网络攻击源的行为特点与评估模型构建,计算机信息安全论文.docx

《网络攻击源的行为特点与评估模型构建,计算机信息安全论文.docx》由会员分享，可在线阅读，更多相关《网络攻击源的行为特点与评估模型构建,计算机信息安全论文.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络攻击源的行为特点与评估模型构建,计算机信息安全论文分析评估网络攻击源行为特点以及攻击能力有助于加强网络安全防护措施的有效性和针对性 传统安全监测防护通常以企业网为边界，仅能捕获攻击源针对该企业网发起的局部攻击行为，难以对攻击源行为进行有效分析 当下，骨干网安全监测条件日渐成熟，一方面显着扩大了网络监测范围，为攻击源威胁行为分析提供了视窗基础，另一方面报警信息海量化使得响应负担过载，迫切需要构建攻击源威胁行为评估机制，以辨别重点威胁源并进行优先应对 现有的安全评估方式方法主要包括信息安全的风险评估1-3和网络攻击效果评估4-5两部分，华而不实信息安全的风险评估主要用于从风险的角度评估威胁可能

2、对资产造成的损失; 网络攻击效果的评估主要用于评估一个攻击方案或一次详细的攻击行为造成的安全效果 这些评估方式方法受限与传统的企业网安全监测环境，侧重于信息系统的安全性评测，无法反映攻击源威胁能力的差异性基于此，本文在分析网络攻击源的行为特点的基础上，层次分析法构建了一个威胁行为动态评估模型，基于真实监测数据的实验分析表示清楚，相比拟传统的报警数量排名，本模型给出的攻击源威胁评估更具合理性 2 评估体系 2 1 评估指标的提取 构建网络攻击源威胁行为的综合评估模型，首先要选择适宜的评估指标 当前，这方面的研究还比拟少，主要有: 汪生6等使用 6 大类 10 个方面提出了 59 个指标，但这些指

3、标主要是针对单个攻击模型和联合使用多个攻击模型的攻击效果描绘叙述; 胡影7等利用攻击库挖掘的技术挖掘得到 5 类 122个原子功能，但这些指标无法从骨干网监测平台上提取; 赵博夫8等提出了13 个指标，指标主要反映了攻击者施行的网络攻击的目的为毁坏目的网络的安全指标( 使其失效或降低) ，但指标中大量实际监测环境中不可测的指标总体来讲，这些评估指标无法知足网络攻击源威胁的评估，主要存在下面几点原因: 1) 指标的提取不够完备，不能从对攻击源的所有攻击行为出发，进行大视角的整体能力的评估，不具有全面性2) 部分指标7，8需要从目的网络中提取，这在当下的监控条件下是无法获得的，不具有可行性3) 部

4、分指标8过于抽象，不易量化操作，不具有可测性和便利性在当下的网络监控条件下，网络攻击源组织探测只能以网络攻击源的报警信息和触发的规则信息为挖掘对象，华而不实报警信息直接包含的信息包括: 报警时间、源地址、目的地址、源端口、目的端口、源 MAC、目的 MAC、报文长度、报警网卡名称、原始报文、插件特征编号; 规则信息直接包含的信息包括: 协议类型、危害等级、操作系统类型、目的端口对象、目的地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目的地址对象、规则名称、服务类型 结合攻击源威胁行为的特点，我们从网络攻击源的攻击活泼踊跃性，攻击毁坏力和攻击目的性出发，挖掘出

5、下面评估指标: 攻击时间的分布，攻击时间的持续性，攻击的频度，把握攻击手段的数量，攻击的连贯性，偏好使用的攻击威胁，触发报警的种类以及目的地址的等级分布 2 2 评估体系的构建 层次分析法9( Analytic Hierarchy Process，AHP) 是一种定性与定量分析相结合的多目的决策分析方式方法，适用于评价因素难以量化且构造复杂的评价问题 本文将 AHP 方式方法引用到网络攻击源威胁行为的评估中，根据 目的 准则 指标 的层次构造，经过逐步细化，构建了一个层次化的评估体系华而不实 目的 层为网络攻击源威胁行为的威胁值 准则 层由攻击源的活泼踊跃性、攻击源的毁坏性、攻击源的目的性组成

