網絡攻擊源的行為特點與評估模型構建發布者：本站     時間：2020-05-02 16:05:09

1 引 言

分析評估網絡攻擊源行為特點及攻擊能力有助于增強網絡安全防護措施的有效性和針對性． 傳統安全監測防護通常以企業網為邊界，僅能捕獲攻擊源針對該企業網發起的局部攻擊行為，難以對攻擊源行為進行有效分析． 當前，骨干網安全監測條件日漸成熟，一方面顯著擴大了網絡監測范圍，為攻擊源威脅行為分析提供了視窗基礎，另一方面報警信息海量化使得響應負擔過載，迫切需要構建攻擊源威脅行為評估機制，以識別重點威脅源并進行優先應對． 現有的安全評估方法主要包括信息安全的風險評估［1-3］和網絡攻擊效果評估［4-5］兩部分，其中信息安全的風險評估主要用于從風險的角度評估威脅可能對資產造成的損失; 網絡攻擊效果的評估主要用于評估一個攻擊方案或一次具體的攻擊行為造成的安全效果． 這些評估方法受限與傳統的企業網安全監測環境，側重于信息系統的安全性評測，無法反映攻擊源威脅能力的差異性．基于此，本文在分析網絡攻擊源的行為特點的基礎上，層次分析法構建了一個威脅行為動態評估模型，基于真實監測數據的實驗分析表明，相比較傳統的報警數量排名，本模型給出的攻擊源威脅評估更具合理性．

2 評估體系

2． 1 評估指標的提取

構建網絡攻擊源威脅行為的綜合評估模型，首先要選擇合適的評估指標． 目前，這方面的研究還比較少，主要有: 汪生［6］等使用 6 大類 10 個方面提出了 59 個指標，但這些指標主要是針對單個攻擊模型和聯合使用多個攻擊模型的攻擊效果描述; 胡影［7］等利用攻擊庫挖掘的技術挖掘得到 5 類 122個原子功能，但這些指標無法從骨干網監測平臺上提取; 趙博夫［8］等提出了13 個指標，指標主要反映了攻擊者實施的網絡攻擊的目的為破壞目標網絡的安全指標( 使其失效或降低) ，但指標中大量實際監測環境中不可測的指標．總體來說，這些評估指標無法滿足網絡攻擊源威脅的評估，主要存在以下幾點原因:

1) 指標的提取不夠完備，不能從對攻擊源的所有攻擊行為出發，進行大視角的整體能力的評估，不具有全面性．2) 部分指標［7，8］需要從目標網絡中提取，這在當前的監控條件下是無法獲得的，不具有可行性．3) 部分指標［8］過于抽象，不易量化操作，不具有可測性和便利性．在當前的網絡監控條件下，網絡攻擊源組織探測只能以網絡攻擊源的報警信息和觸發的規則信息為挖掘對象，其中報警信息直接包含的信息包括: 報警時間、源地址、目標地址、源端口、目標端口、源 MAC、目標 MAC、報文長度、報警網卡名稱、原始報文、插件特征編號; 規則信息直接包含的信息包括:

協議類型、危害等級、操作系統類型、目標端口對象、目標地址對象、源端口對象、源地址對象、規則版本號、規則特征、漏洞信息、大類型、小類型、目標地址對象、規則名稱、服務類型． 結合攻擊源威脅行為的特點，我們從網絡攻擊源的攻擊活躍性，攻擊破壞力和攻擊目的性出發，挖掘出以下評估指標: 攻擊時間的分布，攻擊時間的持續性，攻擊的頻度，掌握攻擊手段的數量，攻擊的連貫性，偏好使用的攻擊威脅，觸發報警的種類以及目標地址的等級分布．