基于时空维度分析的网络安全态势预测方法.pdf

《基于时空维度分析的网络安全态势预测方法.pdf》由会员分享，可在线阅读，更多相关《基于时空维度分析的网络安全态势预测方法.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机研究与发展DOI：107544issnl0001239201420121050Journal of Computer Research and Development 51(8)：16811694，2014基于时空维度分析的网络安全态势预测方法刘玉岭123 冯登国 2 连一峰123 陈 一恺3 吴 迪121(中国科学院软件研究所可信计算与信息保障实验室 北京 100190)2(中国科学院大学北京100049)3(信息安全共性技术国家工程研究中心 北京 100190)(ylliutcaiscasaccn)Network Situation Prediction Method Based o

2、n Spatial-Time Dimension AnalysisLiu Yulin91-2，Feng Denggu01，Lian Yifen912，Chen Kai3，and Wu Dil，2(Laboratory of Trusted Computing and Information Assurance，Institute of Software，Chinese Academy of Sciences，Beijing 100190)2(University of Chinese Academy of Sciences，Beijing 100049)3(National Engineeri

3、ng Research Center for Information Security，Beijing 100190)Abstract Network security situation prediction methods can make the security administrator betterunderstand the network security situation and the network situation trendHowever，the existingsecurity situational prediction methods can not pre

4、cisely reflect the variation of network futuresecurity situation caused by security elementschange and do not handle the impact of the interactionrelationship between the various security elements of future network security situationIn view of thissituation，a network situation prediction method base

5、d on spatialtime dimension analysis ispresentedThe proposed method extracts security elements from attacker，defender and networkenvironmentWe predict and analyze these elements from the time dimension in order to provide datafor the situation calculation methodUsing the predicted elements，the impact

6、 value caused byneighbor nodes security situation elements is computed based on spatial data mining theoryIncombination with nodeS degree of importance，the security situation value is obtainedTo evaluateour methods，MIT Lincoln LabS public dataset is used to conduct our experimentsThe experimentsresu

7、lts indicate that our method is suitable for a real network environmentBesides，our method ismuch more accurate than the ARMA model methodKey words network security；security situation prediction；security situation element；spatial datamining；spatialtime dimension摘要现有网络安全态势预测方法无法准确反映未来安全态势要素值变化对未来安全态势的

8、影响，且不能很好地处理各安全要素间的相互影响关系对未来网络安全态势的影响，提出了基于时空维度分析的网络安全态势预测方法首先从攻击方、防护方和网络环境3方面提取网络安全态势评估要素，然后在时间维度上预测分析未来各时段内的安全态势要素集，最后在空间维度上分析各安全态势要素集收稿日期：20121卜19；修回日期：20130628基金项目：国家“八六三”高技术研究发展计划基金项目(SQ2013GX02D01211，2011AA01A203)；国家自然科学基金项目(61100226，60970028)北京市自然科学基金项目(4122085)；国家科技支撑计划“十二五”项目IT产品信息安全认证关键技术研究

9、项目(2012BAK26801)万方数据计算机研究与发展2014，51(8)及其相互影响关系对网络安全态势的影响，从而得出网络的安全态势通过对公用数据集网络的测评分析表明，该方法符合实际应用环境，且相比现有方法提高了安全态势感知的准确性关键词 网络安全；安全态势预测；安全态势要素；空间数据发掘；时空维度中图法分类号TP393在日益复杂的网络环境和动态变化的攻防场景下，获取并理解网络中未来的安全状况及其变化趋势，可以为安全管理员的安全操作和决策提供依据和指导，从而提高网络防御的主动性，尽可能地降低网络攻击的危害为了获取并理解未来的网络安全状况及其变化趋势，研究人员最初从脆弱性1。4、安全威胁5。

