基于时空维度分析的网络安全态势预测方法.pdf
《基于时空维度分析的网络安全态势预测方法.pdf》由会员分享,可在线阅读,更多相关《基于时空维度分析的网络安全态势预测方法.pdf(14页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、计算机研究与发展DOI:107544issnl0001239201420121050Journal of Computer Research and Development 51(8):16811694,2014基于时空维度分析的网络安全态势预测方法刘玉岭123 冯登国 2 连一峰123 陈 一恺3 吴 迪121(中国科学院软件研究所可信计算与信息保障实验室 北京 100190)2(中国科学院大学北京100049)3(信息安全共性技术国家工程研究中心 北京 100190)(ylliutcaiscasaccn)Network Situation Prediction Method Based o
2、n Spatial-Time Dimension AnalysisLiu Yulin91-2,Feng Denggu01,Lian Yifen912,Chen Kai3,and Wu Dil,2(Laboratory of Trusted Computing and Information Assurance,Institute of Software,Chinese Academy of Sciences,Beijing 100190)2(University of Chinese Academy of Sciences,Beijing 100049)3(National Engineeri
3、ng Research Center for Information Security,Beijing 100190)Abstract Network security situation prediction methods can make the security administrator betterunderstand the network security situation and the network situation trendHowever,the existingsecurity situational prediction methods can not pre
4、cisely reflect the variation of network futuresecurity situation caused by security elementschange and do not handle the impact of the interactionrelationship between the various security elements of future network security situationIn view of thissituation,a network situation prediction method base
5、d on spatialtime dimension analysis ispresentedThe proposed method extracts security elements from attacker,defender and networkenvironmentWe predict and analyze these elements from the time dimension in order to provide datafor the situation calculation methodUsing the predicted elements,the impact
6、 value caused byneighbor nodes security situation elements is computed based on spatial data mining theoryIncombination with nodeS degree of importance,the security situation value is obtainedTo evaluateour methods,MIT Lincoln LabS public dataset is used to conduct our experimentsThe experimentsresu
