網(wǎng)絡(luò )攻擊源的行為特點(diǎn)與評估模型構建發(fā)布者：本站     時(shí)間：2020-05-02 16:05:09

1 引 言

分析評估網(wǎng)絡(luò )攻擊源行為特點(diǎn)及攻擊能力有助于增強網(wǎng)絡(luò )安全防護措施的有效性和針對性． 傳統安全監測防護通常以企業(yè)網(wǎng)為邊界，僅能捕獲攻擊源針對該企業(yè)網(wǎng)發(fā)起的局部攻擊行為，難以對攻擊源行為進(jìn)行有效分析． 當前，骨干網(wǎng)安全監測條件日漸成熟，一方面顯著(zhù)擴大了網(wǎng)絡(luò )監測范圍，為攻擊源威脅行為分析提供了視窗基礎，另一方面報警信息海量化使得響應負擔過(guò)載，迫切需要構建攻擊源威脅行為評估機制，以識別重點(diǎn)威脅源并進(jìn)行優(yōu)先應對． 現有的安全評估方法主要包括信息安全的風(fēng)險評估［1-3］和網(wǎng)絡(luò )攻擊效果評估［4-5］兩部分，其中信息安全的風(fēng)險評估主要用于從風(fēng)險的角度評估威脅可能對資產(chǎn)造成的損失; 網(wǎng)絡(luò )攻擊效果的評估主要用于評估一個(gè)攻擊方案或一次具體的攻擊行為造成的安全效果． 這些評估方法受限與傳統的企業(yè)網(wǎng)安全監測環(huán)境，側重于信息系統的安全性評測，無(wú)法反映攻擊源威脅能力的差異性．基于此，本文在分析網(wǎng)絡(luò )攻擊源的行為特點(diǎn)的基礎上，層次分析法構建了一個(gè)威脅行為動(dòng)態(tài)評估模型，基于真實(shí)監測數據的實(shí)驗分析表明，相比較傳統的報警數量排名，本模型給出的攻擊源威脅評估更具合理性．

2 評估體系

2． 1 評估指標的提取

構建網(wǎng)絡(luò )攻擊源威脅行為的綜合評估模型，首先要選擇合適的評估指標． 目前，這方面的研究還比較少，主要有: 汪生［6］等使用 6 大類(lèi) 10 個(gè)方面提出了 59 個(gè)指標，但這些指標主要是針對單個(gè)攻擊模型和聯(lián)合使用多個(gè)攻擊模型的攻擊效果描述; 胡影［7］等利用攻擊庫挖掘的技術(shù)挖掘得到 5 類(lèi) 122個(gè)原子功能，但這些指標無(wú)法從骨干網(wǎng)監測平臺上提取; 趙博夫［8］等提出了13 個(gè)指標，指標主要反映了攻擊者實(shí)施的網(wǎng)絡(luò )攻擊的目的為破壞目標網(wǎng)絡(luò )的安全指標( 使其失效或降低) ，但指標中大量實(shí)際監測環(huán)境中不可測的指標．總體來(lái)說(shuō)，這些評估指標無(wú)法滿(mǎn)足網(wǎng)絡(luò )攻擊源威脅的評估，主要存在以下幾點(diǎn)原因:

1) 指標的提取不夠完備，不能從對攻擊源的所有攻擊行為出發(fā)，進(jìn)行大視角的整體能力的評估，不具有全面性．2) 部分指標［7，8］需要從目標網(wǎng)絡(luò )中提取，這在當前的監控條件下是無(wú)法獲得的，不具有可行性．3) 部分指標［8］過(guò)于抽象，不易量化操作，不具有可測性和便利性．在當前的網(wǎng)絡(luò )監控條件下，網(wǎng)絡(luò )攻擊源組織探測只能以網(wǎng)絡(luò )攻擊源的報警信息和觸發(fā)的規則信息為挖掘對象，其中報警信息直接包含的信息包括: 報警時(shí)間、源地址、目標地址、源端口、目標端口、源 MAC、目標 MAC、報文長(cháng)度、報警網(wǎng)卡名稱(chēng)、原始報文、插件特征編號; 規則信息直接包含的信息包括:

協(xié)議類(lèi)型、危害等級、操作系統類(lèi)型、目標端口對象、目標地址對象、源端口對象、源地址對象、規則版本號、規則特征、漏洞信息、大類(lèi)型、小類(lèi)型、目標地址對象、規則名稱(chēng)、服務(wù)類(lèi)型． 結合攻擊源威脅行為的特點(diǎn)，我們從網(wǎng)絡(luò )攻擊源的攻擊活躍性，攻擊破壞力和攻擊目的性出發(fā)，挖掘出以下評估指標: 攻擊時(shí)間的分布，攻擊時(shí)間的持續性，攻擊的頻度，掌握攻擊手段的數量，攻擊的連貫性，偏好使用的攻擊威脅，觸發(fā)報警的種類(lèi)以及目標地址的等級分布．