基于时空维度分析的网络安全态势预测方法.pdf

《基于时空维度分析的网络安全态势预测方法.pdf》由会员分享，可在线阅读，更多相关《基于时空维度分析的网络安全态势预测方法.pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机研究与发展D O I：1 0 7 5 4 4 i s s n l 0 0 0 1 2 3 9 2 0 1 4 2 0 1 2 1 0 5 0J o u r n a lo fC o m p u t e rR e s e a r c ha n dD e v e l o p m e n t5 1(8)：1 6 8 1 1 6 9 4，2 0 1 4基于时空维度分析的网络安全态势预测方法刘玉岭1 2 3冯登国2连一峰1 2 3陈一恺3吴迪1 21(中国科学院软件研究所可信计算与信息保障实验室北京1 0 0 1 9 0)2(中国科学院大学北京1 0 0 0 4 9)3(信息安全共性技术国家工程研究

2、中心北京1 0 0 1 9 0)(y l l i u t c a i s c a s a c c n)N e t w o r kS i t u a t i o nP r e d i c t i o nM e t h o dB a s e do nS p a t i a l-T i m eD i m e n s i o nA n a l y s i sL i uY u l i n 9 1-2，F e n gD e n g g u 0 1，L i a nY i f e n 9 1 2，C h e nK a i 3，a n dW uD i l，2(L a b o r a t o r yo fT r

3、u s t e dC o m p u t i n ga n dI n f o r m a t i o nA s s u r a n c e，I n s t i t u t eo fS o f t w a r e，C h i n e s eA c a d e m yo fS c i e n c e s，B e i j i n g1 0 0 1 9 0)2(U n i v e r s i t yo fC h i n e s eA c a d e m yo fS c i e n c e s，B e i j i n g1 0 0 0 4 9)3(N a t i o n a lE n g i n e e

4、 r i n gR e s e a r c hC e n t e rf o rI n f o r m a t i o nS e c u r i t y，B e i j i n g1 0 0 1 9 0)A b s t r a c tN e t w o r ks e c u r i t ys i t u a t i o np r e d i c t i o nm e t h o d sc a nm a k et h es e c u r i t ya d m i n i s t r a t o rb e t t e ru n d e r s t a n dt h en e t w o r ks

5、e c u r i t ys i t u a t i o na n dt h en e t w o r ks i t u a t i o nt r e n d H o w e v e r，t h ee x i s t i n gs e c u r i t ys i t u a t i o n a lp r e d i c t i o nm e t h o d sc a nn o tp r e c i s e l yr e f l e c tt h ev a r i a t i o no fn e t w o r kf u t u r es e c u r i t ys i t u a t i

6、o nc a u s e db ys e c u r i t ye l e m e n t s c h a n g ea n dd on o th a n d l et h ei m p a c to ft h ei n t e r a c t i o nr e l a t i o n s h i pb e t w e e nt h ev a r i o u ss e c u r i t ye l e m e n t so ff u t u r en e t w o r ks e c u r i t ys i t u a t i o n I nv i e wo ft h i ss i t u

7、a t i o n，an e t w o r ks i t u a t i o np r e d i c t i o nm e t h o db a s e do ns p a t i a l t i m ed i m e n s i o na n a l y s i si sp r e s e n t e d T h ep r o p o s e dm e t h o de x t r a c t ss e c u r i t ye l e m e n t sf r o ma t t a c k e r，d e f e n d e ra n dn e t w o r ke n v i r o

8、 n m e n t W ep r e d i c ta n da n a l y z et h e s ee l e m e n t sf r o mt h et i m ed i m e n s i o ni no r d e rt op r o v i d ed a t af o rt h es i t u a t i o nc a l c u l a t i o nm e t h o d U s i n gt h ep r e d i c t e de l e m e n t s，t h ei m p a c tv a l u ec a u s e db yn e i g h b o

9、rn o d e ss e c u r i t ys i t u a t i o ne l e m e n t si sc o m p u t e db a s e do ns p a t i a ld a t am i n i n gt h e o r y I nc o m b i n a t i o nw i t hn o d e Sd e g r e eo fi m p o r t a n c e，t h es e c u r i t ys i t u a t i o nv a l u ei so b t a i n e d T oe v a l u a t eo u rm e t h