7、lts indicate that our method is suitable for a real network environmentBesides,our method ismuch more accurate than the ARMA model methodKey words network security;security situation prediction;security situation element;spatial datamining;spatialtime dimension摘要现有网络安全态势预测方法无法准确反映未来安全态势要素值变化对未来安全态势的
8、影响,且不能很好地处理各安全要素间的相互影响关系对未来网络安全态势的影响,提出了基于时空维度分析的网络安全态势预测方法首先从攻击方、防护方和网络环境3方面提取网络安全态势评估要素,然后在时间维度上预测分析未来各时段内的安全态势要素集,最后在空间维度上分析各安全态势要素集收稿日期:20121卜19;修回日期:20130628基金项目:国家“八六三”高技术研究发展计划基金项目(SQ2013GX02D01211,2011AA01A203);国家自然科学基金项目(61100226,60970028)北京市自然科学基金项目(4122085);国家科技支撑计划“十二五”项目IT产品信息安全认证关键技术研究
9、项目(2012BAK26801)万方数据计算机研究与发展2014,51(8)及其相互影响关系对网络安全态势的影响,从而得出网络的安全态势通过对公用数据集网络的测评分析表明,该方法符合实际应用环境,且相比现有方法提高了安全态势感知的准确性关键词 网络安全;安全态势预测;安全态势要素;空间数据发掘;时空维度中图法分类号TP393在日益复杂的网络环境和动态变化的攻防场景下,获取并理解网络中未来的安全状况及其变化趋势,可以为安全管理员的安全操作和决策提供依据和指导,从而提高网络防御的主动性,尽可能地降低网络攻击的危害为了获取并理解未来的网络安全状况及其变化趋势,研究人员最初从脆弱性1。4、安全威胁5。
10、8 3等单个安全要素的预测分析上开展研究,该方面的研究已经比较成熟且已有丰富的研究成果然而后来研究人员意识到安全管理员的安全操作和决策更依赖于网络的整体安全状况,因而安全态势感知(securitysituation awareness,SSA)的概念被引入到网络安全中,用于感知网络中各安全要素的信息,整体反映网络安全状况并对网络未来的安全状况进行预测安全态势感知依据感知对象的不同分为安全态势评估和安全态势预测两类,其中前者的感知对象是当前的安全态势,偏重于研究安全态势评估模型和方法,是安全态势预测的研究基础,本文的研究则是针对未来安全态势感知的安全态势预测研究人员已经提出了多种安全态势预测方法
11、,如基于D-S证据理论的方法9、时间序列分析的方法1“11、基于博弈论的方法1 2。133等上述方法在一定程度上解决了网络安全态势的预测问题,然而仍然存在以下问题:1)仅仅依据网络现在和历史的整体安全态势数据进行分析,忽略未来安全态势要素值的新变化对未来安全态势的影响,而实际上未来安全态势的变化是与未来安全要素值的变化密切相关的,如采取防护措施消除某脆弱性将会使利用该脆弱性的攻击变为不可能,从而改变未来的安全态势;2)缺乏对安全要素相互间影响关系的发掘分析,而节点的安全态势既受自身安全态势要素的影响,又受其周围节点安全态势要素的影响针对上述问题,本文提出了一种基于时空维度分析的网络安全态势预测
12、方法,首先分析并提取网络攻防环境中攻击方、防护方、网络环境3方面多种安全态势要素的信息,然后改进已有的成熟方法并分别对各种安全态势要素信息进行时间维度上的预测分析,进而使用空间数据发掘方法分析安全要素间的相互影响关系以得出网络未来的安全态势,从而提高安全态势的预测能力本文主要做了以下贡献:1)在已有方法的基础上提出了脆弱性和攻击序列的预测算法,该算法能够预测未来各个时段内的脆弱性集和攻击序列集,从而为后续分析未来安全态势要素变化对未来安全态势的影响提供基础;2)提出了基于空间数据发掘理论的安全态势空间维度分析算法,该方法综合分析了安全态势要素间的相互影响关系,以得出未来的网络安全态势值;3)使
