網(wǎng)絡(luò)攻擊源的行為特點(diǎn)與評估模型構(gòu)建發(fā)布者:本站 時(shí)間:2020-05-02 16:05:09
1 引 言
分析評估網(wǎng)絡(luò)攻擊源行為特點(diǎn)及攻擊能力有助于增強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施的有效性和針對性. 傳統(tǒng)安全監(jiān)測防護(hù)通常以企業(yè)網(wǎng)為邊界,僅能捕獲攻擊源針對該企業(yè)網(wǎng)發(fā)起的局部攻擊行為,難以對攻擊源行為進(jìn)行有效分析. 當(dāng)前,骨干網(wǎng)安全監(jiān)測條件日漸成熟,一方面顯著擴(kuò)大了網(wǎng)絡(luò)監(jiān)測范圍,為攻擊源威脅行為分析提供了視窗基礎(chǔ),另一方面報(bào)警信息海量化使得響應(yīng)負(fù)擔(dān)過載,迫切需要構(gòu)建攻擊源威脅行為評估機(jī)制,以識(shí)別重點(diǎn)威脅源并進(jìn)行優(yōu)先應(yīng)對. 現(xiàn)有的安全評估方法主要包括信息安全的風(fēng)險(xiǎn)評估[1-3]和網(wǎng)絡(luò)攻擊效果評估[4-5]兩部分,其中信息安全的風(fēng)險(xiǎn)評估主要用于從風(fēng)險(xiǎn)的角度評估威脅可能對資產(chǎn)造成的損失; 網(wǎng)絡(luò)攻擊效果的評估主要用于評估一個(gè)攻擊方案或一次具體的攻擊行為造成的安全效果. 這些評估方法受限與傳統(tǒng)的企業(yè)網(wǎng)安全監(jiān)測環(huán)境,側(cè)重于信息系統(tǒng)的安全性評測,無法反映攻擊源威脅能力的差異性.基于此,本文在分析網(wǎng)絡(luò)攻擊源的行為特點(diǎn)的基礎(chǔ)上,層次分析法構(gòu)建了一個(gè)威脅行為動(dòng)態(tài)評估模型,基于真實(shí)監(jiān)測數(shù)據(jù)的實(shí)驗(yàn)分析表明,相比較傳統(tǒng)的報(bào)警數(shù)量排名,本模型給出的攻擊源威脅評估更具合理性.
2 評估體系
2. 1 評估指標(biāo)的提取
構(gòu)建網(wǎng)絡(luò)攻擊源威脅行為的綜合評估模型,首先要選擇合適的評估指標(biāo). 目前,這方面的研究還比較少,主要有: 汪生[6]等使用 6 大類 10 個(gè)方面提出了 59 個(gè)指標(biāo),但這些指標(biāo)主要是針對單個(gè)攻擊模型和聯(lián)合使用多個(gè)攻擊模型的攻擊效果描述; 胡影[7]等利用攻擊庫挖掘的技術(shù)挖掘得到 5 類 122個(gè)原子功能,但這些指標(biāo)無法從骨干網(wǎng)監(jiān)測平臺(tái)上提取; 趙博夫[8]等提出了13 個(gè)指標(biāo),指標(biāo)主要反映了攻擊者實(shí)施的網(wǎng)絡(luò)攻擊的目的為破壞目標(biāo)網(wǎng)絡(luò)的安全指標(biāo)( 使其失效或降低) ,但指標(biāo)中大量實(shí)際監(jiān)測環(huán)境中不可測的指標(biāo).總體來說,這些評估指標(biāo)無法滿足網(wǎng)絡(luò)攻擊源威脅的評估,主要存在以下幾點(diǎn)原因:
1) 指標(biāo)的提取不夠完備,不能從對攻擊源的所有攻擊行為出發(fā),進(jìn)行大視角的整體能力的評估,不具有全面性.2) 部分指標(biāo)[7,8]需要從目標(biāo)網(wǎng)絡(luò)中提取,這在當(dāng)前的監(jiān)控條件下是無法獲得的,不具有可行性.3) 部分指標(biāo)[8]過于抽象,不易量化操作,不具有可測性和便利性.在當(dāng)前的網(wǎng)絡(luò)監(jiān)控條件下,網(wǎng)絡(luò)攻擊源組織探測只能以網(wǎng)絡(luò)攻擊源的報(bào)警信息和觸發(fā)的規(guī)則信息為挖掘?qū)ο?,其中?bào)警信息直接包含的信息包括: 報(bào)警時(shí)間、源地址、目標(biāo)地址、源端口、目標(biāo)端口、源 MAC、目標(biāo) MAC、報(bào)文長度、報(bào)警網(wǎng)卡名稱、原始報(bào)文、插件特征編號(hào); 規(guī)則信息直接包含的信息包括:
協(xié)議類型、危害等級、操作系統(tǒng)類型、目標(biāo)端口對象、目標(biāo)地址對象、源端口對象、源地址對象、規(guī)則版本號(hào)、規(guī)則特征、漏洞信息、大類型、小類型、目標(biāo)地址對象、規(guī)則名稱、服務(wù)類型. 結(jié)合攻擊源威脅行為的特點(diǎn),我們從網(wǎng)絡(luò)攻擊源的攻擊活躍性,攻擊破壞力和攻擊目的性出發(fā),挖掘出以下評估指標(biāo): 攻擊時(shí)間的分布,攻擊時(shí)間的持續(xù)性,攻擊的頻度,掌握攻擊手段的數(shù)量,攻擊的連貫性,偏好使用的攻擊威脅,觸發(fā)報(bào)警的種類以及目標(biāo)地址的等級分布.
選擇我們,優(yōu)質(zhì)服務(wù),不容錯(cuò)過
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強(qiáng)大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗(yàn),優(yōu)秀的技術(shù)和設(shè)計(jì)水平,更放心
3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時(shí)聯(lián)系電話:021-58370032