基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測方法

吳建臺，喬翌峰，朱賽凡，劉光杰

(1.南京理工大學(xué)自動(dòng)化學(xué)院，南京 210094；2.南京信息技術(shù)研究院，南京 210036)

0　引言

網(wǎng)絡(luò)安全態(tài)勢感知是網(wǎng)絡(luò)空間安全技術(shù)研究的熱點(diǎn)問題之一[1]。態(tài)勢評估和預(yù)測是態(tài)勢感知的重要一環(huán)，近年來已取得了很多有價(jià)值的成果。在態(tài)勢評估方面，陳秀真等[2]以IDS報(bào)警和網(wǎng)絡(luò)性能指標(biāo)為信息源，綜合考慮了多種因素提出了層次化網(wǎng)絡(luò)安全態(tài)勢量化評估模型及其計(jì)算方法；章麗娟等[3]構(gòu)建了一套能較全面反映網(wǎng)絡(luò)空間安全各要素的指標(biāo)體系，利用模糊層次分析法確定各指標(biāo)權(quán)重，通過加權(quán)得到當(dāng)前態(tài)勢值。以上評估方法屬于傳統(tǒng)利用專家知識進(jìn)行子評估集成的類別。董博等[4]依據(jù)報(bào)警數(shù)據(jù)的分類結(jié)果來構(gòu)造網(wǎng)絡(luò)狀態(tài)，將Bayes網(wǎng)絡(luò)應(yīng)用到態(tài)勢評估問題中；張勇等[5]等利用威脅傳播網(wǎng)絡(luò)構(gòu)建由威脅、管理員和普通用戶構(gòu)建的3方參與的博弈模型。面向網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全態(tài)勢評估是安全態(tài)勢評估分析的另一種方式。?rnes等[6]分析了入侵檢測系統(tǒng)的報(bào)警信息得到網(wǎng)絡(luò)報(bào)警信息與網(wǎng)絡(luò)安全態(tài)勢轉(zhuǎn)換概率，并提出了基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估的方法。后續(xù)大量研究對該模型進(jìn)行改進(jìn)，如Haslum等[7]利用安全狀態(tài)的持續(xù)時(shí)間來確定狀態(tài)轉(zhuǎn)移矩陣；方研等[8]運(yùn)用HMM從攻擊威脅與自身風(fēng)險(xiǎn)出發(fā)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的評估，但其自身風(fēng)險(xiǎn)僅考慮了靜態(tài)數(shù)據(jù)的加權(quán)且觀測向量的確定較為簡單，尚不能準(zhǔn)確反映網(wǎng)絡(luò)攻防過程中的細(xì)節(jié)；席榮榮等[9]基于警報(bào)統(tǒng)計(jì)特性提出警報(bào)質(zhì)量的概念，嘗試改善數(shù)據(jù)源的有效性和可用性問題；李偉明等[10]對入侵檢測系統(tǒng)的報(bào)警進(jìn)行了威脅評估，并以報(bào)警的威脅值作為HMM的輸入，進(jìn)一步改善了HMM在狀態(tài)觀測環(huán)節(jié)的數(shù)據(jù)質(zhì)量。這些改進(jìn)方法將攻擊看作獨(dú)立事件，因此不能反應(yīng)攻擊之間的因果關(guān)系，會出現(xiàn)當(dāng)系統(tǒng)未收到報(bào)警時(shí)安全態(tài)勢不合理下降的情況。當(dāng)前多步攻擊識別方法主要以整體網(wǎng)絡(luò)為研究對象，如王澤芳等[11]將無候選序列的最大序列模式引入到多步攻擊場景構(gòu)建，通過識別網(wǎng)絡(luò)攻擊場景把握網(wǎng)絡(luò)整體安全狀態(tài)。該方法卻缺乏對單個(gè)網(wǎng)絡(luò)實(shí)體攻擊階段識別，無法得到準(zhǔn)確單個(gè)網(wǎng)絡(luò)實(shí)體的安全態(tài)勢。

