基于攻擊模式識別的網絡安全態勢評估方法

朱慶

摘要：我國社會經濟在發展的過程中，科學技術得到較快提升，網絡規模不斷擴大，人們生活與工作中的各個方面對網絡技術依賴性較高，甚至一些行業完全依賴網絡技術，這在較大程度上提高了人們生活質量，且提升了我國經濟效益。但是，我國網絡發展環境較為復雜，網絡攻擊日益頻繁，導致較大損失的發生。網絡安全態勢感知技術在應用的過程中融入了入侵檢測系統、防火墻以及病毒檢測系統等一些安全設備，以此有效提高網絡運行安全。

關鍵詞：攻擊模式識別；網絡安全態勢評估方法；網絡安全態勢感知技術

前言：

網絡安全態勢感知技術是我國網絡技術發展過程中一種新型技術，最先應用在航天飛行領域中，隨著該技術的不斷成熟，廣泛應用在醫療行業以及交通監管方面等。此外，網絡安全態勢感知技術與侵入檢測系統進行有效的結合，最大程度上能夠提高網絡安全。

1 網絡安全態勢評估模型

隨著我國科學技術的不斷發展，網絡規模越來越大，使網絡安全傳感器數量不斷增加，產生較多的安全報警數據[1]。該數據存在一定的錯誤，并且很對網絡中的攻擊進行有效的防護，所以根據關聯攻擊事件中的邏輯關系，進行攻擊場景的還原，以此實現對網絡安全態勢有效的評估以及預測。其中，攻擊發生概率主要是指不同網絡監測設備的報警數據進行信息的融合，以此得到出現攻擊的可能性。攻擊威脅主要是指攻擊所處的階段狀態所帶來的影響，是專家對攻擊破壞性的評估評分。

2 基于攻擊模式識別的網絡態勢評估算法

2.1 數據融合

數據融合主要是表現在以下幾個方面[2]：1，對報警信息實施預處理。首先需要對數據實施有效的清洗，并且在此基礎上根據相關過濾規則，對不規范數據進行過濾。比如，參數錯誤、字段缺省等；2，為了提高后續報警信息處理質量，對多源異構數據格式進行有效的統一，以此將其轉化為通用的可擴展標記語言公共數據模型。此外，由于報警新相對比較多，為了降低整體融合壓力，并且在此基礎上增加報警新的可讀性，這在較大程度上能夠有效提高管理員對網絡狀況進行全面的了解；3，對聚類后的報警實施有效的數據融合，這在較大程度上能夠有效降低單個傳感器誤報與漏報情況的發生，以此對安全報警信息數量進行全面精簡，這在較大程度上對安全報警信息質量的提高奠定良好的基礎。

2.2 攻擊階段識別

在進行攻擊階段識別過程中，會涉及到攻擊關聯度，其中攻擊關聯度主要是指不同攻擊之間的關聯程度，主要使用于對兩個攻擊屬于同一攻擊場景可能性的有效確定。在進行攻擊階段識別過程中，首先需要把數據融合后的安全事件與攻擊模式數據庫中的模板實施有效的匹配，并且在此基礎上根據計算攻擊之間的關聯性對攻擊具體階段實施全面確定[3]。在進行攻擊階段識別計算的過程中，需要把受到的報警信息與攻擊模式通過有效的方法進行匹配，并且在此基礎上把匹配記錄放到實時攻擊場景中，同時對此種報警進行有效的計算，還需要對攻擊場景中前提報警之間的攻擊關聯度進行有效的計算，以此根據閾值對剪枝的可能性進行有效的判斷。

2.3 網絡安全態勢評估量化

在進行網絡安全態勢評估的過程中需要采用一定的整體措施，比如先局部后整體、自下而上，在節點態勢與相應權重相互融合的基礎上，對網絡安全態勢實施有效的評估，這就需要先對節點態勢進行有效的評估。把攻擊階段支持率與攻擊階段所對應的攻擊威脅進行有效的結合，以此得到高攻擊階段所對應的節點態勢影響。

3 實驗與結果分析

為了提高模型構建的有效性與可行性，需要進行實驗網絡的構建，其中網絡包含交換機、防火墻以及文件服務器等，其中IDS進行SMORT入侵檢測系統的有效安裝，并且服務器與工作站一般情況下需要進行相關操作系統安裝，文件服務器需要進行Linux操作系統的有效安裝。此外，攻擊者對該網絡進行特洛伊木馬攻擊，首先攻擊目標網絡，并對有效主機進行掃描，掃描出Web服務器，并且在此基礎上同歸哦編碼遠程溢出漏洞對其進行有效的緩存溢出攻擊，以此得到本地訪問權限[4]。攻擊者在通過文件服務器中的網絡文件系統，采用NFS Shell程序，對文件服務器中的文件進行不同程度的修改，再在文件服務器中進行二進制代碼的有效查找，同時在其中進行特洛伊木馬程序的安裝，最后通過工作站對該代碼進行運行，將木馬激活，以此達到對工作站進行有效控制的目的。

通過以上敘述，把網絡安全態勢值以圖的方式進行呈現，態勢值越大表明該網絡受到的攻擊程度越高。此外，對權重越大的主機實施攻擊，會對整體網絡影響越大，并且隨著攻擊階段的不斷加深，攻擊者在實現攻擊目的過程中，網絡安全態勢值也逐漸增加，這在較大程度上與攻擊實情相符合。

結語：

綜上所述，在對網絡安全態勢評估方法進行比較的過程中，提出了在攻擊模式識別的基礎上的一種網絡安全態勢評估方法。首先需要對網絡中多源數據實施有效的信息融合，并對結果進行分析，以此識別出攻擊意圖與攻擊階段，同時在此基礎上把攻擊階段作為態勢要素進行有效的節點評估。其次，還應進行攻擊階段狀態轉移圖的有效構建，根據主機漏洞與配置信息，對實現下一階段成功轉移概率進行全面的推算，從而進行網絡安全態勢發展趨勢的有效預測。

參考文獻

[1]王坤，邱輝，楊豪璞. 基于攻擊模式識別的網絡安全態勢評估方法[J]. 計算機應用，2016（1）：194-198.

[2]楊豪璞，邱輝，王坤. 面向多步攻擊的網絡安全態勢評估方法[J]. 通信學報，2017（1）：187-198.

[3]唐贊玉，劉宏. 多階段大規模網絡攻擊下的網絡安全態勢評估方法研究[J]. 計算機科學，2018（1）：245-248.

[4]張夏. 基于多步攻擊下的網絡安全態勢評估分析[J]. 科技風，2017（14）：55-56.

（作者單位：國網四川省電力公司信息通信公司）