10、o d s，M I TL i n c o l nL a b Sp u b l i cd a t a s e ti su s e dt oc o n d u c to u re x p e r i m e n t s T h ee x p e r i m e n t sr e s u l t si n d i c a t et h a to u rm e t h o di ss u i t a b l ef o rar e a ln e t w o r ke n v i r o n m e n t B e s i d e s，o u rm e t h o di sm u c hm o r ea

11、c c u r a t et h a nt h eA R M Am o d e lm e t h o d K e yw o r d sn e t w o r ks e c u r i t y；s e c u r i t ys i t u a t i o np r e d i c t i o n；s e c u r i t ys i t u a t i o ne l e m e n t；s p a t i a ld a t am i n i n g；s p a t i a l t i m ed i m e n s i o n摘要现有网络安全态势预测方法无法准确反映未来安全态势要素值变化对未来安全

12、态势的影响，且不能很好地处理各安全要素间的相互影响关系对未来网络安全态势的影响，提出了基于时空维度分析的网络安全态势预测方法首先从攻击方、防护方和网络环境3 方面提取网络安全态势评估要素，然后在时间维度上预测分析未来各时段内的安全态势要素集，最后在空间维度上分析各安全态势要素集收稿日期：2 0 1 2 1 卜1 9；修回日期：2 0 1 3 0 6 2 8基金项目：国家“八六三”高技术研究发展计划基金项目(S Q 2 0 1 3 G X 0 2 D 0 1 2 1 1，2 0 1 1 A A 0 1 A 2 0 3)；国家自然科学基金项目(6 1 1 0 0 2 2 6，6 0 9 7 0 0

13、 2 8)北京市自然科学基金项目(4 1 2 2 0 8 5)；国家科技支撑计划“十二五”项目I T 产品信息安全认证关键技术研究项目(2 0 1 2 B A K 2 6 8 0 1)万方数据计算机研究与发展2 0 1 4，5 1(8)及其相互影响关系对网络安全态势的影响，从而得出网络的安全态势通过对公用数据集网络的测评分析表明，该方法符合实际应用环境，且相比现有方法提高了安全态势感知的准确性关键词网络安全；安全态势预测；安全态势要素；空间数据发掘；时空维度中图法分类号T P 3 9 3在日益复杂的网络环境和动态变化的攻防场景下，获取并理解网络中未来的安全状况及其变化趋势，可以为安全管理员的安

14、全操作和决策提供依据和指导，从而提高网络防御的主动性，尽可能地降低网络攻击的危害为了获取并理解未来的网络安全状况及其变化趋势，研究人员最初从脆弱性 1。4 、安全威胁 5。83 等单个安全要素的预测分析上开展研究，该方面的研究已经比较成熟且已有丰富的研究成果然而后来研究人员意识到安全管理员的安全操作和决策更依赖于网络的整体安全状况，因而安全态势感知(s e c u r i t ys i t u a t i o na w a r e n e s s，S S A)的概念被引入到网络安全中，用于感知网络中各安全要素的信息，整体反映网络安全状况并对网络未来的安全状况进行预测安全态势感知依据感知对象的不

15、同分为安全态势评估和安全态势预测两类，其中前者的感知对象是当前的安全态势，偏重于研究安全态势评估模型和方法，是安全态势预测的研究基础，本文的研究则是针对未来安全态势感知的安全态势预测研究人员已经提出了多种安全态势预测方法，如基于D-S证据理论的方法 9 、时间序列分析的方法 1“1 1 、基于博弈论的方法 12。1 3 3 等上述方法在一定程度上解决了网络安全态势的预测问题，然而仍然存在以下问题：1)仅仅依据网络现在和历史的整体安全态势数据进行分析，忽略未来安全态势要素值的新变化对未来安全态势的影响，而实际上未来安全态势的变化是与未来安全要素值的变化密切相关的，如采取防护措施消除某脆弱性将会使

