性。通過測試結(jié)果，展示文中設(shè)計的測量模型能夠準(zhǔn)確識別潛在威脅的

原因。

測試活動的主要目標(biāo)是比較2個具有不同特性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這種比較可以基于可計算的指標(biāo)，也可以考慮攻擊表面和網(wǎng)絡(luò)易感性這兩個宏觀類別。后一種情況下，可以得到4種不同的結(jié)果組合，定義了完整的暴露概況：

（1）2個指標(biāo)都比較低：低或零值表示斷開連接，這種情況是無效的，更完美的情況應(yīng)當(dāng)是在攻擊表面指標(biāo)方面取得較低值，而在網(wǎng)絡(luò)易感性方面為零或接近零。

（2）攻擊表面類別指標(biāo)值較高，而網(wǎng)絡(luò)易感性相關(guān)指標(biāo)值較低或為零，這種情況并不是表現(xiàn)最優(yōu)秀的，但是結(jié)果相對來講可以接受。

（3）攻擊表面類別指標(biāo)值較低但非零，而網(wǎng)絡(luò)易感性相關(guān)指標(biāo)值較高，這種情況對公司來說相當(dāng)危險，暴露風(fēng)險程度極高。

（4）兩個類別的指標(biāo)都取得較高值，表示在攻擊表面和網(wǎng)絡(luò)易感性方面都達(dá)到最大暴露，這種情況必須避免。

文中比較了從網(wǎng)絡(luò)1（工作站網(wǎng)絡(luò)）和網(wǎng)絡(luò)2（服務(wù)器網(wǎng)絡(luò)）獲得的指標(biāo)平均值。網(wǎng)絡(luò)1的平均結(jié)果見表1所列。網(wǎng)絡(luò)2的平均結(jié)果見表2所列。

工作站網(wǎng)絡(luò)的攻擊表面較大。關(guān)于網(wǎng)絡(luò)易感性組的指標(biāo)，可以觀察到警報數(shù)量多，平均嚴(yán)重性高。然而，涉及警報的級別信息以及涉及主機的百分比相對較低。這種情況在一個工作站網(wǎng)絡(luò)中可能是可以接受的，但在對企業(yè)業(yè)務(wù)至關(guān)重要的網(wǎng)絡(luò)中則應(yīng)避免。

圖3中呈現(xiàn)了網(wǎng)絡(luò)1和網(wǎng)絡(luò)2易感性之間的比較，結(jié)果突出顯示了這2個配置文件之間的實質(zhì)性差異。在圖3中，所有指標(biāo)都顯示出2個網(wǎng)絡(luò)之間有明顯區(qū)別。

通過分析各個圖表，圖3中報告的威脅級別3值得關(guān)注，事實上，2個網(wǎng)絡(luò)存在一些相同的均標(biāo)記為“威脅級別3”的危險事件。通過文中描述的方法，能夠追蹤導(dǎo)致這種行為的交互作用，并了解到這些事件是端到端通信，其中，源IP地址屬于網(wǎng)絡(luò)1，目標(biāo)IP地址屬于網(wǎng)絡(luò)2。這不僅顯示了文中方法的有效性，更在經(jīng)過適當(dāng)深入的分析后，為安全人員提供了關(guān)于原因的詳細(xì)信息，便于他們采取正確的對策。對于嚴(yán)重性平均值和警報數(shù)量指標(biāo)，仍然可以注意到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間的差異。

關(guān)于基于嚴(yán)重性類型的威脅級別，值得注意的是，平均而言，網(wǎng)絡(luò)1的交互涉及的警報嚴(yán)重級別為1（嚴(yán)重）或3（中度危險），并且處于封閉狀態(tài)，這表明當(dāng)前網(wǎng)絡(luò)暴露風(fēng)險極大。而網(wǎng)絡(luò)2涉及的警報處于封閉狀態(tài)且嚴(yán)重級別為3，這明顯較不具備威脅性。從分析中可以得出結(jié)論，網(wǎng)絡(luò)1相對于網(wǎng)絡(luò)2的暴露風(fēng)險更大。

