黄晔华

基于分段攻击的网络安全态势评估技术

黄晔华

无锡工艺职业技术学院, 江苏 无锡 214206

网络安全态势评估是网络安全领域的重要组成部分，但是目前的评估技术存在片面性、预测结果偏差大、不能连续取值等问题。本文提出一种基于分段攻击的网络安全态势评估技术，通过评估模型构建、量化分析、评估计算，在理论分析的基础上进行实证。根据实验结果，本文提出的技术较好，不仅提高了网络安全态势评估的全面性，还能准确预测下一时刻的网络安全态势，同时加强了取值的连续性，有一定的使用价值。

网络安全态势; 评估; 分段攻击

互联网的发展给人们的生活与工作带来了极大的便利性，但网络本身是脆弱的，存在着各种各样的安全风险，尤其受到目的性强的网络攻击时，造成的损失难以估量[1]。如今，网络安全态势评估技术受到了人们的广泛关注，但是传统的网络安全评估技术只能评估已经发生的攻击行为，很难预测未来的网络安全态势。从当前的研究现状看，网络安全态势评估已成为网络安全领域的一项重要研究课题，各种评估技术层出不穷。Neesha等提出一种以攻击图为基准的网络安全态势评估技术，能够分析多个阶段的攻击行为信息，并建立起网络安全态势评估模型，对攻击成功率进行初步计算[2]。该技术存在预测偏差大的问题。Yu-Beng等以数据包融合的方式对网络安全态势进行评估，检测网络存在的漏洞并评测网络的脆弱性，然后结合不同权重值寻找最优规划算法，以得出最新的网络安全态势[3]。但该技术的可靠性较低。为能对分段攻击下的网络安全态势进行准确评估，提出一种新的评估技术，并通过实证分析，证明本文所提技术的可行性。

1 基于分段攻击的网络安全态势评估步骤

1.1 基于分段攻击的网络安全态势评估模型构建

针对网络安全数据源多的特征，构建基于分段攻击的网络安全态势评估模型，将评估指标分成两大类：（1）网络安全信息，用表示；（2）分段攻击信息，用表示。网络安全信息包含了主机的节点信息以及网络拓扑信息，关系式如下：=(,) (1)

在上式中，代表主机的节点信息集合，这些节点既有服务器、PC机、移动电脑等，也有交换机、路由器等。代表网络拓扑信息集合，反映网络连接的关系，表达式如下：⸦×(2)

分段攻击信息则包含目前已知的分段攻击信息I以及检测出来的分段攻击信息I，关系式如下：⸦(I,I) (3)

设分段攻击下的网络安全态势值为，其构成主要是网络安全信息和分段攻击信息，关系式如下：⸦(,) (4)

1.2 基于分段攻击的网络安全态势量化分析

在上式中，Feature(,)代表第个特征属性的关联度，a代表第个特征属性的权重值。若出现新的网络安全警报，可以根据上式将网络安全警报与分段攻击时的不同场景相匹配，计算网络安全警报与攻击时间的关联度，并通过该关联度聚类网络安全事件，进而得到不同场景下的网络安全警报集合。

上式中的=0代表攻击时的节点是或节点，=1代表攻击时的节点是与节点。

1.3 基于分段攻击的网络安全态势评估

根据分段攻击成功率和出现概率的计算结果，使用CVSS评价指标评估网络安全态势。该指标共有三个：网络机密性()、完整性()、可用性()。通过这些指标对网络漏洞的威胁评价得分，衡量单个网络漏洞所造成的影响，威胁评价得分计算公式如下：()=10(1-)(1-)(1-) (8)

根据上式可知，网络分段攻击的每一个场景都要使用多个漏洞，设被攻击节点的权重值为，并与攻击出现概率()、单个网络漏洞威胁评价得分()一起进行综合量化处理，得出分段攻击时不同场景对网络安全态势所造成的影响，计算公式如下：

上式中，代表分段攻击场景(path)及其出现的阶段，同时满足下面的条件：P()≤1；()≤10；S=1。按照这些条件进行计算，得出(path)≤10。当(path)Î[0,4]，则危害程度为低风险级；当(path)Î[4,7]，则危害程度为中风险级；当(path)Î[7,10]，则危害程度为高风险级。

在上式中，代表分段攻击的所有场景总和。

2 实证分析

为证明本文所提技术的可行性及优越性，首先搭建实验所用的网络环境（图1）。该环境涵盖了各类可能受到攻击的主机，并在IDS网络中安装入侵检测装置。当攻击者进行分段攻击时，IDS以及防火墙都会产生警报数据，主机也能提供攻击时间，由此形成检测审核日志。模拟攻击者所采取的流程：首先进行一次分段木马攻击，根据木马植入情况再次进行攻击，就能扫描到有效的主机，然后利用溢出的漏洞信息进行攻击，得到网络访问权限，同时通过NFS协议对服务器中的重要文件信息修改，以找到可执行的二进制代码，并在工作站安装攻击木马程序。在流程最后阶段，攻击者激活工作站中的木马程序，从而得到工作站的整个控制权。