10、8 3等单个安全要素的预测分析上开展研究，该方面的研究已经比较成熟且已有丰富的研究成果然而后来研究人员意识到安全管理员的安全操作和决策更依赖于网络的整体安全状况，因而安全态势感知(securitysituation awareness，SSA)的概念被引入到网络安全中，用于感知网络中各安全要素的信息，整体反映网络安全状况并对网络未来的安全状况进行预测安全态势感知依据感知对象的不同分为安全态势评估和安全态势预测两类，其中前者的感知对象是当前的安全态势，偏重于研究安全态势评估模型和方法，是安全态势预测的研究基础，本文的研究则是针对未来安全态势感知的安全态势预测研究人员已经提出了多种安全态势预测方法

11、，如基于D-S证据理论的方法9、时间序列分析的方法1“11、基于博弈论的方法1 2。133等上述方法在一定程度上解决了网络安全态势的预测问题，然而仍然存在以下问题：1)仅仅依据网络现在和历史的整体安全态势数据进行分析，忽略未来安全态势要素值的新变化对未来安全态势的影响，而实际上未来安全态势的变化是与未来安全要素值的变化密切相关的，如采取防护措施消除某脆弱性将会使利用该脆弱性的攻击变为不可能，从而改变未来的安全态势；2)缺乏对安全要素相互间影响关系的发掘分析，而节点的安全态势既受自身安全态势要素的影响，又受其周围节点安全态势要素的影响针对上述问题，本文提出了一种基于时空维度分析的网络安全态势预测

12、方法，首先分析并提取网络攻防环境中攻击方、防护方、网络环境3方面多种安全态势要素的信息，然后改进已有的成熟方法并分别对各种安全态势要素信息进行时间维度上的预测分析，进而使用空间数据发掘方法分析安全要素间的相互影响关系以得出网络未来的安全态势，从而提高安全态势的预测能力本文主要做了以下贡献：1)在已有方法的基础上提出了脆弱性和攻击序列的预测算法，该算法能够预测未来各个时段内的脆弱性集和攻击序列集，从而为后续分析未来安全态势要素变化对未来安全态势的影响提供基础；2)提出了基于空间数据发掘理论的安全态势空间维度分析算法，该方法综合分析了安全态势要素间的相互影响关系，以得出未来的网络安全态势值；3)使

13、用公用数据集进行了实验，结果表明，本文提出的网络安全态势预测方法和量化评估算法合理有效，并能提高安全态势预测的准确性1 相关工作Endsley1 41最早给出了态势感知的概念：从空间和时间两个维度感知环境中的要素，综合理解感知信息并预测未来的状态态势感知最初应用于航空、军事和应急服务领域，1999年Bass等人1 5 3提出将态势感知与网络安全技术相结合，从而将态势感知引入网络安全领域依据感知对象在时间分布上的不同，后来的学者分别开展了网络(现在)安全态势评估方法和网络(未来)安全态势预测方法的研究在网络安全态势评估方法方面，当前的思路主要是采用数据融合的方式，将来自于不同设备和渠道的安全信息

14、进行融合处理，从而产生网络的整体安全态势这些方法的不同之处在于：1)所融合信息的主要来源不同，如文献1618的传感器信息、文献10一11，19的IDS日志信息、文献203的Honeynets信息等；2)具体的数据融合方法不同，如文献10的D-S证据理论方法、文献11，19的层次化分析方法、文献18的马尔可夫博弈方法、文献21的简单加权和灰色理论方法等文献22中对包括网络安全态势感知在内的网络态势感知的研究进展进行了详细的阐述并指出了网络态势感知的研究方向上述方法对于本文工作具有借鉴意义万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法 1683网络安全态势预测方法的研究分为两个方向：1)

15、通过单一安全要素预测方法的研究实现安全态势的预测，这部分研究已经比较成熟，但是只能反映网络的部分安全状况；2)整体安全态势预测方法的研究在单一安全要素预测方法的研究中，当前主要是针对脆弱性、安全威胁等的研究脆弱性的预测研究主要是从脆弱性发布数量预测和脆弱性发布周期预测两方面开展的，比较典型的是文献12中提出的AMI。模型，后来的学者从软件多版本L3 o、多周期41等方面对脆弱性预测方法进行了改进安全威胁预测尤其是攻击追踪是当前的一大研究热点，攻击追踪指如何预测攻击者在多步攻击中的下一步攻击动作文献5构建了可变长度马尔可夫模型用以刻画攻击的顺序性，进而预测可能的下一步攻击动作；文献67则分别提出