態(tài)勢預(yù)測通常根據(jù)歷史態(tài)勢組成的時(shí)間序列采用不同的模型進(jìn)行未來值推測。比較常見的預(yù)測模型有灰色預(yù)測模型、ARMA模型、人工神經(jīng)網(wǎng)絡(luò)模型和支持向量機(jī)模型等。韋勇等[12]提出了一種基于GM(1,1)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法，該算法對于數(shù)據(jù)的要求較高，若累加曲線變化劇烈，會使得模型產(chǎn)生較大回歸誤差。吳瑩輝等[13]提出了一種基于ARMA模型的態(tài)勢預(yù)測方法。任偉等[14]基于徑向基神經(jīng)網(wǎng)絡(luò)，將歷史數(shù)據(jù)中選取部分樣本值作為神經(jīng)網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)，利用訓(xùn)練好的模型來預(yù)測未來的網(wǎng)絡(luò)安全態(tài)勢。綜合來說，基于機(jī)器學(xué)習(xí)的預(yù)測模型雖能較好適應(yīng)歷史數(shù)據(jù)的模式，但也存在一些問題，如訓(xùn)練模型對不確定網(wǎng)絡(luò)攻擊態(tài)勢失配導(dǎo)致的局部預(yù)測惡化，以及單一模型預(yù)測精度起伏不一導(dǎo)致的全局態(tài)勢不準(zhǔn)等。

針對當(dāng)前HMM態(tài)勢評估方法在采集數(shù)據(jù)源不豐富、入侵檢測系統(tǒng)存在大量重復(fù)報(bào)警和誤報(bào)、孤立報(bào)警信息難以體現(xiàn)攻擊步驟因果性等不足，本文提出基于關(guān)聯(lián)分析的態(tài)勢要素融合方法。結(jié)合資產(chǎn)的脆弱性信息和攻擊告警，識別網(wǎng)絡(luò)實(shí)體遭受攻擊所處的階段，將其所處階段對應(yīng)的威脅值作為觀測變量，可通過HMM模型估計(jì)其安全態(tài)勢。此外，本文將神經(jīng)網(wǎng)絡(luò)預(yù)測和支持向量機(jī)預(yù)測進(jìn)行了基于最優(yōu)線性組合的融合，實(shí)現(xiàn)了總體上更為準(zhǔn)確的態(tài)勢預(yù)測。

1　基于HMM的態(tài)勢評估和預(yù)測模型

1.1　模型描述

Endsley[15]從模型上將網(wǎng)絡(luò)安全態(tài)勢感知分解為察覺、理解及投射3個(gè)階段，為網(wǎng)絡(luò)安全態(tài)勢感知建立了一種基本架構(gòu)。在此基礎(chǔ)上，本文給出如圖1所示的基于HMM的網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測模型。

網(wǎng)絡(luò)安全態(tài)勢感知涉及的覺察、理解和投射3個(gè)環(huán)節(jié)，在上述模型中分別對應(yīng)態(tài)勢要素采集、態(tài)勢理解和態(tài)勢預(yù)測，是一個(gè)將基本的關(guān)于網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢方面的靜動(dòng)態(tài)信息進(jìn)行加工以生成網(wǎng)絡(luò)管理員可以理解和進(jìn)行決策信息的過程。其中，態(tài)勢理解環(huán)節(jié)通過關(guān)聯(lián)分析可從因果上實(shí)現(xiàn)對靜態(tài)的漏洞信息和動(dòng)態(tài)的告警信息的融合，通過基于攻擊階段的攻擊場景識別可在邏輯上實(shí)現(xiàn)對不同告警信息的融合；態(tài)勢評估和預(yù)測環(huán)節(jié)通過HMM將攻擊場景對應(yīng)的安全風(fēng)險(xiǎn)等級投射到安全態(tài)勢的估計(jì)，通過安全態(tài)勢時(shí)間序列的多模型組合估計(jì)可實(shí)現(xiàn)對未來態(tài)勢發(fā)展的預(yù)測。

1.2　網(wǎng)絡(luò)安全態(tài)勢評估HMM

本文將網(wǎng)絡(luò)實(shí)體狀態(tài)分為4類，s1表示網(wǎng)絡(luò)實(shí)體狀態(tài)完好，系統(tǒng)不存在安全威脅；s2表示網(wǎng)絡(luò)實(shí)體狀態(tài)尚可，雖然存在漏洞但未發(fā)現(xiàn)針對漏洞的攻擊行為；s3表示網(wǎng)絡(luò)實(shí)體安全狀態(tài)較差，存在漏洞且發(fā)現(xiàn)對漏洞的攻擊行為，但沒有發(fā)現(xiàn)后滲透后的攻擊行為；s4表示網(wǎng)絡(luò)實(shí)體安全狀態(tài)很差，漏洞已被利用，且存在后滲透攻擊行為，系統(tǒng)中的資產(chǎn)面臨嚴(yán)重威脅。

本文選擇攻擊場景威脅指數(shù)對應(yīng)的威脅等級作為觀測值，這種狀態(tài)定義形式可以使得判定為同一攻擊場景的網(wǎng)絡(luò)威脅不會出現(xiàn)因?yàn)槟扯螘r(shí)間未檢測到告警信息而態(tài)勢表達(dá)失效。