图1 实验的网络环境

根据分段攻击的检测数据以及审核日志，使用本文所提的网络安全态势评估技术，依次建立各节点的网络安全态势评估模型、量化分析当前的网络安全态势并进行评估，最终得到网络安全态势值。以实验网络环境中的Web服务器为例，计算得出该主机受到攻击时的攻击出现概率()=0.913，而在受到攻击之前的攻击出现概率()=0.907，它们之间的关联度(,)=1，设网络攻击模式为1，则网络攻击支持概率为(1)，用以下公式计算：(1)=()()(,)=0.913×0.907×1=0.828 (11)

根据以上计算结果，结合分段攻击威胁(1)=0.41，得出分段攻击对该节点的网络安全态势影响为：=(1)(1)=0.0828×0.41=0.339 (12)

检测装置只检测到这一攻击，未发现其它攻击，由此可以确定该主机只受到单次攻击的影响，网络安全态势值==0.339。然后根据各节点权重值，计算整体安全态势值。

通过本文提出的网络安全态势评估技术，预测下一时刻网络安全态势的发展情况，还是以Web服务器为例，当检测到该主机有攻击出现时，通过量化分析对攻击者进行识别，发现攻击者采用的是1攻击模式，这时调用主机配置信息进行漏洞扫描，发现有漏洞信息溢出，计算网络状态是否满足的条件，若满足，说明该主机只受到这一阶段的攻击，预测下一时刻的安全态势：

=(1)()(1)=0.907×1×0.41=0.371 (13)

根据以上计算结果，结合各节点权重，得出预测的结果，如图2所示。

从上图可知，本文所提技术可以更加准确地对下一时刻网络安全态势进行预测，从而实现有效的预判，以便及时制定防护措施和补救方案，预测的准确性大为提高。

图2 网络安全态势预测结果

3 讨论

在互联网时代，网络安全态势评估变得越来越重要，但从当前的研究成果看，依然存在一定的问题。王坤等研究了网络安全态势的评估方法，只对单个网络攻击所造成的破坏进行考虑，并未考虑网络攻击的整体因果关系，根据作者的计算结果，主机受到1阶段攻击的安全态势值比后续阶段的网络攻击安全态势值要高得多[4]。王法玉等提出了一种网络安全态势评估技术，缺点在于只有网络攻击已经实施才能计算安全态势值，无法预测下一时刻的安全态势值，并且取值范围较为有限[5]。吴果等对当前的网络安全态势评估技术进行了调查，以此为基础提出一种大规模攻击下的网络安全态势评估法，但同样只考虑到单个网络攻击造成的影响，全面性有所欠缺[6]。本文提出的网络安全态势评估技术相对于以上研究成果来说，能够全面评估网络安全态势，对下一时刻网络安全态势的预测准确性较高，并且能够连续取值，极大地拓展了取值范围。

4 结论

针对当前网络安全态势评估技术存在片面性、预测结果偏差大、不能连续取值等问题，提出一种基于分段攻击的网络安全态势评估技术，在理论研究的基础上，通过实证分析对本文所提技术的评估使用性和预测准确性进行证明。从实验结果看，本文提出的技术较好地弥补了当前研究成果的一些缺陷，不仅提高了网络安全态势评估的全面性，还能准确预测下一时刻的网络安全态势，同时加强了取值的连续性，有较好的应用前景。

[1] 冯筠.基于区间层次分析法的网络安全评估研究[J].数学的实践与认识,2016(5):162-167

[2] Kodagoda N, Attfield S, Chupoudhury ST,Concern level assessment; building domain knowledge into a visual system to support network-security situation awareness[J]. Information visualization, 2014,13(4):346-360

[3] Beng LY, Abdulrazzaq A, Manickam S,. An adaptive assessment and prediction mechanism in network security situation awareness[J]. Journal of computer sciences, 2017,13(5):114-129

[4] 王坤,邱辉,杨豪璞.基于攻击模式识别的网络安全态势评估方法[J].计算机应用,2016(1):194-198

[5] 王法玉,张晓洪.多源事件融合的网络安全态势评估方法[J].计算机工程与设计,2016(6):1140-1144

[6] 吴果,陈雷,司志刚,等.网络安全态势评估指标体系优化模型研究[J].计算机工程与科学,2017(5):861-869

Assessment Technology for Network Security Situation Based on Segmented Attack

HUANG Ye-hua

214206,

Network security situation assessment is an important part in the field of network security, but there are some problems in the current assessment technology, such as one-sidedness, large deviation of prediction results, and not continuous value. This paper presents a network security situation assessment technology based on piecewise attack. Through the construction of evaluation model, quantitative analysis and evaluation calculation, it carries out empirical research on the basis of theoretical analysis. According to the experimental results, the technology proposed in this paper not only improves the comprehensiveness of the network security situation assessment, but also accurately predicts the network security situation at the next moment, and strengthens the continuity of the values, which has certain application value.

Network security situation; assessment; segmented attack

TP393

A

1000-2324(2019)03-0489-03

10.3969/j.issn.1000-2324.2019.03.029

2018-03-25

2018-04-28

黄晔华(1982-),女,硕士,工程师,主要研究方向为计算机网络技术、网络安全. E-mail:hyh@wxgyxy.edu.cn