16、了框架TANDI和SGIF用于攻击的追踪，不同之处在于文献E63的方法更多地借助了概率的方法，而文献7的方法主要使用图的理论；文献8在文献6的基础之上，通过评估攻击者的能力和机会来预测态势感知中的攻击者动作，作者的工作同样用到了可变长度马尔可夫模型在整体安全态势预测方法的研究中，当前主要分为3类：1)以文献8 9为代表的数据融合的方法，提取并融合网络中有关攻击者的信息，进而依据这些信息进行安全态势的预测这种方法侧重从攻击者的角度出发利用现有的安全要素融合来预测网络安全态势，缺乏防护方、网络环境中其他安全态势要素信息的考虑，而实际上网络未来的安全态势受攻击方、防护方和网络环境三方未来安全要素的影

17、响此外，该方法只能预测短期内的安全态势而无法预测未来长期内的态势文献11提出了一种基于信息融合的态势评估方法，作者采用信息融合评估现在态势，而采用时间序列分析方法预测未来的安全态势，所以我们将它归为第2类方法2)以文献1011，18，21为代表的“就数据论数据”的预测方法，该种方法使用网络中历史和现在的整体安全态势数据来预测未来的安全态势，在一定程度上假设安全态势的变化是周期性的、突发性不强的，缺乏对未来安全态势要素变化的考虑，因而不能很好地反映未来安全要素的变化及安全态势要素间的相互影响关系对网络未来安全态势的影响3)以文献1213为代表的基于博弈论的方法，在攻防双方的博弈中预测攻防双方的下

18、一步动作进而分析网络的安全态势这种方法通盘考虑了攻击方、防护方和网络环境3方面的态势要素，然而目前该类方法主要应用在军事行动中，缺乏在网络攻防场景中的成熟应用，一个可能的原因是网络攻防的突发性更强、不可预知性因素更多，从而加剧了该方法建模应用的难度，此外该方法只能预测未来一步或若干步的安全态势，而无法预测未来多个连续时段内的安全态势文献18同样用到了博弈论的方法，然而该文是借助马尔可夫博弈模型评估当前的态势，而使用时间序列分析的方法预测未来的安全态势，因而本文把它归为第2类方法基于已有的研究成果，针对当前方法不能很好地反映未来安全要素值变化对未来网络安全态势影响且忽略安全态势要素间相互影响关系

19、的情形，本文提出了基于时空维度分析的安全态势预测方法，并通过实验验证了本文方法的有效性和准确性2 网络安全态势预测基础网络安全态势受攻击方、防护方、网络环境3方面因素的影响，且任何一方的任一安全要素的变化都会或多或少引起网络安全态势的变化，因而文献18指出态势感知的数据来源要全面和丰富本节将首先介绍预测过程中使用的术语，然后给出简单的评估流程，为后面的网络安全态势预测提供基础21相关术语定义为了方便后面叙述，本节将定义评估过程中的术语定义1资产集P为攻防场景中有价值的资源的集合，资产集分为硬件资产和软件资产，硬件资产根据其承担任务的不同又分为主机设备和网络设备对于资产集中的任何一个资产PP，都

20、用一个四元组(idp，?laD2ep，typep，valuep)表示，其中：dp为资产的唯一标识；naTlle。为资产的名称；typep为资产的类型；value。为资产的重要性程度，可由风险评估的结果得出定义2业务集B为攻防场景中所有业务的集合业务则是攻防场景中按照一定规则、顺序组织起来，具有明确的业务目的，能够为用户提供有价值的输出的行为组合业务反映了网络的具体功能，也一定程度上决定了攻防双方的目的和意图万方数据计算机研究与发展2014，51(8)对于攻防场景中的任何一个业务bB，都用一个四元组(id6，name6，value6，P6)表示，其中i巩为业务的唯一标识；name。为业务的名称；

