网络攻击源的行为特点与评估模型构建.docVIP

　　网络攻击源的行为特点与评估模型构建 　　1 引 言 　　分析评估X络攻击源行为特点及攻击能力有助于增强X络安全防护措施的有效性和针对性． 传统安全监测防护通常以企业X为边界，仅能捕获攻击源针对该企业X发起的局部攻击行为，难以对攻击源行为进行有效分析． 当前，骨干X安全监测条件日渐成熟，一方面显着扩大了X络监测范围，为攻击源威胁行为分析提供了视窗基础，另一方面报警信息海量化使得响应负担过载，迫切需要构建攻击源威胁行为评估机制，以识别重点威胁源并进行优先应对． 现有的安全评估方法主要包括信息安全的风险评估［1-3］和X络攻击效果评估［4-5］两部分，其中信息安全的风险评估主要用于从风险的角度评估威胁可能对资产造成的损失; X络攻击效果的评估主要用于评估一个攻击方案或一次具体的攻击行为造成的安全效果． 这些评估方法受限与传统的企业X安全监测环境，侧重于信息系统的安全性评测，无法反映攻击源威胁能力的差异性．基于此，本文在分析X络攻击源的行为特点的基础上，层次分析法构建了一个威胁行为动态评估模型，基于真实监测数据的实验分析表明，相比较传统的报警数量排名，本模型给出的攻击源威胁评估更具合理性． 　　2 评估体系 　　2． 1 评估指标的提取 　　构建X络攻击源威胁行为的综合评估模型，首先要选择合适的评估指标． 目前，这方面的研究还比较少，主要有: 汪生［6］等使用 6 大类 10 个方面提出了 59 个指标，但这些指标主要是针对单个攻击模型和联合使用多个攻击模型的攻击效果描述; 胡影［7］等利用攻击库挖掘的技术挖掘得到 5 类 122个原子功能，但这些指标无法从骨干X监测平台上提取; 赵博夫［8］等提出了13 个指标，指标主要反映了攻击者实施的X络攻击的目的为破坏目标X络的安全指标( 使其失效或降低) ，但指标中大量实际监测环境中不可测的指标．总体来说，这些评估指标无法满足X络攻击源威胁的评估，主要存在以下几点原因: 　　1) 指标的提取不够完备，不能从对攻击源的所有攻击行为出发，进行大视角的整体能力的评估，不具有全面性．2) 部分指标［7，8］需要从目标X络中提取，这在当前的监控条件下是无法获得的，不具有可行性．3) 部分指标［8］过于抽象，不易量化操作，不具有可测性和便利性．在当前的X络监控条件下，X络攻击源组织探测只能以X络攻击源的报警信息和触发的规则信息为挖掘对象，其中报警信息直接包含的信息包括: 报警时间、源地址、目标地址、源端口、目标端口、源 MAC、目标 MAC、报文长度、报警X卡名称、原始报文、插件特征编号; 规则信息直接包含的信息包括: 　　协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型． 结合攻击源威胁行为的特点，我们从X络攻击源的攻击活跃性，攻击破坏力和攻击目的性出发，挖掘出以下评估指标: 攻击时间的分布，攻击时间的持续性，攻击的频度，掌握攻击手段的数量，攻击的连贯性，偏好使用的攻击威胁，触发报警的种类以及目标地址的等级分布． 　　 　　2． 2 评估体系的构建 　　层次分析法［9］( Analytic Hierarchy Process，AHP) 是一种定性与定量分析相结合的多目标决策分析方法，适用于评价因素难以量化且结构复杂的评价问题． 本文将 AHP 方法引用到X络攻击源威胁行为的评估中，按照目标准则指标的层次结构，经过逐步细化，构建了一个层次化的评估体系．其中目标层为X络攻击源威胁行为的威胁值．准则层由攻击源的活跃性、攻击源的破坏性、攻击源的目的性组成．指标层按照不同的准则分为三组，不同的评估指标隶属于不同的评估准则，最终，X络攻击源威胁行为的评估体系如图 1 所示．【1】 　 　　3 指标的计算 　　3． 1 时间分布的计算 　　时间分布指标旨在判别攻击是攻击源操纵者主动发出的，还是由所感染的木马病毒定期发送的． 采用概率统计的方法，将攻击源发出的所有攻击按照 24 个时间段( 一天 24 小时每个小时一个时间段) 分组，根据X络攻击源的时间分布信息计算时间分布的方差，然后与预设的方差阈值进行比较，时间分布方差与阈值的比较表达式如下，【2】 　　 　　其中，timeDis 表示最终时间分布的计算结果，timeVar 表示求出的X络攻击源时间分布的方差，timeThresh 表示设定的时间分布的方差阈值，该值由多次试验验证获得． 如果大于、等于阈值则认为该攻击源发出的攻击是攻击源操纵者主动发出的，取值为 1． 反之，则认为是其所感染的木马病毒定期发送的，取值为 0． 据多次试验获得 timeThresh 为 41365． 　　 　　3． 2 时间持续性的量化计算 　　时间持续性指标用来衡