網(wǎng)絡安全威脅與態(tài)勢評估方法研究.pdf

1、日益嚴峻的網(wǎng)絡安全形勢給傳統(tǒng)的網(wǎng)絡安全技術帶來了挑戰(zhàn)?，F(xiàn)有的檢測工具只能根據(jù)有限信息產(chǎn)生告警，并且告警數(shù)量巨大、質(zhì)量低下，難以從中獲知事件的威脅程度和系統(tǒng)的安全狀態(tài)。而傳統(tǒng)的安全評估方法只是靜態(tài)評估，也不能反映實時風險。這使得網(wǎng)絡操作員很難借助現(xiàn)有技術來感知實時網(wǎng)絡安全態(tài)勢，因而難以根據(jù)現(xiàn)實網(wǎng)絡狀況做出決策，造成防御、檢測、響應和分析四大環(huán)節(jié)嚴重脫節(jié)，安全事件響應嚴重滯后的現(xiàn)狀。 近年來，源于戰(zhàn)場態(tài)勢感知領域的威脅與態(tài)勢評估技術

2、的引入為解決網(wǎng)絡安全態(tài)勢感知問題提供了新的思路。網(wǎng)絡安全威脅與態(tài)勢評估指：采用信息融合方法處理檢測工具產(chǎn)生的實時網(wǎng)絡安全數(shù)據(jù)，對攻擊威脅程度和實時網(wǎng)絡安全狀態(tài)進行評估，給出直觀有效的安全態(tài)勢報告，并對未來安全狀況做出合理預測。本文對威脅評估、態(tài)勢評估和態(tài)勢預測方法分別進行了研究。 攻擊威脅程度的影響因素可歸納為攻擊破壞性、環(huán)境、成功率、統(tǒng)計、關聯(lián)和效果六類。構造一種威脅評估框架，分六個階段：嚴重度評估、環(huán)境評估、可信度評估、統(tǒng)計

3、評估、關聯(lián)評估和效果評估。對各階段的方法進行了闡述，并在設計的SATA系統(tǒng)（Security Alert and Threat Analysis）中實現(xiàn)了相關方法。嚴重度評估采用危害度分級和CVSS漏洞評價方法；環(huán)境評估通過設定資產(chǎn)值和優(yōu)先級實現(xiàn)；可信度評估使用貝葉斯網(wǎng)絡；統(tǒng)計評估采用告警頻度統(tǒng)計和周期型誤報警統(tǒng)計識別方法；關聯(lián)評估使用告警關聯(lián)語言；效果評估則采用定性的攻擊效果評估方法。 態(tài)勢評估使用隱馬爾科夫模型（HMM）。解

4、決了觀測事件分類和模型參數(shù)配置問題。采用威脅評估結果對告警分類，提高了事件分類的準確性。采用遺傳算法優(yōu)化HMM參數(shù)，建立網(wǎng)絡安全態(tài)勢評估結果的定量評價機制來確定優(yōu)化目標，使用蜜網(wǎng)數(shù)據(jù)建立了評價規(guī)則集。比較實驗表明，該方法是有效的。 歸納出決定網(wǎng)絡安全態(tài)勢可預測性的五個特點：1）攻擊之間具有因果關系；2）不同攻擊能作為未來攻擊證據(jù)出現(xiàn)的可能性不同；3）通常，未來攻擊與“證據(jù)”具有相同屬性；4）攻擊意圖具有可推測性；5）證據(jù)與安全狀