基于攻擊圖模型的網絡安全態勢評估方法

（中國聯合網絡通信有限公司海南省分公司，海南 ?？?572500）

0 引言

2020上半年全球重大網絡攻擊及數據泄露事件回顧報告指出，網絡攻擊、黑客組織和數據泄露一直存在于網絡世界中。比如：2020年5月，委內瑞拉國家電網干線遭黑客攻擊，造成全國11州府大面積停電；2020年9月，印度總理納倫德拉·莫迪的一個賬戶遭到黑客攻擊，黑客呼吁莫迪粉絲捐贈加密貨幣，導致10萬美元轉入相關“基金”。網絡攻擊事件對政府、企業、個人造成了極其嚴重的經濟損失，因此，如何在復雜多變的網絡環境中實時掌握當前網絡的安全態勢，針對安全態勢提前進行預警和防護，減少網絡攻擊對網絡的傷害，是網絡安全工作的首要任務。為了實時掌握網絡的安全態勢，初期的研究圍繞告警信息本身進行網絡態勢評估：陳秀珍等人[1]通過對服務、主機、系統進行層次化分解后，提出層次化網絡安全態勢量化評估方法；韋勇等人[2]針對多源告警信息的特點，提出融合漏洞、服務信息等態勢要素的網絡安全態勢評估方法。隨著攻擊手段的多樣化和“迂回”特征的出現，研究者開始關注攻擊路徑安全態勢分析的方法：Dai 等人[3]采用模糊綜合評估法量化攻擊路徑數量和長度，結合攻擊路徑來挖掘對網絡有威脅的路徑，采用攻擊圖分析網絡系統中具有最大風險的攻擊路徑，以此來預測潛在攻擊對網絡安全帶來的危險程度；Abraham 等人[4]通過分析漏洞生命周期隨著發布事件的變化規律，分析攻擊路徑與漏洞生命周期的相關關系，以此來判斷網絡安全態勢值；劉強等人[5]通過構建網絡攻擊圖，利用漏洞的信息刻畫攻擊者選取最有可能的路徑；Zhu等人[6]針對告警數據的多源行，采用聚類分析的方法關聯告警信息，并利用神經網絡技術映射攻擊場景；Bopche 等人[7]結合歷史攻擊路徑，分析動態網絡環境中攻擊結果隨時間變化的規律；楊豪璞等人[8]提出面向多步攻擊的網絡態勢方法，通過關聯攻擊場景，識別攻擊階段，對當前網絡態勢進行評估；Liu等人[9]引入隱馬爾可夫模型，結合告警信息，采用維特比方法推導最大可能的轉移序列，實現攻擊意圖識別，但該方法沒有對全網絡進行安全態勢評估；Fredj 等人[10]利用馬爾可夫鏈描述攻擊圖中攻擊行為的轉移特征，通過告警關聯，實現攻擊行為識別與攻擊意圖的預測。上述方法大多偏重于對攻擊行為特征的刻畫，針對攻擊序列的不確定性，提出了各種方法來描述攻擊行為的轉移過程，但缺乏從整個網絡安全態勢層面上對攻擊威脅進行刻畫，沒有描述隨著攻擊行為的深入，整個網絡安全態勢在時間層面的動態演變機制。因此，本文在融合多源告警數據的基礎上，研究多步攻擊驅動下攻擊者意圖，分析整個網絡層面上安全態勢的變化規律。將底層攻擊行為映射成可量化的安全態勢值，實現基于動態攻擊行為演變的網絡安全態勢精準刻畫，達到網絡安全態勢的全面精準預測目標。

1 基于攻擊圖的多步攻擊分析

1.1 多源告警數據融合

針對當前網絡安全攻擊行為層出不窮，企業一般采用多種網絡安全檢測設備來檢測網絡攻擊行為。如此，一旦出現網絡攻擊行為時，各種的安全檢測設備會產生格式不一、形式多樣的告警日志，數量龐大的冗余告警信息將對網絡安全管理員的攻擊行為分析帶來極大的不便。針對上述的情況，本文提出一種基于語義特征相似性的多源告警數據融合方法，基于數據融合及告警的語義信息，獲取更加準確的網絡攻擊行為特征。

