網(wǎng)絡(luò)安全威脅態(tài)勢評估與分析方法研究.pdf

1、面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，傳統(tǒng)的安全檢測和防護(hù)手段已不能滿足當(dāng)前網(wǎng)絡(luò)安全管理的需求。網(wǎng)絡(luò)態(tài)勢感知與安全評估作為安全管理的新手段，是安全領(lǐng)域的重要研究方向。其目標(biāo)是融合現(xiàn)有安全設(shè)備信息，提取安全要素，對網(wǎng)絡(luò)攻擊威脅和實(shí)時(shí)安全狀態(tài)進(jìn)行評估和預(yù)測，為網(wǎng)絡(luò)安全規(guī)劃和管理策略的制定提供科學(xué)依據(jù)。
　　 目前網(wǎng)絡(luò)安全及威脅態(tài)勢評估技術(shù)還存在諸多問題。例如告警誤報(bào)率偏高，導(dǎo)致評估質(zhì)量低下；評估模型無統(tǒng)一標(biāo)準(zhǔn)，安全要素關(guān)系混淆不清；靜態(tài)評估方

2、法為主，難以動(dòng)態(tài)感知威脅；專家知識(shí)依賴較多，評估指標(biāo)缺乏量化等等。
　　 提出基于告警分析的威脅感知方法。在分析告警重尾分布特性的基礎(chǔ)上，建立了告警數(shù)據(jù)的時(shí)序模型。對告警序列進(jìn)行譜分析表明，它可分解為主要部分和殘差部分，前者變化平緩而有持續(xù)的規(guī)律，反映了告警序列的本質(zhì)特征，后者可反映異常，是威脅感知的重要依據(jù)。提出了基于譜分解的告警序列異常檢測方法，采用滑動(dòng)窗口方式，通過基準(zhǔn)窗口構(gòu)建序列本質(zhì)特征，用檢測窗口判斷異常，并把兩者異常

3、距離的大小作為檢測標(biāo)準(zhǔn)。針對基準(zhǔn)窗口滑動(dòng)需要進(jìn)行譜分解和重新計(jì)算會(huì)影響效率的問題，采用了一種基準(zhǔn)序列主結(jié)構(gòu)增量更新的方法，降低了基準(zhǔn)序列重建的時(shí)間開銷。該方法不以告警序列周期性、趨勢性、平穩(wěn)性等特征為假設(shè)前提，以告警序列本質(zhì)規(guī)律為根本，具有適應(yīng)序列結(jié)構(gòu)變化的能力。對比實(shí)驗(yàn)表明，異常檢測率達(dá)92％以上，在去除大量誤報(bào)的同時(shí)，還能有效感知隱匿于誤告警數(shù)據(jù)之中的威脅。
　　 提出了基于信息融合的網(wǎng)絡(luò)威脅態(tài)勢量化評估方法。在對安全事件與

4、安全事件、安全事件與脆弱性、安全事件與資產(chǎn)環(huán)境等威脅要素間關(guān)系進(jìn)行分析的基礎(chǔ)上，構(gòu)建出多要素關(guān)聯(lián)融合的威脅態(tài)勢評估模型。該模型由威脅度，威脅嚴(yán)重度、資產(chǎn)值三部分組成：威脅度描述攻擊成功的可能性，威脅嚴(yán)重度描述攻擊造成破壞的嚴(yán)重性，資產(chǎn)值則反映攻擊對資產(chǎn)造成的損失。通過挖掘告警的時(shí)空關(guān)聯(lián)關(guān)系，建立起告警的關(guān)聯(lián)模式及關(guān)聯(lián)規(guī)則。計(jì)算告警與關(guān)聯(lián)規(guī)則的匹配程度并融合告警與環(huán)境信息的匹配結(jié)果得到量化的威脅度評估值。構(gòu)建由告警、脆弱性和服務(wù)可靠性等要

5、素組成的威脅嚴(yán)重度評估指標(biāo)體系，提出了基于模糊隸屬函數(shù)的指標(biāo)量化方法，解決了告警、脆弱性等抽象對象難以量化融合的問題，給出了進(jìn)行威脅嚴(yán)重度計(jì)算的模糊規(guī)則。整個(gè)評估方法是以告警為線索，以威脅要素量化指標(biāo)為依據(jù)，對各指標(biāo)值進(jìn)行逐步融合的過程，其結(jié)果是構(gòu)建出評估對象的實(shí)時(shí)威脅態(tài)勢圖。實(shí)驗(yàn)表明，該方法能動(dòng)態(tài)地量化出受保護(hù)主機(jī)或網(wǎng)絡(luò)的威脅狀況，直觀顯示網(wǎng)絡(luò)威脅態(tài)勢，為管理員及時(shí)查找安全原因、調(diào)整安全策略提供了有效依據(jù)。
　　 針對威脅態(tài)勢

6、預(yù)測，提出了基于組合預(yù)測模型的預(yù)測方法，通過組合多個(gè)單一預(yù)測模型，實(shí)現(xiàn)模型之間的取長補(bǔ)短。模型之間關(guān)系的確立，采用一種基于信息熵值的權(quán)重確定方法。實(shí)驗(yàn)表明組合預(yù)測模型能提高網(wǎng)絡(luò)威脅態(tài)勢預(yù)測的準(zhǔn)確度，提高了預(yù)警水平。
　　 提出了基于攻擊圖的網(wǎng)絡(luò)威脅態(tài)勢分析方法。在對網(wǎng)絡(luò)威脅傳播行為方式進(jìn)行分析的基礎(chǔ)上，構(gòu)建了基于告警的攻擊圖模型。該模型是利用告警中拓?fù)湫畔?gòu)建的賦權(quán)有向圖，告警的每個(gè)IP地址構(gòu)成圖的節(jié)點(diǎn)，圖的每一邊代表告警本身，

7、邊上的權(quán)值代表節(jié)點(diǎn)間的威脅影響程度。攻擊圖的節(jié)點(diǎn)是潛在的威脅傳播節(jié)點(diǎn)，攻擊圖的路徑對應(yīng)潛在的威脅傳播路徑。提出基于威脅頻率的邊權(quán)值確定方法，并建立了攻擊圖構(gòu)造方法。指出最具威脅的節(jié)點(diǎn)(邊)是通過其進(jìn)行威脅傳播最頻繁節(jié)點(diǎn)(邊)，并以此引入了攻擊圖的介數(shù)概念。通過計(jì)算每個(gè)節(jié)點(diǎn)(邊)在圖中所有最短路徑的出現(xiàn)的次數(shù)得到攻擊圖的點(diǎn)(邊)介數(shù)。利用攻擊圖序列的概念，對不同時(shí)間周期內(nèi)的告警建立攻擊圖模型。根據(jù)攻擊圖序列中的高介數(shù)節(jié)點(diǎn)(邊)出現(xiàn)頻繁程度