网络安全威胁态势评估和分析方法研究.pdf

华中科技大学博士学位论文
摘要
面对日益严峻的网络安全形势,传统的安全检测和防护手段已不能满足当前网
络安全管理的需求。网络态势感知与安全评估作为安全管理的新手段,是安全领域
的重要研究方向。其目标是融合现有安全设备信息,提取安全要素,对网络攻击威
胁和实时安全状态进行评估和预测,为网络安全规划和管理策略的制定提供科学依
据。
目前网络安全及威胁态势评估技术还存在诸多问题。例如告警误报率偏高,导
致评估质量低下;评估模型无统一标准,安全要素关系混淆不清;静态评估方法为
主,难以动态感知威胁;专家知识依赖较多,评估指标缺乏量化等等。
提出基于告警分析的威胁感知方法。在分析告警重尾分布特性的基础上,建立
了告警数据的时序模型。对告警序列进行谱分析表明,它可分解为主要部分和残差
部分,前者变化平缓而有持续的规律,反映了告警序列的本质特征,后者可反映异
常,是威胁感知的重要依据。提出了基于谱分解的告警序列异常检测方法,采用滑
动窗口方式,通过基准窗口构建序列本质特征,用检测窗口判断异常,并把两者异
常距离的大小作为检测标准。针对基准窗口滑动需要进行谱分解和重新计算会影响
效率的问题,采用了一种基准序列主结构增量更新的方法,降低了基准序列重建的
时间开销。该方法不以告警序列周期性、趋势性、平稳性等特征为假设前提,以告
警序列本质规律为根本,具有适应序列结构变化的能力。对比实验表明,异常检测
率达 92%以上,在去除大量误报的同时,还能有效感知隐匿于误告警数据之中的威
胁。
提出了基于信息融合的网络威胁态势量化评估方法。在对安全事件与安全事件、
安全事件与脆弱性、安全事件与资产环境等威胁要素间关系进行分析的基础上,构
建出多要素关联融合的威胁态势评估模型。该模型由威胁度,威胁严重度、资产值
三部分组成:威胁度描述攻击成功的可能性,威胁严重度描述攻击造成破坏的严重
性,资产值则反映攻击对资产造成的损失。通过挖掘告警的时空关联关系,建立起
告警的关联模式及关联规则。计算告警与关联规则的匹配程度并融合告警与环境信
I
华中科技大学博士学位论文
息的匹配结果得到量化的威胁度评估值。构建由告警、脆弱性和服务可靠性等要素
组成的威胁严重度评估指标体系,提出了基于模糊隶属函数的指标量化方法,解决
了告警、脆弱性等抽象对象难以量化融合的问题,给出了进行威胁严重度计算的模
糊规则。整个评估方法是以告警为线索,以威胁要素量化指标为依据,对各指标值
进行逐步融合的过程,其结果是构建出评估对象的实时威胁态势图。实验表明,该
方法能动态地量化出受保护主机或网络的威胁状况,直观显示网络威胁态势,为管
理员及时查找安全原因、调整安全策略提供了有效依据。
针对威胁态势预测,提出了基于组合预测模型的预测方法,通过组合多个单一
预测模型,实现模型之间的取长补短。模型之间关系的确立,采用一种基于信息熵
值的权重确定方法。实验表明组合预测模型能提高网络威胁态势预测的准确度,提
高了预警水平。
提出了基于攻击图的网络威胁态势分析方法。在对网络威胁传播行为方式进行
分析的基础上,构建了基于告警的攻击图模型。该模型是利用告警中拓扑信息构建
的赋权有向图,告警的每个IP地址构成图的节点,图的每一边代表告警本身,边上
的权值代表节点间的威胁影响程度。攻击图的节点是潜在的威胁传播节点,攻击图
的路径对应潜在的威胁传播路径。提出基于威胁频率的边权值确定方法,并建立了
攻击图构造方法。指出最具威胁的节点(边)是通过其进行威胁传播最频繁节点(边),
并以此引入了攻击图的介数概念。通过计算每个节点(边)在图中所有最短路径的出现
的次数得到攻击图的点(边)介数。利用攻击图序列的概念,对不同时间周期内的告警
建立攻击图模型。根据攻击图序列中的高介数节点(边)出现频繁程度来确认威胁节点
和威胁路径,实现了宏观网络威胁态势分析的目标。基于上述告警攻击图威胁态势
分析方法的优点在于:1)能动态反映网络实际威胁场景;2)能自动完成攻击图生
成与威胁态势分析流程,减少对专家知识库的依赖;3)告警信息易于获取,适应网
络范围广。
关键词:威胁态势评估,威胁态势预测,威胁态势分析,信息融合,关联分析,攻
击图
II
华中科技大学博士学位论文
Abstract
Facing the plex and work security environment, the
traditional security detection and protection method have not been able to satisfy the
current demand work