16、利用该脆弱性的攻击变为不可能，从而改变未来的安全态势；2)缺乏对安全要素相互间影响关系的发掘分析，而节点的安全态势既受自身安全态势要素的影响，又受其周围节点安全态势要素的影响针对上述问题，本文提出了一种基于时空维度分析的网络安全态势预测方法，首先分析并提取网络攻防环境中攻击方、防护方、网络环境3 方面多种安全态势要素的信息，然后改进已有的成熟方法并分别对各种安全态势要素信息进行时间维度上的预测分析，进而使用空间数据发掘方法分析安全要素间的相互影响关系以得出网络未来的安全态势，从而提高安全态势的预测能力本文主要做了以下贡献：1)在已有方法的基础上提出了脆弱性和攻击序列的预测算法，该算法能够预测未

17、来各个时段内的脆弱性集和攻击序列集，从而为后续分析未来安全态势要素变化对未来安全态势的影响提供基础；2)提出了基于空间数据发掘理论的安全态势空间维度分析算法，该方法综合分析了安全态势要素间的相互影响关系，以得出未来的网络安全态势值；3)使用公用数据集进行了实验，结果表明，本文提出的网络安全态势预测方法和量化评估算法合理有效，并能提高安全态势预测的准确性1相关工作E n d s l e y 14 1 最早给出了态势感知的概念：从空间和时间两个维度感知环境中的要素，综合理解感知信息并预测未来的状态态势感知最初应用于航空、军事和应急服务领域，1 9 9 9 年B a s s 等人 153 提出将态势

18、感知与网络安全技术相结合，从而将态势感知引入网络安全领域依据感知对象在时间分布上的不同，后来的学者分别开展了网络(现在)安全态势评估方法和网络(未来)安全态势预测方法的研究在网络安全态势评估方法方面，当前的思路主要是采用数据融合的方式，将来自于不同设备和渠道的安全信息进行融合处理，从而产生网络的整体安全态势这些方法的不同之处在于：1)所融合信息的主要来源不同，如文献 1 6 1 8 的传感器信息、文献 1 0 一1 1，1 9 的I D S 日志信息、文献 2 0 3 的H o n e y n e t s 信息等；2)具体的数据融合方法不同，如文献 1 0 的D-S 证据理论方法、文献 1 1

19、，1 9 的层次化分析方法、文献 1 8 的马尔可夫博弈方法、文献 2 1 的简单加权和灰色理论方法等文献 2 2 中对包括网络安全态势感知在内的网络态势感知的研究进展进行了详细的阐述并指出了网络态势感知的研究方向上述方法对于本文工作具有借鉴意义万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法1 6 8 3网络安全态势预测方法的研究分为两个方向：1)通过单一安全要素预测方法的研究实现安全态势的预测，这部分研究已经比较成熟，但是只能反映网络的部分安全状况；2)整体安全态势预测方法的研究在单一安全要素预测方法的研究中，当前主要是针对脆弱性、安全威胁等的研究脆弱性的预测研究主要是从脆弱性发布

20、数量预测和脆弱性发布周期预测两方面开展的，比较典型的是文献 1 2 中提出的A M I。模型，后来的学者从软件多版本L 3o、多周期 4 1 等方面对脆弱性预测方法进行了改进安全威胁预测尤其是攻击追踪是当前的一大研究热点，攻击追踪指如何预测攻击者在多步攻击中的下一步攻击动作文献 5 构建了可变长度马尔可夫模型用以刻画攻击的顺序性，进而预测可能的下一步攻击动作；文献 6 7 则分别提出了框架T A N D I 和S G I F用于攻击的追踪，不同之处在于文献E 6 3 的方法更多地借助了概率的方法，而文献 7 的方法主要使用图的理论；文献 8 在文献 6 的基础之上，通过评估攻击者的能力和机会来

21、预测态势感知中的攻击者动作，作者的工作同样用到了可变长度马尔可夫模型在整体安全态势预测方法的研究中，当前主要分为3 类：1)以文献 89 为代表的数据融合的方法，提取并融合网络中有关攻击者的信息，进而依据这些信息进行安全态势的预测这种方法侧重从攻击者的角度出发利用现有的安全要素融合来预测网络安全态势，缺乏防护方、网络环境中其他安全态势要素信息的考虑，而实际上网络未来的安全态势受攻击方、防护方和网络环境三方未来安全要素的影响此外，该方法只能预测短期内的安全态势而无法预测未来长期内的态势文献 1 1 提出了一种基于信息融合的态势评估方法，作者采用信息融合评估现在态势，而采用时间序列分析方法预测未来

