前言:本站為你精心整理了網絡通信威脅智能識別方法探究范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:針對現階段網絡通信不同路徑威脅識別概率低、均方根誤差大等問題,提出基于多信息融合的網絡通信威脅智能識別方法。通過分析攻擊圖中所描述的網絡攻擊占據網絡資源過程獲取攻擊路徑;分析攻擊者發出的攻擊行為,將產生的網絡通信威脅作為攻擊行為的證據,采用D-S證據理論,將多條威脅匯集為攻擊行為信息分析攻擊者能力,通過判斷攻擊者達成攻擊想法的概率,獲取攻擊者的攻擊意圖,以此為基礎,通過威脅量化算法,獲取網絡通信威脅程度,實現網絡通信威脅智能識別。經實驗驗證,該方法在網絡通信威脅識別過程中具有較低的識別均方根誤差,且不同路徑下的網絡通信威脅識別概率較高。
關鍵詞:多信息融合;網絡通信威脅;智能識別;攻擊行為
1引言
由于互聯網應用的愈發廣泛,越來越多的行業受到網絡安全問題的影響,對網絡安全性進行提升,是目前較多領域正在研究的問題[1]。其中,網絡通信的安全性保障尤為重要,一旦網絡通信出現故障,許多領域都會出現不同程度的損失[2]。因此,保障網絡通信安全,及時對網絡通信威脅進行識別,能夠同時保障較多領域的網絡資源安全性[3-4]。由于當前網絡通信過程中不斷出現較大規模的威脅,許多學者對其進行研究,其中,例如田俊峰等[7],研究一種基于卷積神經網絡的Web攻擊檢測方法,雖然該方法能夠檢測出攻擊流量,但對于通信威脅的識別率依然較低;如任帥等[8],研究基于層次化網絡的多源頭威脅態勢高效評估方法,該方法檢測效率較高,但面對海量網絡通信威脅的狀況時,依然存在檢測識別率低等問題。現階段,攻擊圖為較為常用的識別工具,其可從威脅發出者的角度,通過分析網絡通信中存在的脆弱性得出攻擊路徑[7]。利用單一數據源或者單一事件的識別方法在現如今已經難以滿足實際應用需求,通過多信息融合的識別方式,能夠有效識別網絡通信中攻擊者發出的威脅[8]。因此,研究基于多信息融合的網絡通信威脅智能識別方法,通過融合攻擊圖、攻擊路徑、攻擊行為與攻擊者能力,實現多信息融合,并通過威脅識別算法與威脅量化算法,最終實現網絡通信威脅智能識別過程。
2基于多信息融合的網絡通信威脅智能識別方法
2.1網絡攻擊圖的定義及相關概念
網絡攻擊指的是在網絡存在漏洞和安全缺陷的情況下,對網絡系統的軟、硬件及其中的數據進行攻擊,以達到竊取、修改、破壞網絡中存儲和傳輸的信息等目的。為了找出所有關聯關系,通過模擬網絡攻擊中攻擊者對漏洞進行攻擊的過程,找到達到目標的攻擊路徑,以圖的形式將這些路徑呈現,此圖就是網絡攻擊圖。在網絡攻擊圖中,存在攻擊者發出的通信威脅與疑似占據的網絡資源節點[9-10]。2.1.1攻擊圖。在攻擊圖中,既存在網絡內的威脅行為節點,又包含了資源節點[11],同時還存在二者間的有向邊,且攻擊圖能夠表示占據網絡資源過程的步驟。通過以下定義,設定網絡攻擊圖NAG,其圖狀態如圖1所示:(1)AND關系中,若想到達子節點,需要全部父節點同一時刻達到指向性條件。(2)OR關系中,只需要全部父節點能夠隨意達成某個指向性條件。(3)攻擊圖NAG=(Θ,R,A,E,S,Rv,F,D,Π),其為一個九元組,且存在多個有向無環圖,這些有向無環圖由AND或OR關系連接的節點組成。a.威脅行為節點集由A描述,A={aii=1,2,...,n,ai為任意攻擊行為節點}。當未出現行為ai時,Θ(ai)=FALSE,當行為ai出現時,Θ(ai)=TRUE。b.資源節點集由R描述,R={rii=1,2,...,n,ri為任意資源節點};當資源ri被占據時,通過Θ(ri)=TRUE描述;當ri并未被占據時,由FALSE描述。c.節點狀態集由Θ描述,Θ={TRUE,FALSE}。節點ri和ai的形態依次由Θ=(ri)與Θ=(ai)描述。d.各類節點的有向邊連接集由E描述,E={eai,aj∈A,ri∈R,e=〈ai,ri〉∪〈ri,aj〉},其中含義是在e中,包含〈ai,ri〉與〈ri,aj〉。e.威脅節點ai出現的機率由di描述,目標Θ(ri)=TRUE被ai完成的機率由d'i描述,D=(di∪d'i),其中,di=P(Θ(ai)=TRUEPre(ai)=TRUE),d'i=P(aiΘ(ai)=TRUE)。f.