21、waluee为业务的重要性程度，可以根据业务的服务对象、使用频率、业务的潜在效益、业务受攻击后的恢复能力等信息得出；P。为承担该业务的资产的集合定义3逻辑连通对于攻防场景中的两个节点i和J，如果两者处于同一个网段或两者属于不同网段但可以互相监听到目的地址为对方的数据包，则认为节点i和j逻辑连通逻辑连通意味着到达某一节点i的攻击数据包可以同样到达其逻辑连通的节点需要指出的是在逻辑连通的判断中，不考虑防火墙、IDS等的过滤规则定义4拓扑结构T为攻防场景中用来表示节点信息和节点间连接信息的图结构本文用有向图来表示具体的拓扑结构，表示为二元组(N，E)，其中NP表示节点集，N为资产集中的硬件资产，E为

22、边集，边集是逻辑连通的边关系的集合，即如果两个节点i和J逻辑连通，则eiE定义5攻击动作Aa表示攻击过程中攻击者可以采用的原子步骤，一个攻击动作可以是指定主机的服务扫描、某缓冲区溢出漏洞的成功利用等攻击动作用六元组(s，i咒fo，time，铆，dt，pro)表示，其中st和d分别表示攻击动作的源和目的节点，如果源节点(目的节点)未知或不存在，则用#表示；info表示攻击动作的描述信息；time表示攻击动作的发生时间，如果攻击动作已发生或已被检测出，则该时间为防护日志记录的时间，如果是预测得出的未来攻击动作，则用预测得出的时间表示；训表示攻击动作利用的脆弱性，如果脆弱性未知或不存在，则用#代替；

23、pro为该攻击动作的发生概率，如果该攻击动作已经发生或已被检测出，则pro一1，如果该攻击动作为预测得出的攻击动作，则0户ro1定义6攻击序列As为攻击者的若干个攻击动作组成的攻击过程的描述，攻击序列可以表示成功的攻击，也可以表示未成功的攻击定义7攻击序列集A为攻防场景中攻击序列的集合对于攻防场景中的任何一个攻击序列AsA，都用一个六元组(id。，time。，time。，P。，口。，pro。)表示，其中id。为该攻击序列的唯一标识符；time。表示该攻击序列的起始时间，即该攻击序列起始攻击动作的发生时间；time。为该攻击序列的终止时问，也就是该攻击序列的最后一个攻击动作的发生时间；P。为该攻

24、击序列所涉及的资产的集合，即该攻击序列的攻击动作所涉及的源和目的节点的集合；u。为该攻击序列所利用的脆弱性的集合，即该攻击序列的攻击动作所利用的脆弱性的集合；pro。为攻击序列的发生概率，由该攻击序列所有攻击动作的发生概率相乘得出当前已有利用网络中的安全事件信息产生攻击序列的自动化工具9，如INFERIJ引，ArcSight23等，本文将不研究攻击序列的产生方法，而是直接利用这些工具产生的结果一个由i个攻击动作组成的攻击序列表示为As(id。，time。，time。，P。，训。，pro。)一(Aal，Aa 2，Aa，)定义8脆弱性集V为攻防场景中可被攻击序列利用的缺陷的集合，又称为漏洞集对于攻

25、防场景中的任何一个脆弱性剐V，都用一个七元组(id。，type。，id，pro。，time。，impact。，i咒fo。)表示，其中id。为脆弱性的唯一标识符；type。为脆弱性的类型，且type。m-conf，Pvul)，舫conf表示安全管理配置脆弱性，产u“z表示技术脆弱性；id。为脆弱性所在资产的标识；pro。为该脆弱性可被成功利用的可能性；time。为脆弱性出现的时间，对于当前已存在的脆弱性，该时间为脆弱性被扫描器等发现的时间，对于预测得出的脆弱性，该时间指预测得出的脆弱性发布时间；impact。为脆弱性的影响程度；info。为脆弱性的描述信息定义9防护策略d是指为了提高网络的安全性