22、的安全态势，所以我们将它归为第2 类方法2)以文献 1 0 1 1，1 8，2 1 为代表的“就数据论数据”的预测方法，该种方法使用网络中历史和现在的整体安全态势数据来预测未来的安全态势，在一定程度上假设安全态势的变化是周期性的、突发性不强的，缺乏对未来安全态势要素变化的考虑，因而不能很好地反映未来安全要素的变化及安全态势要素间的相互影响关系对网络未来安全态势的影响3)以文献 1 2 1 3 为代表的基于博弈论的方法，在攻防双方的博弈中预测攻防双方的下一步动作进而分析网络的安全态势这种方法通盘考虑了攻击方、防护方和网络环境3 方面的态势要素，然而目前该类方法主要应用在军事行动中，缺乏在网络攻防

23、场景中的成熟应用，一个可能的原因是网络攻防的突发性更强、不可预知性因素更多，从而加剧了该方法建模应用的难度，此外该方法只能预测未来一步或若干步的安全态势，而无法预测未来多个连续时段内的安全态势文献 1 8 同样用到了博弈论的方法，然而该文是借助马尔可夫博弈模型评估当前的态势，而使用时间序列分析的方法预测未来的安全态势，因而本文把它归为第2 类方法基于已有的研究成果，针对当前方法不能很好地反映未来安全要素值变化对未来网络安全态势影响且忽略安全态势要素间相互影响关系的情形，本文提出了基于时空维度分析的安全态势预测方法，并通过实验验证了本文方法的有效性和准确性2网络安全态势预测基础网络安全态势受攻击

24、方、防护方、网络环境3 方面因素的影响，且任何一方的任一安全要素的变化都会或多或少引起网络安全态势的变化，因而文献 1 8 指出态势感知的数据来源要全面和丰富本节将首先介绍预测过程中使用的术语，然后给出简单的评估流程，为后面的网络安全态势预测提供基础2 1 相关术语定义为了方便后面叙述，本节将定义评估过程中的术语定义1 资产集P 为攻防场景中有价值的资源的集合，资产集分为硬件资产和软件资产，硬件资产根据其承担任务的不同又分为主机设备和网络设备对于资产集中的任何一个资产P P，都用一个四元组(i d p，?l a D 2 e p，t y p e p，v a l u e p)表示，其中：d p为资

25、产的唯一标识；n a T l l e。为资产的名称；t y p e p 为资产的类型；v a l u e。为资产的重要性程度，可由风险评估的结果得出定义2 业务集B 为攻防场景中所有业务的集合业务则是攻防场景中按照一定规则、顺序组织起来，具有明确的业务目的，能够为用户提供有价值的输出的行为组合业务反映了网络的具体功能，也一定程度上决定了攻防双方的目的和意图万方数据计算机研究与发展2 0 1 4，5 1(8)对于攻防场景中的任何一个业务b B，都用一个四元组(i d 6，n a m e 6，v a l u e 6，P 6)表示，其中i 巩为业务的唯一标识；n a m e。为业务的名称；w a l

26、 u e e 为业务的重要性程度，可以根据业务的服务对象、使用频率、业务的潜在效益、业务受攻击后的恢复能力等信息得出；P。为承担该业务的资产的集合定义3 逻辑连通对于攻防场景中的两个节点i 和J，如果两者处于同一个网段或两者属于不同网段但可以互相监听到目的地址为对方的数据包，则认为节点i 和j 逻辑连通逻辑连通意味着到达某一节点i 的攻击数据包可以同样到达其逻辑连通的节点需要指出的是在逻辑连通的判断中，不考虑防火墙、I D S 等的过滤规则定义4 拓扑结构T 为攻防场景中用来表示节点信息和节点间连接信息的图结构本文用有向图来表示具体的拓扑结构，表示为二元组(N，E)，其中N P 表示节点集，N