由于服務(wù)器網(wǎng)絡(luò)具有明確定義的暴露概況，特點是資源數(shù)量有限，最低嚴(yán)重性的警報數(shù)量較少，且臨界水平較低，這個描述可以作為極低暴露網(wǎng)絡(luò)的基準(zhǔn)。因此，假設(shè)不了解目標(biāo)網(wǎng)絡(luò)的類型，通過將2個目標(biāo)網(wǎng)絡(luò)與基準(zhǔn)進(jìn)行對比，可以很容易地識別服務(wù)器網(wǎng)絡(luò)。由此可以推斷，如果基礎(chǔ)設(shè)施符合典型的服務(wù)器網(wǎng)絡(luò)暴露概況，那么應(yīng)當(dāng)降低暴露風(fēng)險。

5 結(jié) 語

文中提出了一種全新的框架，用于測量信息通信技術(shù)基礎(chǔ)設(shè)施對潛在安全威脅的暴露程度。該框架建立的基礎(chǔ)是：

（1）指標(biāo)的定義；（2）目標(biāo)測量過程的確定；（3）風(fēng)險暴露的識別。

文中引入的測量過程從傳感器網(wǎng)絡(luò)中提取了數(shù)據(jù)定義，并考慮了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的結(jié)構(gòu)特性。通過在不同時間間隔內(nèi)對2個具有不同特性的網(wǎng)絡(luò)（工作站網(wǎng)絡(luò)和服務(wù)器網(wǎng)絡(luò)）進(jìn)行測量，可以確定暴露風(fēng)險更高的網(wǎng)絡(luò)，并能夠幫助安全人員及時應(yīng)對風(fēng)險暴露問題。

總的來說，所提出的解決方案是一種有效的自動網(wǎng)絡(luò)監(jiān)控工具，因為它與基線方法相比對于異常趨勢能夠提供更敏感和有用的信息，并能觸發(fā)網(wǎng)絡(luò)安全修復(fù)活動。

參考文獻(xiàn)

[1] BAY M. What is cybersecurity [J]. French journal for media research，2016，6：1-28.

[2] MARCO A，GRAZIANO B，SIMONE L，et al. Visual exploration and analysis of the italian cybersecurity framework [C]// AVI '18：Proceedings of the 2018 International Conference on Advanced Visual Interfaces. [S.l.]：[s.n.]，2018：1-3.

[3] JOSE J G. Towards a cyber security reporting system - a quality improvement process [C]// Computer Safety，Reliability，and Security，24th International Conference. [S.l.]：[s.n.]，2005：368-380.

[4] MUNIR R，DISSO J P，AWAN I，et al. Quantitative enterprise network security risk assessment [C]// UK Performance Engineering Workshop. [S.l.]：[s.n.]，2013.

[5] PENDLETON M，GARCIA-LEBRON R，CHO J H，et al. A survey on systems security metrics [J]. ACM computing surveys，2016，49（4）：1-35.

[6] RAMOS A，LAZAR M，HOLANDA F R，et al. Model-based quantitative network security metrics： a survey [J]. IEEE communications survey tutorial，2017，19（4）：2704-2734.

[7] WEINTRAUB E，COHEN Y. Defining network exposure metrics in security risk scoring models [J]. International journal of advanced computer science and applications，2018，9，（4）：399-404.

[8] ISO I E C，IEC N. ISO/IEC [J]. IEEE international standard-systems and software engineering vocabulary，2017：1-541.

[9] MOURATIDIS H，ISLAM S，SANTOS-OLMO A，et al. Modelling language for cyber security incident handling for critical infrastructures [J]. Computers amp; security，2023，128：103139.

[10] BARRETT M P. Framework for improving critical infrastructure cybersecurity version 1.1 [J]. Decision support systems，2021，147（8）：113580.

收稿日期：2023-08-15 修回日期：2023-09-20

作者簡介：劉 洋（1996—），男，工程師，研究方向為物聯(lián)網(wǎng)、網(wǎng)絡(luò)安全。