基于攻击模式识别的网络安全态势评估方法

朱庆

摘要：我國社会经济在发展的过程中，科学技术得到较快提升，网络规模不断扩大，人们生活与工作中的各个方面对网络技术依赖性较高，甚至一些行业完全依赖网络技术，这在较大程度上提高了人们生活质量，且提升了我国经济效益。但是，我国网络发展环境较为复杂，网络攻击日益频繁，导致较大损失的发生。网络安全态势感知技术在应用的过程中融入了入侵检测系统、防火墙以及病毒检测系统等一些安全设备，以此有效提高网络运行安全。

关键词：攻击模式识别；网络安全态势评估方法；网络安全态势感知技术

前言：

网络安全态势感知技术是我国网络技术发展过程中一种新型技术，最先应用在航天飞行领域中，随着该技术的不断成熟，广泛应用在医疗行业以及交通监管方面等。此外，网络安全态势感知技术与侵入检测系统进行有效的结合，最大程度上能够提高网络安全。

1 网络安全态势评估模型

随着我国科学技术的不断发展，网络规模越来越大，使网络安全传感器数量不断增加，产生较多的安全报警数据[1]。该数据存在一定的错误，并且很对网络中的攻击进行有效的防护，所以根据关联攻击事件中的逻辑关系，进行攻击场景的还原，以此实现对网络安全态势有效的评估以及预测。其中，攻击发生概率主要是指不同网络监测设备的报警数据进行信息的融合，以此得到出现攻击的可能性。攻击威胁主要是指攻击所处的阶段状态所带来的影响，是专家对攻击破坏性的评估评分。

2 基于攻击模式识别的网络态势评估算法

2.1 数据融合

数据融合主要是表现在以下几个方面[2]：1，对报警信息实施预处理。首先需要对数据实施有效的清洗，并且在此基础上根据相关过滤规则，对不规范数据进行过滤。比如，参数错误、字段缺省等；2，为了提高后续报警信息处理质量，对多源异构数据格式进行有效的统一，以此将其转化为通用的可扩展标记语言公共数据模型。此外，由于报警新相对比较多，为了降低整体融合压力，并且在此基础上增加报警新的可读性，这在较大程度上能够有效提高管理员对网络状况进行全面的了解；3，对聚类后的报警实施有效的数据融合，这在较大程度上能够有效降低单个传感器误报与漏报情况的发生，以此对安全报警信息数量进行全面精简，这在较大程度上对安全报警信息质量的提高奠定良好的基础。

2.2 攻击阶段识别

在进行攻击阶段识别过程中，会涉及到攻击关联度，其中攻击关联度主要是指不同攻击之间的关联程度，主要使用于对两个攻击属于同一攻击场景可能性的有效确定。在进行攻击阶段识别过程中，首先需要把数据融合后的安全事件与攻击模式数据库中的模板实施有效的匹配，并且在此基础上根据计算攻击之间的关联性对攻击具体阶段实施全面确定[3]。在进行攻击阶段识别计算的过程中，需要把受到的报警信息与攻击模式通过有效的方法进行匹配，并且在此基础上把匹配记录放到实时攻击场景中，同时对此种报警进行有效的计算，还需要对攻击场景中前提报警之间的攻击关联度进行有效的计算，以此根据阈值对剪枝的可能性进行有效的判断。

2.3 网络安全态势评估量化

在进行网络安全态势评估的过程中需要采用一定的整体措施，比如先局部后整体、自下而上，在节点态势与相应权重相互融合的基础上，对网络安全态势实施有效的评估，这就需要先对节点态势进行有效的评估。把攻击阶段支持率与攻击阶段所对应的攻击威胁进行有效的结合，以此得到高攻击阶段所对应的节点态势影响。

3 实验与结果分析

为了提高模型构建的有效性与可行性，需要进行实验网络的构建，其中网络包含交换机、防火墙以及文件服务器等，其中IDS进行SMORT入侵检测系统的有效安装，并且服务器与工作站一般情况下需要进行相关操作系统安装，文件服务器需要进行Linux操作系统的有效安装。此外，攻击者对该网络进行特洛伊木马攻击，首先攻击目标网络，并对有效主机进行扫描，扫描出Web服务器，并且在此基础上同归哦编码远程溢出漏洞对其进行有效的缓存溢出攻击，以此得到本地访问权限[4]。攻击者在通过文件服务器中的网络文件系统，采用NFS Shell程序，对文件服务器中的文件进行不同程度的修改，再在文件服务器中进行二进制代码的有效查找，同时在其中进行特洛伊木马程序的安装，最后通过工作站对该代码进行运行，将木马激活，以此达到对工作站进行有效控制的目的。

通过以上叙述，把网络安全态势值以图的方式进行呈现，态势值越大表明该网络受到的攻击程度越高。此外，对权重越大的主机实施攻击，会对整体网络影响越大，并且随着攻击阶段的不断加深，攻击者在实现攻击目的过程中，网络安全态势值也逐渐增加，这在较大程度上与攻击实情相符合。

结语：

综上所述，在对网络安全态势评估方法进行比较的过程中，提出了在攻击模式识别的基础上的一种网络安全态势评估方法。首先需要对网络中多源数据实施有效的信息融合，并对结果进行分析，以此识别出攻击意图与攻击阶段，同时在此基础上把攻击阶段作为态势要素进行有效的节点评估。其次，还应进行攻击阶段状态转移图的有效构建，根据主机漏洞与配置信息，对实现下一阶段成功转移概率进行全面的推算，从而进行网络安全态势发展趋势的有效预测。

参考文献

[1]王坤，邱辉，杨豪璞. 基于攻击模式识别的网络安全态势评估方法[J]. 计算机应用，2016（1）：194-198.

[2]杨豪璞，邱辉，王坤. 面向多步攻击的网络安全态势评估方法[J]. 通信学报，2017（1）：187-198.

[3]唐赞玉，刘宏. 多阶段大规模网络攻击下的网络安全态势评估方法研究[J]. 计算机科学，2018（1）：245-248.

[4]张夏. 基于多步攻击下的网络安全态势评估分析[J]. 科技风，2017（14）：55-56.

（作者单位：国网四川省电力公司信息通信公司）