模型框架
由于计算机网络空间的动态性、开放性以及攻防双方为了争取主动积极调整攻击或防守策略,网络的安全形式也随之瞬息万变。攻击方在攻击过程中发现新的脆弱性、攻击方法、攻击目标或者攻击遇到阻碍时,会随时调整攻击意图或者攻击策略。而对防御方来说,必须实时地从环境信息的动态变化中发现对方的新动向,及时判断其攻击意图和实时威胁,以做出最有效的防御决策。网络环境中主要的动态变化信息有:
(1)入侵者发动了新的攻击行为,导致入侵监测系统探测到新的安全事件;
(2)用户或系统自动针对安全事件采取响应措施,以避免更大的损失;
(3)脆弱性扫描设备探测到网络中新的脆弱性;
(4)操作系统、应用软件改变或升级,网络主机、服务的增减或属性改变;
(5)安全防护目标、策略、措施调整,安全设备的升级或改变。
随着网络环境的改变,入侵者的攻击策略会相应调整,新的脆弱性、攻击手段、防护措施、关键服务等都将影响其攻击意图的实现,从而哥哥意图假设的威胁就需要重新评估。因此,应实时地或周期性的识别攻击意图并评估其威胁,动态地感知网络的安全态势以及时调整安全防护策略。
网络攻击意图动态识别模型的输入包括静态信息和动态信息两部分。网络拓扑信息包括网络的连接情况、网络服务、资产价值等。等网络拓扑信息、脆弱性信息和防火墙规则信息等相对而言变化频率较低,可以认为是静态的。这些信息的关联与约束关系决定了入侵者的攻击意图以及实现这些意图的攻击路径。通过关联融合入侵监测系统的报警可以分析入侵者的攻击行为和攻击能力,并在此基础上国建实时的攻击场景。系统自动或管理员的响应措施将影响入侵者的攻击意图选择并决定入侵者的攻击意图成功实现的概率。为了提高效率,我们根据静态信息提前生成目标网络的攻击路径图,然后实时探测攻击场景信息和响应措施信息并与之匹配,及时调整和推断入侵者的攻击意图及其概率。
攻击意图动态识别模型主要包括以下几个模块:
(1) 先验知识是模型构建的基础,主要包括脆弱性利用的前提条件和利用后的后果集以及攻击行为与脆弱性之间的关联关系。先验知识是防御者在长期的安全防御过程中逐渐积累起来的知识。先验知识可以借鉴CVSS的数据库,也可以从当地网络积累的安全数据中提炼而成。
(2) 意图假设是根据用户具体的网络环境及其安全需求,提出的入侵者可能具有的攻击意图,是攻击意图识别的关键和基础。攻击意图识别的目标就是判断这些意图假设是否为真,如果为真则估计不同的入侵者成功实现的概率。
(3) 根据脆弱性、防火墙规则、网络拓扑等静态信息以及意图假设和先验知识生成脆弱性级、主机级和安全域级等不同层次的攻击路径图。我们将在攻击路径图上结合动态信息进行攻击意图的动态识别和威胁分析。
(4) 从大量底层的的入侵检测系统的报警中提炼实时的攻击场景信息,根据实时的攻击场景信息动态推理攻击者的攻击意图和攻击规划。
(5) 攻击意图分析融合攻击路径图、攻击行为信息、系统响应信息估计攻击者攻击意图实现概率、可能采用的攻击路径的概率、威胁程度等,为安全管理员历届网络的安全状态提供支持。
扫一扫
1030
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
