引用本文:張志勇,張文博,楊慧等.網絡安全態勢預測研究綜述[J].通信技術,2019,52 (07): 1713-1721.
摘 要
網絡安全態勢預測是網絡安全態勢感知重要環節,通過對網絡安全態勢進行準確預測, 可以主動預防、遏制大規模網絡威脅事件的發生,最大限度降低網絡威脅事件的危害,因而是網 絡安全主動防御的核心技術之一,對于提升網絡安全性能具有重要意義。學術界對該問題的關注 歷來已久,且隨著其他學科相關技術的持續發展,該問題的相關研究也越來越具有生命力。深入分析了當前的網絡安全態勢預測技術,從相關方法的共性特征、評估方案等方面進行介紹,進而提升對該領域的認識。
關鍵詞:
攻擊行為預測;攻擊意圖識別;入侵預警;網絡安全態勢預測
內容目錄:
0 引 言1 研究現狀2 方法評估4 結 語
0 引 言
網絡安全態勢感知是網絡安全領域中最受關注 的研究方向之一,按照目標任務逐步遞進的關系,可將其劃分為態勢覺察、態勢評估、態勢預測三個階段。其中態勢預測的難度最大,但也最具價值:通過提前準確預測網絡安全狀態發展趨勢,可以從根本上提升入侵檢測系統等傳統的安全防御工具的性能,實現被動防御到主動防御的進化。因此,網絡安全態勢預測受到了國內外相關研究者的持續 關注。
事實上,在開展有關網絡安全態勢預測的具體研究時,首先需要明確具體哪些方面的安全狀態可被預測。首先,當某個攻擊事件正在發生時,根據攻擊事件的行為模式,預測其下一步可能采取的行 動是可行的,本文將這類問題稱為攻擊行為預測。其次,與攻擊行為預測問題類似,根據正在發生的攻擊事件預測該事件背后隱含的最終目標,即攻擊者的攻擊意圖,也能幫助防御者預判攻擊者的下一步行為,該問題被稱為攻擊意圖識別。
另一個問題是在攻擊或者入侵行為發生前,預測目標網絡可能 遭受的攻擊或者入侵事件,亦被稱為攻擊/入侵預警。最后,安全管理人員也可能希望從宏觀角度掌 握目標網絡的整體安全狀態發展趨勢,比如攻擊事件的統計特征,該問題被稱為整體安全態勢預測。
針對上述問題,人們提出了多種數學模型、理論方法、技術手段,建設了多個應用系統,使得相關研究形成了一個比較完整的研究方向,本文第2章將對其工作原理重點進行介紹。
明確可被預測的具體安全狀態并提出相應的技術方法后,一個更為實際的問題是這些技術方法能否有效地發揮作用,為消除網絡攻擊、應對未知安全事件提供有效支撐。因此引發了如何評估相關技術方法的有效性,即應當采用什么性能度量指標,使用哪些數據集進行實驗評估或者在實際網絡環境中驗證等問題。本文第3章針對上述問題,對相關 工作的實用價值、驗證方法重點進行介紹。
最后,本文第4章對全文進行總結,同時分析了現有工作的一些不足,以加深對該問題的理解和認識。
1 研究現狀
根據網絡安全態勢預測的具體目標不同,可將 現有研究分為以下四類:(1)攻擊行為預測——當某個威脅事件正在發生時,預判其下一步可能采取的行動叫(2)攻擊意圖識別——在某個威脅事件發生的過程中,預判攻擊者的最終意圖; (3)攻擊/入侵預警——在威脅事件尚未發生時,預估目標網絡可能遭受的攻擊類型以及相應攻擊可能發生的時間及具體位置懇(4)整體安全態勢預測—— 預測目標網絡的整體安全狀態演化趨勢。
總體而言,前兩個問題是在威脅事件發生的過程中,即觀測到威脅事件的某些行為之后,對其 后續的發展從兩個不同角度進行預判。它們是網絡安全態勢預測研究中最早受到關注的兩個問題,所 采用的方法也具有很多相似之處,甚至在某些場景下可以相互替換。而緊隨之后的第三個問題則希望 不再依賴于威脅事件的前期活動,而是在威脅事件 實際發生之前就對其做出預警。最后一個問題則將關注的焦點放到了整個網絡的宏觀安全態勢上,不再局限于某個具體威脅事件或者某個局部網絡區域。下面對上述四個問題的研究現狀進行詳細闡述, 由于前兩個問題的相似性,下文對其進行統一介紹。