1.3　相關(guān)定義

考慮包含多個(gè)網(wǎng)絡(luò)實(shí)體組成的系統(tǒng)，該系統(tǒng)可以是一般的辦公自動(dòng)化網(wǎng)絡(luò)、工業(yè)控制網(wǎng)絡(luò)或指揮控制網(wǎng)絡(luò)等。網(wǎng)絡(luò)實(shí)體及其屬性可以通過定義1來描述，本文假設(shè)系統(tǒng)的管理員了解系統(tǒng)內(nèi)每個(gè)實(shí)體的漏洞情況。

定義1：網(wǎng)絡(luò)實(shí)體h用三元組(IP,oPorts,Vuls)進(jìn)行描述。其中，IP為網(wǎng)絡(luò)實(shí)體的IP地址，oPorts為網(wǎng)絡(luò)實(shí)體開放的端口集合，對應(yīng)著網(wǎng)絡(luò)實(shí)體h上開放的服務(wù)，Vuls為網(wǎng)絡(luò)實(shí)體漏洞或配置不當(dāng)列表，域中的網(wǎng)絡(luò)實(shí)體h組成的集合記為H。

定義1中的Vuls即脆弱性由定義2描述。

定義2：脆弱性v用三元組(ID, Info, T)進(jìn)行描述。其中，ID為脆弱性標(biāo)識，Info為脆弱性描述信息, T為漏洞被發(fā)現(xiàn)或者批露的時(shí)間。

網(wǎng)絡(luò)威脅檢測裝置可以檢測到進(jìn)入網(wǎng)絡(luò)的威脅流量并以告警信息的形式記錄和展示，告警信息可由定義3來描述。

定義 3：告警信息a用七元組(ID, T, sIP, dIP, sPort, dPort, type)進(jìn)行描述。其中，ID為告警a的系統(tǒng)編號，T為a的告警時(shí)間，sIP、 dIP、 sPort和dPort為告警a相關(guān)的實(shí)施攻擊和被攻擊網(wǎng)絡(luò)實(shí)體的IP地址和端口，type為告警的類型。

網(wǎng)絡(luò)攻擊通常都是多步的，因此一個(gè)網(wǎng)絡(luò)實(shí)體在遭受攻擊的過程中，一定處于某一特定的階段。本文定義了攻擊場景來描述實(shí)體遭受攻擊的狀態(tài)信息，具體如定義4所示。

定義4：攻擊場景s可以用(ID, sTime, eTime, IP, State, R)進(jìn)行描述。其中，ID為攻擊場景編號，sTime為該場景開始時(shí)間，eTime為最后一次更新該場景的時(shí)間，IP為攻擊場景針對的網(wǎng)絡(luò)實(shí)體集H中網(wǎng)絡(luò)實(shí)體的IP，State為該攻擊場景當(dāng)前所達(dá)到的攻擊階段，R為判定為該狀態(tài)的可信度。

2　告警聚合與攻擊關(guān)聯(lián)

2.1　面向信息資產(chǎn)的告警聚合

網(wǎng)絡(luò)入侵檢測系統(tǒng)通常根據(jù)規(guī)則對數(shù)據(jù)包或者數(shù)據(jù)流進(jìn)行告警，這些告警信息通常分散且龐雜，屬于初級態(tài)勢要素，需要進(jìn)行后續(xù)的加工才能用于感知。

本文先將告警信息按其涉及的IP地址進(jìn)行聚合。對任意告警信息a，若其對應(yīng)的sIPa和dIPa均不包含網(wǎng)絡(luò)實(shí)體集合H中的IP，則將其過濾，只保留資產(chǎn)相關(guān)告警信息。由于同一個(gè)安全事件導(dǎo)致的告警時(shí)間間隔一般很小，因此為同一類的告警設(shè)置時(shí)間窗，當(dāng)新的告警時(shí)間戳與該類告警結(jié)束時(shí)間差超過時(shí)間窗，則將該告警歸為新的一類(本文將時(shí)間窗設(shè)置為1min)。告警信息的聚合采用經(jīng)驗(yàn)聚合法，即根據(jù)告警聚合的原則范式將相關(guān)的多條告警聚合成為攻擊事件。

2.2　基于攻擊模式的告警關(guān)聯(lián)

以圖2所示的典型攻擊模式為例說明利用攻擊模式進(jìn)行態(tài)勢理解的方法，該攻擊模式描述的攻擊鏈包含探測、掃描、獲取權(quán)限和達(dá)到目的4個(gè)典型的環(huán)節(jié)。