26、，防护方运行的访问控制规则和实行的安全配置更改等，所有防护策略共同组成防护策略集D对于攻防场景中的任何一个防护策略dD，都用一个五元组(idd，typed，id。，timed，cnt)表示，其中：id。为防护策略的唯一标识；type。为防护策略的类型，且typedarfule，src)，acLvule表示访问控制规则，src表示安全配置更改；id。为防护策略影响到的资产，如果该防护策略影响到的资产多于一个，则依据资产id。将该防护策略分拆为多条记录，使得每条记录只包含一个资产；time。为该策略的生效时间；cnt为防护策略的描述信息22网络安全态势预测流程本节将简单介绍网络安全态势预测的流程，

27、具体的算法将在第3，4节中详细介绍第1步提取安全态势要素，通过检测并采集万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法实际网络攻防环境中的各种运行数据，然后对数据进行规范化处理，得出安全态势预测所需的安全态势要素集，表示为六元组(P，B，T，A，V，D)，其中P表示资产集，B表示业务集，丁表示拓扑结构，A表示攻击序列集，V表示脆弱性集，D表示防护策略集第2步网络安全态势时间维度预测分析，使用第1步提取的安全态势要素集从时间维度上预测未来时段内的安全态势要素集，为安全态势的预测提供数据基础随着时间的推移，预测分析得出的安全态势要素集会在实际的网络攻防场景中得到验证和应用，可以验证网络安

28、全态势时间维度预测分析的效果，进而提高下一轮次的安全要素提取和时间维度预测分析的目的性和准确性脆弱性和攻击序列的变化比较频繁且两者的变化对于安全管理员是不可控的，本文第3节中详细介绍这2种安全态势要素的时间维度分析算法资产、业务、拓扑结构、防护策略4类安全态势要素一方面其状态变化是安全管理员可控的，安全管理员可以准确或较为准确地获取它们的变化信息；另一方面这4类安全态势要素相对比较稳定、变化周期比较长，即可能短时期内预测分析得出的安全要素集是相同的因而，本文中将由安全管理员主动分析得出上述4类安全态势要素的集合，根据表1中的各种影响因素，结合实际的网络环境和网络功能的变化信息确定资产、业务、拓

29、扑结构和防护策略可能的变化信息，包括变化的发生时间、发生地点(位置)、变化内容等，进而确定未来的安全态势要素集Table 1 Influencing Factors of Security SituationPrediction and Analysis表1 安全态势要素预测分析影响因素The changes of number，position，importanceA58。tsdegree,etcn The changes of number，using frequency，廿USlnessbusiness processetcTopol。gy T?。“8“185。“。688“6。“。i“g

30、reIa【10rD_s，e【cDefens。P0licies T“。：“8“g。i。“，6。8。1。“1需要指出的是，尽管资产、业务、拓扑结构、防护策略4类安全态势要素比较稳定，然而它们的变化将直接决定着未来的网络安全态势，如拓扑结构中某一连通关系的改变，将可能使得以前不可能(可能)的攻击路径变为可能(不可能)，进而影响到网络的整体安全态势，因而从时间维度分析上述4类安全态势要素，以得出未来时段内的安全态势要素集是十分必要的第3步网络安全态势空间维度预测分析，在某一个时段内，利用网络安全态势时间维度预测分析得出的该时段内的安全态势要素集，使用空间数据发掘理论分析安全态势要素之间的相互影响关系以

