基于威脅情報的網絡安全態勢感知模型

張紅斌，尹彥，趙冬梅，劉濱

（1.河北科技大學信息科學與工程學院，河北 石家莊 050018；2.河北師范大學河北省網絡與信息安全重點實驗室，河北 石家莊 050024；3.河北科技大學經濟管理學院，河北 石家莊 050018；4.河北科技大學大數據與社會計算研究中心，河北 石家莊 050018）

1 引言

隨著網絡規模和用戶數量的不斷增加，網絡朝著大規模、多業務、大數據化的方向發展，網絡的體系結構也隨之日趨復雜化。在這種背景下，計算機病毒、惡意軟件、信息泄露等網絡攻擊越來越嚴重，多層次的安全威脅和風險也在持續地增加。高級持續威脅（APT,advanced persistent threat）成為目前網絡攻擊的新趨勢[1]，尤其是APT 使用高級的攻擊手段對某一指定目標進行長期、持續的網絡攻擊，具有高度的隱蔽性和危害性[2]。近年來，網絡威脅情報（CTI,cyber threat intelligence）的出現為態勢感知的研究帶來了新思路。CTI 描述了攻擊行為，提供了網絡攻擊的上下文數據，并指導了網絡攻擊和防御，利用威脅情報收集大量數據，通過有效的數據共享和確保信息交換的安全和質量，分析惡意行為，可發現和預防APT[3]。

然而，目前對于CTI 的研究仍處于初始階段，相關研究成果較少，在使用CTI 進行態勢感知研究方面，如何合理規范地使用威脅情報也是亟待解決的關鍵問題。針對這一問題，本文提出了一種基于威脅情報的網絡安全態勢感知模型，對網絡資產狀態、風險狀態、日志警告進行態勢要素采集，將采集到的數據信息在外源威脅情報指導下進行數據篩選、清洗以及關聯分析，通過攻防之間的博弈過程對處理后的數據進行態勢量化及預測。在此過程中，利用外源威脅情報指導內源威脅信息，并與態勢感知預測結果對比分析后，生成內源威脅情報。

2 相關工作

態勢感知是指在特定的時間和空間內提取系統的要素，理解其含義并預測其可能產生的影響。Endsley[4]將態勢感知分為3 個層面：態勢要素提取、態勢理解、態勢投射。之后Bass[5]提出了網絡態勢感知的概念，即在大型網絡環境中，獲取、理解、評估和顯示可能導致網絡狀態發生變化的要素，并預測未來的發展趨勢。

在態勢感知模型的研究方面，文獻[6]針對物聯網防御復雜的問題，提出了基于隨機C-Petri 網的安全態勢感知博弈模型，動態地考慮攻防兩者的對抗行為，發現潛在的攻擊行為，做出有效的防御；但在具有大量IoT 節點的復雜網絡環境下，該模型的計算面臨很大的困難，還需引入云計算的方法降低計算復雜性。文獻[7]提出了一種基于隨機博弈的網絡安全態勢評估模型，綜合分析了攻擊方、防御方和環境信息三者對安全態勢的影響；然而在考慮攻防雙方策略選擇時僅考慮簡單的策略集合，而在真實的攻擊場景中策略選擇要復雜得多。文獻[8]提出了基于拓撲漏洞分析的態勢感知模型，通過網絡安全態勢要素的獲取、分析，計算網絡安全態勢值，實現態勢感知；但當網絡環境更改時，它需要再次對環境建模，不能很好地適應網絡更改，還需建立模型參數自適應理解機制。文獻[9]針對電子滲透APT 攻擊提出了馬爾可夫多階段可轉移信念模型，將殺傷鏈模型與攻擊樹結合，利用沖突作為識別悖論的指標，能夠為復雜的多階段攻擊進行態勢感知；但該模型在選取最有效的方式優化資源分配以及改善決策制定方面也需要進行改進。

