2. 四川省信息安全测评中心, 成都 610017 ;
3. 中国信息安全测评中心, 北京 100085
2. Sichuan Information Security Testing Evaluation Center, Chengdu 610017, China ;
3. China Information Technology Security Evaluation Center, Beijing 100085, China
加强信息系统的安全态势评估是保护核心信息基础设施的必要管理手段[1],态势是对多类型数据进行处理的结果,既要评估当前状态,也需要预测潜在发展。Endsley[2]在1988年定义了网络安全态势感知的概念,指出态势感知具备测度,并于1995年提出数据融合的提取要素,将重要的基础数据、数据解释和知识表达、预测及应用等信息进行融合,从时空分布角度进行态势发展阶段及范围的描述[3]。Bass 等[4]于1999年建立了网络安全态势的功能模型,并应用于网络管理领域,后续研究者在此基础上提出了多种安全态势感知模型,并扩展了态势的相关研究内容,主要集中在感知模型、知识表示和评估方法等方面[5]。
数据融合的评估是安全态势感知的核心内容,其研究成果主要分为3类:1) 利用数学模型、知识推理和模式识别等方法对数据进行评估获取态势,代表性成果有JDL (joint directors of laboratories) 数据融合模型[6]和Endsley三层次模型[3]等;2) 将大数据融合后进行可视化的态势展现,Klein 等[7]提出网络安全态势评估的关键点除了对态势要素的提取进行融合外,如何通过可视化方法支持人工决策尤为重要;3) 侧重于从攻击等角度研究,通过网络安全行为的建模,采用神经网络、时间序列和支持向量机等方法进行态势预测。例如Yang 等[8]提出了一种采用变量隐马尔科夫模型模拟攻击者的行为,将IDS所采集的数据进行融合评估未来的攻击态势。
基于业务效能的信息系统的安全态势评估实质上是评价安全措施是否能确保业务流程按预定义的规则和逻辑运行,其重点是对信息系统构成要素之间的业务逻辑进行安全约束。业务流程的基本要素诸如“活动主体”、“信息”、“业务功能”等存在相互的安全约束,并形成面向业务活动的安全属性及约束强度,因此业务效能可较好地反映系统的安全态势。现有方法在网络安全的态势评估中取得了一定的成果,但存在如下问题:1) 态势要素对系统业务的相关因素考虑较少,安全保障的根本出发点是保障系统业务,业务运行的时间、可靠性和用户满意度都是度量系统安全态势的重要指标,反映了系统安全运行的业务效能,同时也是权衡安全保障投入适应性的重要考量;2) 态势评估缺少不可比较性的不确定性处理,对于系统的态势变化研究尚未形成共识。
本文提出了一种混合指标的信息系统态势评估方法,分为2个主要组成部分:1) 在已有网络安全态势评估指标基础上,基于Q·S模型构建系统业务效能态势指标,为了避免有效数据的损失,对大量以不确定性形式描述的数据信息予以处理,其中包含实数型、区间型和语言型数据;2) 将业务效能态势指标与其他的网络安全态势指标归并,处理系统间态势分析中存在的不可比较性问题,从而得到完整可靠的系统安全态势。
1 系统安全态势指标和混合指标目前的网络安全态势评估指标主要以网络安全数据为主,并大都以实数的形式明确给出,或者在因果关系的属性指标中运用语言值,刻画比较单一,尤其对大范围的系统态势评估和业务绩效管理没能进行有力的数据支撑。这种描述方法会丧失大量有用的数据信息,对于某些安全属性应该以不确定的形式给出以增强模型的描述能力。其中可采用区间型数据描述某些系统运行属性(如运行时间)在某一时间段内的突发最大值和最小值,同时采用语言型数据描述那些不适合以具体数值表示的系统属性(如重要性、关注度、安全风险等级)。
1.1 系统安全态势的指标体系根据传统的指标体系,系统的安全状态是根据分层结构来描述的,依次通过“攻击/漏洞”、“服务”、“主机”、“局部网络”、“宏观网络”自下而上,先局部后整体进行评估[9]。数据源分为基于系统配置信息和基于系统运行信息两大类,包括系统的配置参数、存在的漏洞、网元信息、流量信息和报警信息等。所提炼的指标体系可归结为:系统安全风险态势、系统稳定性态势和容灾性态势,态势指标可根据属性不同进一步的细化。
1.2 业务效能混合指标系统业务的效能指标主要用来描述系统运行的非功能属性,结合蒋运承等[10]、Liu等[11]在服务质量模型的工作,本文提出了一种确定型和不确定型相结合的业务效能描述指标模型,指标定义及度量方法见表1。
