随着网络通信技术的广泛应用,传统产业与互联网的结合越来越密切,互联网深刻影响着人们的生活。随着互联网技术发展,网络安全问题日益凸显,网络攻击事件愈发频繁,恶意的网络攻击或行为严重破坏了用户数据的完整性甚至硬件设备的通信安全。因此,在当今复杂多变的网络环境中,认知,理解和预测网络的安全状况至关重要。如图1所示为传统的网络拓扑结构,网络管理员通过分析通过安全防护设备的相关数据判断当前网络的安全状态。随着网络攻击手段的不断演进,单纯依靠安全防护设备分析网络流量数据很难全面掌握当前网络安全状态。因此,有必要通过感知网络安全状态来协助管理人员及时掌握关键网络环境信息。但是,如何预测可能的威胁并避免潜在的网络风险仍然需要进一步的研究。为获得当前的网络安全状态并保障其安全性,现存的方法主要针对网络攻击防护技术,网络漏洞利用技术以及其他相关技术等的研究,同时对不同的网络威胁提出了相应的安全防护技术,如针对拒绝服务攻击(DDoS)、中间人攻击、高级可持续攻击等攻击防护技术。但是,随着网络攻击技术的不断发展,单一的网络防护技术已无法满足管理人员对掌握网络整体安全趋势的需求。相反,网络安全态势感知技术结合了入侵检测,防火墙,病毒检测和其他网络安全防护硬件设备应用等相关技术,实现了全方位的网络安全状态预测感知。本质上,它是网络安全状态和趋势的全面反映,并可进一步用作预警,强化网络安全状态或对攻击进行快速响应。因此,近些年网络安全态势感知技术已逐渐成为网络安全领域中的研究热点。基于网络安全态势感知相关技术,本文提出了一种多维度的网络攻击检测方法。
1.网络安全状态感知
Endsley和Robertson等人首次提出了态势感知的概念。并在航天,军事,交通监管和医疗领域得到了广泛应用且取得了良好效果。随后,Bass等人在网络安全领域中引入了态势感知技术。作为热点研究内容,态势感知技术主要包括两个步骤:(1)情境识别,即通过了解当前网络中的总体情况因素,如网络环境信息,攻击方法和防御策略;(2)态势预测,即在前一步的基础上,通过分析网络安全形势的规律性并提前预测未来的趋势,现存的网络安全状态预测方法主要可归纳为以下三类。1)基于时间序列分析的状态预测。该方法假设网络安全状态呈周期性变化。通过分析安全事件的时间相关性,预测未来的状态情况。而自回归综合移动平均和指数平滑是两种经典的时间序列预测方法。但是,基于时间序列的方法需要稳定的时间序列数据且有当数据符合正态分布时,才能获得较好的预测结果。然而,现实网络环境中的各种不确定因素,如网络环境中的意外安全事件和不定期攻击活动等不确定噪声数据都会使基于时间序列预测的方法难以得到满意预测结果。为选择合理的网络安全状态预测模型,文献提出了一种基于混沌时间序列的预测方法,但是,这种方法无法预测网络中的突发事件。此外,由于网络中存在随机噪声,基于时间序列的方法更适用于短期预测。2)基于图论的状态预测。该方法利用网络流量中包含的漏洞信息来生成状态转换图,从入侵者的角度设计并根据当前网络状态预测未来状态。文献提出了一种基于加权规划知识图的攻击行为识别方法,并实现了对入侵行为的预测。但该方法存在较高的误报率,如何提高其准确率成为了一个问题。文献提出了一种结合图和马尔可夫链的报警关联方法,该方法保证了实时性和可扩展性,实现了与各种安全事件相关的全局因素关联起来。基于博弈论的态势感知博弈论可视为不确定条件下决策中的混合策略均衡问题。且其已广泛应用于网络空间态势感知技术中。文献使用随机博弈理论,通过纳什均衡定量地预测网络安全状态。与基于时间序列预测方法和基于图论的方法相比,基于博弈论的方法能对防御者的信息进行全面调查以获得更加准确的预测结果。但是,目前的研究仍集中在静态博弈分析上,基于动态预测的研究较少,而网络安全报警事件恰恰是整个网络安全状况的动态反映。因此,有必要对动态预测开展研究。为了可视化攻击行为以及利用一系列漏洞来实现特权提升,本文使用攻击图对漏洞出现的组合进行建模,再通过模拟网络入侵增量和攻击传播的可能性,来衡量未来的网络安全状态。虽然基于图论的方法具有可视化和易于实现的优点且,但以往的研究主要从攻击者的角度进行预测,而忽略了防御者的态势因素。因此,有必要全面对系统的防御策略与攻击活动之间进行权衡。