31、得出该时段内的网络安全态势，具体分析算法将在第4节中详细介绍3 网络安全态势时间维度预测算法网络未来的安全态势是由未来的安全态势要素决定的，而网络中的安全态势要素在时间维度上是动态变化的，安全态势要素的变化又会引起整体安全态势的变化，因而安全态势预测需要从时问维度上分析未来时间段内的安全态势要素第2节中给出了资产、业务、拓扑结构和防护策略的分析方法，本节将详细给出脆弱性和攻击序列2种安全态势要素的时问维度预测分析算法，从而为网络安全态势的预测提供基础31 基于权限分类的脆弱性预测算法脆弱性的发现、发布和利用，将会带来极大的安全风险，甚至会导致独立和大规模的攻击，如蠕虫、僵尸网络等现在脆弱性利用

32、时间越来越短，文献24分析了超过14 000个脆弱性后得出：脆弱性零日利用的数量在急剧增加，脆弱性发布日利用方案数量为70因而，及早地预测网络未来的脆弱性，可以及早采取措施，加强重点资产、业务和脆弱性密集的资产、业务的防护，以赶在脆弱性被发现、利用之前采取措施规避相应的攻击或者增加脆弱性利用的难度，提高主动防护的能力从另一个角度来讲，攻击者在防护方感知脆弱性的存在或者防护方采取防护措施之前，感知并利用脆弱性将会极大地增加攻击成功的可能性，获取更大的攻击效果尽管当前的脆弱性预测方法在脆弱性发布数量和发布时间上的预测已经比较成熟，如文献14中的方法，然而当前方法无法准确预测未来脆弱性的标识信息针对

33、这一问题，利用攻防场景中脆弱性利用过程是一个攻击者权限不断提升或和在不同节点上获取同一权限的过程，本文提出了基于权限分类的脆弱性预测分析方法，从而缩小了预测结果的范围，提高了预测的准确性文献25中依据CIA万方数据计算机研究与发展2014，51(8)(机密性、完整性、可用性)的分级量化描述给出了脆弱性(弱点)多维影响的分级，他们将脆弱性分为Cpphyaccess，Cpaccess，Cpsubuser，Cpuser，Cpsubouser，Cpouser，CPsubroot和Cproot八类，本文将采用他们的分类结果预测未来的脆弱性，具体算法流程如算法1所示算法1基于权限分类的脆弱性预测算法(Pr

34、edictFutureVulnerabilities)输入：历史脆弱性集HVS，现脆弱性集CVS，脆弱性类型VT；输出：未来脆弱性集FVSFor each vulnerability 73 in CVS If口type。=VT(i) VT(i)=VT(i)+1；)Let FTP(i)represent the probability ofthe vulnerability type VT(i)；FTP(i)=FTP(i)FTP(i)+目；Let FvN represent the number of futurevulnerability，FVN=厂(HVS，CVS)；For each vul

35、nerability type vt(j)in VTLet Num(歹)represent the vulnerabilitynumber of vulnerability type vt(j)； Num(j)一FVNFTP(j)； If Num(j)0 Add vt(J)to Fand vt(歹)NumNMm(J)；)Return F粥算法1中，第行使用现有成熟的脆弱性预测方法预测未来脆弱性的数量和发布时间FVND，具体的脆弱性预测方法将依据实际的攻防场景和脆弱性预测方法的新研究进展而定，在算法1中用函数fv()表示；第行统计每一脆弱性类型在历史和现在脆弱性集中出现的概率，概率计算中的0表示

36、安全管理员依据经验给出的概率调整值；第行计算每一种类型的脆弱性出现的次数和出现时间，并根据出现次数与阈值THD的比较结果决定是否将该类型的脆弱性加入未来脆弱性集中，如果需要加入，则同时加入该脆弱性类型的出现次数和发布时间算法1的复杂度为O(行+m)，咒为脆弱性的总体数量，m为脆弱性类型的数量，因为m最大为8，所以该算法的复杂度可以表示为0(以)32基于未来态势要素的攻击序列预测算法以往的攻击序列预测研究5书1侧重于多步攻击中下一步攻击动作的预测，它们未考虑新安全态势要素对未来攻击序列预测的影响而实际的攻击序列预测中需要根据不断得出的安全态势要素来预测未来的攻击序列，如预测得出的时段t内的安全态

