網(wǎng)絡(luò)攻擊源的行為特點(diǎn)與評(píng)估模型構(gòu)建發(fā)布者：本站     時(shí)間：2020-05-02 16:05:09

1 引 言

分析評(píng)估網(wǎng)絡(luò)攻擊源行為特點(diǎn)及攻擊能力有助于增強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施的有效性和針對(duì)性． 傳統(tǒng)安全監(jiān)測防護(hù)通常以企業(yè)網(wǎng)為邊界，僅能捕獲攻擊源針對(duì)該企業(yè)網(wǎng)發(fā)起的局部攻擊行為，難以對(duì)攻擊源行為進(jìn)行有效分析． 當(dāng)前，骨干網(wǎng)安全監(jiān)測條件日漸成熟，一方面顯著擴(kuò)大了網(wǎng)絡(luò)監(jiān)測范圍，為攻擊源威脅行為分析提供了視窗基礎(chǔ)，另一方面報(bào)警信息海量化使得響應(yīng)負(fù)擔(dān)過載，迫切需要構(gòu)建攻擊源威脅行為評(píng)估機(jī)制，以識(shí)別重點(diǎn)威脅源并進(jìn)行優(yōu)先應(yīng)對(duì)． 現(xiàn)有的安全評(píng)估方法主要包括信息安全的風(fēng)險(xiǎn)評(píng)估［1-3］和網(wǎng)絡(luò)攻擊效果評(píng)估［4-5］兩部分，其中信息安全的風(fēng)險(xiǎn)評(píng)估主要用于從風(fēng)險(xiǎn)的角度評(píng)估威脅可能對(duì)資產(chǎn)造成的損失; 網(wǎng)絡(luò)攻擊效果的評(píng)估主要用于評(píng)估一個(gè)攻擊方案或一次具體的攻擊行為造成的安全效果． 這些評(píng)估方法受限與傳統(tǒng)的企業(yè)網(wǎng)安全監(jiān)測環(huán)境，側(cè)重于信息系統(tǒng)的安全性評(píng)測，無法反映攻擊源威脅能力的差異性．基于此，本文在分析網(wǎng)絡(luò)攻擊源的行為特點(diǎn)的基礎(chǔ)上，層次分析法構(gòu)建了一個(gè)威脅行為動(dòng)態(tài)評(píng)估模型，基于真實(shí)監(jiān)測數(shù)據(jù)的實(shí)驗(yàn)分析表明，相比較傳統(tǒng)的報(bào)警數(shù)量排名，本模型給出的攻擊源威脅評(píng)估更具合理性．

2 評(píng)估體系

2． 1 評(píng)估指標(biāo)的提取

構(gòu)建網(wǎng)絡(luò)攻擊源威脅行為的綜合評(píng)估模型，首先要選擇合適的評(píng)估指標(biāo)． 目前，這方面的研究還比較少，主要有: 汪生［6］等使用 6 大類 10 個(gè)方面提出了 59 個(gè)指標(biāo)，但這些指標(biāo)主要是針對(duì)單個(gè)攻擊模型和聯(lián)合使用多個(gè)攻擊模型的攻擊效果描述; 胡影［7］等利用攻擊庫挖掘的技術(shù)挖掘得到 5 類 122個(gè)原子功能，但這些指標(biāo)無法從骨干網(wǎng)監(jiān)測平臺(tái)上提取; 趙博夫［8］等提出了13 個(gè)指標(biāo)，指標(biāo)主要反映了攻擊者實(shí)施的網(wǎng)絡(luò)攻擊的目的為破壞目標(biāo)網(wǎng)絡(luò)的安全指標(biāo)( 使其失效或降低) ，但指標(biāo)中大量實(shí)際監(jiān)測環(huán)境中不可測的指標(biāo)．總體來說，這些評(píng)估指標(biāo)無法滿足網(wǎng)絡(luò)攻擊源威脅的評(píng)估，主要存在以下幾點(diǎn)原因:

1) 指標(biāo)的提取不夠完備，不能從對(duì)攻擊源的所有攻擊行為出發(fā)，進(jìn)行大視角的整體能力的評(píng)估，不具有全面性．2) 部分指標(biāo)［7，8］需要從目標(biāo)網(wǎng)絡(luò)中提取，這在當(dāng)前的監(jiān)控條件下是無法獲得的，不具有可行性．3) 部分指標(biāo)［8］過于抽象，不易量化操作，不具有可測性和便利性．在當(dāng)前的網(wǎng)絡(luò)監(jiān)控條件下，網(wǎng)絡(luò)攻擊源組織探測只能以網(wǎng)絡(luò)攻擊源的報(bào)警信息和觸發(fā)的規(guī)則信息為挖掘?qū)ο?，其中?bào)警信息直接包含的信息包括: 報(bào)警時(shí)間、源地址、目標(biāo)地址、源端口、目標(biāo)端口、源 MAC、目標(biāo) MAC、報(bào)文長度、報(bào)警網(wǎng)卡名稱、原始報(bào)文、插件特征編號(hào); 規(guī)則信息直接包含的信息包括:

協(xié)議類型、危害等級(jí)、操作系統(tǒng)類型、目標(biāo)端口對(duì)象、目標(biāo)地址對(duì)象、源端口對(duì)象、源地址對(duì)象、規(guī)則版本號(hào)、規(guī)則特征、漏洞信息、大類型、小類型、目標(biāo)地址對(duì)象、規(guī)則名稱、服務(wù)類型． 結(jié)合攻擊源威脅行為的特點(diǎn)，我們從網(wǎng)絡(luò)攻擊源的攻擊活躍性，攻擊破壞力和攻擊目的性出發(fā)，挖掘出以下評(píng)估指標(biāo): 攻擊時(shí)間的分布，攻擊時(shí)間的持續(xù)性，攻擊的頻度，掌握攻擊手段的數(shù)量，攻擊的連貫性，偏好使用的攻擊威脅，觸發(fā)報(bào)警的種類以及目標(biāo)地址的等級(jí)分布．