考慮不同安全檢測設備對攻擊行為的反應是不一致的，同一攻擊行為的告警時間有可能出現不一致的現象。因此，本文采用滑動窗口對多源告警數據進行重新構造，不僅考慮攻擊行為的空間特征，還考慮攻擊行為在時間維度上的延續關系。多源告警數據重構的方法如圖1 所示：

圖1 告警信息的數據重構

基于上述告警信息的數據重構，采用CNN 對樣本進行特征的提取、池化、最終形成特征圖，實現告警信息特征層面的融合，特征提取的細節如圖2 所示：

圖2 基于卷積神經網絡的特征融合過程示意圖

1.2 告警信息特征映射攻擊節點，獲取多步攻擊路徑

現有的網絡攻擊一般采用“迂回”的路徑，通過某個電腦的漏洞，獲得其Root 權限，然后以該電腦為跳板攻擊內部的服務器或者集群。因此，從“迂回”攻擊理論上，網絡攻擊要完成既定的目標攻擊，必須采用多步攻擊的方法，才能達到最終的目的?；谏鲜龅乃悸?，本文通過融合告警信息特征映射網絡攻擊行為的攻擊節點（可理解為被攻擊的電腦IP），然后對攻擊行為從當前攻擊節點轉移到下一個攻擊節點的轉移序列進行關聯，獲取多步攻擊路徑。

本文采用BP 神經網絡來實現告警信息特征到攻擊節點的映射。BP（Back Propagation）神經網絡是1986 年由Rumelhart 和McCelland 為首的科學家小組提出，是一種按誤差逆傳播算法訓練的多層前饋網絡，是目前應用最廣泛的神經網絡模型之一。BP 神經網絡能學習和存貯大量的輸入-輸出模式映射關系，將上述重構的告警信息特征輸入到三層BP 神經網絡中，并得到攻擊每一個網絡節點的攻擊概率，將最大的攻擊概率作為確認的攻擊節點。

圖3 展示一個6-3-1 神經網絡三層神經網絡，由一個輸入層、一個隱含層和一個輸出層組成，各層之間由可修正的權值w 互連。輸入層包含六個節點、隱含層包含3 個節點、輸出層包含1 個節點。BP 神經網絡輸出層的神經元輸出重構告警信息特征的攻擊節點，按照時間序列將攻擊節點關聯起來，形成每一次攻擊行為的多步攻擊路徑。

圖3 三層BP神經網絡結構示意圖

網絡攻擊節點包括攻擊行為節點、資源節點，攻擊行為節點ai受到網絡攻擊操作后，攻擊者到達資源節點ri，將攻擊行為節點ai和資源節點ri的拓撲順序進行連接，得到攻擊行為的路徑。攻擊路徑的可表示為：

1.3 構建攻擊圖，結合攻擊轉移概率推斷攻擊者意圖

網絡攻擊圖包括攻擊行為節點、資源節點以及兩個節點之間的邊（代表攻擊方向），節點之間的邊有or 或者and 兩個連接關系，and 表示上一個節點滿足指定的條件就能達到下一個節點；or 表示上一個節點滿足一個條件即可達到下一個節點。攻擊圖的表示如圖4 所示：

圖4 網絡攻擊圖

圖4 中，網絡攻擊圖假設a1、a2和a3為網絡攻擊行為起始節點，通過對a1、a2和a3進行攻擊之后，攻擊者占用資源節點r1；接著攻擊者對攻擊節點a4進行攻擊，占用資源節點r3；最后，經過就能到達網絡攻擊行為節點a7。

考慮到每一個節點的自身的特點，攻擊路徑的選擇與節點本身的漏洞和防護有關，為了更科學地衡量攻擊路徑的序列轉移概率，本文基于歷史攻擊行為，統計攻擊行為的節點轉移序列，獲取攻擊行為從當前攻擊節點轉移到下一個攻擊節點的攻擊概率，形成攻擊概率轉移表，部分攻擊行為的轉移概率如表1 所示。

