基于分段攻擊的網絡安全態勢評估技術

黃曄華

基于分段攻擊的網絡安全態勢評估技術

黃曄華

無錫工藝職業技術學院, 江蘇 無錫 214206

網絡安全態勢評估是網絡安全領域的重要組成部分，但是目前的評估技術存在片面性、預測結果偏差大、不能連續取值等問題。本文提出一種基于分段攻擊的網絡安全態勢評估技術，通過評估模型構建、量化分析、評估計算，在理論分析的基礎上進行實證。根據實驗結果，本文提出的技術較好，不僅提高了網絡安全態勢評估的全面性，還能準確預測下一時刻的網絡安全態勢，同時加強了取值的連續性，有一定的使用價值。

網絡安全態勢; 評估; 分段攻擊

互聯網的發展給人們的生活與工作帶來了極大的便利性，但網絡本身是脆弱的，存在著各種各樣的安全風險，尤其受到目的性強的網絡攻擊時，造成的損失難以估量[1]。如今，網絡安全態勢評估技術受到了人們的廣泛關注，但是傳統的網絡安全評估技術只能評估已經發生的攻擊行為，很難預測未來的網絡安全態勢。從當前的研究現狀看，網絡安全態勢評估已成為網絡安全領域的一項重要研究課題，各種評估技術層出不窮。Neesha等提出一種以攻擊圖為基準的網絡安全態勢評估技術，能夠分析多個階段的攻擊行為信息，并建立起網絡安全態勢評估模型，對攻擊成功率進行初步計算[2]。該技術存在預測偏差大的問題。Yu-Beng等以數據包融合的方式對網絡安全態勢進行評估，檢測網絡存在的漏洞并評測網絡的脆弱性，然后結合不同權重值尋找最優規劃算法，以得出最新的網絡安全態勢[3]。但該技術的可靠性較低。為能對分段攻擊下的網絡安全態勢進行準確評估，提出一種新的評估技術，并通過實證分析，證明本文所提技術的可行性。

1 基于分段攻擊的網絡安全態勢評估步驟

1.1 基于分段攻擊的網絡安全態勢評估模型構建

針對網絡安全數據源多的特征，構建基于分段攻擊的網絡安全態勢評估模型，將評估指標分成兩大類：（1）網絡安全信息，用表示；（2）分段攻擊信息，用表示。網絡安全信息包含了主機的節點信息以及網絡拓撲信息，關系式如下：=(,) (1)

在上式中，代表主機的節點信息集合，這些節點既有服務器、PC機、移動電腦等，也有交換機、路由器等。代表網絡拓撲信息集合，反映網絡連接的關系，表達式如下：?×(2)

分段攻擊信息則包含目前已知的分段攻擊信息I以及檢測出來的分段攻擊信息I，關系式如下：?(I,I) (3)

設分段攻擊下的網絡安全態勢值為，其構成主要是網絡安全信息和分段攻擊信息，關系式如下：?(,) (4)

1.2 基于分段攻擊的網絡安全態勢量化分析

在上式中，Feature(,)代表第個特征屬性的關聯度，a代表第個特征屬性的權重值。若出現新的網絡安全警報，可以根據上式將網絡安全警報與分段攻擊時的不同場景相匹配，計算網絡安全警報與攻擊時間的關聯度，并通過該關聯度聚類網絡安全事件，進而得到不同場景下的網絡安全警報集合。

上式中的=0代表攻擊時的節點是或節點，=1代表攻擊時的節點是與節點。

1.3 基于分段攻擊的網絡安全態勢評估

根據分段攻擊成功率和出現概率的計算結果，使用CVSS評價指標評估網絡安全態勢。該指標共有三個：網絡機密性()、完整性()、可用性()。通過這些指標對網絡漏洞的威脅評價得分，衡量單個網絡漏洞所造成的影響，威脅評價得分計算公式如下：()=10(1-)(1-)(1-) (8)

根據上式可知，網絡分段攻擊的每一個場景都要使用多個漏洞，設被攻擊節點的權重值為，并與攻擊出現概率()、單個網絡漏洞威脅評價得分()一起進行綜合量化處理，得出分段攻擊時不同場景對網絡安全態勢所造成的影響，計算公式如下：

上式中，代表分段攻擊場景(path)及其出現的階段，同時滿足下面的條件：P()≤1；()≤10；S=1。按照這些條件進行計算，得出(path)≤10。當(path)?[0,4]，則危害程度為低風險級；當(path)?[4,7]，則危害程度為中風險級；當(path)?[7,10]，則危害程度為高風險級。

在上式中，代表分段攻擊的所有場景總和。

2 實證分析

為證明本文所提技術的可行性及優越性，首先搭建實驗所用的網絡環境（圖1）。該環境涵蓋了各類可能受到攻擊的主機，并在IDS網絡中安裝入侵檢測裝置。當攻擊者進行分段攻擊時，IDS以及防火墻都會產生警報數據，主機也能提供攻擊時間，由此形成檢測審核日志。模擬攻擊者所采取的流程：首先進行一次分段木馬攻擊，根據木馬植入情況再次進行攻擊，就能掃描到有效的主機，然后利用溢出的漏洞信息進行攻擊，得到網絡訪問權限，同時通過NFS協議對服務器中的重要文件信息修改，以找到可執行的二進制代碼，并在工作站安裝攻擊木馬程序。在流程最后階段，攻擊者激活工作站中的木馬程序，從而得到工作站的整個控制權。