13、用公用数据集进行了实验,结果表明,本文提出的网络安全态势预测方法和量化评估算法合理有效,并能提高安全态势预测的准确性1 相关工作Endsley1 41最早给出了态势感知的概念:从空间和时间两个维度感知环境中的要素,综合理解感知信息并预测未来的状态态势感知最初应用于航空、军事和应急服务领域,1999年Bass等人1 5 3提出将态势感知与网络安全技术相结合,从而将态势感知引入网络安全领域依据感知对象在时间分布上的不同,后来的学者分别开展了网络(现在)安全态势评估方法和网络(未来)安全态势预测方法的研究在网络安全态势评估方法方面,当前的思路主要是采用数据融合的方式,将来自于不同设备和渠道的安全信息
14、进行融合处理,从而产生网络的整体安全态势这些方法的不同之处在于:1)所融合信息的主要来源不同,如文献1618的传感器信息、文献10一11,19的IDS日志信息、文献203的Honeynets信息等;2)具体的数据融合方法不同,如文献10的D-S证据理论方法、文献11,19的层次化分析方法、文献18的马尔可夫博弈方法、文献21的简单加权和灰色理论方法等文献22中对包括网络安全态势感知在内的网络态势感知的研究进展进行了详细的阐述并指出了网络态势感知的研究方向上述方法对于本文工作具有借鉴意义万方数据刘玉岭等:基于时空维度分析的网络安全态势预测方法 1683网络安全态势预测方法的研究分为两个方向:1)
15、通过单一安全要素预测方法的研究实现安全态势的预测,这部分研究已经比较成熟,但是只能反映网络的部分安全状况;2)整体安全态势预测方法的研究在单一安全要素预测方法的研究中,当前主要是针对脆弱性、安全威胁等的研究脆弱性的预测研究主要是从脆弱性发布数量预测和脆弱性发布周期预测两方面开展的,比较典型的是文献12中提出的AMI。模型,后来的学者从软件多版本L3 o、多周期41等方面对脆弱性预测方法进行了改进安全威胁预测尤其是攻击追踪是当前的一大研究热点,攻击追踪指如何预测攻击者在多步攻击中的下一步攻击动作文献5构建了可变长度马尔可夫模型用以刻画攻击的顺序性,进而预测可能的下一步攻击动作;文献67则分别提出
16、了框架TANDI和SGIF用于攻击的追踪,不同之处在于文献E63的方法更多地借助了概率的方法,而文献7的方法主要使用图的理论;文献8在文献6的基础之上,通过评估攻击者的能力和机会来预测态势感知中的攻击者动作,作者的工作同样用到了可变长度马尔可夫模型在整体安全态势预测方法的研究中,当前主要分为3类:1)以文献8 9为代表的数据融合的方法,提取并融合网络中有关攻击者的信息,进而依据这些信息进行安全态势的预测这种方法侧重从攻击者的角度出发利用现有的安全要素融合来预测网络安全态势,缺乏防护方、网络环境中其他安全态势要素信息的考虑,而实际上网络未来的安全态势受攻击方、防护方和网络环境三方未来安全要素的影
17、响此外,该方法只能预测短期内的安全态势而无法预测未来长期内的态势文献11提出了一种基于信息融合的态势评估方法,作者采用信息融合评估现在态势,而采用时间序列分析方法预测未来的安全态势,所以我们将它归为第2类方法2)以文献1011,18,21为代表的“就数据论数据”的预测方法,该种方法使用网络中历史和现在的整体安全态势数据来预测未来的安全态势,在一定程度上假设安全态势的变化是周期性的、突发性不强的,缺乏对未来安全态势要素变化的考虑,因而不能很好地反映未来安全要素的变化及安全态势要素间的相互影响关系对网络未来安全态势的影响3)以文献1213为代表的基于博弈论的方法,在攻防双方的博弈中预测攻防双方的下
18、一步动作进而分析网络的安全态势这种方法通盘考虑了攻击方、防护方和网络环境3方面的态势要素,然而目前该类方法主要应用在军事行动中,缺乏在网络攻防场景中的成熟应用,一个可能的原因是网络攻防的突发性更强、不可预知性因素更多,从而加剧了该方法建模应用的难度,此外该方法只能预测未来一步或若干步的安全态势,而无法预测未来多个连续时段内的安全态势文献18同样用到了博弈论的方法,然而该文是借助马尔可夫博弈模型评估当前的态势,而使用时间序列分析的方法预测未来的安全态势,因而本文把它归为第2类方法基于已有的研究成果,针对当前方法不能很好地反映未来安全要素值变化对未来网络安全态势影响且忽略安全态势要素间相互影响关系