27、 为资产集中的硬件资产，E 为边集，边集是逻辑连通的边关系的集合，即如果两个节点i 和J 逻辑连通，则e i E 定义5 攻击动作A a 表示攻击过程中攻击者可以采用的原子步骤，一个攻击动作可以是指定主机的服务扫描、某缓冲区溢出漏洞的成功利用等攻击动作用六元组(s，i 咒f o，t i m e，铆，d t，p r o)表示，其中s t 和d 分别表示攻击动作的源和目的节点，如果源节点(目的节点)未知或不存在，则用#表示；i n f o 表示攻击动作的描述信息；t i m e 表示攻击动作的发生时间，如果攻击动作已发生或已被检测出，则该时间为防护日志记录的时间，如果是预测得出的未来攻击动作，则用

28、预测得出的时间表示；训表示攻击动作利用的脆弱性，如果脆弱性未知或不存在，则用#代替；p r o 为该攻击动作的发生概率，如果该攻击动作已经发生或已被检测出，则p r o 一1，如果该攻击动作为预测得出的攻击动作，则0 户r o 1 定义6 攻击序列A s 为攻击者的若干个攻击动作组成的攻击过程的描述，攻击序列可以表示成功的攻击，也可以表示未成功的攻击定义7 攻击序列集A 为攻防场景中攻击序列的集合对于攻防场景中的任何一个攻击序列A s A，都用一个六元组(i d。，t i m e。，t i m e。，P。，口。，p r o。)表示，其中i d。为该攻击序列的唯一标识符；t i m e。表示该攻

29、击序列的起始时间，即该攻击序列起始攻击动作的发生时间；t i m e。为该攻击序列的终止时问，也就是该攻击序列的最后一个攻击动作的发生时间；P。为该攻击序列所涉及的资产的集合，即该攻击序列的攻击动作所涉及的源和目的节点的集合；u。为该攻击序列所利用的脆弱性的集合，即该攻击序列的攻击动作所利用的脆弱性的集合；p r o。为攻击序列的发生概率，由该攻击序列所有攻击动作的发生概率相乘得出当前已有利用网络中的安全事件信息产生攻击序列的自动化工具 9 ，如I N F E R I J 引，A r c S i g h t 2 3 等，本文将不研究攻击序列的产生方法，而是直接利用这些工具产生的结果一个由i 个

30、攻击动作组成的攻击序列表示为A s(i d。，t i m e。，t i m e。，P。，训。，p r o。)一(A a l，A a2，A a，)定义8 脆弱性集V 为攻防场景中可被攻击序列利用的缺陷的集合，又称为漏洞集对于攻防场景中的任何一个脆弱性剐V，都用一个七元组(i d。，t y p e。，i d ，p r o。，t i m e。，i m p a c t。，i 咒f o。)表示，其中i d。为脆弱性的唯一标识符；t y p e。为脆弱性的类型，且t y p e。m-c o n f，P v u l)，舫c o n f 表示安全管理配置脆弱性，产u“z 表示技术脆弱性；i d。为脆弱性所在资

31、产的标识；p r o。为该脆弱性可被成功利用的可能性；t i m e。为脆弱性出现的时间，对于当前已存在的脆弱性，该时间为脆弱性被扫描器等发现的时间，对于预测得出的脆弱性，该时间指预测得出的脆弱性发布时间；i m p a c t。为脆弱性的影响程度；i n f o。为脆弱性的描述信息定义9 防护策略d 是指为了提高网络的安全性，防护方运行的访问控制规则和实行的安全配置更改等，所有防护策略共同组成防护策略集D 对于攻防场景中的任何一个防护策略d D，都用一个五元组(i d d，t y p e d，i d。，t i m e d，c n t)表示，其中：i d。为防护策略的唯一标识；t y p e。

32、为防护策略的类型，且t y p e d a r f u l e，s r c)，a c L v u l e 表示访问控制规则，s r c 表示安全配置更改；i d。为防护策略影响到的资产，如果该防护策略影响到的资产多于一个，则依据资产i d。将该防护策略分拆为多条记录，使得每条记录只包含一个资产；t i m e。为该策略的生效时间；c n t 为防护策略的描述信息2 2 网络安全态势预测流程本节将简单介绍网络安全态势预测的流程，具体的算法将在第3，4 节中详细介绍第1 步提取安全态势要素，通过检测并采集万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法实际网络攻防环境中的各种运行数据，然后