指标定义 | 度量方法 |
运行时间(running time) | Tbs=[min(tbs1,tbs2,…,tbsn),max(tbs1,tbs2,…,tbsn)] |
可用性(availability) | Abs=TΓ/n |
可靠性(reliability) | Rbs=Nbs/K |
运行代价(running cost) | Pbs=Pi+Ps |
关注度(attention) | ARbs=$\frac{1}{n}\sum\limits_{i=1}^{n}{{}}$[aiI,aim,aiu] |
1) 运行时间:是指服务启动运行到结束所经历的业务运行时间,考虑到业务运行时间体现的动态性,平均值会掩盖掉不同状况下的运行稳定性,为了增强描述的准确性,同时体现业务运行时间的波动程度,采用区间型数据[12],该指标反映了业务运行的稳定性,tbsn为第n次业务活动的运行时间。
2) 可用性:系统业务可访问执行的频率。Abs=TΓ/n,其中:TΓ表示在一定的时间段业务可运行的次数,n表示在此时间段的访问总次数。
3) 可靠性:业务正确运行的能力,是业务运行质量可靠程度的度量。Rbs=Nbs/K,其中,Nbs是当前为止业务成功执行的次数。
4) 运行代价:业务运行所投入的保障费用,业务的多样性和系统的复杂性具有一定的关联,同时,安全保障的费用投入和信息化费用也呈现一定的关联性,运行代价Pbs=Pi+Ps,由信息化费用和安全费用2个部分组成。
5) 关注度:业务服务对象对业务重要性和系统运行声誉的关注程度。语言型的数据描述符合实际的情况,通过业务的服务对象确定一个模糊的分数,集合通常为(高、较高、一般、较低、低)或进一步语言细化。为了计算的便利,将语言值量化为对应的三角模糊数[a1,am,au],分别表示三角模糊数的下界、核和上界值,取值一般由政策指南和行业专家给出。
2 业务效能指标综合分析定义1 (系统业务效能指数):是对某个时间周期中某个网络区域内影响业务运行安全态势的各种因素采用一定的方法进行综合评估量化后得到一个反映业务整体效能态势的数值。
业务效能指数的综合分析方法BECM(business evaluation comprehensive method),既可用于评估系统中每个业务的效能,也可用于评估系统整体业务效能,系统效能评估模型如图1所示。b={b1,b2,…,bn}代表一个系统若干业务的集合,q={q1,q2,…,q5}表示业务效能的具体指标,E=(eij)n×5为业务效能矩阵,其中eij为系统第i个业务的第j个效能属性值。BECM的具体步骤如下。
1) 去模糊化。
先将业务效能指标中的关注度进行去模糊化的处理,业务关注度的三角模糊数取值一般由业务专家和用户打分给出,ARbs为一段时间内业务用户反馈的平均值。去模糊化是对模糊数据的近似解释,处理公式为
$AR_{bs}^{'}=\frac{\int_{s}{x\mu \left( x \right)dx}}{\int_{s}{\mu \left( x \right)dx}}.$ | (1) |
其中:μ表示ARbs的隶属度函数,S表示积分区间。处理后业务效能矩阵变为${\tilde{E}}$=(${\tilde{e}}$ij)n×5,仅包含实数型和区间型数据。2) 归一化。
业务效能指标具有不同的量纲,例如可用性是次数而运行代价为万元,为了便于数据的评估比较,则要将业务效能矩阵中的数据归一化至一个相同的量纲,将矩阵中的每个实数型数据作为一个上下界相等的区间数,归一化的方法为
${{{\tilde{f}}}_{ij}}={{{\tilde{e}}}_{ij}}/\left\| {{{\tilde{e}}}_{ij}} \right\|.$ | (2) |
${{{\tilde{f}}}_{ij}}=\tilde{e}_{ij}^{-1}/\left\| \tilde{e}_{ij}^{-1} \right\|.$ | (3) |
其中,‖${\tilde{e}}$-1ij‖为业务效能矩阵${\tilde{E}}$中第j个列向量的Euclid模,即向量的长度,计算方式为
$\left\| {{{\tilde{e}}}_{ij}} \right\|=\sqrt{\sum\limits_{i=1}^{n}{\tilde{e}_{ij}^{2}}},$ | (4) |
$\left\| \tilde{e}_{ij}^{-1} \right\|=\sqrt{\sum\limits_{i=1}^{n}{\tilde{e}_{ij}^{-2}}},$ | (5) |