6、 指标 层根据不同的 准则 分为三组，不同的评估指标从属于不同的评估准则，最终，网络攻击源威胁行为的评估体系如此图 1 所示【1】 3 指标的计算 3 1 时间分布的计算 时间分布指标旨在判别攻击是攻击源操纵者主动发出的，还是由所感染的木马病毒定期发送的 采用概率统计的方式方法，将攻击源发出的所有攻击根据 24 个时间段( 一天 24 小时每个小时一个时间段) 分组，根据网络攻击源的时间分布信息计算时间分布的方差，然后与预设的方差阈值进行比拟，时间分布方差与阈值的比拟表示出式如下，【2】 华而不实，timeDis 表示最终时间分布的计算结果，timeVar 表示求出的网络攻击源时间分布的方差，

7、timeThresh 表示设定的时间分布的方差阈值，该值由屡次试验验证获得 假如大于、等于阈值则以为该攻击源发出的攻击是攻击源操纵者主动发出的，取值为 1 反之，则以为是其所感染的木马病毒定期发送的，取值为 0 据屡次试验获得 timeThresh 为 41365 3 2 时间持续性的量化计算 时间持续性指标用来衡量攻击源的攻击时间跨度，攻击源较平均时间跨度越大，讲明该攻击源在该监控环境中的威胁活动时间越长，根据式( 2) 计算【3】 华而不实，X 为从检测到攻击源第一次发起攻击到最后一次检测到该攻击源的攻击所持续的时间 Xavg_td为所有攻击源的平均攻击持续时间，Xmax_td为所有攻击源

8、中的攻击时间最大值 timeDura 为时间持续性的最终量化结果 3 3 攻击频度的量化计算 攻击频度旨在反映该攻击源发出的攻击频率在所有攻击源中所处的水平 首先按式( 3) 计算出该攻击源的攻击频度，再由式( 4) 量化得到攻击频度结果【4】 华而不实，ad 表示该攻击源按式( 3 3) 计算出的攻击密度，to-talAttackNum 表示监测到该攻击源发出攻击的总次数，attack-Dura 表示该攻击源持续攻击的天数，缺乏一天按一天计算 Xad表示该攻击源的攻击密度计算结果，Xavg_ad表示所有攻击源的平均评估攻击密度，Xmax_ad表示所有攻击源中攻击密度的最大值 attackFr

9、eq 表示攻击源的攻击频度的最终量化结果 3 4 把握攻击手段数量的量化计算 把握攻击手段的数量旨在反映攻击源能发起攻击手段数量在所有攻击源总所处的水平 根据式( 5) 计算【5】 华而不实，X 表示该攻击源所把握的攻击手段数量，Xavg_am表示平均每个攻击源所把握的攻击手段数量，Xmax_am表示所有攻击源中所把握的攻击手段数量最大值，attackMea 表示攻击手段数量指标最终量化结果 3 5 攻击连贯性的量化计算 攻击的连贯性旨在反映攻击源发起连贯攻击的能力 首先，将攻击源的所有攻击报文按不同的源目地址分成 n 组会话 Session1，Session2，Session3， ，Sess

10、ionn 再以会话为单位，将报文按发送时间进行排序，并依次根据该报文触发的报警类型，将其归属到扫描探测、获取权限、拒绝服务攻击、控制会话、隐藏踪迹( 留下后门) 和其他类型这六类中的一类将每个 Session 根据下页图 2 所示的攻击流程进行状态变迁，华而不实每个状态的状态值根据屡次实验结果比照观察后人为设定 详细变迁方式方法如下，从初始状态开场，此时状态值S 为 0，初次检测到扫描探测类报警后，将状态置到扫描探测上，并将状态值 S 置为 0 1，向后遍历该 Session 的报警类型，若碰到获取权限类则将状态置为获取权限，并将状态值 S 置为 0 4，继续向后遍历，并进行状态的变迁，当状态