攻擊威脅屬性集由S描述,S={siai∈A,ri∈R,i=1,2,...,n,si為邊〈ai,ri〉威脅屬性},其中,si=f(Rμ,I,ω-,Cost(〈ai,ri〉)),在以下計算過程描述f(Rμ,I,ω-,Cost(〈ai,ri〉))。g.Rμ={μ(ri)ri為資源節點,μ(ri)為ri的威脅屬性},其中資源節點脆弱屬性集由Rμ表示。h.攻擊威脅性情況集由F={TRUE,FALSE}。當威脅行為ai在e∈E,且e存在于〈ai,ri〉類型中時,F(e)=TRUE,表示該行為存在威脅,當威脅行為ai在F(e)=FALSE時,不存在威脅。攻擊圖中,每個節點的機率由∏描述,且∏∈[0,1],其中資源被占據情況出現的機率分布由∏(ri)與∏(ai)描述,在所選取的攻擊圖模型內,威脅已出現在初始階段,因此,∏(a1,a2,a3)=1.0,且∏(ri)0,以及∏(ai)0。2.1.2攻擊路徑。若在攻擊圖內有一組有向邊序列出現在初始節點ai∈A,且能夠依照拓撲結構與目標節點rj∈R相連,并設有向邊序列{〈ai→ri〉,〈ri→aj〉ai,aj∈A,ri∈R,i,j=1,2,...,n}。通過公式(1)構建攻擊路徑,公式如下:Path={〈aj→ri〉,〈ri→aj〉i,j=1,2,...,n}(1)在圖1中,攻擊路徑以公式(2)、公式(3)、公式(4)表示,在同一節點內的較多有向邊之間的AND關系由∩描述:Path1=〈a1∩a2→r1〉,〈r1→a4〉〈a4→r3〉,〈r3→a7〉{}(2)Path2=〈a1∩a2→r1〉,〈a3→r2〉,〈r1∩r2→a6〉,〈r2→a5〉〈a5∩a6→r3〉,〈r3→a7〉{}(3)Path3=〈a1∩a2→r1〉,〈a3→r2〉,〈r1∩r2→a6〉,〈a6→r4〉,〈r4→a7〉{}(4)其中,初始節點為a1,a2,a3,當a1與a2進行操作后,r1節點被攻擊者占據,開始操縱a4,以掌握資源r3,達成操控a7的能力。構建威脅路徑通過a1與a2起始,并經歷r1,a4,r3,直至a7完成。以上形式就是對該路徑的定義。2.1.3攻擊行為。當網絡脆弱性被攻擊者利用,最終使網絡通信過程受到威脅或狀態出現轉移,即為攻擊行為。可通過ac-tion={name,class,time,aci}攻擊行為,其中,攻擊行為的稱呼由name描述,類別由class描述,作用時間由time描述,可信度由aci描述。將產生的網絡通信威脅作為攻擊行為的證據,采用D-S證據理論,將多條威脅匯集為攻擊行為信息。由于不同網絡通信威脅的攻擊特征差距較大,所以造成觸發的攻擊信息可信度并不一致[12-13]。依據歷史通信威脅數據與識別威脅的經驗,能夠獲取不同特征的攻擊信度分配函數。2.1.4攻擊者能力。攻擊者擁有的技術與工具等實力,稱為攻擊者能力,其通過Cap描述。為使攻擊能力得到判斷,依據攻擊者攻擊狀態,若其初始能力為空,持續向能力庫內添加攻擊者操縱的攻擊行為。并設cap1={name,class,dif-ficulty},其中能力名稱由name表示,類別由class表示,難度系數由difficulty表示,攻擊者能力庫Cap中是否保存cap1,通過攻擊者能否擁有cap1能力來分辨,若攻擊者能夠啟動cap1對應的攻擊能力,即能夠保存。
2.2威脅識別算法
依據馬爾科夫假設來進行網絡通信威脅智能識別。馬爾科夫過程能夠描述網絡通信狀態被攻擊行為造成轉移的過程,即網絡通信未來的狀態與過去狀態無關,僅與當前狀態有關。首先對網絡進行給定,并依據服務與資源的重要性構建攻擊意圖庫,該意圖庫需依據網絡通信保護需求;下一步對網絡進行掃描,以確定其拓撲形式與脆弱性被發現,針對所掃描的結果構建攻擊圖,探尋攻擊路徑,該路徑能夠直達攻擊想法[14-15];最終判斷攻擊者達成攻擊想法的概率,通過將攻擊者能力、攻擊行為與攻擊狀態的關聯關系相連接實現判斷,經判斷后,向高于所設閾值或最大概率的攻擊想法與攻擊路線提出警示,以及依據攻擊想法與狀態量化網絡通信威脅。2.2.1攻擊路徑預測與攻擊意圖識別。設所指網絡通信的攻擊圖為G=(S,τ,s0,sf),其中該通信過程的攻擊意圖集由Int描述。對攻擊行為進行分析,若所發出的行為為action={name,class,time,aci},同時aci>ξ,其中,ξ描述依據先前經驗所設閾值,則可以認定攻擊action出現。且設su為攻擊完成狀態,并在此時向攻擊者能力庫cap加入action。