威脅情報主要是利用大數據的收集方法獲取，能夠提供最全、最新的安全事件數據，極大提高了網絡安全態勢感知工作中對新型和高級危險的察覺能力。文獻[10]針對APT 攻擊鏈進行研究，選取域名系統（DNS,domain name system）流量作為APT 整體檢測的原始數據，采用多種不同檢測特征，結合最新的威脅情報和大數據技術，對APT攻擊檢測具有一定的意義。文獻[11]以威脅情報為切入點，設計安全威脅情報共享系統，通過第三方共享的威脅情報數據對電網安全的安全態勢進行評估，并及時發現異常行為，利用威脅情報實現入侵意圖識別，大大提升了系統安全態勢感知的能力。威脅情報具有強大的更新能力，通過威脅情報的共享技術，情報庫不斷更新，因此威脅情報的共享技術是實現攻擊溯源的重要手段。文獻[12]為實現有效的攻擊溯源，基于STIX 提出了一種精簡模式的威脅情報共享利用框架，以有關C2信息為例描述了威脅情報的共享利用表達方式，實驗結果表明利用威脅情報進行攻擊溯源具有實用性。

通過對上述文獻進行分析可知，威脅情報在提高網絡安全態勢感知的準確性方面具有很大的影響，因此本文提出基于CTI 和攻防博弈的態勢感知模型，通過攻防之間的博弈過程量化網絡態勢，結合CTI 和納什均衡進行網絡安全態勢預測。

3 態勢感知模型基礎

本文提出的基于威脅情報的態勢感知模型分為3 個部分：態勢覺察、態勢理解和態勢投射，如圖1 所示。

圖1 態勢感知模型

1) 態勢覺察的主要目的是通過對采集到的要素（主要包含目標網絡的資產狀態信息、風險狀態信息及日志警告信息）在外源威脅情報的指導下進行數據預處理及關聯分析，找出系統中的異常攻擊行為及其特征，確定攻擊的意圖、方式以及產生的影響，然后對攻擊信息進行STIX 結構化，生成具有威脅性的內源威脅信息。

2) 態勢理解是在態勢覺察的基礎上對攻擊行為進行理解，確定攻擊者的攻擊策略，針對攻擊策略選取合適的防御策略。

3) 態勢投射在前兩步的基礎上分析攻擊行為對網絡中對象的威脅情況，引入攻防博弈的思想，對網絡整體的安全態勢進行量化及預測，將預測結果與之后網絡態勢感知的結果進行對比分析。若結果一致，說明通過該方法進行預測分析是可行的，同時將態勢覺察部分生成的內源威脅信息定義為系統內源威脅情報。生成的內源威脅情報通過威脅情報的共享技術，能夠提高整體網絡空間的安全性。

本文對一般態勢感知模型的改進主要表現為兩點，一方面在態勢覺察部分，通過外源威脅情報的指導，對系統內部的安全事件進行分析和理解，覺察系統內部的威脅。經過態勢覺察生成的內源威脅信息可以準確地發現攻擊，并能對攻擊的意圖、方式及攻擊進行精準描述。另一方面在態勢投射部分，通過攻擊者、防御者之間的博弈過程，定義相關變量，并對目標系統的安全態勢進行量化，從而評估網絡的安全狀態；通過納什均衡存在定理，對目標網絡的未來安全態勢進行預測，預測攻擊者可能采取的攻擊策略，促使防御者提前采取合適的措施進行防御，使網絡免受攻擊。

4 基于相似度的態勢覺察方法

本節介紹了威脅情報的定義、表達格式等相關概念，提出基于外源威脅情報與安全事件相似度比較的威脅信息察覺方法，通過比較兩者之間的相似度，判斷內部安全事件是否具有威脅性，發現系統內部的威脅信息。最后將態勢預測結果對內源威脅信息進行反饋，確定內源威脅情報。

4.1 威脅情報的定義

Gartner 對威脅情報的定義為：威脅情報是關于IT、信息資產面臨現有或醞釀中的威脅的證據性知識，包括可實施上下文、機制、標示、含義和能夠執行的建議，這些知識可以為威脅的響應、處理決策提供技術支持[13]。本文根據威脅情報的來源將其分為內源威脅情報和外源威脅情報，具體內容如以下定義所示。

定義1外源威脅情報（ECTI,external cyber threat intelligence）。通常源于情報提供者提供的開源威脅情報（OSINT,open source intelligence），如互聯網公開的漏洞信息、安全事件信息、網絡安全預警信息等。