2.攻击预测算法
本文首先评估攻击者的攻击能力,然后计算漏洞的可利用性概率以及后续攻击可能发起的时间成本。最后,构建动态贝叶斯攻击图并通过所提预测算法来实现多维度的网络状态检测。攻击能力指标:基于攻击能力水平与攻防对抗行为间的相关性,评估攻击能力是相对的。对于不同的攻击者,攻击能力可以通过分析其历史攻击记录来评估。本文中,使用变量ACPX来定义利于漏洞的复杂度,通过如下公式实现ACPX变量的计算:ACPX=20×AV×AC×AU(1)其中AV,AC,AU分别表示访问向量,访问复杂性和身份验证由CVSS给出。假设攻击者的攻击能力ASLK等于所有攻击中对应的最高ACPX,则ASLK可记为如下公式:ASLK=max(ACPX)(2)漏洞可利用性概率度量:对于同一个漏洞,较强的攻击能力对应较高的漏洞可利用性概率。可用贝叶斯模型可证明攻击能力概率分布与利用该漏洞的成功概率分布成正比。如果漏洞利用复杂度ACPX相同,则ASLK较强的攻击者可以获得较高的漏洞利用成功概率。而在相同的攻击能力下,具有较低ACPX的漏洞被成功利用的可能性更高。预期攻击时间成本指标:由于攻击的复杂性越高,可利用性概率就越低且该状态的持续时间越长。显然,攻击者易于在具有较高ASLK且较低ACPX的情况下实现漏洞的成功利用且消耗较短的时间。由于攻击者具有特定的攻击规律和习惯,通过分析已检测到的攻击时间成本,可以推断出后续攻击的时间成本,进而使用平均权重分析法来评估预期的时间成本,根据观察到的攻击序列,使用如下公式计算得到攻击的平均时间成本:ASLT其中r表示攻击序列的编号,t表示攻击的成功时间,pre(t)表示先前的攻击时间。因此,未知漏洞的预期利用时间成本ASLPexpected可以表示为:基于上述定义及相关计算方法,可计算出漏洞的利用可能性和攻击时间成本。表1给出了所提方法对现存漏洞计算得到的结果。最后,基于以上信息可实现动态贝叶斯攻击图,进而实现网络安全状态的预测。
3.多维度网络攻击检测
为了准确而全面的预测网络安全状态,本文需要及时发现攻击目标并识别攻击路径。为此,本文设计并实现了多维度的网络攻击检测系统。使用网络入侵检测系统以及防火墙系统等相关网络防护设备的流量数据,使用基于动态贝叶斯攻击图的定量网络态势预测方法来实现网络异常情况的感知与告警。本文将上述设备采集的流量样本编码到动态贝叶斯攻击图中以预测网络中潜在的攻击。基于攻击预测的结果和通用漏洞评分系统,可以通过安全风险度量标准进一步量化网络安全状态。该系统的流程如图2所示,具体步骤如下:网络安全状态因素采集。通过从IDS,防火墙,主机等的报警信息中收集各种原始攻击日志,对警报数据进行标准化,获得与攻击者,防御者和网络相关的基本样本数据。具体来说,攻击信息包括攻击序列,攻击时间,攻击能力和入侵概率。防御信息包括设置的保护策略。网络信息包括主机信息,网络拓扑结构和网络连接信息。网络拓扑取决于网络的物理结构,网络连接信息来自防火墙的过滤规则,主机信息来自服务和软件的统计信息,漏洞信息来自主机扫描。网络攻击行为预测。为了确保正常的网络通信,假定网络拓扑和连接性是固有的。基于实时检测到的网络安全状况因素,生成贝叶斯攻击图,该贝叶斯攻击图可用于表示攻击图中编码的漏洞之间的因果关系。然后,根据攻击与防御的当前状态,可以使用状态转移矩阵获得最可能的威胁路径。网络安全状况预测。在上一步的基础上,结合标记信息和通用漏洞评分系统的指标,将攻击威胁进一步转换为安全风险并最终计算出主机和网络安全状况。在本地搭建实验环境并进行攻击测试后,如图3所示为网络安全态势感知得分(NSA)和系统预估的攻击防御时间成本。
4.总结
众所周知,可被利用的漏洞等安全威胁始终隐藏在互联网中,攻击者一旦成功利用漏洞发起攻击,将会对内网环境带来一系列安全问题。为了获取当前的网络安全状态,通过采集网络入侵检测系统等网络安全防护设备产生的网络状态数据,本文提出了一种基于网络安全感知相关技术的,利用动态贝叶斯攻击图的网络安全态势感知预测方法。通过评估攻击者的攻击能力,并结合已检测到的警报事件,分析了网络内后续可能出现的攻击行为,最终实现了多维度的网络攻击检测。
作者:苑舒斌 沈悦 周晓宇 宗晓萌 路非凡 单位:中海油信息科技有限公司北京分公司