该方法本质上是以效能数据的相对值代替绝对值进行计算,通过绝对数值和列向量长度的比值计算,归一化不会改变业务效能的高低程度。
3) 基于层次分析法的综合评估方法。
正向效能值的计算公式为
$e_{s}^{+}=\sum\limits_{i\in \left\{ {{A}_{bs}},{{R}_{bs}},A{{R}_{bs}} \right\}}^{{}}{{{w}_{i}}q_{i}^{+}}.$ | (6) |
其中:wi表示各指标不同的重要性,qi+表示对应可用性、可靠性和关注度效能指标的检测数值。同理,负向效能值的计算公式为
$e_{s}^{-}=\sum\limits_{i\in \left\{ {{T}_{bs}},{{P}_{bs}} \right\}}^{{}}{{{w}_{i}}q_{i}^{-}}.$ | (7) |
用向量t=(ts+,ts-)表示各自相对的重要性,则系统的单一业务效能的计算可表示如下:
$e=t_{s}^{+}e_{s}^{+}+t_{s}^{-}e_{s}^{-}.$ | (8) |
4) 系统业务效能指数计算。
信息系统业务效能指数不仅与单一业务的效能有关,还与系统所承载业务的数量有关。经计算后可获取单一业务的效能,确定处于不同等级的业务数量,用向量num=(numa,numb,numc)表示,numa,numb,numc分别表示业务效能处于高、中、低的业务数量,用Bi={B1,B2,…}表示各业务效能组成的集合,则各业务高效、中等、低效的效能值计算如下:
$\begin{matrix} {{Q}_{k}}=\sum\limits_{i=1}^{nu{{m}_{k}}}{{{B}_{i}},k=a,b,c,} & i=1,2\cdots . \\ \end{matrix}$ | (9) |
业务效能指数受高效业务、中等业务、低效业务影响,用向量z=(za,zb,zc)表示,则效能指数计算为
$Z=\sum\limits_{k\in \left\{ a,b,c \right\}}^{{}}{{{z}_{k}}{{Q}_{k}}}/\sum\limits_{k\in \left\{ a,b,c \right\}}^{{}}{{{Q}_{k}}}.$ | (10) |
由此,将系统各业务的5个业务指标进行综合评估,得到业务效能指数的综合值。
3 混合指标的系统安全态势评估在对系统进行业务效能的态势评估后,需要结合系统安全风险态势、稳定性态势和容灾性等相关态势,对系统的整体态势做出综合的安全评价,以便于系统间的直观比较或发现时间序列的系统态势变化规律。在混合指标的综合评价过程中,需要对各态势指标进行量化,现有的方法大都先将语言值转化为各种各样的实数,然后通过实数值进行综合评价,最后再将评价结果转化为语言值。这种评估过程必然造成信息的失真,特别是丢失了不可比较性,这是由于信息系统安全态势本身涉及的因素多,而各因素的属性表征具有不一致性所呈现的态势总体上的一种不确定性。
本文用满意程度量化评价值,对各态势因素间的不可比较性的表示和处理进行优化,并将逻辑推理方法应用到评价过程中,提出基于语言真值格蕴涵代数的综合评价模型。
设因素集为F={f1,…,fi,…,fm},语言值评语集为E={ei}×Ls×L2,对F={f1,…,fi…,fm}的各因素评价结果为R={ r1,…,ri,…,rm },ri =(αi,βi)×Ls×L2,ri表示因素f i被评价为ej的合理程度。
3.1 评价模型基础定义2[13] 设Ln={d1,d2,…,dn},d1<d2<…<dn,L2={b1,b2},b1<b2,且(Ln,∨(Ln),∧(Ln),′(Ln),→(Ln),d1,dn)和(L2,∨(L2),∧(L2),′(L2),→(L2),b1,b2)
都是Łukasiewicz格蕴涵代数。对任意的(di,bj),(dk,bm)∈Ln×L2,定义下面运算:
