2.5.1　安全态势的定量评价指标体系

安全态势的定量评价指标体系中,态势感知的结果诸如安全系数、安全度或风险指数等标量值,以量化数值形式表征网络安全态势。网络安全态势风险值越大,网络面临的安全风险越大。

(1)基于安全风险指数的评价体系^[15]。网络安全风险是有关系统资产、攻击威胁度和漏洞攻击后果严重程度的函数。利用风险指数作为网络安全态势感知的指标体系,达到感知网络安全态势的目的,是当前网络安全态势理解过程中的常用方法。其通过层次化网络结构,结合网络系统的漏洞信息,将底层元素的风险值层层累加,加权融合成为总体的网络安全态势风险值,以此理解网络的当前状态。使用底层元素安全风险指数作为网络安全态势评价指标,侧重于面向攻击威胁的网络安全态势感知。

(2)基于网络和主机性能指标的评价体系^[16]。基于网络和主机性能指标,诸如网络带宽利用率、端口占用率和权限合法性等指标的评价体系,关注的是面向系统性能的网络安全态势感知。

基于该评价体系的实现方案可依据数据源的不同分为两类:①网络和主机性能检测设备;②安全事件日志的逆向分析。数据源的选择对态势理解过程的实时性能有着直接影响。使用网络和主机性能检测设备的数据时,实时性强,但需要综合多个实时检测指标的变化,实现过程较为复杂;基于逆向分析安全事件日志的态势理解过程实现简单,但受制于日志上报机制,难以满足态势感知方案的实时性需求。

上述(1)和(2)两种指标评价体系对安全态势理解的侧重点不同。考虑网络安全态势感知的综合性和宏观性,结合使用这两种指标体系,达到全面感知网络安全态势的目的,也是当前评价指标体系研究中的发展方向。