11、变迁到隐藏踪迹( 留下后门) 时结束该 Session 的遍历，并将状态值 S 置为 1 0; 若初始状态后碰到的为拒绝服务类，则将拒绝服务攻击的次数加 1，此时状态仍为初始状态，继续向后遍历该 Ses-sion，碰到拒绝服务类就将拒绝服务攻击的次数加 1，但不改变当下的状态及状态值，当拒绝服务的次数到达指定的阈值( 此时状态值置为 1) 或者状态变迁到隐藏踪迹( 留下后门)时结束该 Session 的遍历，否则，需遍历完好个 Session 最终的状态值做为该 Session 的攻击连续性量化值【6】 3 6 偏好使用的攻击威胁的计算 指标偏好使用的攻击威胁用来反映攻击源发起的所有攻击中高、

12、中、低、其他( 指无法给出详细判定结果) 的四种危害所占的比例 将高、中、低和其他四种危害情况分别赋值为 3、2、1、2 按式( 7) 采用加权平均计算【7】 华而不实，i 表示攻击四种危害情况的赋值，i表示危害赋值为 i 的攻击所占总攻击的比重，attackDan 表示偏好使用攻击威胁的最终计算结果 3 7 触发报警种类的量化计算 触发报警的种类用来反映攻击源发起的所有攻击所能触发报警事件种类的多少 攻击源所能触发的报警事件种类越多，表示清楚攻击源的攻击形式越多样 按式( 8) 量化触发报警的种类【8】 华而不实，X 表示该攻击源所触发的报警的种类，Xavg_ak表示攻击源平均所触发的报警种

13、类，Xmax_ak表示所有攻击源中所触发报警种类最多的数量，attackKind 表示触发报警的种类指标最终量化结果 3 8 目的地址等级分布的计算 为了反映网络攻击源攻击的目的不同带来的威胁不同，需要将目的地址根据其机构类型分为了网络服务性质、军事性质、性质、教育性质、公司企业性质、非盈利及其它性质六类 采用相邻指标比拟法与 Delphi 法相结合的方式方法来获取各个机构类型的权重，为了方便专家评分使用了相邻指标比拟法调查表，如表 1 所示【9】 在表 1 中，专家只需填写相对重要性 gi的评分结果，表中的权重 w i通过式( 9) 计算得到，归一化权重 Wi通过式( 10) 计算得到【10

14、】 依次获得攻击源的所有目的地址等级后，统计各个等级的目的地址所占的比例，攻击目的的等级分布结果由式( 11)获得，【11】 华而不实，i =1，2， ，6，分别对应 6 类性质的机构，Wi为机构性质 i 对应的归一化权重值，ai表示机构性质 i 的数量占的比例，dipDis 表示攻击目的等级分布的最终计算结果 最终确定各个类型的机构权重为: 非盈利及其他 = 0 042，公司企业 =0 106，网络服务 = 0 318，教育 = 0 095，军事 = 0 258， =0 181 4 权重确实定 4 1 评估指标权重确实定 指标权重确实定方式方法能够分为主观赋权值法和客观赋权值法两类: 主观赋

15、权法主要依靠专家或评估者的知识和经历体验来确定指标的权重，需要专家长期积累经历体验和知识才能做出合理的判定; 客观赋权法主要是利用样本数据本身的特征信息来确定各指标的权重本文使用客观赋权法中的变异系数法来分别确定评估指标的权重，可带来如下好处: 1) 充分考虑了指标的样本数据本身的特点，突出了各指标的相对变化幅度，进而使评估结果的区分能力更强2) 消除了主观赋权法中的人为干涉，更利于评估的结果的客观、合理、可信对于一组数据，变异系数定义为其标准差与均值绝对值的比值，记作，【12】 对于一组给定的评估指标 X1，X2，X3， ，Xm假设有 n 个样本数据，根据式( 12) 能够得到各个指标的变异