$\begin{align} & \left( {{d}_{i}},{{b}_{j}} \right)\vee \left( {{d}_{k}},{{b}_{m}} \right)=\left( {{d}_{i}}{{\vee }_{\left( {{L}_{n}} \right)}}{{d}_{k}},{{b}_{j}}{{\vee }_{\left( {{L}_{2}} \right)}}{{b}_{m}} \right), \\ & \left( {{d}_{i}},{{b}_{j}} \right)\wedge \left( {{d}_{k}},{{b}_{m}} \right)=\left( {{d}_{i}}{{\wedge }_{\left( {{L}_{n}} \right)}}{{d}_{k}},{{b}_{j}}{{\wedge }_{\left( {{L}_{2}} \right)}}{{b}_{m}} \right), \\ & \left( {{d}_{i}},{{b}_{j}} \right)'=\left( d{{_{i}^{'}}_{\left( {{L}_{n}} \right)}},b{{_{j}^{'}}_{\left( {{L}_{2}} \right)}} \right), \\ & \left( {{d}_{i}},{{b}_{j}} \right)\to \left( {{d}_{k}},{{b}_{m}} \right)=\left( {{d}_{i}}{{\to }_{\left( {{L}_{n}} \right)}}{{d}_{k}},{{b}_{j}}{{\to }_{\left( {{L}_{2}} \right)}}{{b}_{m}} \right). \\ \end{align}$ |
则(Ln×L2,∨,∧,′,→,(d1,b1),(dn,b2))是格蕴涵代数,记作:Ln×L2。
定义3[14] 设ADn={a1,a2,…,an}是n个修饰词的集合,MT={f,t}是元真值的集合,并且a1<a2<…<an,f<t,记LV(n×2)=ADn×MT。
定义映射g如下:g:LV(n×2)→Ln×L2,
$g\left( \left( a,mt \right) \right)=\left\{ \begin{matrix} \left( d_{i}^{'},{{b}_{1}} \right),mt=f, \\ \left( {{d}_{i}},{{b}_{2}} \right),mt=t. \\ \end{matrix} \right.$ |
则g是一个双射,记它的逆映射为g-1,对任意的x,y∈LV(n×2),定义如下运算:
$\begin{align} & x\vee y={{g}^{-1}}\left( g\left( x \right)\vee g\left( y \right) \right), \\ & x\vee y={{g}^{-1}}\left( g\left( x \right)\vee g\left( y \right) \right), \\ & {{x}^{'}}={{g}^{-1}}\left( \left( g\left( x \right) \right)' \right), \\ & x\to y={{g}^{-1}}\left( g\left( x \right)\to g\left( y \right) \right). \\ \end{align}$ |
称LV(n×2)=(LV(n×2),∨,∧,′,→,(an,f),(an,t))是一个由ADn和MT生成的语言真值格蕴涵代数。它的元素被称为语言真值,映射g是一个从(LV(n×2),∨,∧,′,→,(an,f),(an,t))到Ln×L2的同构映射,如图2所示。
3.2 评价方法
在评价过程中,Ls中的强调程度应有区分度,并且和实际相关。模糊语言值通常可以分为2类:1) 由少数几个原词组成(如“老”、“年轻”等);2) 由原词加上一些修饰词(如“很”、“稍微”、“极”等),并按一定规则生成。
本文对各态势因素重要程度强调的修饰词集为AD={稍微(slightly,简记为Sl),有点(somewhat,简记为So),有些(rather,简记为Ra),几乎(almost,简记为Al),恰好(exactly,简记为Ex),十分(quite,简记为Qu),非常(very,简记为Ve),极为(highly,简记为Hi),绝对(absolutely,简记为Ab)},由具备资格的参评人员按既定规则确定各态势因素修饰词后,再将AD作成Lukasiewicz格蕴涵代数L9。令L2={失望,满意},构建语言集E=L9×L2,
将因素集F={f1,…,fi,…,fm}的重要程度刻画为W={w1,…,wi,…,wm},其中,wi∈Ls。评价过程如下:
C=D((g(w1,(α1,β1)),…,(g(wi,(αi,βi)),…,(g(wm,(αm,βm)))=
D((c(w1,α1),β1),…,(c(wi,αi),βi),…,
(c(wm,αm),βm)).