表1 攻擊行為轉移概率表

基于攻擊行為轉移概率，定義概率攻擊網絡，科學量化攻擊行為從當前攻擊節點轉移到下一個攻擊節點的可能性，基于轉移概率的網絡攻擊圖如圖5 所示：

圖5 基于轉移概率的網絡攻擊圖

當網絡管理員觀測到某些攻擊行為的告警時，本文采用深度學習的方法獲取到告警的時空特征，并利用三層BP 神經網絡來確認的攻擊節點，然后將攻擊節點按照時間序列關聯起來，形成當前攻擊行為的多步攻擊路徑。然后，結合轉移概率網絡攻擊圖，基于當前網絡攻擊路徑判斷攻擊者的潛在攻擊意圖。比如網絡攻擊者通過對a1、a2和a3進行攻擊之后，占用資源節點r1，那么我們要預測網絡攻擊者下一步的攻擊意圖是攻擊節點a4還是a6，為了解決上述的問題，本文通過對每一條可能的攻擊路徑進行轉移概率的累積，以最大的概率作為潛在攻擊路徑的選擇。轉移概率攻擊圖定義如下：

U（a1，a2，r1）表示指向r1的節點確定所有邊的轉移概率“與”操作，計算公式：

⊕（a4，a5，r3）表示指向r3的節點確定所有邊的轉移概率“或”操作，計算公式：

其中，paiir表示從攻擊節點ai轉移到資源節點ri的轉移概率。下面重點分析r1受到攻擊后，攻擊者到達a7的所有可能路徑。

基于上述各個攻擊路徑的累計概率分析，攻擊者選擇路徑1 的可能性較大?；谏鲜龅姆治?，選取最有可能的攻擊路 徑計算網絡安全態勢評估。

1.4 網絡安全態勢評估

網絡安全態勢評估算法是利用網絡中每一個服務器節點的網絡安全信息（包括入侵信息、網絡節點拓撲信息、漏洞信息、性能信息、服務信息以及日志信息）獲取每一個節點的脆弱性態勢、威脅性態勢以及系統運行態勢，結合節點在網絡集群中的分布情況確定脆弱性態勢、威脅性態勢以及系統運行態勢在不同節點的影響程度，那么整個網絡的安全態勢評估值可寫為：

其中Vi表示節點i的脆弱性態勢值，Ti表示節點i的威脅性態勢值，Wi表示節點i的運行狀態態勢值。wiv表示節點i的脆弱性權重，wiT表示節點i的威脅性權重，wiw表示節點i的運行狀態權重。各態勢值得權重可以根據不同節點在網絡中的拓撲結構以及集群重要性設置。

脆弱性態勢值是結合節點的漏洞風險量化、漏洞類型、防護軟件的安裝情況以及端口的開放情況進行評估。單個物理節點的風險評估一般分為4 級（1 代表無，2 代表中等，3代表嚴重，4 代表非常嚴重）；防護軟件安裝情況（1 代表安裝，2 代表沒有安裝）；端口開放情況（1 代表沒有開放，2 代表對部分開放，3 代表對大部分進行開放），按照節點脆弱性的計算方式，脆弱性的取值范圍在1-4 范圍內（1=低風險；2=中等風險；3=中上風險；4=高風險）。

威脅性態勢值根據該節點的木馬攻擊威脅、蠕蟲破環性、Dos 攻擊威脅性來衡量。木馬攻擊威脅通過木馬發生的事件數來衡量，蠕蟲破壞性通過蠕蟲攻擊的數量來衡量，Dos 攻擊威脅性通過該節點是否受到攻擊來衡量，1 表示受到攻擊，2 表示沒有受到攻擊。結合威脅性的3個指標計算節點的威脅性，威脅性的取值范圍在1-4 的范圍內（1=安全；2=輕度威脅；3=中度威脅；4=高度威脅）。

運行狀態態勢值根據節點的內存使用率、硬盤使用率、帶寬占用率和CPU 占用率來衡量。結合運行狀態的4 個指標計算節點的狀態態勢值，狀態態勢值的取值范圍在1-4 的范圍內（1=運行正常；2=輕度威脅；3=威脅；4=高度威脅）。

