渔政管理系统网络环境威胁态势分析*

陈孟婕，刘慧媛，蒋庆朝，徐 硕，倪晨翰

(中国水产科学研究院渔业工程研究所，北京100141)

0 引言

渔政管理系统是面向渔业管理的全国性政务系统。 在云计算、大数据背景下，层出不穷的信息安全事件给包括渔政管理系统在内的各类政务系统网络安全运维工作带来巨大的挑战。由于网络攻击的方式日趋规模化、分布化、复杂化，破坏性越来越大，传统的网络防护系统在对攻击行为做出拦截时，系统运维人员对全局状态的感知能力较差。系统的网络日志遍布于数据库、Web 中间件、服务器、网络设备等各个节点，数据指标从不同角度反映了网络环境，对网络日志数据的分析研究可以准确掌握系统运行状态以及潜在网络安全威胁等信息，为系统功能与性能的优化、安全方案的制定提供依据。

网络态势评估可实现态势因子集合到态势结果的映射。 相关研究包括理论创新引入到态势评估领域，例如集对分析理论、证据理论、粗糙集理论、灰关联分析理论；以及传统方法的扩展，例如贝叶斯技术、基于知识的方法、向量机方法、人工神经网络方法、模糊逻辑方法等[1-7]。 集对分析理论相比于其他方法，具有模型计算复杂度低，不需要推理规则、先验知识，结果易于解释等优点，在多个领域有广泛应用，例如多方案比选、工程风险评价、资源环境评估、安全管理等[8-9]。

集对分析理论是由我国学者赵克勤于1989 年首次提出[10-11]，该理论在后续研究中不断发展完善，形成了联系数、集对势、偏联系数等计算模型与理论解释[12-16]，实现对系统的客观、定量、综合评价与趋势分析。 集对分析理论中，系统联系数表示为u=a+bi，也称作二元联系数，其中 a 表示系统确定性因素，b 表示系统不确定性因素，公式表现了系统确定性因素和不确定性因素对系统的综合影响。根据不确定性的强弱程度，集对分析理论进一步细化该因素，扩展为三元联系数u=a+bi+cj、四元联系数u=a+bi+cj+dk 等多元联系数。 基于集对分析理论的网络威胁评估是对网络态势定量化测算，相比层次分析法、关联分析、神经网络等数据分析挖掘模型，除了模型复杂度较低以外，分析结果对于网络环境现状和发展趋势的刻画更为全面、准确。

本文从渔政管理系统的网络安全需求入手，针对大规模、复杂、不确定的网络环境特点，研究网络环境综合评估方法，促进系统网络安全运维人员对网络环境的认识和理解。 通过构建基于集对分析理论的网络环境威胁评估模型，量化网络攻击威胁程度，提供系统整体外部网络环境风险指数，准确识别、预测当前网络态势。 本文研究是渔政管理系统网络安全的先行实践，也对信息系统网络管理日志的有效开发与利用提供应用实践。

1 网络管理日志数据

渔政管理系统部署在农业农村部信息中心，网络环境与基础物理环境方面依托信息中心提供安全管理服务，而服务器及软件方面由软件开发团队提供运行维护支持。

信息中心的网络管理系统提供了对交换网络的监控与保护，重点对常见的扫描攻击、账号嗅探、后门程序、FTP 攻击、NetBIOS、远程溢出攻击、远程登录、病毒、恶意代码、DDoS、邮件服务器攻击、针对CGI 的攻击、Web 服务攻击以及用户定义的可疑行为、非授权访问、欺骗和主机异常等多种攻击行为进行检测、识别与拦截。 网络管理系统对各类网络攻击行为均记录在日志数据中，数据反映了系统整体网络环境特点。

本文收集了2020 年期间网络管理系统日志数据，结合公共漏洞数据库CNNVD(China National Vulnerability Database of Information Security，中国国家信息安全漏洞数据库)、CVE(Common Vulnerabilities and Exposures，通漏洞披露)等信息的融合处理，初步形成了网络攻击数据共计6 000 余条，每条数据均包含了访问时间、访问来源、访问行为、访问端口、计数、威胁等级、漏洞类型、威胁类型等信息。 其中，访问时间、访问来源、访问行为、访问端口、计数是网络攻击数据的攻击基本信息，从网络管理设备中导出；而威胁等级、漏洞类型、威胁类型是网络攻击数据的分级分类信息，反映攻击行为威胁程度，数据内容引用CNNVD、CVE 等数据进行补充完善。数据示例如表1 所示。