其中:g为Ls×(Ls×L2)到Ls×L2上的映射,c为Ls×Ls到Ls上的映射,且对任意i∈{1,…,m},(c(wi,αi),βi)=g(wi,(αi,βi),D为( Ls×L2)m到Ls×L2上的映射。在实际评价过程中,c可以取∧或⊗等算子,D可取∨或⊗等算子。其中,∧为格Ls中的算子,∨为乘积格Ls×L2中的算子,定义⊗算子为:任取Ls中的元素x,y有,x⊗y=(x→y′) ′。则计算的语言值评价结果为
$C=\underset{i=1}{\overset{m}{\mathop{\vee }}}\,\left( {{w}_{i}}\otimes {{a}_{i}},{{b}_{i}} \right)=\left( \underset{i=1}{\overset{m}{\mathop{\vee }}}\,\left( {{w}_{i}}\otimes {{a}_{i}} \right),\underset{i=1}{\overset{m}{\mathop{\vee }}}\,{{b}_{i}} \right).$ | (11) |
给定某电子商务信息系统业务效能指标的检测数据,该系统含16项业务,对运行时间等5项业务效能指标的具体检测数据使用BECM方法进行计算,得到高效业务有7项、一般效能业务为5项、低业务效能4项。构建评价模型确定高、中、低3种等级对业务效能指数的影响,得到业务效能指数的隶属度矩阵$R=\left[ \begin{matrix} \frac{4}{5} & \frac{1}{5} & 0 \\ \frac{1}{5} & \frac{3}{5} & \frac{1}{5} \\ 0 & \frac{1}{4} & \frac{3}{4} \\ \end{matrix} \right]$,计算得到z=(za,zb,zc)为(0.46,0.12,0.42),按照公式(10)计算系统整体业务效能指数为0.639。假定该系统的安全风险指数经计算为0.36,容灾指数为0.75。
使用模糊语言进行评价时,需和实际结合,若仅使用原词,则对所获指数表达的状况不充分,评价语言值取L9×L2,设原词的隶属函数是A(x),采用的一种规则是:“很”原词的隶属函数为[A(x)]2、“稍微”原词的隶属函数为[A(x)]12、“极”原词的隶属函数为[A(x)]4等。按照取值规则,对于示例系统的容灾指数0.75评价为“恰好满意”、安全风险指数0.36评价为“极为满意”、业务效能指数0.639评价为“有些满意”。
设定系统运行时认为容灾性、安全风险和业务效能的重要程度分别是:“几乎”、“十分”、“有点”,则评价结果由公式(11)计算得到:
C=((几乎⊗恰好)∨(十分⊗极为)∨(有点⊗有些),满意)=(恰好,满意);
若不考虑业务效能,则计算结果C=((几乎⊗恰好)∨(十分⊗极为),满意)=(极为,满意)。
可见,纳入了业务效能的评价结果将网络安全风险指数、容灾指数与业务效能指数进行了综合考虑,该案例系统在现实中态势为极为满意的情况概率较低,因此按照本文所提出的方法所获得的混合态势值更逼近系统运行的客观情况,有利于业务运行和安全措施的适应性调整。
5 结论本文发展了信息系统安全态势评估的指标体系,弥补了态势要素属性不可比较性处理研究中的不足。提出了一种混合指标的信息系统态势评估方法,可获得完整性安全态势,有效提升系统态势变化的准确度,直观结论有助于大规模系统安全态势的分析决策。主要结论如下:
1) 从业务效能方面对信息安全态势指标体系进行了完善,具体包括运行时间、可用性、可靠性、关注度和运行成本等指标;
2) 针对数据指标类型的多样化(实数型、语言型、区间型),改进了业务效能指数的计算方法,即BECM;
3) 应用基于格蕴涵代数的语言值评价模型,得出了多因素混合指标(安全风险、运行稳定性、容灾性等)的系统安全态势值。
在今后的研究中,对模糊语言表达的可信度及评价语言值取值规则等仍需进一步探讨。
[1] | Ulrik F, Joel B. Cyber situational awareness-A systematic review of the literature[J]. Computer & Security,2014, 46 : 18 –31. |
[2] | Endsley M R. Design and evaluation for situation awareness enhancement[C]//Proceedings of the Human Factors Society 32nd Annual Meeting. California:Human Factors & Ergonomics Society Meeting,1988:97-101. |
[3] | Endsley M R. Toward a theory of situation awareness in dynamic systems[J]. Hum Factors Mar,1995, 37 (1) : 32 –64. |
