網(wǎng)絡(luò)安全威脅與態(tài)勢評估方法研究.pdf

1、日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢給傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)帶來了挑戰(zhàn)?，F(xiàn)有的檢測工具只能根據(jù)有限信息產(chǎn)生告警，并且告警數(shù)量巨大、質(zhì)量低下，難以從中獲知事件的威脅程度和系統(tǒng)的安全狀態(tài)。而傳統(tǒng)的安全評估方法只是靜態(tài)評估，也不能反映實時風(fēng)險。這使得網(wǎng)絡(luò)操作員很難借助現(xiàn)有技術(shù)來感知實時網(wǎng)絡(luò)安全態(tài)勢，因而難以根據(jù)現(xiàn)實網(wǎng)絡(luò)狀況做出決策，造成防御、檢測、響應(yīng)和分析四大環(huán)節(jié)嚴(yán)重脫節(jié)，安全事件響應(yīng)嚴(yán)重滯后的現(xiàn)狀。 近年來，源于戰(zhàn)場態(tài)勢感知領(lǐng)域的威脅與態(tài)勢評估技術(shù)

2、的引入為解決網(wǎng)絡(luò)安全態(tài)勢感知問題提供了新的思路。網(wǎng)絡(luò)安全威脅與態(tài)勢評估指：采用信息融合方法處理檢測工具產(chǎn)生的實時網(wǎng)絡(luò)安全數(shù)據(jù)，對攻擊威脅程度和實時網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評估，給出直觀有效的安全態(tài)勢報告，并對未來安全狀況做出合理預(yù)測。本文對威脅評估、態(tài)勢評估和態(tài)勢預(yù)測方法分別進(jìn)行了研究。 攻擊威脅程度的影響因素可歸納為攻擊破壞性、環(huán)境、成功率、統(tǒng)計、關(guān)聯(lián)和效果六類。構(gòu)造一種威脅評估框架，分六個階段：嚴(yán)重度評估、環(huán)境評估、可信度評估、統(tǒng)計

3、評估、關(guān)聯(lián)評估和效果評估。對各階段的方法進(jìn)行了闡述，并在設(shè)計的SATA系統(tǒng)（Security Alert and Threat Analysis）中實現(xiàn)了相關(guān)方法。嚴(yán)重度評估采用危害度分級和CVSS漏洞評價方法；環(huán)境評估通過設(shè)定資產(chǎn)值和優(yōu)先級實現(xiàn)；可信度評估使用貝葉斯網(wǎng)絡(luò)；統(tǒng)計評估采用告警頻度統(tǒng)計和周期型誤報警統(tǒng)計識別方法；關(guān)聯(lián)評估使用告警關(guān)聯(lián)語言；效果評估則采用定性的攻擊效果評估方法。 態(tài)勢評估使用隱馬爾科夫模型（HMM）。解

4、決了觀測事件分類和模型參數(shù)配置問題。采用威脅評估結(jié)果對告警分類，提高了事件分類的準(zhǔn)確性。采用遺傳算法優(yōu)化HMM參數(shù)，建立網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果的定量評價機(jī)制來確定優(yōu)化目標(biāo)，使用蜜網(wǎng)數(shù)據(jù)建立了評價規(guī)則集。比較實驗表明，該方法是有效的。 歸納出決定網(wǎng)絡(luò)安全態(tài)勢可預(yù)測性的五個特點：1）攻擊之間具有因果關(guān)系；2）不同攻擊能作為未來攻擊證據(jù)出現(xiàn)的可能性不同；3）通常，未來攻擊與“證據(jù)”具有相同屬性；4）攻擊意圖具有可推測性；5）證據(jù)與安全狀