圖1 實驗的網絡環境

根據分段攻擊的檢測數據以及審核日志，使用本文所提的網絡安全態勢評估技術，依次建立各節點的網絡安全態勢評估模型、量化分析當前的網絡安全態勢并進行評估，最終得到網絡安全態勢值。以實驗網絡環境中的Web服務器為例，計算得出該主機受到攻擊時的攻擊出現概率()=0.913，而在受到攻擊之前的攻擊出現概率()=0.907，它們之間的關聯度(,)=1，設網絡攻擊模式為1，則網絡攻擊支持概率為(1)，用以下公式計算：(1)=()()(,)=0.913×0.907×1=0.828 (11)

根據以上計算結果，結合分段攻擊威脅(1)=0.41，得出分段攻擊對該節點的網絡安全態勢影響為：=(1)(1)=0.0828×0.41=0.339 (12)

檢測裝置只檢測到這一攻擊，未發現其它攻擊，由此可以確定該主機只受到單次攻擊的影響，網絡安全態勢值==0.339。然后根據各節點權重值，計算整體安全態勢值。

通過本文提出的網絡安全態勢評估技術，預測下一時刻網絡安全態勢的發展情況，還是以Web服務器為例，當檢測到該主機有攻擊出現時，通過量化分析對攻擊者進行識別，發現攻擊者采用的是1攻擊模式，這時調用主機配置信息進行漏洞掃描，發現有漏洞信息溢出，計算網絡狀態是否滿足的條件，若滿足，說明該主機只受到這一階段的攻擊，預測下一時刻的安全態勢：

=(1)()(1)=0.907×1×0.41=0.371 (13)

根據以上計算結果，結合各節點權重，得出預測的結果，如圖2所示。

從上圖可知，本文所提技術可以更加準確地對下一時刻網絡安全態勢進行預測，從而實現有效的預判，以便及時制定防護措施和補救方案，預測的準確性大為提高。

圖2 網絡安全態勢預測結果

3 討論

在互聯網時代，網絡安全態勢評估變得越來越重要，但從當前的研究成果看，依然存在一定的問題。王坤等研究了網絡安全態勢的評估方法，只對單個網絡攻擊所造成的破壞進行考慮，并未考慮網絡攻擊的整體因果關系，根據作者的計算結果，主機受到1階段攻擊的安全態勢值比后續階段的網絡攻擊安全態勢值要高得多[4]。王法玉等提出了一種網絡安全態勢評估技術，缺點在于只有網絡攻擊已經實施才能計算安全態勢值，無法預測下一時刻的安全態勢值，并且取值范圍較為有限[5]。吳果等對當前的網絡安全態勢評估技術進行了調查，以此為基礎提出一種大規模攻擊下的網絡安全態勢評估法，但同樣只考慮到單個網絡攻擊造成的影響，全面性有所欠缺[6]。本文提出的網絡安全態勢評估技術相對于以上研究成果來說，能夠全面評估網絡安全態勢，對下一時刻網絡安全態勢的預測準確性較高，并且能夠連續取值，極大地拓展了取值范圍。

4 結論

針對當前網絡安全態勢評估技術存在片面性、預測結果偏差大、不能連續取值等問題，提出一種基于分段攻擊的網絡安全態勢評估技術，在理論研究的基礎上，通過實證分析對本文所提技術的評估使用性和預測準確性進行證明。從實驗結果看，本文提出的技術較好地彌補了當前研究成果的一些缺陷，不僅提高了網絡安全態勢評估的全面性，還能準確預測下一時刻的網絡安全態勢，同時加強了取值的連續性，有較好的應用前景。

[1] 馮筠.基于區間層次分析法的網絡安全評估研究[J].數學的實踐與認識,2016(5):162-167

[2] Kodagoda N, Attfield S, Chupoudhury ST,Concern level assessment; building domain knowledge into a visual system to support network-security situation awareness[J]. Information visualization, 2014,13(4):346-360

[3] Beng LY, Abdulrazzaq A, Manickam S,. An adaptive assessment and prediction mechanism in network security situation awareness[J]. Journal of computer sciences, 2017,13(5):114-129

[4] 王坤,邱輝,楊豪璞.基于攻擊模式識別的網絡安全態勢評估方法[J].計算機應用,2016(1):194-198

[5] 王法玉,張曉洪.多源事件融合的網絡安全態勢評估方法[J].計算機工程與設計,2016(6):1140-1144

[6] 吳果,陳雷,司志剛,等.網絡安全態勢評估指標體系優化模型研究[J].計算機工程與科學,2017(5):861-869

Assessment Technology for Network Security Situation Based on Segmented Attack

HUANG Ye-hua

214206,

Network security situation assessment is an important part in the field of network security, but there are some problems in the current assessment technology, such as one-sidedness, large deviation of prediction results, and not continuous value. This paper presents a network security situation assessment technology based on piecewise attack. Through the construction of evaluation model, quantitative analysis and evaluation calculation, it carries out empirical research on the basis of theoretical analysis. According to the experimental results, the technology proposed in this paper not only improves the comprehensiveness of the network security situation assessment, but also accurately predicts the network security situation at the next moment, and strengthens the continuity of the values, which has certain application value.

Network security situation; assessment; segmented attack

TP393

A

1000-2324(2019)03-0489-03

10.3969/j.issn.1000-2324.2019.03.029

2018-03-25

2018-04-28

黃曄華(1982-),女,碩士,工程師,主要研究方向為計算機網絡技術、網絡安全. E-mail:hyh@wxgyxy.edu.cn