定義2內源威脅情報（ICTI,internal cyber threat intelligence）。企業或機構產生的威脅情報數據，用于保護內部信息資產和業務流程。通常是目標系統受到攻擊后，通過相應的安全信息與時間管理入侵檢測系統等安全設備獲取的相關數據集，進行數據分析、融合后，與態勢感知的結果進行對比分析證明正確性，最后生成系統內源威脅情報。

在進行威脅情報數據的預處理前，有必要統一內外源威脅情報的格式，本文采用結構化威脅信息表達式STIX[14]作為威脅情報的格式。STIX 提供一種以標準XML 為基礎的語法，用于描述威脅情報的詳細信息、內容和威脅情報各個方面的特點。本文首先對ECTI 進行STIX2.0 結構化，選取威脅指標（Indicator）、攻擊模式（Attack Pattern）、工具（Tool）、漏洞（Vulnerability）、可觀測數據（Observed Data）這5 類對象作為分析要素，其中每個對象包含了若干的威脅屬性，如表1 所示；然后將這些對象及屬性作為ICTI 的收集依據，發現系統內部的攻擊行為。威脅對象的具體描述如下。

表1 對象及其屬性

1) Indicator：威脅的指標點，包含攻擊時間、工具、惡意軟件所在的僵尸網絡信息等特征參數。

2) Attack Pattern：描述攻擊者試圖破壞目標的方式，實際是TTP（tactic、technique and procedure）類型，通常使用通用攻擊模式枚舉和分類（CAPEC）標準來結構化描述攻擊模式。

3) Tool：威脅者可以用來執行攻擊的合法軟件。

4) Vulnerability：軟件中的錯誤，黑客可以直接利用該錯誤來訪問系統或網絡。

5) Observed Data：在系統和網絡上觀察到的傳輸信息，例如IP 地址等。

4.2 針對威脅的態勢覺察方法

威脅覺察過程為通過對目標系統攻擊數據的處理，明確攻擊的目的、攻擊工具及產生的影響等；利用STIX2.0 提取上述相關對象及威脅屬性，生成安全事件（SI,security incident）；對安全事件進行權重的計算，得到具有威脅價值的信息，將其定義為內源威脅信息。圖2 描述了相似度分析的過程。

圖2 相似度分析的過程

1) 獲取相關對象及屬性

安全事件SI 是一個5 元組，對應上述的5 個對象，每個對象都代表一個分系統，每個分系統下又有若干的威脅屬性，即

其中，每個對象的權重用ωi表示，所有對象的權重值滿足，每個對象下威脅屬性的權重用ωij表示，權重值滿足。

2) 權重計算

開源的威脅情報庫過于龐大，系統內部SI 與其完全匹配成功的可能性極低，因此，使用與安全事件相同類型的威脅情報來分析后續的安全事件。本文利用攻擊方式的CAPEC-id 進行ECTI 的分類，統計每種類型威脅情報中具有SI 特性的威脅數據。

本文以分系統Indicator 為例進行描述。對象Indicator 的3 個屬性在外源威脅情報中出現的次數如表2 所示，其中，xij表示威脅屬性在外源威脅情報中出現的次數。

表2 Indicator 的屬性在ECTI 中出現的次數

計算Indicator 分系統中各個屬性在ECTI 中出現的頻率，即

建立目標對象的相對優越度矩陣Rm×n為

對象的屬性出現頻次越多，在威脅情報中越具有代表性，利用該屬性進行威脅情報生成越能準確反映目標系統的安全狀態。根據文獻[15]，利用式(3)求取相對優越值rij，通過式(4)計算ECTI 中每個屬性的權重。

通過對系統內部安全數據的收集、整理，可以得到內部安全事件SI 中每個元組的權重ωi，以及每個元組下屬性的權重ωij，計算式為

其中，yij表示威脅屬性在內部安全事件SI 中出現的頻次，則ωi={ωi1,ωi2,…,ωij}，i=1,2,…,5，j=1,2,…,n。

比較ωij與之間的差值，差值越小，說明安全事件中這一對象與同類ECTI 的相似性越大。通過比較可以得到內外源安全數據Indicator 對象中差值最大的屬性，將該差值作為SI與ECTI中Indicator之間的相似度si1m，即