設Path(su,sj)為攻擊路徑集,其中攻擊想法Intv與狀態sj相應,并且su∈S,sj∈sf,Intv∈Int。對能力集Cap進行查探,若攻擊行為action*出現,則向狀態sq遷移sp,同時sp,sq∈Path(su,sj),action*∈Cap,并將概率ω(p,q)=1,該概率存在于狀態轉移矩陣內。通過以下公式(5)計算出現攻擊意圖Intv的機率,其中su至sj全部路徑的最長路徑由k'描述:Pr(IntvSu)=Rk'uv(5)其中,攻擊路徑集Path(su,sj)中,攻擊想法Intv與狀態sj相應,且su∈S,sj∈sf,Intv∈Int。若想判斷攻擊者所選用的攻擊路線,可依據攻擊想法Intv推算。可以不通過單一路徑實現某個特定出現的威脅,因此,對全部路徑的概率進行預測,能夠提升安全防護性能。若意圖Intv能通過l*條路線達到,即path1∈Path(su,sj),l=1,2,...,l*,并通過公式(6)計算path1的機率:Pr(pathl)=∏ji=uwl(i,i+1)式中,wl(i,i+1)表示在路徑path1內,狀態節點互相移動的機率為設計安全的網絡通信威脅防范措施,可對攻擊者所設想的攻擊方向進行分析,通過公式(7)規劃意圖Intv攻擊路線的相對概率規劃:Pr(pathlIntv)=Pr(pathl)/∑lPr(pathl)(7)2.2.2威脅量化算法。設對實體Entityx的某個攻擊想法為Intv,該實體不僅可以是用戶,還可以是服務或主機,則可通過公式(8)計算Intv對該實體的威脅值:Threat(Entityx)=Pr(Intv)·O(Intv)(8)式中,O(Intv)表示該實體的完整性、加密性以及可用程度被Intv破壞的水平。并通過公式(9)計算較多網絡實體Entityx的威脅程度:Threat(Entityx)=∑x∈Xc(x)·Threat(Entityx)∑x∈Xc(x)(9)式中,x為Entityx的簡化形式,c(x)為x的重要性。
3實驗結果與分析
將方法應用于某企業的網絡資源管理中心,智能識別該中心的網絡通信威脅。由于攻擊者對每條攻擊路徑發出的威脅有所不同,在進行威脅識別時,不同方法所識別的概率也不同,因此在通過action={name,class,time,aci}攻擊行為進行模擬攻擊下,選取三條路徑,分別為a1與a2起始,并經歷r1,a4,r3,直至a7完成的路徑1,a3起始,并經歷r2,a5,r3,直至a7完成的路徑2,a3起始,并經歷r2,a6,r4,直至a7完成的路徑3,分析采用本方法在進行網絡通信威脅智能識別時的路徑概率,并通過文獻[5]方法與文獻[6]方法進行對比,根據圖2(a)可知,文獻[5]方法隨著采樣時間的上升,三條路徑的識別概率上升過程較為相似,三條路徑在采樣時間為10h時識別概率均達到80%左右;而文獻[6]方法三條路徑的識別概率相差較大,這可能是由于攻擊者發出的威脅在每條路徑的情況下并不相同,雖然該方法的識別概率最低在20%,但最高識別概率只能達到81%,與本方法相比,文獻[5]方法與文獻[6]方法的識別概率都低,且本方法在路徑2與路徑3的識別概率能夠達到98%,因此,本方法的網絡通信威脅識別率較高。因為威脅到網絡安全的方式類型較多,例如竊聽、偽造、病毒木馬和篡改等方式,采用最常見和具有普遍性的威脅類型木馬分析不同方法在識別過程中不同威脅數量所產生的均方根誤差,分析結果如圖3表示。根據圖3可知,由于威脅數量的增加,不同方法對威脅的識別能力逐漸降低,表現為對威脅的識別均方根誤差逐漸上升,其中,文獻[5]方法的識別均方根誤差最大,在威脅數量100時均方根誤差達到0.8%,而文獻[6]方法的均方根誤差雖然低于文獻[5]方法,但依然高于本方法,在威脅數量100時均方根誤差達到0.005%,而本方法在此時的均方根誤差為0.0008%,始終保持在最低范圍內,因此,本方法具有最小的均方根誤差,能夠精確識別網絡通信威脅。
4結束語
提出了基于多信息融合的網絡通信威脅智能識別方法,通過分析攻擊圖、攻擊路徑、攻擊行為以及攻擊者能力,設計威脅識別算法,對其中攻擊路徑進行預測,并識別攻擊意圖,得出網絡通信威脅程度,從而實現對網絡通信威脅的智能識別。可在以后研究階段對該方法繼續優化,以實現網絡中多種風險與威脅的識別與控制。
作者:劉祥 楊永強 單位:中國電信股份有限公司河南分公司 河南財經政法大學計算機與信息工程學院