多步攻擊在時(shí)間上具有先后順序，若新的綜合告警的開始時(shí)間大于關(guān)聯(lián)告警的結(jié)束時(shí)間，則判斷不是同一攻擊場景；若時(shí)間上滿足先后順序，則對新的綜合告警與當(dāng)前所有攻擊場景中的最后一個(gè)綜合告警進(jìn)行關(guān)聯(lián)。此外，設(shè)置攻擊場景超時(shí)時(shí)間，當(dāng)新的綜合報(bào)警開始時(shí)間與攻擊場景的結(jié)束時(shí)間差超過該時(shí)間，則認(rèn)為攻擊者入侵失敗，將該攻擊場景刪除，一般攻擊的周期大概為2h[16]。設(shè)X和Y為兩個(gè)經(jīng)過聚合的攻擊事件信息，采用式(1)對攻擊事件X和Y進(jìn)行關(guān)聯(lián)[16]：

(1)

其中，X和Y為告警信息聚合后的事件信息，F(xiàn)k(X,Y)和αk分別為事件X和Y的屬性k的關(guān)聯(lián)度及其權(quán)重。本文抽取源IP地址、目的IP地址、源端口號、目的端口號這4個(gè)屬性，作為確定攻擊關(guān)聯(lián)度的依據(jù)，具體參數(shù)可參考文獻(xiàn)[17]。

攻擊的關(guān)聯(lián)分析過程如下：

1)新的報(bào)警到來后進(jìn)行報(bào)警聚合，聚合過程中產(chǎn)生許多綜合報(bào)警，若新的綜合報(bào)警與其所屬的綜合報(bào)警時(shí)間差超過60s時(shí)，將該綜合報(bào)警送到關(guān)聯(lián)模塊進(jìn)行關(guān)聯(lián)度的計(jì)算，否則根據(jù)該新的報(bào)警更新綜合報(bào)警信息，如綜合報(bào)警的結(jié)束時(shí)間等。

2)每隔1min會將綜合報(bào)警送到關(guān)聯(lián)模塊進(jìn)行關(guān)聯(lián)，送到關(guān)聯(lián)模塊的綜合報(bào)警需要判斷該報(bào)警所對應(yīng)的攻擊是否滿足攻擊成功條件，條件為其所依賴的端口和漏洞是否存在于已經(jīng)保存的網(wǎng)絡(luò)實(shí)體的漏洞列表中，如不存在則認(rèn)為攻擊失敗，直接丟棄；對于滿足條件的計(jì)算其與各個(gè)綜合報(bào)警的關(guān)聯(lián)度，若與最大關(guān)聯(lián)度的綜合報(bào)警滿足時(shí)序關(guān)系，則更新該攻擊場景，否則建立新的攻擊場景。

3　基于HMM的態(tài)勢評估與預(yù)測方法

3.1　攻擊場景威脅指數(shù)

通常即使被攻擊網(wǎng)絡(luò)實(shí)體中存在攻擊所依賴漏洞，攻擊也不一定成功，攻擊成功的概率與攻擊者利用該漏洞的能力及熟練度有關(guān)。隨著漏洞公布的時(shí)間推移，攻擊者對該漏洞的利用越熟練，攻擊成功率越高，文獻(xiàn)[18]指出漏洞的利用成功率與時(shí)間符合Pareto分布，因此本文利用式(2)計(jì)算單步攻擊成功概率。

(2)

其中，t為漏洞公開的時(shí)間，單位為d，α=0.26,k=0.00161。

多步攻擊成功概率由該多步攻擊所依賴的所有單步攻擊成功概率決定，只有當(dāng)所有單步攻擊都成功，才能到達(dá)該階段，因此多步攻擊成功概率利用式(3)計(jì)算。

Pi=∏pj,1≤j≤i

(3)

其中，pj為實(shí)現(xiàn)攻擊所處第j個(gè)階段的多步攻擊所需的單步攻擊的攻擊成功概率，Pi為攻擊到達(dá)第i階段的概率。攻擊場景對應(yīng)攻擊階段越深入，多步攻擊成功概率越高，則攻擊場景對網(wǎng)絡(luò)實(shí)體的威脅值越大。本文利用多步攻擊成功率P和攻擊所處階段權(quán)重W量化每一個(gè)攻擊場景的威脅指數(shù)Th，具體為：

(4)

其中，Pi為多步攻擊成功概率，攻擊所處階段權(quán)重定義為Wi=i/ΣNi，N為攻擊場景的攻擊階段數(shù)，本文研究的攻擊模式如圖2所示，因此N=4。

若一臺網(wǎng)絡(luò)實(shí)體同時(shí)存在多個(gè)攻擊場景，則選威脅指數(shù)最大的作為場景威脅指數(shù)。為了將觀測矩陣規(guī)模控制在較小范圍，本文將[0,1]平均劃分出4個(gè)范圍，分別為等級0、等級1、等級2和等級3。