16、系数，分别记作 V1，V2，V3， ，Vm 于是各个指标的权重能够定义为:【13】 网络攻击源威胁评估的指标层权重确定，主要针对攻击源的活泼踊跃性和攻击的威胁力两个分组的 7 个指标进行，从整个监测环境中提取 n 实验样本，将样本中的各个指标根据式( 12) 计算得到 Va，然后将的 7 个指标按式( 13) 得出在各自分组中的权重 4 2 评估准则权重确实定 对于攻击源的活泼踊跃性、攻击的威胁力、目的地址的等级分布 3 个评估准则的权重系数，将使用判定矩阵法来确定，采用9 级分制标度法来构造一个如式( 14) 的两两判定矩阵 D【14】 华而不实，dij表示专家对评估准则 Xi相对 Xj的重

17、要程度给出 的 比 值 在 得 到 n 个 专 家 给 出 的 判 断 矩 阵D( 1)， D( 2)， ，D( n )后，首先需要采用几何平均法对这n 个专家的意见进行综合，按式( 15) 得到综合判定矩阵 D，综合判定矩阵 D 仍为正逆对称阵【15】 华而不实，CI = max 32，I 是矩阵的平均随机一致性指标，查表得 3 阶判定矩阵一致性 I 等于 0 52 若 C =0 1 时，则以为综合判定矩阵 D 具有较好的一致性，此时特征向量 的元素 w1，w2 ，w3就是评估准则的层的最终权重系数 否则，需要专家对判定矩阵调整，再根据上述步骤进行重新计算 5 综合评估 为完成网络攻击源威胁

18、行为的综合评估，首先从最底层( 指标层) 入手，获得每个评估指标的值与其权重，然后由 指标 层到 准则 层，根据准则的分类将 指标 层的评估结果根据式( 17) 加权平均综合到一起，以确定每个评估准则的评估结果 最后，从 准则 层到 目的 层，继续使用式( 17) 加权平均获得最终的评估目的【16】 6 实验分析 为了验证上述方式方法的有效性，在真实的网络环境中进行了网络攻击源威胁评估实验，利用部署 IDS 入侵检测系统的某学校千兆骨干网做为实验平台，取华而不实连续的 1，412，000多条警报信息作为实验数据 这些警报事件包含 109 种报警事件，来自 13，074 个源 IP 地址，发向1

19、0，728 个目的 IP 地址将所有攻击源按报警个数排序，取出前 100 名做为实验的威胁评估对象，按上述评估方式方法进行评估后，将实验结果按报警数量排序后得到图 3 所示【17】 将攻击源对应的威胁值进行排序，为了反映传统的报警数量排序与评估结果排序的差异性，将传统的报警数量的排序位置与评估值的排序位置做差，得到排序位置的偏移情况如此图 4 所示【18】 从图 4 中选取报警数量排序相邻且对应的排序偏移之差大于 40 的 3 组攻击源进行分析得到表 2( 见上页) 实验的结果的比照分析表示清楚，与传统的直接根据报警数量排序相比，评估获得的威胁值能更有效的反响攻击源在其监控环境下的威胁能力 7 结束语 网络攻击源威胁行为的评估是网络空间中安全评估的重要组成部分，本文建立了一个基于 目的 准则 指标 三层评估体系的网络攻击源威胁行为评估模型，将实时监控环境的状态作为动态参数介入评估确保了评估的动态性 本文解决了在大视窗的监控环境中动态评估网络攻击源威胁行为的问题，实验结果证明该评估方式方法是有效的 下一步将研究多个源 IP 地址以组织的形式做为一个攻击源的威胁评估方式方法