为了预测一个威胁事件接下来的行为活动,通常需要深入理解攻击者的行为模式并为其建立表达 模型 。Bou-Harb等人囲提出将网络攻击的整个流程分解为7个步骤:(a)扫描目标网络3(b)分析目标网络资产今(c)尝试入侵今(d)提升权限9(e)执行恶意任务今(f)投放恶意软件/后门程序9(g)清除痕迹并退出 。
由于许多网络攻 击都按照上述步骤顺序进行,于是攻击行为预测似 乎变得极为简单:如果入侵检测系统能够观测到一系列符合攻击行为表达模型的活动或者事件,那么就可以根据模型判断攻击者在下一个步骤中将采取 何种行动 。但是,上述表达模型太过抽象、模糊,实际上无法据此采用具体算法进行预测,因而需要更为精准的数学模型,如网络攻击图气此外,考虑到网络攻击的种类繁多,很有必要在统一框架下为所有攻击建立统一的预测模型 。但在早期阶段,常常通过人工方式手动建立攻击模型库圆,因而受到人力约束并且需要对其持续进行更新%后来则逐渐发展出通过数据挖掘技术自动产生攻击模型的诸多方法 。
如前文所述,攻击行为预测和攻击意图识别具有一定的相似性,二者的差异主要体现在它们的预测重点不同:进行攻击行为预测时,并不关注攻击 者发起本次攻击的最终意图是什么 。早期的攻击意 图预测侧重于为网络取证提供支撑吐相关方法也主要依赖于对历史数据的离线分析 。后来的研究则逐渐聚焦到实时的攻击意图识别,进而和攻击行为预测越发相似 。攻击/入侵预警并不满足于攻击行为预测只针对正在发生的攻击进行预测的能力,而是希望能够事先对尚未发生的新的攻击事件进行预警,相关的变种问题包括网络脆弱性预测、攻击传播路径预测、多阶段网络攻击行为预测等 。该问题的研究也通常和预警系统的相关研究存在交叉闵,在某种程度上属于网络安全态势预测领域中的通用性问题 。
也正是由于该问题的研究目标过于笼统,相关研究工作采取的方法和模型很少有相似之处,从攻 击图之类的离散模型到时间序列之类的连续模型都有涉及 。事实上,对攻击行为预测所采用的模型进行细微改造,即可将其用于攻击/入侵预警:对离散模型而言,预测过程不再以某个已经观测到的攻击事件作为初始条件,而是目标网络所存在的漏洞可能会被利用的概率;对连续模型而言,若使用时间序列对目标网络遭受的攻击事件序列进行建模,该时间序列即可用来预测针对目标网络的某个攻击是否会出现 。
该问题的更进一步的目标是根据攻击类型以及攻击者和受害者的特征,估计目标网络可能遭受什么类型的网络攻击,谁可能是攻击者和受害者 。近期某些研究在预测过程中同时利用一些非技术性的 数据源来提升网络攻击的“可预测性”,例如,文献[12-13]利用社交网络的情感分析结果,文献[14]利用用户行为的变化 。
由于前文所述的三个问题面向局部的单个攻击或复合攻击进行预测,因而被也称为战术级预测(Tactical-level Prediction),与之相对的,对目标网络整体安全态势的预测被称为战略级预测(Strategic-level Prediction ) 。整体安全态势预测的核心目标是预测目标网络的宏观安全状态演变趋势,是网络态势感知研究中更受关注但也更具挑战的任务回 。
现有的大多数工作都采用量化分析的方式对目标网络在某个时刻的安全状态进行建模,获得其安全状态的数值化度量指标,并将该度量指标用来预测目标网络在未来某个时刻的安全状态度量 。这类方法无法提供目标网络在未来可能遭受的具体威胁的相关信息,但是可以提供一个宏观且量化的指标,用于标识整个目标网络的安全性 。
在度量目标网络的整体安全性时,主要存在以下两种方法:
(1)层次化加权计算法将整个网络的安全要素划分为多个层次,首先计算其中各个基本网络元素(如主机、服务)的安全状态度量指标,然后自底向上地对其进行加权求和,从而得到整体的安全状态度量指标 。不同研究者可能采用不同方法计算基本网络元素的安全度量,加权求和时所使用的权重实际上反映了各个网络元素的重要程度 。
(2)基于攻击强度估计的方法认为目标网络遭受的攻击强度直接反映其整体安全状态,通过融合多个数据源中的攻击信息计算得到一个同攻击事件的 数量相关的数值,用于衡量网络的整体安全状态 。由于这两种方法的输入变量及预测变量都是数值变量,因此相关算法多基于连续模型实现 。
推荐阅读
- 黑客必备神器,包括系统和网络安全、逆向等工具
- 茶叶大数据分析,浙江首次发布茶叶采摘期大数据预测
- 网络安全中的边界防护
- 美国电信网络遭DDOS攻击,DDOS属于哪类网络安全威胁?
- 网络安全技术知识分享
- 从2.8K到35W,一个网络安全人员的自我救赎之路
- 网络安全必须要知道的17个技术知识点
- 人工智能技术或成为未来网络安全的引爆点和驱动力
- 网络安全常见协议解析:TCP、UDP、HTTP、FTP、SMTP等之间的区别
- 大数据时代的食品安全,浙江首次发布茶叶采摘期大数据预测