返回
网络攻击源的行为特点与评估模型构建

网络攻击源的行为特点与评估模型构建

ID:10775958

大小:58.50 KB

页数:6页

时间:2018-07-08

网络攻击源的行为特点与评估模型构建_第1页
网络攻击源的行为特点与评估模型构建_第2页
网络攻击源的行为特点与评估模型构建_第3页
网络攻击源的行为特点与评估模型构建_第4页
网络攻击源的行为特点与评估模型构建_第5页
资源描述:

《网络攻击源的行为特点与评估模型构建》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络攻击源的行为特点与评估模型构建  1引言  分析评估X络攻击源行为特点及攻击能力有助于增强X络安全防护措施的有效性和针对性.传统安全监测防护通常以企业X为边界,仅能捕获攻击源针对该企业X发起的局部攻击行为,难以对攻击源行为进行有效分析.当前,骨干X安全监测条件日渐成熟,一方面显着扩大了X络监测范围,为攻击源威胁行为分析提供了视窗基础,另一方面报警信息海量化使得响应负担过载,迫切需要构建攻击源威胁行为评估机制,以识别重点威胁源并进行优先应对.现有的安全评估方法主要包括信息安全的风险评估[1-3]和X络攻击效果评估

2、[4-5]两部分,其中信息安全的风险评估主要用于从风险的角度评估威胁可能对资产造成的损失;X络攻击效果的评估主要用于评估一个攻击方案或一次具体的攻击行为造成的安全效果.这些评估方法受限与传统的企业X安全监测环境,侧重于信息系统的安全性评测,无法反映攻击源威胁能力的差异性.基于此,本文在分析X络攻击源的行为特点的基础上,层次分析法构建了一个威胁行为动态评估模型,基于真实监测数据的实验分析表明,相比较传统的报警数量排名,本模型给出的攻击源威胁评估更具合理性.  2评估体系  2.1评估指标的提取  构建X络攻击源威胁行

3、为的综合评估模型,首先要选择合适的评估指标.目前,这方面的研究还比较少,主要有:汪生[6]等使用6大类10个方面提出了59个指标,但这些指标主要是针对单个攻击模型和联合使用多个攻击模型的攻击效果描述;胡影[7]等利用攻击库挖掘的技术挖掘得到5类122个原子功能,但这些指标无法从骨干X监测平台上提取;赵博夫[8]等提出了13个指标,指标主要反映了攻击者实施的X络攻击的目的为破坏目标X络的安全指标(使其失效或降低),但指标中大量实际监测环境中不可测的指标.总体来说,这些评估指标无法满足X络攻击源威胁的评估,主要存在以下

4、几点原因:  1)指标的提取不够完备,不能从对攻击源的所有攻击行为出发,进行大视角的整体能力的评估,不具有全面性.2)部分指标[7,8]需要从目标X络中提取,这在当前的监控条件下是无法获得的,不具有可行性.3)部分指标[8]过于抽象,不易量化操作,不具有可测性和便利性.在当前的X络监控条件下,X络攻击源组织探测只能以X络攻击源的报警信息和触发的规则信息为挖掘对象,其中报警信息直接包含的信息包括:报警时间、源地址、目标地址、源端口、目标端口、源MAC、目标MAC、报文长度、报警X卡名称、原始报文、插件特征编号;规则信

5、息直接包含的信息包括:  协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型.结合攻击源威胁行为的特点,我们从X络攻击源的攻击活跃性,攻击破坏力和攻击目的性出发,挖掘出以下评估指标:攻击时间的分布,攻击时间的持续性,攻击的频度,掌握攻击手段的数量,攻击的连贯性,偏好使用的攻击威胁,触发报警的种类以及目标地址的等级分布.    2.2评估体系的构建  层次分析法[9](AnalyticHierarchy

6、Process,AHP)是一种定性与定量分析相结合的多目标决策分析方法,适用于评价因素难以量化且结构复杂的评价问题.本文将AHP方法引用到X络攻击源威胁行为的评估中,按照目标准则指标的层次结构,经过逐步细化,构建了一个层次化的评估体系.其中目标层为X络攻击源威胁行为的威胁值.准则层由攻击源的活跃性、攻击源的破坏性、攻击源的目的性组成.指标层按照不同的准则分为三组,不同的评估指标隶属于不同的评估准则,最终,X络攻击源威胁行为的评估体系如图1所示.【1】   3指标的计算  3.1时间分布的计算  时间分布指标旨在判别

7、攻击是攻击源操纵者主动发出的,还是由所感染的木马病毒定期发送的.采用概率统计的方法,将攻击源发出的所有攻击按照24个时间段(一天24小时每个小时一个时间段)分组,根据X络攻击源的时间分布信息计算时间分布的方差,然后与预设的方差阈值进行比较,时间分布方差与阈值的比较表达式如下,【2】    其中,timeDis表示最终时间分布的计算结果,timeVar表示求出的X络攻击源时间分布的方差,timeThresh表示设定的时间分布的方差阈值,该值由多次试验验证获得.如果大于、等于阈值则认为该攻击源发出的攻击是攻击源操纵者主

8、动发出的,取值为1.反之,则认为是其所感染的木马病毒定期发送的,取值为0.据多次试验获得timeThresh为41365.    3.2时间持续性的量化计算  时间持续性指标用来衡量攻击源的攻击时间跨度,攻击源较平均时间跨度越大,说明该攻击源在该监控环境中的威胁活动时间越长,按照式(2)计算.【3】    其中,X为从检测到攻击源第一次发起攻击到最后一次检测

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。