3.2　態(tài)勢量化

根據(jù)每個(gè)采樣周期獲得的觀測值與隱Markov參數(shù)可實(shí)時(shí)獲取網(wǎng)絡(luò)實(shí)體t時(shí)刻狀態(tài)si的概率Pt(i)，具體如式(5)所示。

(5)

其中，前向概率β(i)=P(O1,O2,…，Ot,qt=si|λ)表示在模型λ下，t時(shí)刻網(wǎng)絡(luò)實(shí)體狀態(tài)為si，且觀測序列為O1,O2，…，Ot的概率，由式(6)給出。

(6)

結(jié)合威脅代價(jià)向量C，根據(jù)式(7)可得網(wǎng)絡(luò)實(shí)體安全態(tài)勢值[6]：

(7)

3.3　態(tài)勢預(yù)測

本文采取基于模型訓(xùn)練的態(tài)勢預(yù)測方法，設(shè)一個(gè)訓(xùn)練樣本由ρ+1個(gè)態(tài)勢值組成，其中前ρ個(gè)樣本為輸入，第ρ+1個(gè)為預(yù)期輸出，將前N個(gè)樣本作為訓(xùn)練樣本，將序列{Xi+1,Xi+2,…,Xi+ρ}作為預(yù)測序列，Xi+ρ+1作為輸出(i=1,2,…,N)。

最優(yōu)線性組合[19]是用來確定合適的單一預(yù)測模型權(quán)值的方法，設(shè)同一個(gè)預(yù)測對象值存在K種預(yù)測方法，其中第k種預(yù)測方法的預(yù)測值為xk(k=1,2,…,K)，則稱ek,t=xk,t-xt為第k種預(yù)測方法在t樣本上的預(yù)測誤差。線性組合預(yù)測模型表示為：

xt′=α1x1,t+α2x2,t+…+αKxK,t

(8)

其中，xt′為組合預(yù)測最終值，x1,t,x2,t,…,xK,t為K個(gè)獨(dú)立模型的預(yù)測值，α1,α2,…,αK為加權(quán)系數(shù)，且滿足：

α1+α2+…+αK=1,αi≥0

(9)

以誤差平方和最小準(zhǔn)則構(gòu)造目標(biāo)函數(shù)，設(shè)組合預(yù)測在第t時(shí)刻的多個(gè)預(yù)測期模型的誤差為et=xt-xt′，以預(yù)測誤差平方和優(yōu)化目標(biāo)，則最佳線性組合模型為：

(10)

(11)

式(11)也可以表示成矩陣形式：

minJ=αTEαs.t.LTα=1,α≥0

(12)

通過解此優(yōu)化問題即可得最優(yōu)的非負(fù)組合預(yù)測權(quán)系數(shù)，實(shí)現(xiàn)模型組合預(yù)測。采用回歸分析進(jìn)行態(tài)勢預(yù)測有很多種方法，比較常用的是BP神經(jīng)網(wǎng)絡(luò)和支持向量回歸機(jī)SVR。這兩種回歸方法各有優(yōu)勢，本文通過最優(yōu)線性組合將這兩種預(yù)測方法進(jìn)行融合，以得到更為準(zhǔn)確的結(jié)果。

4　實(shí)驗(yàn)結(jié)果及分析

4.1　實(shí)驗(yàn)數(shù)據(jù)集介紹

本實(shí)驗(yàn)采用麻省理工學(xué)院林肯實(shí)驗(yàn)室(MIT Lincoln Laboratory)提供的DARPA2000的LLDoS1.0數(shù)據(jù)集，此數(shù)據(jù)集提供一個(gè)完整的DDoS攻擊場景網(wǎng)絡(luò)流量，整個(gè)攻擊分為5個(gè)攻擊階段。

階段1：攻擊者(202.77.162.213)通過對172.16.112.0/24、172.16.113.0/24、 172.16.114.0/24和172.16.115.0/24這4個(gè)網(wǎng)段進(jìn)行掃描，搜尋活躍主機(jī)。

階段2：針對存活的主機(jī)進(jìn)行Sadmind掃描，查詢主機(jī)是否運(yùn)行Sadmind服務(wù)。

階段3：利用運(yùn)行Sadmind服務(wù)主機(jī)中的Sadmind Buffer Overflow漏洞最終獲取172.16.112.20、172.16.112.10、172.16.115.50這3臺Solaris主機(jī)的root權(quán)限。