[4] | Bass T, Gruber D. A glimpse into the future of ID[Z/OL]. (1999-11-16). http://www.usenix.org/publicaitons/login/1999-9/features/future.html. |
[5] | 龚正虎, 卓莹. 网络态势感知研究[J]. 软件学报,2010, 21 (7) : 1605 –1619. GONG Zhenghu, ZHUO Ying. Research on cyberspace situational awareness[J]. Journal of Software,2010, 21 (7) : 1605 –1619. (in Chinese) |
[6] | Hall D, Llinas J. An introduction to multisensory data fusion[J]. Proceedings of the IEEE,1997, 85 (1) : 6 –23. |
[7] | Klein G, Gnther H, Trber S. Modularizing cyber defense situational awareness-Technical integration before human understanding[J]. Computer Information,2012, 10 : 307 –318. |
[8] | Yang S, Byers S, Holsopple J, et al. Intrusion activity projection for cyber situational awareness[C]//IEEE International Conference on Intelligence and Security Informatics. Taipei:Springer International Publishing, 2008:167-172. |
[9] | 王娟, 张凤荔, 傅翀, 等. 网络态势感知中的指标体系研究[J]. 计算机应用,2007, 27 (8) : 1907 –1912. WANG Juan, ZHANG Fengli, FU Chong, et al. Study on index system in network situation awareness[J]. Journal of Computer Applications,2007, 27 (8) : 1907 –1912. (in Chinese) |
[10] | 蒋运承, 汤庸. 服务组合的质量估计模型[J]. 小型微型计算机系统,2006, 27 (8) : 1519 –1525. JIANG Yunchen, TANG Yong. Quality of service estimation model for service composition[J]. Journal of Chinese Mini-Micro Computer Systems,2006, 27 (8) : 1519 –1525. (in Chinese) |
[11] | Liu Y, Ngu A H, Zeng L. Q·S computation and policing in dynamic web service selection[C]//Proceedings of the WWW'04. New York:ACM Press, 2004:42-53. |
[12] | Wang X, Vitvar T, Kerrigan M, et al. Synthetical evaluation of multiple qualities for service selection[C]//In:Asit D, Winfried L, eds. Proceedings of the ICSOC'06. LNCS 4294. Heidelberg:Springer-Verlag, 2006:152-162. |
[13] | Xu Y, Chen S W, Ma J. Linguistic truth-valued lattice implication algebra and its properties[C]//IMACS Multi Conference on Computational Engineering in System Application. Beijing:IEEE, 2006:1413-1418. |
[14] | Liu J, Xu Y, Ruan D, et al. A lattice-valued linguistic-based decision-making method[C]//2005 IEEE International Conference on Granular Computing. Beijing:IEEE, 2005:199-202. |