【摘 要】针对网络攻击出现的大规模、协同、多阶段的特点,提出一种基于攻击图模型的网络安全态势评估方法。首先,结合攻击事件的时空特征融合多源告警数据构建网络攻击行为特征;其次,基于告警信息映射攻击节点,关联多步攻击的路径;再次,在构建攻击图的基础上,结合转移序列构建攻击节点转移概率表,将转移概率引入攻击图中,推断攻击者的攻击意图;最后,针对最大可能的攻击路径,对大概率的攻击节点进行安全态势评估,科学量化网络攻击后潜在攻击节点的安全态势,为网络安全管理人员提前做好防护提供理论支撑和科学依据。
【关键词】深度学习;时空特征;攻击图;转移概率;安全态势
0 引言
2020上半年全球重大网络攻击及数据泄露事件回顾报告指出,网络攻击、黑客组织和数据泄露一直存在于网络世界中。比如:2020年5月,委内瑞拉国家电网干线遭黑客攻击,造成全国11州府大面积停电;2020年9月,印度总理纳伦德拉·莫迪的一个账户遭到黑客攻击,黑客呼吁莫迪粉丝捐赠加密货币,导致10万美元转入相关“基金”。网络攻击事件对政府、企业、个人造成了极其严重的经济损失,因此,如何在复杂多变的网络环境中实时掌握当前网络的安全态势,针对安全态势提前进行预警和防护,减少网络攻击对网络的伤害,是网络安全工作的首要任务。为了实时掌握网络的安全态势,初期的研究围绕告警信息本身进行网络态势评估:陈秀珍等人[1]通过对服务、主机、系统进行层次化分解后,提出层次化网络安全态势量化评估方法;韦勇等人[2]针对多源告警信息的特点,提出融合漏洞、服务信息等