同理，能夠求得SI 中其余元組與ECTI 的相似度，選擇這些simi中的最大值作為內部安全事件與外源威脅情報之間的相似度Sim，即

設置閾值ε，當Sim≤ε時，則該安全事件可以作為目標系統內源的威脅信息；否則，將此安全事件進行存儲。

得到系統內源的威脅信息后，對攻防策略建立博弈模型，進行態勢預測，得到預測結果，將威脅信息與預測結果進行對比分析，判斷是否一致，若一致，將此內源威脅信息定義為ICTI。圖3 為ICTI生成過程，在此過程中ECTI 指導信息收集，規范了ICTI 信息的格式。

圖3 內源威脅情報生成過程

5 攻防博弈模型

5.1 攻防模型的建立

在網絡攻防過程中，攻防雙方采取的攻擊與防御措施會對整個目標系統網絡狀態的轉移產生影響，使系統的網絡狀態進行更新，導致攻防雙方根據新的網絡狀態選擇新的行動策略，并反復進行該行為。此過程符合博弈的思想，因此，本文采用隨機博弈的思想對網絡攻防過程進行建模。

在攻防博弈中，參與者不論采用何種策略都會產生相應的成本和收益，定義兩者之間的差值為效用，利用效用來量化網絡安全態勢值。假設網絡攻防雙方收益相等，本文將攻防過程描述為一個非合作零和攻防博弈模型。

網絡安全博弈模型定義如下。

定義3基于隨機博弈的網絡安全感知模型（NSAM-SG,network security awareness model-stochastic game）描述了網絡攻擊與防御行為，包含博弈的參與者、目標網絡的安全狀態、攻防雙方的策略集合、博弈雙方的效用函數，即NSAM-SG=(P,S,Ta,Td,U)。

NSAM-SG 各個元組的含義表示如下。

P表示參與攻防博弈的參與者集合，Pa為攻擊者，Pd為防御者，即P=(Pa,Pd)。

S表示目標網絡的安全狀態構成的集合，S=(S0,S1,S2,…,Sn)，Si表示目標網絡在i（1≤i≤n）時刻所處的安全狀態。

U表示博弈雙方的效用函數集合，表示攻擊者在狀態Si下的效用函數，表示防御者在狀態Si下的效用函數。

5.2 態勢量化

當攻擊方τ對目標系統進行攻擊后，U(τ)a、profit(τ)a和cost(τ)a分別表示攻擊方的效用、收益和成本，則防御方采取防御措施防御后的效用、收益和成本定義為U(τ)d、profit(τ)d和cost(τ)d。相關定義如下。

1) 攻擊方效用。攻擊方的效用U(τ)a等于攻擊方的收益與成本的差值，即

2) 防御方效用。根據博弈雙方對立的關系，防御方的效用為

3) 攻擊成本。攻擊成本可以理解為與攻擊者被發現進行法律制裁的風險有關[16]，事實上，被發現進行法律訴訟的情況很少，因此本文認為攻擊成本與其對應威脅情報的威脅度（TL,threat level）成正比，威脅程度越高，攻擊成本越大，則

參考MIT 林肯實驗室對攻擊的分類[17]，根據威脅行為的攻擊意圖，威脅情報可分為6 類，同種類型的威脅情報具有相同的威脅度，具體分類說明和TL 值如表3 所示。

表3 威脅情報分類與威脅度

4) 防御成本。防御成本指攻擊發生后，防御方采取防御措施付出的操作代價。結合文獻[18]對防御類別的分類，根據外源威脅情報中處置方法（course of action）的復雜程度對防御成本進行分類，可以分為以下4 個級別。

