前言:尋找寫作靈感?中文期刊網用心挑選的多維度網絡狀態感知技術探究,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
隨著網絡通信技術的廣泛應用,傳統產業與互聯網的結合越來越密切,互聯網深刻影響著人們的生活。隨著互聯網技術發展,網絡安全問題日益凸顯,網絡攻擊事件愈發頻繁,惡意的網絡攻擊或行為嚴重破壞了用戶數據的完整性甚至硬件設備的通信安全。因此,在當今復雜多變的網絡環境中,認知,理解和預測網絡的安全狀況至關重要。如圖1所示為傳統的網絡拓撲結構,網絡管理員通過分析通過安全防護設備的相關數據判斷當前網絡的安全狀態。隨著網絡攻擊手段的不斷演進,單純依靠安全防護設備分析網絡流量數據很難全面掌握當前網絡安全狀態。因此,有必要通過感知網絡安全狀態來協助管理人員及時掌握關鍵網絡環境信息。但是,如何預測可能的威脅并避免潛在的網絡風險仍然需要進一步的研究。為獲得當前的網絡安全狀態并保障其安全性,現存的方法主要針對網絡攻擊防護技術,網絡漏洞利用技術以及其他相關技術等的研究,同時對不同的網絡威脅提出了相應的安全防護技術,如針對拒絕服務攻擊(DDoS)、中間人攻擊、高級可持續攻擊等攻擊防護技術。但是,隨著網絡攻擊技術的不斷發展,單一的網絡防護技術已無法滿足管理人員對掌握網絡整體安全趨勢的需求。相反,網絡安全態勢感知技術結合了入侵檢測,防火墻,病毒檢測和其他網絡安全防護硬件設備應用等相關技術,實現了全方位的網絡安全狀態預測感知。本質上,它是網絡安全狀態和趨勢的全面反映,并可進一步用作預警,強化網絡安全狀態或對攻擊進行快速響應。因此,近些年網絡安全態勢感知技術已逐漸成為網絡安全領域中的研究熱點。基于網絡安全態勢感知相關技術,本文提出了一種多維度的網絡攻擊檢測方法。
Endsley和Robertson等人首次提出了態勢感知的概念。并在航天,軍事,交通監管和醫療領域得到了廣泛應用且取得了良好效果。隨后,Bass等人在網絡安全領域中引入了態勢感知技術。作為熱點研究內容,態勢感知技術主要包括兩個步驟:(1)情境識別,即通過了解當前網絡中的總體情況因素,如網絡環境信息,攻擊方法和防御策略;(2)態勢預測,即在前一步的基礎上,通過分析網絡安全形勢的規律性并提前預測未來的趨勢,現存的網絡安全狀態預測方法主要可歸納為以下三類。1)基于時間序列分析的狀態預測。該方法假設網絡安全狀態呈周期性變化。通過分析安全事件的時間相關性,預測未來的狀態情況。而自回歸綜合移動平均和指數平滑是兩種經典的時間序列預測方法。但是,基于時間序列的方法需要穩定的時間序列數據且有當數據符合正態分布時,才能獲得較好的預測結果。然而,現實網絡環境中的各種不確定因素,如網絡環境中的意外安全事件和不定期攻擊活動等不確定噪聲數據都會使基于時間序列預測的方法難以得到滿意預測結果。為選擇合理的網絡安全狀態預測模型,文獻提出了一種基于混沌時間序列的預測方法,但是,這種方法無法預測網絡中的突發事件。此外,由于網絡中存在隨機噪聲,基于時間序列的方法更適用于短期預測。2)基于圖論的狀態預測。該方法利用網絡流量中包含的漏洞信息來生成狀態轉換圖,從入侵者的角度設計并根據當前網絡狀態預測未來狀態。文獻提出了一種基于加權規劃知識圖的攻擊行為識別方法,并實現了對入侵行為的預測。但該方法存在較高的誤報率,如何提高其準確率成為了一個問題。文獻提出了一種結合圖和馬爾可夫鏈的報警關聯方法,該方法保證了實時性和可擴展性,實現了與各種安全事件相關的全局因素關聯起來。基于博弈論的態勢感知博弈論可視為不確定條件下決策中的混合策略均衡問題。且其已廣泛應用于網絡空間態勢感知技術中。文獻使用隨機博弈理論,通過納什均衡定量地預測網絡安全狀態。與基于時間序列預測方法和基于圖論的方法相比,基于博弈論的方法能對防御者的信息進行全面調查以獲得更加準確的預測結果。但是,目前的研究仍集中在靜態博弈分析上,基于動態預測的研究較少,而網絡安全報警事件恰恰是整個網絡安全狀況的動態反映。因此,有必要對動態預測開展研究。為了可視化攻擊行為以及利用一系列漏洞來實現特權提升,本文使用攻擊圖對漏洞出現的組合進行建模,再通過模擬網絡入侵增量和攻擊傳播的可能性,來衡量未來的網絡安全狀態。雖然基于圖論的方法具有可視化和易于實現的優點且,但以往的研究主要從攻擊者的角度進行預測,而忽略了防御者的態勢因素。因此,有必要全面對系統的防御策略與攻擊活動之間進行權衡。