37、势要素会直接影响到时段t+1内的攻击序列预测，因此本节提出了基于未来态势要素的攻击序列预测算法算法2基于未来态势要素的攻击序列预测算法(PredictFutureAttackSequence)输入：时段t的攻击序列集ASS()，脆弱性类型VT，时段t的现脆弱性集CVS()；输出：时段+1的攻击序列集ASS(+1)For each sequence AS：()一(Aal()，Aa2()，Aa(f)in ASS()Let F-AS：(+1)represent future attacksequence of As。()； F_AS：(+1)一矗(Asi()，CVS()； If(F_AS。(+1)=

38、AS。() ASS(t+1)+一TSA(AS：()； Else ASS(t+1)+一F-AS。(+1)；Let VT一(VT(1)，VT(2)，VT(8)represent vulnerability type； While(Aa()vEVT(歹)and(3vEVT(歹+1)Let Aa女+l(t)represent a new attackaction of AS，(f)； Aa+1()v=VT(J+1)； If(k2) Aa+1(f)time一2Aa(t)timeAa1(f)time+0l； Else Aa女+1()fi优PA吼()time+02；) F-ASi(+1)=As：()UA。(

39、是+1)； ASS(t+1)+一F-AS。(f+1)；)Let NAs represent attack sequence fromother source；ASS(t+1)+一N-As；Return ASS(t+1)第行使用时段t内的安全态势要素集预测分析时段t+1的攻击序列，此步骤是典型的攻击万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法 1687追踪，本文中将直接使用现有的成熟的方法，如文献Es中方法，算法中用函数()表示第行判断得出的攻击序列：如果攻击序列未发生变化，则采用时间序列分析方法TSA()分析该攻击序列的后续出现时间并把分析的结果加入预测结果中，这是因为在防护方和网

40、络环境要素不变的条件下，已有攻击序列可能在未来时刻重复出现；如果攻击序列发生了改变，则直接把改变后的攻击序列加入预测结果中第行依据31节得出的新脆弱性预测新的攻击序列，这将通过攻击序列已利用的脆弱性的类型和新脆弱性的类型共同判断得出，如式(1)所示：f(Aal(f)，Aa 2(t)，Aa女()，Aal(t)，As(i)一：B墙()， (6)女=1其中，P。()为时刻t节点i所在资产的重要性程度；B：。()为时刻t节点i所承担的第志个业务的重要性程度，h为时刻t节点i所承担的业务的数量第行利用安全攻击影响值、Moran I值和重要性影响值得出时刻t节点i的安全态势值，如式(7)所示：NSSVi(

41、)一(SP。()+J，()VT，() (7)第行加权各节点的安全态势值得出网络的安全态势值算法3的复杂度为O(nm)，其中行为攻击序列的数量，撕为节点的数量万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法5实验与分析本节将通过实验验证本文方法的有效性和适用性网络安全领域的公共数据集，如MIT LincolnLab的DARPA数据集、KDD Cup 99数据集、Defcon数据集等8，由于其攻防场景比较典型，一直受到众多研究人员的认可，因而本文采用和文献11一致的公共数据集：MIT Lincoln Lab 2000年DARPA数据集28进行实验5I实验基本情况介绍 实验采用的眦A数据集包

42、含了网络边界和网络内资产的信息，并给出了由Snort IDS和USTf盯主机IDS处理后的告警信息等本文将从该数据集国721611520mill(Solaris)File Transffr奠j的信息中提取预测方法所需的安全态势要素集首先得出网络中各资产构成的网络拓扑结构如图1所示，该数据集中的业务(互联网业务WEB、文件传输业务FILE TRANSFER、邮件业务MAIL)和承担该业务的主机也在图1中标出，拓扑结构的获取可以借助自动化的拓扑结构发现工具，如objectSNMP；然后提取出网络中的脆弱性集，如表2所示，可利用风险评估的结果，其中技术脆弱性的发现时间由CVE等公共数据库得出，因为无

