基于攻击图模型的网络安全态势评估方法

【摘  要】针对网络攻击出现的大规模、协同、多阶段的特点，提出一种基于攻击图模型的网络安全态势评估方法。首先，结合攻击事件的时空特征融合多源告警数据构建网络攻击行为特征；其次，基于告警信息映射攻击节点，关联多步攻击的路径；再次，在构建攻击图的基础上，结合转移序列构建攻击节点转移概率表，将转移概率引入攻击图中，推断攻击者的攻击意图；最后，针对最大可能的攻击路径，对大概率的攻击节点进行安全态势评估，科学量化网络攻击后潜在攻击节点的安全态势，为网络安全管理人员提前做好防护提供理论支撑和科学依据。

【关键词】深度学习；时空特征；攻击图；转移概率；安全态势

0   引言

2020上半年全球重大网络攻击及数据泄露事件回顾报告指出，网络攻击、黑客组织和数据泄露一直存在于网络世界中。比如：2020年5月，委内瑞拉国家电网干线遭黑客攻击，造成全国11州府大面积停电；2020年9月，印度总理纳伦德拉·莫迪的一个账户遭到黑客攻击，黑客呼吁莫迪粉丝捐赠加密货币，导致10万美元转入相关“基金”。网络攻击事件对政府、企业、个人造成了极其严重的经济损失，因此，如何在复杂多变的网络环境中实时掌握当前网络的安全态势，针对安全态势提前进行预警和防护，减少网络攻击对网络的伤害，是网络安全工作的首要任务。为了实时掌握网络的安全态势，初期的研究围绕告警信息本身进行网络态势评估：陈秀珍等人[1]通过对服务、主机、系统进行层次化分解后，提出层次化网络安全态势量化评估方法；韦勇等人[2]针对多源告警信息的特点，提出融合漏洞、服务信息等