33、对数据进行规范化处理，得出安全态势预测所需的安全态势要素集，表示为六元组(P，B，T，A，V，D)，其中P 表示资产集，B 表示业务集，丁表示拓扑结构，A 表示攻击序列集，V 表示脆弱性集，D 表示防护策略集第2 步网络安全态势时间维度预测分析，使用第1 步提取的安全态势要素集从时间维度上预测未来时段内的安全态势要素集，为安全态势的预测提供数据基础随着时间的推移，预测分析得出的安全态势要素集会在实际的网络攻防场景中得到验证和应用，可以验证网络安全态势时间维度预测分析的效果，进而提高下一轮次的安全要素提取和时间维度预测分析的目的性和准确性脆弱性和攻击序列的变化比较频繁且两者的变化对于安全管理员是

34、不可控的，本文第3 节中详细介绍这2 种安全态势要素的时间维度分析算法资产、业务、拓扑结构、防护策略4 类安全态势要素一方面其状态变化是安全管理员可控的，安全管理员可以准确或较为准确地获取它们的变化信息；另一方面这4 类安全态势要素相对比较稳定、变化周期比较长，即可能短时期内预测分析得出的安全要素集是相同的因而，本文中将由安全管理员主动分析得出上述4 类安全态势要素的集合，根据表1 中的各种影响因素，结合实际的网络环境和网络功能的变化信息确定资产、业务、拓扑结构和防护策略可能的变化信息，包括变化的发生时间、发生地点(位置)、变化内容等，进而确定未来的安全态势要素集T a b l e1I n f

35、 l u e n c i n gF a c t o r so fS e c u r i t yS i t u a t i o nP r e d i c t i o na n dA n a l y s i s表1安全态势要素预测分析影响因素Thec h a n g e so fn u m b e r，p o s i t i o n，i m p o r t a n c eA 5 8。t sd e g r e e,e t cnT h ec h a n g e so fn u m b e r，u s i n gf r e q u e n c y，廿U S l n e s sb u s i n e s

36、sp r o c e s s e t cT o p o l。g yT?。“8“1 8 5。“。6 8 8“6。“。i“gr e I a【1 0 r D _ s，e【cD e f e n s。P 0 l i c i e sT“。：“8“g。i。“，6。8。1。“1 需要指出的是，尽管资产、业务、拓扑结构、防护策略4 类安全态势要素比较稳定，然而它们的变化将直接决定着未来的网络安全态势，如拓扑结构中某一连通关系的改变，将可能使得以前不可能(可能)的攻击路径变为可能(不可能)，进而影响到网络的整体安全态势，因而从时间维度分析上述4 类安全态势要素，以得出未来时段内的安全态势要素集是十分必要的第3 步

37、网络安全态势空间维度预测分析，在某一个时段内，利用网络安全态势时间维度预测分析得出的该时段内的安全态势要素集，使用空间数据发掘理论分析安全态势要素之间的相互影响关系以得出该时段内的网络安全态势，具体分析算法将在第4 节中详细介绍3网络安全态势时间维度预测算法网络未来的安全态势是由未来的安全态势要素决定的，而网络中的安全态势要素在时间维度上是动态变化的，安全态势要素的变化又会引起整体安全态势的变化，因而安全态势预测需要从时问维度上分析未来时间段内的安全态势要素第2 节中给出了资产、业务、拓扑结构和防护策略的分析方法，本节将详细给出脆弱性和攻击序列2 种安全态势要素的时问维度预测分析算法，从而为网

38、络安全态势的预测提供基础3 1基于权限分类的脆弱性预测算法脆弱性的发现、发布和利用，将会带来极大的安全风险，甚至会导致独立和大规模的攻击，如蠕虫、僵尸网络等现在脆弱性利用时间越来越短，文献 2 4 分析了超过1 40 0 0 个脆弱性后得出：脆弱性零日利用的数量在急剧增加，脆弱性发布日利用方案数量为7 0 因而，及早地预测网络未来的脆弱性，可以及早采取措施，加强重点资产、业务和脆弱性密集的资产、业务的防护，以赶在脆弱性被发现、利用之前采取措施规避相应的攻击或者增加脆弱性利用的难度，提高主动防护的能力从另一个角度来讲，攻击者在防护方感知脆弱性的存在或者防护方采取防护措施之前，感知并利用脆弱性将会