DC1：未采取防御措施，操作代價為零。

DC2：抵御攻擊付出的操作成本很小，如對攻擊行為進行監測。

DC3：對攻擊行為進行阻止，防御的操作成本較大。

DC4：修復攻擊對系統造成的損害，此時付出的操作成本很大。

對操作代價進行量化，對應的防御成本為DC=(0,4,8,10)。

5) 攻擊方收益。攻擊方的收益通常用攻擊對網絡系統造成的損害來表示，在本文中，攻擊收益主要從威脅攻擊成功率、利用威脅情報中脆弱性（Vulnerability）產生的危害這2 個方面進行量化。

根據CVSS 評級標準，利用Vulnerability 產生的危害Impact 為

其中，λ為修正因子，取值為10.41；VL 為脆弱性利用的難易程度，分為嚴重（Critical）、高（High）、中（Medium）、低（Low）4 個等級，評分范圍如表4 所示；CIA=(Cona,Inta,Avaa)表示該脆弱性對系統造成的機密性、完整性、可用性危害，根據CVSS 評分標準，Cona,Inta,Avaa的取值如表5 所示。最終可以得到攻擊方的收益為

表4 Vulnerability 等級與評分標準

表5 CIA 要素取值范圍

其中，β為攻擊成功率，來自系統的歷史信息。

6) 防御方收益。防御方的收益與防御者采取防御措施后使系統免受的損害有關，在數值上與攻擊造成的收益相等，因此，防御收益為

通過上述的量化方法，將式(12)和式(13)代入式(8)中，可以得到攻擊方的效用函數U(τ)a，即

同理，可以求得防御方的效用函數U(τ)d，即

雙方的效用函數分別代表了攻防雙方采取策略行動的收益程度，根據博弈雙方的效用函數，計算得到目標網絡的安全態勢值S為

5.3 攻擊預測

在博弈中，納什均衡指參與博弈的任一方選擇的策略針對其他人的策略選擇都是最優方案。網絡攻防的過程中，攻擊者與防御者都希望能夠以最小的攻擊或防御成本，收獲最大的利益，在這種情況下，攻防雙方會根據彼此的策略選擇最佳策略。根據納什均衡，NSAM-SG 必然存在均衡點。因此，本文利用納什均衡對攻擊行為進行預測。

在攻防進行時，雙方采取的策略對彼此來說都是不明確的，因此不存在純策略的納什均衡。本文使用混合策略對NSAM-SG 進行博弈均衡分析。

設攻擊者與防御者分別依據概率向量Pa=(x1,x2,x3,…,xm)、Pd=(y1,y2,y3,…,yn)選擇攻擊策略與防御策略，則攻防雙方的混合策略為

定義攻擊者的效益期望為 Ea，防御者的效益期望為 Ed，即

6 實驗結果與分析

6.1 實驗環境

本文實驗利用加拿大網絡安全研究院提出的CICIDS2017 入侵檢測數據集進行基于相似度生成ICTI 方法的驗證，根據NSAM-SG 驗證利用納什均衡預測攻擊行動方法的有效性與準確性，該數據集拓撲結構如圖4 所示。

由圖4 可以看出，網絡結構被劃分成2 個分離的網絡，即攻擊者網絡與受害者網絡。該數據集[19]提供了廣泛的攻擊多樣性，包含了良性流量和最新的攻擊流量，數據捕獲期從2017 年7 月3日上午開始，到2017 年7 月7 日下午結束，實施的攻擊包括暴力FTP、暴力SSH、DoS、Heartbleed、Web 攻擊、滲透等，具體的攻擊種類及時間如表6所示。

圖4 CICIDS2017 數據集拓撲結構

表6 CICIDS2017 攻擊種類及時間

6.2 威脅覺察

實驗選取CAPEC-24、CAPEC-47、CAPEC-185、CAPEC-122 作為ECTI，指導內部威脅的覺察。分析該數據集的攻擊行為，將其制成具有STIX2.0 格式的攻擊信息，分析該攻擊信息與外源威脅情報之間的相似度，判斷該信息是否為內源威脅信息。通過實驗，得到SI 分系統Indicator 相關屬性的頻次如表7 所示。

表7 Indicator 的屬性在ECTI 中出現的頻次

建立目標Indicator 的相對優越度矩陣R1為

同理，求得 ECTI 中其他元組(AP,Tool,Vul,OD) 屬性權重分別為=(0.58,0.42)，=(0.33,0.67)，=(1)，=(0.35,0.325,0.325)。