結合權重，采用加權的方式計算最有可能攻擊路徑的各節點網絡安全態勢值后，對網絡安全態勢值進行累加，形成整個網絡的安全態勢評估值。

2 實驗驗證

實驗思路：模擬攻擊行為，網管系統會發出告警，獲取原始的實驗數據——告警數據；然后對告警數據進行數據重構和時空特征提取，將時空特征輸入到三層神經網絡中，獲得最有可能攻擊的節點；基于當前攻擊節點結合網絡攻擊圖推測攻擊者最有可能的攻擊路徑，在此基礎上，計算攻擊路徑各個物理節點的安全態勢；最后基于物理節點的安全態勢計算整個網絡的安全態勢值。

本文通過模擬網絡攻擊行為，通過采用拒絕服務攻擊、漏洞攻擊、假消息攻擊等方法對測試網絡進行實驗驗證。在攻擊過程中，提取告警事件593 條，并對相關的攻擊行為進行標記。實驗包括模擬2 種正常的網絡行為和3 種不同組合的攻擊行為。通過對告警數據進行時空特征融合后，通過三層神經網絡（網絡結構6-3-1，輸入層包含六個節點、隱含層包括3 個節點、輸出層包括1個節點，輸入是告警數據的時空特征，本文對告警數據的N維時空特征通過池化壓縮成6 個特征值并輸入輸入層，各層之間由可修正的權值w互連實現特征值之間的關聯計算，最后輸出基于告警信息時空特征的可疑攻擊節點）對告警信息進行映射并獲取攻擊節點，結合時間序列形成多步攻擊的路徑；然后將轉移概率引入到攻擊圖中，推斷攻擊者最有可能的攻擊意圖；最后結合潛在攻擊路徑，實現大概率攻擊節點的安全態勢評估，并根據各個節點在集群中的重要性，計算整個網絡的安全態勢評估值。本文采用傳統的網絡態勢評估方法與本文的算法進行對比，兩者的攻擊路徑預測準確率和網絡安全態勢評估預測值偏差率結果如表2：

表2 攻擊路徑預測準確率和網絡安全態勢評估預測值偏差

通過實驗對比結果可知，本文提出的算法較傳統的網絡態勢評估方法在很大層度上提升攻擊路徑預測準確率和網絡安全態勢評估的經度，這由于本文提出的算法通過提取告警數據的時空特征能夠準確提取攻擊行為，并根據當前攻擊路徑結合攻擊概率轉移表，實現攻擊者攻擊意圖的推斷，如此，該方法從多維度上分析攻擊行為，降低了虛假告警事件對攻擊行為判斷的干擾；除此之外，該方法在現有攻擊階段的基礎上，采用攻擊路徑的累計概率來預測最有可能的攻擊路徑，形成多步攻擊驅動下的網絡安全的動態演變機制，實現動態反映網絡安全態勢變化的目標，保證算法的精度。

3 結束語

本文提出一種基于攻擊圖模型的網絡安全態勢評估方法，該方法解決多源告警信息數量繁多，虛假告警事件對網絡攻擊路徑確定造成干擾的問題。本文結合滑動窗口法重構告警數據，并對告警數據進行時空特征提??；基于三層BP 神經網絡映射攻擊節點并獲取多步攻擊路徑；在網絡攻擊圖的基礎上，結合轉移概率推斷攻擊者意圖，采用累計概率的方法形成多步攻擊驅動下的網絡安全的動態演變機制，動態反映網絡安全態勢的變化情況。該方法在實驗中取得了良好的攻擊意圖預測效果，從實驗效果可知，本文提出的方法能夠較為準確的識別網絡攻擊的各種行為和攻擊者意圖，具有一定的擴展性。在未來，將進一步研究網絡安全態勢感知的優化策略，利用深度學習神經網絡算法對節點映射環節進行優化，借鑒智能動態分析技術實現多步攻擊行為的快速感知，為現實的網絡安全態勢感知提供更具現實的應用意義。