39、极大地增加攻击成功的可能性，获取更大的攻击效果尽管当前的脆弱性预测方法在脆弱性发布数量和发布时间上的预测已经比较成熟，如文献 1 4 中的方法，然而当前方法无法准确预测未来脆弱性的标识信息针对这一问题，利用攻防场景中脆弱性利用过程是一个攻击者权限不断提升或和在不同节点上获取同一权限的过程，本文提出了基于权限分类的脆弱性预测分析方法，从而缩小了预测结果的范围，提高了预测的准确性文献 2 5 中依据C I A万方数据计算机研究与发展2 0 1 4，5 1(8)(机密性、完整性、可用性)的分级量化描述给出了脆弱性(弱点)多维影响的分级，他们将脆弱性分为C p p h y a c c e s s，C

40、p a c c e s s，C p s u b u s e r，C p u s e r，C p s u b o u s e r，C p o u s e r，C P s u b r o o t 和C p r o o t 八类，本文将采用他们的分类结果预测未来的脆弱性，具体算法流程如算法1 所示算法1 基于权限分类的脆弱性预测算法(P r e d i c t F u t u r e V u l n e r a b i l i t i e s)输入：历史脆弱性集H V S，现脆弱性集C V S，脆弱性类型V T；输出：未来脆弱性集F V S F o re a c hv u l n e r a b i

41、 l i t y7 3i nC V S I f 口t y p e。=V T(i)V T(i)=V T(i)+1；)L e tF T P(i)r e p r e s e n tt h ep r o b a b i l i t yo ft h ev u l n e r a b i l i t yt y p eV T(i)；F T P(i)=F T P(i)F T P(i)+目；L e tF v Nr e p r e s e n tt h en u m b e ro ff u t u r ev u l n e r a b i l i t y，F V N=厂(H V S，C V S)；F o re a

42、 c hv u l n e r a b i l i t yt y p ev t(j)i nV T L e tN u m(歹)r e p r e s e n tt h ev u l n e r a b i l i t yn u m b e ro fv u l n e r a b i l i t yt y p ev t(j)；N u m(j)一F V N F T P(j)；I fN u m(j)0 A d dv t(J)t oF a n dv t(歹)N u m N M m(J)；)R e t u r nF 粥算法1 中，第行使用现有成熟的脆弱性预测方法预测未来脆弱性的数量和发布时间F V N D

43、，具体的脆弱性预测方法将依据实际的攻防场景和脆弱性预测方法的新研究进展而定，在算法1 中用函数f v()表示；第行统计每一脆弱性类型在历史和现在脆弱性集中出现的概率，概率计算中的0 表示安全管理员依据经验给出的概率调整值；第行计算每一种类型的脆弱性出现的次数和出现时间，并根据出现次数与阈值T H D 的比较结果决定是否将该类型的脆弱性加入未来脆弱性集中，如果需要加入，则同时加入该脆弱性类型的出现次数和发布时间算法1 的复杂度为O(行+m)，咒为脆弱性的总体数量，m 为脆弱性类型的数量，因为m 最大为8，所以该算法的复杂度可以表示为0(以)3 2 基于未来态势要素的攻击序列预测算法以往的攻击序列

44、预测研究 5 书1 侧重于多步攻击中下一步攻击动作的预测，它们未考虑新安全态势要素对未来攻击序列预测的影响而实际的攻击序列预测中需要根据不断得出的安全态势要素来预测未来的攻击序列，如预测得出的时段t 内的安全态势要素会直接影响到时段t+1 内的攻击序列预测，因此本节提出了基于未来态势要素的攻击序列预测算法算法2 基于未来态势要素的攻击序列预测算法(P r e d i c t F u t u r e A t t a c k S e q u e n c e)输入：时段t 的攻击序列集A S S()，脆弱性类型V T，时段t 的现脆弱性集C V S()；输出：时段+1 的攻击序列集A S S(+1)