攻擊行為預測及攻擊意圖識別的思想起源最早可以追溯到2001年,Geib和Goldman回將攻擊行為 預測問題視作攻擊意圖識別問題的一個擴展,首次提出了研究該問題的一些先決條件以及存在的障礙:比如威脅事件的前期活動可能無法直接觀測得到,或者多個威脅事件可能同時發生。隨后在2003年左右出現了第一個進行攻擊行為預測及攻擊意圖識別的具體方法,自此,包括文獻綜述在內的相 關研究也一直受到國內外學者的關注。
為了預測一個威脅事件接下來的行為活動,通常需要深入理解攻擊者的行為模式并為其建立表達 模型。Bou-Harb等人囲提出將網絡攻擊的整個流程分解為7個步驟:(a)掃描目標網絡3(b)分析目標網絡資產今(c)嘗試入侵今(d)提升權限9(e)執行惡意任務今(f)投放惡意軟件/后門程序9(g)清除痕跡并退出。
由于許多網絡攻 擊都按照上述步驟順序進行,于是攻擊行為預測似 乎變得極為簡單:如果入侵檢測系統能夠觀測到一系列符合攻擊行為表達模型的活動或者事件,那么就可以根據模型判斷攻擊者在下一個步驟中將采取 何種行動。但是,上述表達模型太過抽象、模糊,實際上無法據此采用具體算法進行預測,因而需要更為精準的數學模型,如網絡攻擊圖氣此外,考慮到網絡攻擊的種類繁多,很有必要在統一框架下為所有攻擊建立統一的預測模型。但在早期階段,常常通過人工方式手動建立攻擊模型庫圓,因而受到人力約束并且需要對其持續進行更新%后來則逐漸發展出通過數據挖掘技術自動產生攻擊模型的諸多方法。
如前文所述,攻擊行為預測和攻擊意圖識別具有一定的相似性,二者的差異主要體現在它們的預測重點不同:進行攻擊行為預測時,并不關注攻擊 者發起本次攻擊的最終意圖是什么。早期的攻擊意 圖預測側重于為網絡取證提供支撐吐相關方法也主要依賴于對歷史數據的離線分析。后來的研究則逐漸聚焦到實時的攻擊意圖識別,進而和攻擊行為預測越發相似。攻擊/入侵預警并不滿足于攻擊行為預測只針對正在發生的攻擊進行預測的能力,而是希望能夠事先對尚未發生的新的攻擊事件進行預警,相關的變種問題包括網絡脆弱性預測、攻擊傳播路徑預測、多階段網絡攻擊行為預測等。該問題的研究也通常和預警系統的相關研究存在交叉閔,在某種程度上屬于網絡安全態勢預測領域中的通用性問題。
也正是由于該問題的研究目標過于籠統,相關研究工作采取的方法和模型很少有相似之處,從攻 擊圖之類的離散模型到時間序列之類的連續模型都有涉及。事實上,對攻擊行為預測所采用的模型進行細微改造,即可將其用于攻擊/入侵預警:對離散模型而言,預測過程不再以某個已經觀測到的攻擊事件作為初始條件,而是目標網絡所存在的漏洞可能會被利用的概率;對連續模型而言,若使用時間序列對目標網絡遭受的攻擊事件序列進行建模,該時間序列即可用來預測針對目標網絡的某個攻擊是否會出現。
該問題的更進一步的目標是根據攻擊類型以及攻擊者和受害者的特征,估計目標網絡可能遭受什么類型的網絡攻擊,誰可能是攻擊者和受害者。近期某些研究在預測過程中同時利用一些非技術性的 數據源來提升網絡攻擊的“可預測性”,例如,文獻[12-13]利用社交網絡的情感分析結果,文獻[14]利用用戶行為的變化。
由于前文所述的三個問題面向局部的單個攻擊或復合攻擊進行預測,因而被也稱為戰術級預測(Tactical-level Prediction),與之相對的,對目標網絡整體安全態勢的預測被稱為戰略級預測(Strategic-level Prediction )。整體安全態勢預測的核心目標是預測目標網絡的宏觀安全狀態演變趨勢,是網絡態勢感知研究中更受關注但也更具挑戰的任務回。
現有的大多數工作都采用量化分析的方式對目標網絡在某個時刻的安全狀態進行建模,獲得其安全狀態的數值化度量指標,并將該度量指標用來預測目標網絡在未來某個時刻的安全狀態度量。這類方法無法提供目標網絡在未來可能遭受的具體威脅的相關信息,但是可以提供一個宏觀且量化的指標,用于標識整個目標網絡的安全性。
在度量目標網絡的整體安全性時,主要存在以下兩種方法:
(1)層次化加權計算法將整個網絡的安全要素劃分為多個層次,首先計算其中各個基本網絡元素(如主機、服務)的安全狀態度量指標,然后自底向上地對其進行加權求和,從而得到整體的安全狀態度量指標。不同研究者可能采用不同方法計算基本網絡元素的安全度量,加權求和時所使用的權重實際上反映了各個網絡元素的重要程度。