階段4：通過RSH服務(wù)在這3臺主機(jī)中安裝DDoS攻擊工具。

階段5：利用3臺已安裝DDoS工具的主機(jī)對遠(yuǎn)程服務(wù)器發(fā)起DDoS攻擊。

4.2　實(shí)驗(yàn)結(jié)果分析

根據(jù)數(shù)據(jù)集說明文檔，得到網(wǎng)絡(luò)的主機(jī)集、漏洞集，并重放該數(shù)據(jù)集的5個(gè)攻擊階段數(shù)據(jù)再現(xiàn)攻擊場景，利用snort(版本2.9，規(guī)則為snortrules-snapshot-2990)檢測入侵，生成報(bào)警日志。由于數(shù)據(jù)集提供了受保護(hù)的網(wǎng)段，因此本文將snort中HOME_NET屬性配置為[172.16.0.0/16]。

設(shè)定采樣周期為1min，在每個(gè)采樣周期內(nèi)將聚合后的報(bào)警關(guān)聯(lián)分析，更新攻擊場景，得到攻擊場景威脅等級，作為觀測向量。

實(shí)驗(yàn)中5個(gè)階段的snort原始報(bào)警數(shù)量與告警聚合得到綜合報(bào)警統(tǒng)計(jì)如表1所示。從表1中可以看出，對原始報(bào)警預(yù)處理及聚合后最終生成的綜合報(bào)警數(shù)大幅減少，從而減少了關(guān)聯(lián)和更新攻擊場景的計(jì)算量。第5階段由于DDoS攻擊利用偽造的IP對外網(wǎng)發(fā)起攻擊，數(shù)據(jù)包的源和目的IP都不在snort監(jiān)控的網(wǎng)段，因此沒有產(chǎn)生報(bào)警，而且在第3階段獲取root權(quán)限后安裝了DDoS攻擊工具，攻擊者已經(jīng)取得了對該主機(jī)的控制權(quán)，且DDoS攻擊并不是本文研究的攻擊模式。

表1　原始報(bào)警及聚合后綜合報(bào)警數(shù)量統(tǒng)計(jì)

關(guān)聯(lián)分析得到的各個(gè)主機(jī)的攻擊場景如表2所示。從表2中可以發(fā)現(xiàn)，攻擊者對4個(gè)網(wǎng)段探測后發(fā)現(xiàn)18臺存活主機(jī)，之后對Sadmind服務(wù)端口掃描發(fā)現(xiàn)其中6臺運(yùn)行Sadmind服務(wù)的主機(jī)， 3臺包含Sadmind緩沖棧溢出漏洞(CEV-1999-0977)，攻擊者獲取root權(quán)限，并完成了對主機(jī)的控制。

態(tài)勢評估過程中，為了與文獻(xiàn)[9]中報(bào)警質(zhì)量最高的報(bào)警類型作為HMM輸入的方法比較，本文采用與其相同的隱Markov參數(shù)。文獻(xiàn)[9]中沒有區(qū)分各個(gè)主機(jī)，為了比較兩種方法生成的主機(jī)安全態(tài)勢，本文對每個(gè)采樣周期內(nèi)的報(bào)警質(zhì)量最高的報(bào)警類型針對的主機(jī)進(jìn)行了統(tǒng)計(jì)，并最終得到采用該方法的每個(gè)主機(jī)安全態(tài)勢。比較結(jié)果如圖3所示，其中方法1為文獻(xiàn)[9]中的利用報(bào)警質(zhì)量最高的報(bào)警類型作為觀測向量的方法。

表2　網(wǎng)絡(luò)受攻擊主機(jī)的攻擊場景所到達(dá)的攻擊階段

主機(jī)172.16.112.10受到了一個(gè)完整的攻擊，從圖3中可以看出，攻擊階段在兩種方法上都有體現(xiàn)。方法1在每個(gè)攻擊階段態(tài)勢都有上升和下降過程，導(dǎo)致態(tài)勢值下降的原因是采樣周期內(nèi)沒有針對該主機(jī)的報(bào)警。而從多步攻擊的角度來看，隨著攻擊的逐步深入，攻擊者的目的不斷實(shí)現(xiàn)，態(tài)勢值應(yīng)該呈現(xiàn)不斷上升的趨勢，即使在攻擊過后的采樣周期中沒有產(chǎn)生報(bào)警，態(tài)勢值也不會出現(xiàn)下降狀況，因?yàn)橥{并沒有解除。比如在攻擊者獲取主機(jī)root權(quán)限后，主機(jī)的機(jī)密性遭到了嚴(yán)重的破壞，這個(gè)狀態(tài)應(yīng)該維持到到達(dá)時(shí)間閾值或者防御方針對該現(xiàn)象做出了應(yīng)對方法后，才會下降。因此，本文方法計(jì)算的態(tài)勢能很好地體現(xiàn)多步攻擊的特點(diǎn)。