計算安全事件 SI 中每個元組的權重為ω1=(0.5,0.33,0.17)，ω2=(0.44,0.56)，ω3=(0.43,0.57)，ω4=(1)，ω5=(0.5,0.25,0.25)。得到安全事件與外源威脅情報之間的相似度Sim=0.25。根據模糊優選模型物理含義的分析[20]，設置模糊閾值ε=0.5，當Sim ≤0.5時，則該安全事件具有威脅價值，作為系統內源的威脅信息，與之后態勢預測的結果進行對比分析。

根據6.4 節的結果可知，攻擊者最有可能采取的攻擊策略是利用拒絕服務漏洞發起攻擊。因此，所有安全事件SI 中的Tool、Vulnerability 對象及其屬性可以定義為目標系統的內源威脅情報。由此可知，本文提出基于相似度分析的威脅察覺方法可以較準確地發現威脅行為。

6.3 態勢評估

本文在林肯實驗室的DARPA2000-LLDoS1.0數據集上進行對比實驗，驗證本文提出基于攻防博弈的態勢評估的準確性，在CICIDS2017 入侵檢測數據集上驗證該方法的普適性。由于實驗數據集中僅包含攻擊信息，沒有防御信息，因此假設防御者未采取防御措施。

1) 準確性的驗證

DARPA2000-LLDoS1.0 數據集拓撲結構如圖5所示，該數據集描述了一個完整的分布式拒絕服務攻擊場景，分為5 個攻擊階段，即掃描、探測、登錄、安裝DDoS 軟件、發動DDoS 攻擊。

圖5 LLDoS1.0 數據集拓撲結構

各主機在攻擊過程中所占的權重如表8 所示。

表8 主機所占權重

對目標系統的主機資產進行權重的分配，即CIAM=(5,5,5),CIAL=(1,5,10),CIAP=(5,5,10),CIAH=(5,5,1),CIAR=(5,5,1),CIAwww=(5,5,10)。各主機在攻擊階段以相同的方式受到攻擊，因此各階段對目標系統資產的攻擊影響按照等級劃分為N=(1,2,3,3,2)。通過計算，得到整個網絡環境的安全態勢變化趨勢，變化曲線如圖6 所示，此時網絡處于危險狀態，且安全態勢值越大，網絡越危險。

從圖6 中可以看出，攻擊者在探測階段對網絡的影響小，之后的緩沖區溢出攻擊使網絡的危險狀態進一步加強，當攻擊者獲取主機的Root 權限并安裝DDoS 工具后，網絡的安全面臨進一步的威脅。攻擊者手動啟動DDoS，威脅仍未解除，整個網絡的態勢值進一步提高。

圖6 安全態勢曲線

為了探究本文方法的特性，將應用集對分析方法[21]、HMM 方法[22]、層次化分析方法[23]與本文基于攻防博弈的態勢評估方法進行比較，對比結果如表9 所示。

表9 與其他方法的比較

表9 中，應用集對分析方法的原理融合了多個數據源的信息，對網絡安全各要素展開了全面的分析，但在區分危險性不強的探測階段，該方法的靈敏度不高；HMM 方法使用隱馬爾可夫模型進行態勢評估，采用威脅評估結果對告警分類，解決了觀測事件分類問題，但模型參數的配置具有一定的主觀性，準確性偏低；層次化分析方法在評估整個網絡系統風險值時具有一定的優勢，但風險計算的本質依舊為風險累計算法，利用風險累積進行態勢評估，風險值只增不減，不能準確地反映網絡態勢的變化。

各方法的網絡安全態勢變化對比如圖7 所示。從圖7 中可以看出，基于攻防博弈的態勢評估方法在區分危險性不強的探測階段，態勢值有了顯著的變化，相對于應用集對分析方法更靈敏；在危險較大的權限提升階段方面，基于攻防博弈的態勢評估方法與HMM 方法、應用集對分析方法相比，對網絡態勢的變化反應更強烈，更能引起網絡安全管理員的警覺；同時，該方法解決了層次化分析法風險值只增不減的問題，反映了不同攻擊方式對網絡態勢的影響不是一味地增長，而是具有一定的回復性。因此，本文提出的態勢評估方法可以正確地反映網絡態勢值的變化。