(2)基于攻擊強度估計的方法認為目標網絡遭受的攻擊強度直接反映其整體安全狀態,通過融合多個數據源中的攻擊信息計算得到一個同攻擊事件的 數量相關的數值,用于衡量網絡的整體安全狀態。由于這兩種方法的輸入變量及預測變量都是數值變量,因此相關算法多基于連續模型實現。
上述分類策略從態勢預測所關注的具體目標對 相關工作進行劃分,并對相關工作的共性特征進行了分析。事實上,不同的研究所采取的數學模型及預測方法均存在差異。Husak和Komarkova等人回從模型方法的角度對現有工作進行了比較詳盡的調 研,并將相關研究的模型和方法歸納為(1)離散模型;(2)連續模型;(3)機器學習和數據挖掘;(4)難以納入上述三類的其他方法等四個類別。
其中,離散模型主要包括攻擊圖模型、貝葉斯網絡、馬爾科夫模型等概率圖模型,以及基于博弈論的預測模型。這些離散模型主要被用于預測單個或復合攻擊事件的演化趨勢,即戰術級預測。基于連續模型的預測方法主要包括時間序列分析法和基于灰度模型的預測方法,而基于機器學習和數據挖掘的預測方法則試圖對神經網絡、支持向量機(Support Vector machine, SVM)、頻繁模式挖掘、關聯規則挖掘、序列挖掘、決策樹、隨機森林等傳統方法進行適當改造,將其應用到網絡安全態勢預 測的具體場景中。表格1對上述模型方法和相應文獻進行了歸納。
第四個類別中的方法因為采用一些比較特殊的方法針對某個非常具體的問題進行研究,難以被納入到上述幾類中。相關研究主要包括基于相似度計算的攻擊意圖識別卬刁氣基于流量強度異常分析的DDoS攻擊預測,基于置信規則庫模型和進化計算的網絡安全整體態勢評估及預測㈣,基于非典型信息源的安全態勢預測等。其中基于非典型信息源的預測方法主要通過如Twitter之類的社交網絡收集相關數據,分析其中所蘊含的情感傾向,為網絡安全態勢預測提供輔助。
2 方法評估
在對相關預測方法進行評估時,首先需要考 慮該方法的實用性,而預測精度和算法效率是兩個至關重要的衡量指標。許多方法都能夠在特定測試 數據集上取得超過90%的精度,但是已有研究表明,若將這些方法應用到實際網絡場景中,針對 實時網絡流量進行處理,其預測精度會大幅下降至60% ~ 70%甚至更低。算法效率方面的實用性主要通過兩個方面的時間量進行衡量:(1)算法運行時間,即獲得預測目標的相關信息所消耗的時間;(2)獲得這些信息時距離對應事件實際發生時的時間。
總體而言,預測方法應當盡可能提前在威脅事件發生之前得到準確的預測結果,為主動防御工 具預留足夠反應時間。早期的相關工作重點從算法 的計算復雜度對其效率進行分析,但是系統性的分析報告十分稀少。而近期出現的工作多數都著力于在實時環境下對網絡安全態勢進行預測,算法延遲非常小,因此第一個方面的時間延遲不再是障礙。但是,了解威脅事件發生前的反應時間仍然很有必要。H. A. Kholidy等人在2014年發表了一系列文章宣稱他們所提的方法能夠在攻擊發生之前39分鐘做出預測,為防御方預留了足夠反應時間。然而據我們所知,使用這種度量方法的后續工作還未曾出現。
在調研現有研究的過程中,我們發現許多工作都采用了幾個常見的數據集對所提方法進行評估。其中,使用最為廣泛的當屬麻省理工學院的Lincoln 實驗室于1998年-2000年先后發布的3套入侵檢測數據集㈣。雖然這些數據集的相關文檔非常全面, 但是它們面臨著時效性的問題——約20年前的數 據并不能良好反映當今網絡空間的安全威脅和流量模式。
此外,還有許多學者在研究過程中獨立創建了相應的測試數據集,但是由于數據敏感性,這些數據集無法被公開發布。另一種方案則是建設相應的測試平臺,但也由于其工作繁瑣的原因難以推 廣。
因此,對相關研究結果的重現仍然是網絡安全態勢預測領域中面臨的一個難題。用于攻擊行為預測方法評估的數據集面臨著一個更普遍的問題——產生這些數據集的初衷并不是將其用作攻擊行為預測方法評估。