圖4為主機(jī)172.16.114.10的安全態(tài)勢對比圖，主機(jī)172.16.114.10中沒有Sadmind緩沖棧溢出漏洞(CEV-1999-0977)。從圖5中可以看出，方法1得出的結(jié)果在攻擊的第3階段仍有明顯的上升，本文方法的結(jié)果該階段態(tài)勢沒有上升。原因是本文結(jié)合了背景知識，由于該主機(jī)不包含Sadmind緩沖棧溢出漏洞，攻擊場景沒有更新到下一攻擊階段，符合實(shí)際情況，而方法1并沒有處理，因此本文得出的結(jié)果更為準(zhǔn)確。

本文令ρ=5，N=50。采用本文的態(tài)勢評估值，可計(jì)算并比較BP神經(jīng)網(wǎng)絡(luò)和SVR的一步預(yù)測結(jié)果，具體如圖5所示。可以看出，BP網(wǎng)絡(luò)和SVR的預(yù)測結(jié)果在不同時(shí)刻各有優(yōu)劣。通常識別一個(gè)攻擊場景時(shí)，BP網(wǎng)絡(luò)的預(yù)測結(jié)果較為準(zhǔn)確，在攻擊場景推演過程中SVR的結(jié)果較好。

基于單模型方法預(yù)測值，可解出組合預(yù)測的最優(yōu)非負(fù)權(quán)系數(shù)，從而可得出多模型組合預(yù)測的結(jié)果，實(shí)驗(yàn)結(jié)果如圖6所示。

從圖6中可以看出，組合預(yù)測相對誤差曲線始終處于兩條單模型預(yù)測曲線之間，攻擊場景發(fā)現(xiàn)早期預(yù)測的準(zhǔn)確度有了一定程度的改善。

5　結(jié)論

為網(wǎng)絡(luò)安全態(tài)勢估計(jì)和預(yù)測是網(wǎng)絡(luò)安全態(tài)勢感知的重要過程。針對當(dāng)前HMM態(tài)勢評估方法在采集數(shù)據(jù)源不豐富、入侵檢測系統(tǒng)存在大量重復(fù)報(bào)警和誤報(bào)、孤立報(bào)警信息難以體現(xiàn)攻擊步驟因果性等不足，本文利用告警信息聚合與攻擊關(guān)聯(lián)分析構(gòu)建基于攻擊模式的攻擊場景信息，并根據(jù)攻擊場景進(jìn)行主機(jī)威脅指數(shù)的計(jì)算，基于HMM進(jìn)行主機(jī)和網(wǎng)絡(luò)所處安全態(tài)勢的評估，根據(jù)態(tài)勢評估的結(jié)果利用組合預(yù)測方法對態(tài)勢發(fā)展進(jìn)行了預(yù)測。實(shí)驗(yàn)結(jié)果表明，本文方法能夠體現(xiàn)多步攻擊的特征，并準(zhǔn)確地反應(yīng)主機(jī)的安全狀態(tài)。本文針對主機(jī)的安全態(tài)勢評估方法通過多網(wǎng)絡(luò)實(shí)體態(tài)勢的融合，很容易實(shí)現(xiàn)面向網(wǎng)絡(luò)攻擊的整個(gè)系統(tǒng)安全態(tài)勢評估和預(yù)測。另外，本文采用掃描-探測-滲透-利用4階段模式，也可以拓展到其他攻擊模式。

[1]Bass T. Intrusion detection and multisensor data fusion: creating cyberspace situational awareness [J]. Communications of the ACM, 2000, 43(4): 100-105.

[2]陳秀真, 鄭慶華, 管曉宏, 等. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報(bào), 2006, 17(4): 885-897.

CHEN Xiu-zhen, ZHENG Qing-hua, GUAN Xiao-hong, et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006 , 17(4): 885-897.

[3]章麗娟, 王清賢. 模糊層次分析法在網(wǎng)絡(luò)安全態(tài)勢評估中的應(yīng)用[J].計(jì)算機(jī)仿真, 2011, 28(12):138-140.

ZHANG Li-juan, WANG Qing-xian. Application of fuzzy analytic hierarchy process model in network security situation assessment[J]. Computer Simulation, 2011, 28(12): 138-140.

[4]董博, 王雪. 基于變量分組貝葉斯網(wǎng)絡(luò)的安全態(tài)勢評估方法[J].微型機(jī)與應(yīng)用, 2016, 35(7): 60-62+66.

