欧美色图亚洲色图日韩_大香萑久久av_天天碰天天透天天摸_亚洲伊人天堂一区二区

網(wǎng)絡攻擊源的行為特點與評估模型構建發(fā)布者：本站     時間：2020-05-02 16:05:09

1 引 言

分析評估網(wǎng)絡攻擊源行為特點及攻擊能力有助于增強網(wǎng)絡安全防護措施的有效性和針對性． 傳統(tǒng)安全監(jiān)測防護通常以企業(yè)網(wǎng)為邊界，僅能捕獲攻擊源針對該企業(yè)網(wǎng)發(fā)起的局部攻擊行為，難以對攻擊源行為進行有效分析． 當前，骨干網(wǎng)安全監(jiān)測條件日漸成熟，一方面顯著擴大了網(wǎng)絡監(jiān)測范圍，為攻擊源威脅行為分析提供了視窗基礎，另一方面報警信息海量化使得響應負擔過載，迫切需要構建攻擊源威脅行為評估機制，以識別重點威脅源并進行優(yōu)先應對． 現(xiàn)有的安全評估方法主要包括信息安全的風險評估［1-3］和網(wǎng)絡攻擊效果評估［4-5］兩部分，其中信息安全的風險評估主要用于從風險的角度評估威脅可能對資產(chǎn)造成的損失; 網(wǎng)絡攻擊效果的評估主要用于評估一個攻擊方案或一次具體的攻擊行為造成的安全效果． 這些評估方法受限與傳統(tǒng)的企業(yè)網(wǎng)安全監(jiān)測環(huán)境，側重于信息系統(tǒng)的安全性評測，無法反映攻擊源威脅能力的差異性．基于此，本文在分析網(wǎng)絡攻擊源的行為特點的基礎上，層次分析法構建了一個威脅行為動態(tài)評估模型，基于真實監(jiān)測數(shù)據(jù)的實驗分析表明，相比較傳統(tǒng)的報警數(shù)量排名，本模型給出的攻擊源威脅評估更具合理性．

2 評估體系

2． 1 評估指標的提取

構建網(wǎng)絡攻擊源威脅行為的綜合評估模型，首先要選擇合適的評估指標． 目前，這方面的研究還比較少，主要有: 汪生［6］等使用 6 大類 10 個方面提出了 59 個指標，但這些指標主要是針對單個攻擊模型和聯(lián)合使用多個攻擊模型的攻擊效果描述; 胡影［7］等利用攻擊庫挖掘的技術挖掘得到 5 類 122個原子功能，但這些指標無法從骨干網(wǎng)監(jiān)測平臺上提取; 趙博夫［8］等提出了13 個指標，指標主要反映了攻擊者實施的網(wǎng)絡攻擊的目的為破壞目標網(wǎng)絡的安全指標( 使其失效或降低) ，但指標中大量實際監(jiān)測環(huán)境中不可測的指標．總體來說，這些評估指標無法滿足網(wǎng)絡攻擊源威脅的評估，主要存在以下幾點原因:

1) 指標的提取不夠完備，不能從對攻擊源的所有攻擊行為出發(fā)，進行大視角的整體能力的評估，不具有全面性．2) 部分指標［7，8］需要從目標網(wǎng)絡中提取，這在當前的監(jiān)控條件下是無法獲得的，不具有可行性．3) 部分指標［8］過于抽象，不易量化操作，不具有可測性和便利性．在當前的網(wǎng)絡監(jiān)控條件下，網(wǎng)絡攻擊源組織探測只能以網(wǎng)絡攻擊源的報警信息和觸發(fā)的規(guī)則信息為挖掘對象，其中報警信息直接包含的信息包括: 報警時間、源地址、目標地址、源端口、目標端口、源 MAC、目標 MAC、報文長度、報警網(wǎng)卡名稱、原始報文、插件特征編號; 規(guī)則信息直接包含的信息包括:

協(xié)議類型、危害等級、操作系統(tǒng)類型、目標端口對象、目標地址對象、源端口對象、源地址對象、規(guī)則版本號、規(guī)則特征、漏洞信息、大類型、小類型、目標地址對象、規(guī)則名稱、服務類型． 結合攻擊源威脅行為的特點，我們從網(wǎng)絡攻擊源的攻擊活躍性，攻擊破壞力和攻擊目的性出發(fā)，挖掘出以下評估指標: 攻擊時間的分布，攻擊時間的持續(xù)性，攻擊的頻度，掌握攻擊手段的數(shù)量，攻擊的連貫性，偏好使用的攻擊威脅，觸發(fā)報警的種類以及目標地址的等級分布．