网络安全威胁态势评估与分析方法研究

摘要

面对日益严峻的网络安全形势，传统的安全检测和防护手段已不能满足当前网络安全管理的需求。网络态势感知与安全评估作为安全管理的新手段，是安全领域的重要研究方向。其目标是融合现有安全设备信息，提取安全要素，对网络攻击威胁和实时安全状态进行评估和预测，为网络安全规划和管理策略的制定提供科学依据。
　　 目前网络安全及威胁态势评估技术还存在诸多问题。例如告警误报率偏高，导致评估质量低下；评估模型无统一标准，安全要素关系混淆不清；静态评估方法为主，难以动态感知威胁；专家知识依赖较多，评估指标缺乏量化等等。
　　 提出基于告警分析的威胁感知方法。在分析告警重尾分布特性的基础上，建立了告警数据的时序模型。对告警序列进行谱分析表明，它可分解为主要部分和残差部分，前者变化平缓而有持续的规律，反映了告警序列的本质特征，后者可反映异常，是威胁感知的重要依据。提出了基于谱分解的告警序列异常检测方法，采用滑动窗口方式，通过基准窗口构建序列本质特征，用检测窗口判断异常，并把两者异常距离的大小作为检测标准。针对基准窗口滑动需要进行谱分解和重新计算会影响效率的问题，采用了一种基准序列主结构增量更新的方法，降低了基准序列重建的时间开销。该方法不以告警序列周期性、趋势性、平稳性等特征为假设前提，以告警序列本质规律为根本，具有适应序列结构变化的能力。对比实验表明，异常检测率达92％以上，在去除大量误报的同时，还能有效感知隐匿于误告警数据之中的威胁。
　　 提出了基于信息融合的网络威胁态势量化评估方法。在对安全事件与安全事件、安全事件与脆弱性、安全事件与资产环境等威胁要素间关系进行分析的基础上，构建出多要素关联融合的威胁态势评估模型。该模型由威胁度，威胁严重度、资产值三部分组成：威胁度描述攻击成功的可能性，威胁严重度描述攻击造成破坏的严重性，资产值则反映攻击对资产造成的损失。通过挖掘告警的时空关联关系，建立起告警的关联模式及关联规则。计算告警与关联规则的匹配程度并融合告警与环境信息的匹配结果得到量化的威胁度评估值。构建由告警、脆弱性和服务可靠性等要素组成的威胁严重度评估指标体系，提出了基于模糊隶属函数的指标量化方法，解决了告警、脆弱性等抽象对象难以量化融合的问题，给出了进行威胁严重度计算的模糊规则。整个评估方法是以告警为线索，以威胁要素量化指标为依据，对各指标值进行逐步融合的过程，其结果是构建出评估对象的实时威胁态势图。实验表明，该方法能动态地量化出受保护主机或网络的威胁状况，直观显示网络威胁态势，为管理员及时查找安全原因、调整安全策略提供了有效依据。
　　 针对威胁态势预测，提出了基于组合预测模型的预测方法，通过组合多个单一预测模型，实现模型之间的取长补短。模型之间关系的确立，采用一种基于信息熵值的权重确定方法。实验表明组合预测模型能提高网络威胁态势预测的准确度，提高了预警水平。
　　 提出了基于攻击图的网络威胁态势分析方法。在对网络威胁传播行为方式进行分析的基础上，构建了基于告警的攻击图模型。该模型是利用告警中拓扑信息构建的赋权有向图，告警的每个IP地址构成图的节点，图的每一边代表告警本身，边上的权值代表节点间的威胁影响程度。攻击图的节点是潜在的威胁传播节点，攻击图的路径对应潜在的威胁传播路径。提出基于威胁频率的边权值确定方法，并建立了攻击图构造方法。指出最具威胁的节点(边)是通过其进行威胁传播最频繁节点(边)，并以此引入了攻击图的介数概念。通过计算每个节点(边)在图中所有最短路径的出现的次数得到攻击图的点(边)介数。利用攻击图序列的概念，对不同时间周期内的告警建立攻击图模型。根据攻击图序列中的高介数节点(边)出现频繁程度来确认威胁节点和威胁路径，实现了宏观网络威胁态势分析的目标。基于上述告警攻击图威胁态势分析方法的优点在于：1）能动态反映网络实际威胁场景；2）能自动完成攻击图生成与威胁态势分析流程，减少对专家知识库的依赖；3）告警信息易于获取，适应网络范围广。

目录

文摘

英文文摘

声明

1 绪论

2 基于告警分析的威胁感知方法

3 信息融合的网络威胁态势量化评估方法

4 网络安全威胁态势的组合预测方法

5 基于攻击图的网络安全威胁态势分析方法

6 总结与展望

致 谢

参考文献

附录