DONG Bo, WANG Xue. A security situation assessment method based on subdividing Bayesian network in sub-networks[J]. Microcomputer & Its Applications, 2016, 35(7):60-62+66

[5]張勇, 譚小彬, 崔孝林, 等. 基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].軟件學(xué)報(bào), 2011, 22(3):495-508.

ZHANG Yong, TAN Xiao-bin, CUI Xiao-lin, et al. Network security situation awareness approach based on Markov game model[J]. Journal of Software, 2011, 22(3):495-508.

[6]?rnes A, Valeur F, Vigna G, et al. Using hidden Markov models to evaluate the risks of intrusions[J]. Lecture Notes in Computer Science, 2006, 4219:145-164.

[7]Haslum K, Moe M E G, Knapskog S J. Real-time intrusion prevention and security analysis of networks using HMMs[C]. 33rdIEEE Conference on Local Computer Networks, 2008:927-934.

[8]方研, 殷肖川, 孫益博. 基于隱馬爾科夫模型的網(wǎng)絡(luò)安全態(tài)勢評估[J].計(jì)算機(jī)應(yīng)用與軟件, 2013, 30(12):64-68.

FANG Yan, YIN Xiao-chuan, SUN Yi-bo. Network security situation assessment based on hidden Markov models[J]. Computer Applications and Software, 2013, 30(12):64-68.

[9]席榮榮, 云曉春, 張永錚, 等. 一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法[J].計(jì)算機(jī)學(xué)報(bào), 2015, 38(4):749-758.

XI Rong-rong, YUN Xiao-chun, ZHANG Yong-zheng, et al. An improved quantitative evaluation method for net-work security[J]. Chinese Journal of Computers, 2015, 38(4):749-758.

[10]李偉明, 雷杰, 董靜, 等. 一種優(yōu)化的實(shí)時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化方法[J].計(jì)算機(jī)學(xué)報(bào), 2009, 32(4): 793-804.

LI Wei-ming, LEI Jie, DONG Jing, et al. An optimized method for real time network security quantification[J]. Chinese Journal of Computers, 2009, 32(4): 793-804.

[11]王澤芳, 袁平, 黃曉芳. 一種新的多步攻擊場景構(gòu)建技術(shù)研究[J].西南科技大學(xué)學(xué)報(bào), 2016, 31(1):55-60.

WANG Ze-fang, YUAN Ping, HUANG Xiao-fang. Research of a novel attack scenario constructing method [J]. Journal of Southwest University of Science and Techno-logy, 2016, 31(1):55-60.

[12]韋勇, 連一峰, 馮登國. 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2009, 46(3):353-362.

WEI Yong, LIAN Yi-feng, FENG Deng-guo. A network security situational awareness model based on information fusion[J]. Journal of Computer Research and Develop-ment, 2009, 46(3):353-362.

[13]吳瑩輝. 網(wǎng)絡(luò)安全態(tài)勢感知框架中態(tài)勢評估與態(tài)勢頇測模型研究[D]. 華北電力大學(xué), 2015.

WU Ying-hui. Research on situation assessment and prediction model in network security situation framework[D]. North China Electric Power University, 2015.

[14]任偉, 蔣興浩, 孫錟鋒. 基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計(jì)算機(jī)工程與應(yīng)用, 2006, 42(31): 136-138.

REN Wei, JIANG Xing-hao, SUN Tan-feng. RBFNN-based prediction of networks security situation[J]. Computer Engineering and Applications, 2006, 42(31): 136-138.

[15]Endsley M R. Toward a theory of situation awareness in dynamic systems[J]. Human Factors, 1995, 37(1):32-64.

[16]楊豪璞, 邱輝, 王坤. 面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].通信學(xué)報(bào), 2017, 38(1):187-198.

YANG Hao-pu, QIU Hui, WANG Kun. Network security situation evaluation method for multi-step attack[J]. Journal on Communications, 2017, 38(1):187-198.

[17]Kavousi F, Akbari B. Automatic learning of attack beha-vior patterns using Bayesian networks[C]. International Symposium on Telecommunications, 2013:999-1004.

[18]Frei S, May M, Fiedler U, et al. Large-scale vul-nerability analysis[C]. Proceedings of the 2006 SIGCOMM Workshop on Largescale Attack Defense, 2006:131-138.

[19]陳華友. 組合預(yù)測方法有效性理論及其應(yīng)用[M]. 北京:科學(xué)出版社, 2008.

CHEN Hua-you. Theory of combination prediction method validity and its applications[M]. Beijing: Science Press,2008.