43、法准确获取该数据集中管理配置脆弱性的发现时间，实验中将用数据集的生成时间代替，此外为了叙述方便，表2中我们用脆弱性所在资产的名称代替资产的标识起始的防护策略集假设为空数据集包含两个类似的攻防场景LLD()S1072 1611210ocke(Solaris)Web，File Transfer7、一目m坻。pascal(Solaris)WebFile Transfer黜at：11 一副Wuu、 m1 二Jeb、JFig1 The network topology of MIT Lincoln Lab datasets图1 MIT Lincoln Lab数据集拓扑结构图Table 2 Informa

44、tion about Vulnerability Set表2脆弱性集信息和LLDOS20，每一个攻击场景又包含5个攻击步骤：IP Sweep，Sadmind Ping，Break Into Hosts，Install DDoS Tools，Launch DDoS Attack我们可以利用INFERD6|，ArcSight汹1等自动化工具分析告警信息得出攻击序列集，攻击序列的示例为As(As。，20000307，20000307，17216115一1一。、，零万方数据计算机研究与发展 2014，51(8)20，L1，2，3j，064)一(Aa(20277162213，icmpecho-reque

45、sts，2000-0307，ICMP Incorrectly Configured，1721611520，10)，Aa(20277162213，Solarissadmind scan，20000307，SunRPC IncorrectlyConfigured，1721611520，08)，Aa(20277162213。Sadmind buffer overflow，20000307，Sadmindbuffer 0verflow，1721611520，08)，Aa(20277162213，sadmind login，20000307，#，1721611520，10)，Aa(20277162213

46、，ddosattack，20000307，#，1721611520，10)该攻击序列包括5个攻击动作，攻击序列起始和结束时间均为20000307，涉及的资产为节点mill，利用的脆弱性为表2中的标识为l，2，3的脆弱性，发生概率为064提取了攻防场景中的安全要素集后，未来安全态势的预测包括两部分内容：使用第3节方法从时间维度进行预测分析和使用第4节方法从空间维度进行预测，接下来将通过实验验证这两部分内容的合理性和适用性52 网络安全态势时间维度预测为了验证本文方法的合理性和有效性，我们把数据集中的两个攻防场景10个攻击步骤分为10个时段，并依据时段15之间的安全态势要素集预测未来时段610之间

47、的安全态势网络安全态势时间维度预测是网络安全态势预测的基础，它为安全态势的预测提供未来时段内的安全态势要素集下面将以节点mill时段6的安全态势要素预测为例阐述具体的过程第1步资产、业务、拓扑结构和防护策略预测由于攻击场景LLDOSl。0和LLDOS20极为相似，且两者的时间间隔较短，所以可以假定上述安全态势要素集均未发生变化，后续实验中会放开此限制第2步基于权限分类的脆弱性预测当前已有相对比较成熟的脆弱性预测方法，我们选用典型的AML模型卜21来预测未来时段脆弱性的数量和发布时间，AML模型认为脆弱性总数y()和时间t的关系如式(8)所示，其中参数A，B，C为常数，需依据经验设定，具体公式如

48、下：1Ry(。)一丽南(8)首先使用式(8)计算得出时段6(200004)新出现脆弱性的个数为067；然后统计每一脆弱性类型在历史和现在脆弱性集中出现概率：本实验中假设概率调整值0取值为0，也就是实验数据不需要依赖安全管理员的经验依据各种类型脆弱性在其他主机上的出现次数设定概率调整值0，类型CPphyaccess已出现在其他主机locke，pascal，hume，robin上，所以其概率调整值为59，相应的类型CPaccess和CProot的概率调整值均为219，因此类型CPphyaccess出现概率为89(截止时段6开始时，节点mill当前和历史脆弱性集包括脆弱性标识为1，2，3的脆弱性各一个，脆弱性类型CPphyaccess占13，