2.攻擊預測算法
本文首先評估攻擊者的攻擊能力,然后計算漏洞的可利用性概率以及后續攻擊可能發起的時間成本。最后,構建動態貝葉斯攻擊圖并通過所提預測算法來實現多維度的網絡狀態檢測。攻擊能力指標:基于攻擊能力水平與攻防對抗行為間的相關性,評估攻擊能力是相對的。對于不同的攻擊者,攻擊能力可以通過分析其歷史攻擊記錄來評估。本文中,使用變量ACPX來定義利于漏洞的復雜度,通過如下公式實現ACPX變量的計算:ACPX=20×AV×AC×AU(1)其中AV,AC,AU分別表示訪問向量,訪問復雜性和身份驗證由CVSS給出。假設攻擊者的攻擊能力ASLK等于所有攻擊中對應的最高ACPX,則ASLK可記為如下公式:ASLK=max(ACPX)(2)漏洞可利用性概率度量:對于同一個漏洞,較強的攻擊能力對應較高的漏洞可利用性概率。可用貝葉斯模型可證明攻擊能力概率分布與利用該漏洞的成功概率分布成正比。如果漏洞利用復雜度ACPX相同,則ASLK較強的攻擊者可以獲得較高的漏洞利用成功概率。而在相同的攻擊能力下,具有較低ACPX的漏洞被成功利用的可能性更高。預期攻擊時間成本指標:由于攻擊的復雜性越高,可利用性概率就越低且該狀態的持續時間越長。顯然,攻擊者易于在具有較高ASLK且較低ACPX的情況下實現漏洞的成功利用且消耗較短的時間。由于攻擊者具有特定的攻擊規律和習慣,通過分析已檢測到的攻擊時間成本,可以推斷出后續攻擊的時間成本,進而使用平均權重分析法來評估預期的時間成本,根據觀察到的攻擊序列,使用如下公式計算得到攻擊的平均時間成本:ASLT其中r表示攻擊序列的編號,t表示攻擊的成功時間,pre(t)表示先前的攻擊時間。因此,未知漏洞的預期利用時間成本ASLPexpected可以表示為:基于上述定義及相關計算方法,可計算出漏洞的利用可能性和攻擊時間成本。表1給出了所提方法對現存漏洞計算得到的結果。最后,基于以上信息可實現動態貝葉斯攻擊圖,進而實現網絡安全狀態的預測。
3.多維度網絡攻擊檢測
為了準確而全面的預測網絡安全狀態,本文需要及時發現攻擊目標并識別攻擊路徑。為此,本文設計并實現了多維度的網絡攻擊檢測系統。使用網絡入侵檢測系統以及防火墻系統等相關網絡防護設備的流量數據,使用基于動態貝葉斯攻擊圖的定量網絡態勢預測方法來實現網絡異常情況的感知與告警。本文將上述設備采集的流量樣本編碼到動態貝葉斯攻擊圖中以預測網絡中潛在的攻擊。基于攻擊預測的結果和通用漏洞評分系統,可以通過安全風險度量標準進一步量化網絡安全狀態。該系統的流程如圖2所示,具體步驟如下:網絡安全狀態因素采集。通過從IDS,防火墻,主機等的報警信息中收集各種原始攻擊日志,對警報數據進行標準化,獲得與攻擊者,防御者和網絡相關的基本樣本數據。具體來說,攻擊信息包括攻擊序列,攻擊時間,攻擊能力和入侵概率。防御信息包括設置的保護策略。網絡信息包括主機信息,網絡拓撲結構和網絡連接信息。網絡拓撲取決于網絡的物理結構,網絡連接信息來自防火墻的過濾規則,主機信息來自服務和軟件的統計信息,漏洞信息來自主機掃描。網絡攻擊行為預測。為了確保正常的網絡通信,假定網絡拓撲和連接性是固有的。基于實時檢測到的網絡安全狀況因素,生成貝葉斯攻擊圖,該貝葉斯攻擊圖可用于表示攻擊圖中編碼的漏洞之間的因果關系。然后,根據攻擊與防御的當前狀態,可以使用狀態轉移矩陣獲得最可能的威脅路徑。網絡安全狀況預測。在上一步的基礎上,結合標記信息和通用漏洞評分系統的指標,將攻擊威脅進一步轉換為安全風險并最終計算出主機和網絡安全狀況。在本地搭建實驗環境并進行攻擊測試后,如圖3所示為網絡安全態勢感知得分(NSA)和系統預估的攻擊防御時間成本。
4.總結
眾所周知,可被利用的漏洞等安全威脅始終隱藏在互聯網中,攻擊者一旦成功利用漏洞發起攻擊,將會對內網環境帶來一系列安全問題。為了獲取當前的網絡安全狀態,通過采集網絡入侵檢測系統等網絡安全防護設備產生的網絡狀態數據,本文提出了一種基于網絡安全感知相關技術的,利用動態貝葉斯攻擊圖的網絡安全態勢感知預測方法。通過評估攻擊者的攻擊能力,并結合已檢測到的警報事件,分析了網絡內后續可能出現的攻擊行為,最終實現了多維度的網絡攻擊檢測。
作者:苑舒斌 沈悅 周曉宇 宗曉萌 路非凡 單位:中海油信息科技有限公司北京分公司