圖7 不同方法的網絡安全態勢變化對比

2) 普適性的驗證

在CICIDS2017 入侵檢測數據集上驗證本文提出方法的普適性。根據提出的NSAM-SG 模型，量化數據捕獲周期的安全態勢值，由于星期一的數據都是正常流量，網絡處于安全狀態，態勢值為0，因此本文從星期二開始進行態勢評估。CICIDS2017數據集入侵類型的攻擊成本如表10 所示。

表10 CICIDS2017 數據集入侵類型的攻擊成本

通過計算，得到整個網絡環境的安全態勢值，態勢變化曲線如圖8 所示，此時網絡處于危險狀態。從圖8 中可以看出，在每個攻擊階段中，隨著攻擊的深入，態勢值呈上升趨勢，整個網絡面臨的危險進一步加深。針對不同的攻擊可以看出，當網絡受到端口掃描攻擊時，網絡的安全態勢值最低，網絡受到的影響最小，當網絡受到SSH 暴力攻擊、滲透攻擊時，網絡的安全態勢值很高，網絡受到的影響比較嚴重。

圖8 安全態勢

從實驗結果可以看出，本文提出的態勢評估方法可以適用不同的數據集，能夠正確地反映網絡安全態勢值的變化，具有一定的普適性。但不足之處表現在當網絡受到像DoS/DDoS 這樣攻擊過程不明顯的攻擊行為時，網絡安全態勢值的變化不明顯，在攻擊初期時可能無法引起安全管理員的注意，因此在接下來的工作中還需要進一步的改進。

6.4 攻擊預測

在圖4 所示的網絡拓撲結構中，選取CICIDS2017入侵檢測數據集中受害主機Ubuntu 16 WebServer、Ubuntu12 進行實驗，選取的主機共有5 處漏洞，具體的漏洞信息及防御者可采取的防御策略如表11 所示。

表11 系統漏洞信息及防御措施

根據攻防雙方策略的選擇，利用式(14)和式(15)計算雙方的收益矩陣P為

根據博弈論納什均衡的滿足條件，計算得到雙方的混合策略為x?=(0，0.71，0，0.12，0.17)，y?=(0,0,0,0.31,0.22,0,0.47)。

通過對原始數據集進行處理，合并5 天的數據，刪除無效的樣本，將具有相似特征和行為的少數攻擊進行合并，重新定義標簽[24]。經過數據處理后，發現DoS/DDoS類攻擊的樣本數量最多，共379 748條記錄，占全部樣本的36%，且DoS/DDoS 類攻擊付出的攻擊成本較低，因此攻擊者下一步最有可能進行DoS攻擊。所以本文提出的納什均衡進行態勢預測方法是可行的。

為驗證本文提出的納什均衡態勢預測方法的準確精度，選取CICIDS2017 數據集中周二的流量數據，分別使用RBF 神經網絡和Verhulst 灰色模型進行預測，并與本文方法進行對比。使用均方根誤差RMSE 作為定量評價預測模型的預測精度的指標，計算方法為

3 種預測方法預測精度結果如表12 所示。

表12 3 種預測方法預測精度結果

由表12 可知，本文提出的基于納什均衡的態勢預測方法的預測精度優于其他方法，能取得良好的預測效果。

7 結束語

本文提出了基于威脅情報的網絡態勢感知模型，利用威脅情報進行態勢感知，對網絡進行態勢覺察，發現內部威脅信息。對攻防博弈進行建模，通過定義模型的相關概念，量化雙方成本和收益，評估當前網絡的安全狀態，最后利用納什均衡預測攻擊者可能采取的攻擊行為。實驗分析表明，該模型可以很好地發現未知攻擊，對網絡的安全態勢進行準確的評估和預測。在下一步的工作中，要將所提出的方法應用到實際的網絡環境中，改進實驗中存在的不足，并在ICTI 生成過程中引入預測攻擊策略概率的思想，進一步規范ICTI 的生成。