表1 数据样本片段

2 网络环境威胁数据分布

对收集的网络管理日志数据的攻击威胁分布进行统计特征分析，掌握网络环境威胁的基本特点。 在日志管理数据中，威胁等级包括低危、中危、高危、超危四个等级，其中85%的漏洞威胁等级为中危/高危，14%的漏洞为超危等级，仅有 1%的漏洞为低危。

按不同威胁等级分类统计漏洞攻击次数随时间的变化情况，统计结果如图 1 所示。 低危漏洞的攻击仅在t1~t2 时间中出现；中危漏洞在 t2 时间的攻击次数远高于其他等级，在t3~t4 时间攻击次数回落到较低水平后，在t5~t6 时间又持续上升；对高危漏洞的攻击同样在t5~t6 时间持续上升，并且超过t1~t4 时间；超危漏洞的攻击次数在 t2 时间高于其他时间段，在 t4 时间降到最低点，而后在 t5、t6 时间缓慢上升。 初步判断，t2 时间和t6 时间的整体威胁指数较大，t4 时间和t1 时间整体威胁指数小于其他时间。 系统威胁整体呈上升趋势。

图1 攻击威胁时间分布

3 网络环境威胁综合评估模型构建

3.1 评估模型构建

上述分析中，对系统网络威胁程度的理解通过多主题、多维度的网络日志数据分析评估所得，分析结果不够直观，特别是对系统的整体情况和发展趋势的识别仍不够准确。 本文采用集对分析方法，研究构建网络环境威胁评估模型，综合计算评估网络环境威胁指数。

网络安全风险评估模型一般包括危险性、脆弱性、可用性、可靠性四个方面的分析[17-18]。 本文重点对网络环境威胁程度进行评估，即分析网络环境在危险性指标上的表现。 对于网络危险性指标，基于本文作者收集的网络管理日志数据，分为流量、威胁等级、相关度三类威胁方向。 不同指标数值反映了不同网络危险程度，例如，网络流量的分布体现了危险的分布概率，流量越大，危险概率越大。对于每一类威胁方向，从基础情况和变化情况两个维度细化指标，确定了网络漏洞流量、网络漏洞等级、网络攻击等级流量、网络漏洞变化量、网络漏洞等级变化量、网络漏洞等级变化流量、网络攻击相关性、网络攻击相关度流量共计8 项评估指标。 基于网络威胁主题和分析维度构建的网络环境威胁指标体系如表2 所示。 各项指标分配一定权重，表示指标对系统模型的影响程度，指标取值依据风险等级，划分为高风险、中风险、低风险三类。

表2 网络环境威胁指标体系

运用集对分析理论，构建系统网络环境威胁综合评估模型，如式(1)～式(3)所示。 式(1)中，μm表示某个网络威胁指标的联系数，反映网络威胁中该指标项的确定性高威胁影响(am)、不确定性威胁影响(bm)以及确定性低威胁影响(cm)。 式(2)中，μ 表示系统网络环境威胁评估联系数，根据联系数加法性质[13]，由各个指标分量加权综合求得，wm表示指标项的权重。 式(3)由式(1)、式(2)推导得出，即系统网络环境威胁的整体评估由各个指标分量的确定性高威胁影响、不确定性威胁影响以及确定性的低威胁影响依据指标对模型的作用力(wm)综合评价。

基于联系数的系统网络环境威胁综合评估模型，运用联系数、偏联系数、集对势等集对分析理论工具进行数据分析，一方面，分析系统在单一指标中的网络风险程度及网络威胁变化趋势，另一方面，综合评价系统整体的网络风险程度和网络威胁变化趋势。对于系统或指标的当前风险程度分析，通过模型的集势分析(a/c、a/(a+c))可得，对于系统或指标潜在变化趋势的分析，通过模型的偏联系数分析可得。

