網(wǎng)絡安全威脅態(tài)勢評估與分析方法研究.pdf

1、面對日益嚴峻的網(wǎng)絡安全形勢，傳統(tǒng)的安全檢測和防護手段已不能滿足當前網(wǎng)絡安全管理的需求。網(wǎng)絡態(tài)勢感知與安全評估作為安全管理的新手段，是安全領域的重要研究方向。其目標是融合現(xiàn)有安全設備信息，提取安全要素，對網(wǎng)絡攻擊威脅和實時安全狀態(tài)進行評估和預測，為網(wǎng)絡安全規(guī)劃和管理策略的制定提供科學依據(jù)。
　　 目前網(wǎng)絡安全及威脅態(tài)勢評估技術還存在諸多問題。例如告警誤報率偏高，導致評估質量低下；評估模型無統(tǒng)一標準，安全要素關系混淆不清；靜態(tài)評估方

2、法為主，難以動態(tài)感知威脅；專家知識依賴較多，評估指標缺乏量化等等。
　　 提出基于告警分析的威脅感知方法。在分析告警重尾分布特性的基礎上，建立了告警數(shù)據(jù)的時序模型。對告警序列進行譜分析表明，它可分解為主要部分和殘差部分，前者變化平緩而有持續(xù)的規(guī)律，反映了告警序列的本質特征，后者可反映異常，是威脅感知的重要依據(jù)。提出了基于譜分解的告警序列異常檢測方法，采用滑動窗口方式，通過基準窗口構建序列本質特征，用檢測窗口判斷異常，并把兩者異常

3、距離的大小作為檢測標準。針對基準窗口滑動需要進行譜分解和重新計算會影響效率的問題，采用了一種基準序列主結構增量更新的方法，降低了基準序列重建的時間開銷。該方法不以告警序列周期性、趨勢性、平穩(wěn)性等特征為假設前提，以告警序列本質規(guī)律為根本，具有適應序列結構變化的能力。對比實驗表明，異常檢測率達92％以上，在去除大量誤報的同時，還能有效感知隱匿于誤告警數(shù)據(jù)之中的威脅。
　　 提出了基于信息融合的網(wǎng)絡威脅態(tài)勢量化評估方法。在對安全事件與

4、安全事件、安全事件與脆弱性、安全事件與資產環(huán)境等威脅要素間關系進行分析的基礎上，構建出多要素關聯(lián)融合的威脅態(tài)勢評估模型。該模型由威脅度，威脅嚴重度、資產值三部分組成：威脅度描述攻擊成功的可能性，威脅嚴重度描述攻擊造成破壞的嚴重性，資產值則反映攻擊對資產造成的損失。通過挖掘告警的時空關聯(lián)關系，建立起告警的關聯(lián)模式及關聯(lián)規(guī)則。計算告警與關聯(lián)規(guī)則的匹配程度并融合告警與環(huán)境信息的匹配結果得到量化的威脅度評估值。構建由告警、脆弱性和服務可靠性等要

5、素組成的威脅嚴重度評估指標體系，提出了基于模糊隸屬函數(shù)的指標量化方法，解決了告警、脆弱性等抽象對象難以量化融合的問題，給出了進行威脅嚴重度計算的模糊規(guī)則。整個評估方法是以告警為線索，以威脅要素量化指標為依據(jù)，對各指標值進行逐步融合的過程，其結果是構建出評估對象的實時威脅態(tài)勢圖。實驗表明，該方法能動態(tài)地量化出受保護主機或網(wǎng)絡的威脅狀況，直觀顯示網(wǎng)絡威脅態(tài)勢，為管理員及時查找安全原因、調整安全策略提供了有效依據(jù)。
　　 針對威脅態(tài)勢

6、預測，提出了基于組合預測模型的預測方法，通過組合多個單一預測模型，實現(xiàn)模型之間的取長補短。模型之間關系的確立，采用一種基于信息熵值的權重確定方法。實驗表明組合預測模型能提高網(wǎng)絡威脅態(tài)勢預測的準確度，提高了預警水平。
　　 提出了基于攻擊圖的網(wǎng)絡威脅態(tài)勢分析方法。在對網(wǎng)絡威脅傳播行為方式進行分析的基礎上，構建了基于告警的攻擊圖模型。該模型是利用告警中拓撲信息構建的賦權有向圖，告警的每個IP地址構成圖的節(jié)點，圖的每一邊代表告警本身，

7、邊上的權值代表節(jié)點間的威脅影響程度。攻擊圖的節(jié)點是潛在的威脅傳播節(jié)點，攻擊圖的路徑對應潛在的威脅傳播路徑。提出基于威脅頻率的邊權值確定方法，并建立了攻擊圖構造方法。指出最具威脅的節(jié)點(邊)是通過其進行威脅傳播最頻繁節(jié)點(邊)，并以此引入了攻擊圖的介數(shù)概念。通過計算每個節(jié)點(邊)在圖中所有最短路徑的出現(xiàn)的次數(shù)得到攻擊圖的點(邊)介數(shù)。利用攻擊圖序列的概念，對不同時間周期內的告警建立攻擊圖模型。根據(jù)攻擊圖序列中的高介數(shù)節(jié)點(邊)出現(xiàn)頻繁程度