基于Arnold變換的網(wǎng)絡(luò)安全態(tài)勢(shì)感知掃描策略研究

，

(浙江理工大學(xué)信息學(xué)院，杭州 310018)

0 引 言

隨著網(wǎng)絡(luò)安全威脅變得日趨復(fù)雜，單一或獨(dú)立的網(wǎng)絡(luò)安全防護(hù)措施無(wú)法從整體上對(duì)網(wǎng)絡(luò)當(dāng)前運(yùn)行狀態(tài)和未知安全威脅作出有效的感知與預(yù)測(cè)。為增強(qiáng)各種網(wǎng)絡(luò)防護(hù)措施的關(guān)聯(lián)性,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行融合分析和協(xié)同管理的網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network security situation awareness)研究已成為新的研究熱點(diǎn)[1-3]。當(dāng)前提出的眾多網(wǎng)絡(luò)安全感知模型與方法，基本概念均源于1988年Endsley提出的態(tài)勢(shì)感知模型概念[4]，主要分為態(tài)勢(shì)要素覺(jué)察、態(tài)勢(shì)理解和態(tài)勢(shì)投射三個(gè)階段。在這三個(gè)階段中，完整的態(tài)勢(shì)要素覺(jué)察階段需要獲取特定的特征信息，此階段主要分為主動(dòng)信息探知和被動(dòng)融合分析[5-7]。在主動(dòng)信息探知中，脆弱性掃描是最為常見(jiàn)的感知信息提取手段，主要通過(guò)端口掃描獲得目標(biāo)主機(jī)的開(kāi)放端口、提供服務(wù)的狀態(tài)、協(xié)議類(lèi)型等狀態(tài)信息來(lái)提取態(tài)勢(shì)信息,為下一階段的態(tài)勢(shì)信息融合做準(zhǔn)備。比較常用的脆弱性掃描器有Nmap、Nessus、X-scan、Zmap和Masscan等[8]。

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，為保證感知信息的實(shí)效性，感知源會(huì)較為頻繁地對(duì)目標(biāo)進(jìn)行脆弱性掃描，而脆弱性掃描過(guò)程中掃描策略的選取關(guān)系著感知信息獲取的完整性、實(shí)效性等多項(xiàng)指標(biāo)。脆弱性掃描器中主流的掃描策略主要有隨機(jī)性掃描策略、IP地址段內(nèi)掃描策略。因安全感知式的脆弱性檢測(cè)與具有入侵性質(zhì)的掃描存在類(lèi)似之處，而一般同一機(jī)構(gòu)下連續(xù)的IP地址段內(nèi)主機(jī)或節(jié)點(diǎn)基本共享一套檢測(cè)機(jī)……