3.2 数据处理转换

对于网络管理日志数据，网络威胁各项指标的权重依专家经验划分，其中，流量类指标占 0.25(含μ1、μ4)，威胁等 级类指 标占 0.4(含 μ2、μ5)，相 关类指标占 0.2(即 μ7)，混 合类指标占 0.15(含 μ3、μ6、μ8)。

对于各项指标取值，分为高风险、中风险、低风险三类。 流量类指标，以阈值划分为三类：大于 1 000(高风险)、大于 100 且小于等于 1 000(中风险)、小于等于 100(低风险)。 对于威胁等级、相关度指标，基本采用原有分类：高风险(含超高风险)/高相关度，中风险/中相关度，低风险/低相关度。 将网络管理日志数据按以上标准转换处理与归一化，构建系统评估模型的联系数，如表3 所示。

表3 网络威胁评估模型联系数

3.3 评估计算

集对势反映了系统当前的风险程度，用SHI(μ)=a/c 表示。 当 SHI(μ)＞1 时，系统风险表现为同势，即高风险威胁较低风险威胁更大。 当 SHI(μ)=1 时，系统风险表现为均势，即高风险与低风险威胁程度相当。 当 SHI(μ)＜1 时，系统风险表现为反势，即 高风险较低风险威胁程度更小。

偏联系数刻画了系统在不确定性上的潜在发展趋势，例如，一阶偏联系数(∂μ)反映了从发展观点上看某个状态(如高风险)从邻近的状态(如中风险)发展而来的趋势。 偏联系数有全偏联系数(∂μ)、偏 正 联 系 数 (∂μ+)、偏 负 联 系 数(∂μ-)，偏 正 联 系 数表示系统正向发展趋势，偏负联系数表示系统反向发展趋势，全偏联系数表示系统整体发展趋势，默认偏联系数指的是全偏联系数。 对于三元联系数，二阶偏联系数计算如式(4)所示。 二阶偏联系数消除了中间不确定影响(i 分量)，当二阶偏联系数大于0，说明系统潜在发展趋势是正向(即高风险)，当二阶偏联系数小于0，说明系统潜在发展趋势是反向(低 风 险)。

对于系统中的不确定性分析，i 取值范围为[-1，1]，当 i 取[0，1]时，不确定量偏正影响(偏高风险)，当 i取[-1，0]时，不确定量偏负影响(偏低风险)。

根据集对势、偏联系数、不确定理论计算系统当前状态和发展状态，其中不确定分析中，i 取-1，0，1。 计算结果如表 4、表 5 所示。

表4 计算结果1

表5 计算结果2

3.4 评估结果分析

集对势计算结果中，综合集对势取值略小于1，说明系统集对势为反势，根据取值大小，说明整体风险程度略微偏低风险。 对于各项指标，流量类指标(指标 1、指标 4)集对势略大于 0、小于 1，在评估中这类指标反映的风险程度为低风险；威胁等级类指标(指标 2、指标 3、指标 5)集对势远大于 1，这类指标反映出来的风险程度为高风险；相关度指标(指标 7，指标 8)大于 1 但数值不高，这类指标反映出来的风险程度为高风险，但威胁程度不及威胁等级类指标。

偏联系数计算结果中，二阶偏联系数为0.000 3，略大于0，说明系统潜在发展趋势是高风险，其发展程度较微弱。 对于各个指标，相关度指标趋势为低风险，其余指标均为高风险，说明对系统的威胁发展中，相关性威胁程度降低，流量类、威胁等级类威胁程度有提高的趋势。

系统不确定性分析中，当不确定量转换为低风险时，系统风险程度为低风险；当不确定量转换为高风险时，系统风险程度为高风险。 当不确定量消除时，系统偏低风险，这与集对势中系统整体表现出来的偏低风险一致。

4 结论

网络威胁评估是网络安全管理的一个方面，本文构建的网络环境威胁评估模型通过挖掘网络安全管理数据，分析了网络威胁在特定指标上的状态和变化趋势，其计算原理简单、明了，计算结果更具分析属性，便于实际应用。 模型的不足在于其中介绍的评估指标及权重分配，还有待进一步在实践中完善和改进，使评估模型更加完备和实用。