19、的情形,本文提出了基于时空维度分析的安全态势预测方法,并通过实验验证了本文方法的有效性和准确性2 网络安全态势预测基础网络安全态势受攻击方、防护方、网络环境3方面因素的影响,且任何一方的任一安全要素的变化都会或多或少引起网络安全态势的变化,因而文献18指出态势感知的数据来源要全面和丰富本节将首先介绍预测过程中使用的术语,然后给出简单的评估流程,为后面的网络安全态势预测提供基础21相关术语定义为了方便后面叙述,本节将定义评估过程中的术语定义1资产集P为攻防场景中有价值的资源的集合,资产集分为硬件资产和软件资产,硬件资产根据其承担任务的不同又分为主机设备和网络设备对于资产集中的任何一个资产PP,都
20、用一个四元组(idp,?laD2ep,typep,valuep)表示,其中:dp为资产的唯一标识;naTlle。为资产的名称;typep为资产的类型;value。为资产的重要性程度,可由风险评估的结果得出定义2业务集B为攻防场景中所有业务的集合业务则是攻防场景中按照一定规则、顺序组织起来,具有明确的业务目的,能够为用户提供有价值的输出的行为组合业务反映了网络的具体功能,也一定程度上决定了攻防双方的目的和意图万方数据计算机研究与发展2014,51(8)对于攻防场景中的任何一个业务bB,都用一个四元组(id6,name6,value6,P6)表示,其中i巩为业务的唯一标识;name。为业务的名称;
21、waluee为业务的重要性程度,可以根据业务的服务对象、使用频率、业务的潜在效益、业务受攻击后的恢复能力等信息得出;P。为承担该业务的资产的集合定义3逻辑连通对于攻防场景中的两个节点i和J,如果两者处于同一个网段或两者属于不同网段但可以互相监听到目的地址为对方的数据包,则认为节点i和j逻辑连通逻辑连通意味着到达某一节点i的攻击数据包可以同样到达其逻辑连通的节点需要指出的是在逻辑连通的判断中,不考虑防火墙、IDS等的过滤规则定义4拓扑结构T为攻防场景中用来表示节点信息和节点间连接信息的图结构本文用有向图来表示具体的拓扑结构,表示为二元组(N,E),其中NP表示节点集,N为资产集中的硬件资产,E为
22、边集,边集是逻辑连通的边关系的集合,即如果两个节点i和J逻辑连通,则eiE定义5攻击动作Aa表示攻击过程中攻击者可以采用的原子步骤,一个攻击动作可以是指定主机的服务扫描、某缓冲区溢出漏洞的成功利用等攻击动作用六元组(s,i咒fo,time,铆,dt,pro)表示,其中st和d分别表示攻击动作的源和目的节点,如果源节点(目的节点)未知或不存在,则用#表示;info表示攻击动作的描述信息;time表示攻击动作的发生时间,如果攻击动作已发生或已被检测出,则该时间为防护日志记录的时间,如果是预测得出的未来攻击动作,则用预测得出的时间表示;训表示攻击动作利用的脆弱性,如果脆弱性未知或不存在,则用#代替;
23、pro为该攻击动作的发生概率,如果该攻击动作已经发生或已被检测出,则pro一1,如果该攻击动作为预测得出的攻击动作,则0户ro1定义6攻击序列As为攻击者的若干个攻击动作组成的攻击过程的描述,攻击序列可以表示成功的攻击,也可以表示未成功的攻击定义7攻击序列集A为攻防场景中攻击序列的集合对于攻防场景中的任何一个攻击序列AsA,都用一个六元组(id。,time。,time。,P。,口。,pro。)表示,其中id。为该攻击序列的唯一标识符;time。表示该攻击序列的起始时间,即该攻击序列起始攻击动作的发生时间;time。为该攻击序列的终止时问,也就是该攻击序列的最后一个攻击动作的发生时间;P。为该攻
24、击序列所涉及的资产的集合,即该攻击序列的攻击动作所涉及的源和目的节点的集合;u。为该攻击序列所利用的脆弱性的集合,即该攻击序列的攻击动作所利用的脆弱性的集合;pro。为攻击序列的发生概率,由该攻击序列所有攻击动作的发生概率相乘得出当前已有利用网络中的安全事件信息产生攻击序列的自动化工具9,如INFERIJ引,ArcSight23等,本文将不研究攻击序列的产生方法,而是直接利用这些工具产生的结果一个由i个攻击动作组成的攻击序列表示为As(id。,time。,time。,P。,训。,pro。)一(Aal,Aa 2,Aa,)定义8脆弱性集V为攻防场景中可被攻击序列利用的缺陷的集合,又称为漏洞集对于攻
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 时空 维度 分析 网络安全 态势 预测 方法
限制150内