D. S. Fava等人在2008年就曾指出,包括Lincoln實驗室提供的多數常用數據集適用于入侵檢測,但是將其用于攻擊行為預測的方法評估 則存在缺陷:數據中并不包含攻擊行為的軌跡信 息,無法從中挖掘攻擊者的攻擊意圖以及各個攻擊 步驟之間的關聯關系。
因此,使用這些數據集固然 可以檢驗對下一步攻擊行為的預測精度,卻難以評估相關方法對于攻擊意圖、攻擊趨勢的預測是否準確合理。
另一種價值更高但是也更具挑戰的評估手段 是在真實的場景中對所提方法進行檢驗。
首先,為了驗證所提方法的有效性而允許執行針對真實網絡 的惡意攻擊或者入侵行為是非常冒險的。
其次,在大規模網絡中,獲得所有被侵害的主機的訪問權限 以便掌握攻擊或者入侵行為的完整信息也不具有可 操作性。即便存在諸多困難,學者們依然借助蜜罐 等手段形成了一些實際場景中的攻擊行為數據集, 如DShield網和Hackmageddon網。這類數據的優點在于通常其中只包含惡意的攻擊或者入侵行為數 據,缺點則在于仍然較難從中挖掘識別出老練的攻 擊者的攻擊意圖。
此外,對攻擊行為預測進行的研究通常伴隨著如何對攻擊流量進行引導或者欺騙的研究。防御方在感知到某次攻擊的早期行為時,若能預測得到該次攻擊所利用的服務及攻擊目標,即可迅速在目標網絡中構建一個蜜罐節點,令其運行可被攻擊所利用的服務,偽裝成一個可被攻擊的目標。通過偽裝的蜜罐節點,防御方可以對攻擊者進行欺騙,引導其攻擊行為朝著自己所期望的方向發 展,從而在蜜罐節點收集得到比較完整的攻擊行為數據。
在早期的研究過程中,實現上述思路往往需要花費較高的代價,但隨著軟件定義網絡(Software Defined Network, SDN)及網絡功能虛擬化技術(Network Function Virtualization, NFV )的發展,對攻擊流量進行高效地引導和欺騙成為可能。其中,較具影響力的工作當屬S. Shin和V. Yegneswaran等人于2013年提出的AVANT-GUARD框架網。事實上,上述應用場景也反過來推動著SDN及NFV技術的進步。
4 結 語
前文對四個安全態勢預測問題及其相關研究方法分別進行了介紹,對每個問題的各種研究方法都 或多或少地面臨一些阻礙,這些障礙在某種程度上 也常常具有其相似之處。例如,依賴于攻擊模型的 攻擊行為預測方法需要研究如何建立并維護合理的 攻擊模型;對網絡安全狀態進行形式化表達的方法 需要研究構成網絡安全狀態的所有因素,即構建完 備的安全狀態表達模型。
綜上所述,學術界已經在 網絡安全態勢預測方面進行了大量研究且仍對其保 持著強烈關注,各種新型模型及方法不斷涌現,但總體而言,下述問題仍未得到良好的解決:
(1)在預測方法的準確性方面,相較于博弈論和時間序 列方法,馬爾可夫模型方法、機器學習方法主要是先從歷史數據中得到關聯規則,在此基礎上再進行 分析。這種方案對已知的攻擊行為能足夠清晰和準確地分析出攻擊者下一步要采取的行動,而對于一 些新的攻擊行為和相似攻擊行為的變體需要額外處理,準確性有待提高;
(2)在預測方法的性能方面, 由于攻擊活動是動態變化的,攻擊活動產生的痕跡 等相關信息非常龐大,傳統處理方法未必可行,難以擴展到實時的大規模應用場景中,為此需要實時地對相關信息進行優化處理(如聚類)。
作者簡介 >>>張志勇(1985—),男,博士,高級工程師,主要研究方向為網絡空間測繪、統計學習、知識圖譜;張文博(1985—),男,博士,工程師,主要研究方向為網絡監測預警、網絡態勢感知、模式識別;楊 慧 ( 1987—),女,博士,工程師,主要研究方向為網絡態勢感知、社交網絡分析;李明桂(1989—),男,碩士,工程師,主要研究方向為網絡空間測繪、大數據、網絡安全;劉 方(1981—),女,博士,高級工程師,主要研究方向為網絡空間測繪、網絡態勢感知;徐 銳(1976—),女,碩士,研究員,主要研究方向為網絡空間測繪、網絡態勢感知。選自《通信技術》2019年第七期 (為便于排版,已省去原文參考文獻)
網絡強國建設的思想庫
安全產業發展的情報站
創新企業騰飛的動力源
投稿網址:
http://www.txjszz.com
合作熱線:010-88203306