45、F o re a c hs e q u e n c eA S：()一(A a l()，A a 2()，A a (f)i nA S S()L e tF-A S：(+1)r e p r e s e n tf u t u r ea t t a c ks e q u e n c eo fA s。()；F _ A S：(+1)一矗(A s i()，C V S()；I f(F _ A S。(+1)=A S。()A S S(t+1)+一T S A(A S：()；E l s eA S S(t+1)+一F-A S。(+1)；L e tV T 一(V T(1)，V T(2)，V T(8)r e p r e s e

46、 n tv u l n e r a b i l i t yt y p e；W h i l e(A a ()v E V T(歹)a n d(3 v EV T(歹+1)L e tA a 女+l(t)r e p r e s e n tan e wa t t a c ka c t i o no fA S，(f)；A a +1()v=V T(J+1)；I f(k 2)A a +1(f)t i m e 一2 A a (t)t i m e A a 1(f)t i m e+0 l；E l s eA a 女+1()f i 优P A 吼()t i m e+0 2；)F-A S i(+1)=A s：()U A。(是

47、+1)；A S S(t+1)+一F-A S。(f+1)；)L e tN A sr e p r e s e n ta t t a c ks e q u e n c ef r o mo t h e rs o u r c e；A S S(t+1)+一N-A s；R e t u r nA S S(t+1)第行使用时段t 内的安全态势要素集预测分析时段t+1 的攻击序列，此步骤是典型的攻击万方数据刘玉岭等：基于时空维度分析的网络安全态势预测方法1 6 8 7追踪，本文中将直接使用现有的成熟的方法，如文献E s 中方法，算法中用函数()表示第行判断得出的攻击序列：如果攻击序列未发生变化，则采用时间序列分析

48、方法T S A()分析该攻击序列的后续出现时间并把分析的结果加入预测结果中，这是因为在防护方和网络环境要素不变的条件下，已有攻击序列可能在未来时刻重复出现；如果攻击序列发生了改变，则直接把改变后的攻击序列加入预测结果中第行依据3 1 节得出的新脆弱性预测新的攻击序列，这将通过攻击序列已利用的脆弱性的类型和新脆弱性的类型共同判断得出，如式(1)所示：f(A a l(f)，A a2(t)，A a 女()，A a l(t)，A s(i)一A n 女(f)口V T(J)u V T(J+1)；l(A n，()，A n 2()，A 口女(f)，e l s e(1)式(1)表明，如果存在比当前攻击序列的最后

49、一个攻击动作所利用的脆弱性权限更高的脆弱性，则把新攻击动作加入攻击序列中，否则攻击序列不变新攻击动作的脆弱性用权限高一级的脆弱性类型代替，新攻击动作的发生时间则由式(2)得出，A a(志+1)1 i m e f A a(k)t i m e+O l，k 一1；气【2 A a(走)i m P A n(忌一1)i m e+口2，e l s e(2)式(2)中，如果已知攻击序列的攻击动作数量为1，则在前一个攻击动作的发生时间上加上一个随机变量口。，否则在前一个攻击动作发生时间的基础上加上前面两个攻击动作的时间差和一个随机变量0。，随机变量0。和0。由随机数生成器得出，以体现攻击动作发生的随机性第行针对

50、某些攻击在理论上存在但是由于种种原因却从未发生的情形，如网络运行时间过短导致安全事件匮乏，进而不能提取出足量的攻击序列，本文将从具有类似网络结构或业务的网络中提取攻击序列集，并把提取的结果加入到未来攻击序列集中迭代使用上述4 个步骤，可以不断根据时段t内的安全态势要素得出时段t+1 内的攻击序列集，从而为安全态势的预测提供数据基础算法2 的复杂度为0(咒)，行为时段t 内攻击序列集中攻击序列的数量。4 网络安全态势空间维度预测算法空间数据发掘理论是研究实体的拓扑结构、几何形状和地理位置等空间特性的方法和理论，最初用于地理信息系统、医学图像处理、交通控制、环境研究等领域，后来因为网络数据具有的空