基于威脅情報的網(wǎng)絡安全態(tài)勢感知模型

張紅斌，尹彥，趙冬梅，劉濱

（1.河北科技大學信息科學與工程學院，河北 石家莊 050018；2.河北師范大學河北省網(wǎng)絡與信息安全重點實驗室，河北 石家莊 050024；3.河北科技大學經(jīng)濟管理學院，河北 石家莊 050018；4.河北科技大學大數(shù)據(jù)與社會計算研究中心，河北 石家莊 050018）

1 引言

隨著網(wǎng)絡規(guī)模和用戶數(shù)量的不斷增加，網(wǎng)絡朝著大規(guī)模、多業(yè)務、大數(shù)據(jù)化的方向發(fā)展，網(wǎng)絡的體系結構也隨之日趨復雜化。在這種背景下，計算機病毒、惡意軟件、信息泄露等網(wǎng)絡攻擊越來越嚴重，多層次的安全威脅和風險也在持續(xù)地增加。高級持續(xù)威脅（APT,advanced persistent threat）成為目前網(wǎng)絡攻擊的新趨勢[1]，尤其是APT 使用高級的攻擊手段對某一指定目標進行長期、持續(xù)的網(wǎng)絡攻擊，具有高度的隱蔽性和危害性[2]。近年來，網(wǎng)絡威脅情報（CTI,cyber threat intelligence）的出現(xiàn)為態(tài)勢感知的研究帶來了新思路。CTI 描述了攻擊行為，提供了網(wǎng)絡攻擊的上下文數(shù)據(jù)，并指導了網(wǎng)絡攻擊和防御，利用威脅情報收集大量數(shù)據(jù)，通過有效的數(shù)據(jù)共享和確保信息交換的安全和質(zhì)量，分析惡意行為，可發(fā)現(xiàn)和預防APT[3]。

然而，目前對于CTI 的研究仍處于初始階段，相關研究成果較少，在使用CTI 進行態(tài)勢感知研究方面，如何合理規(guī)范地使用威脅情報也是亟待解決的關鍵問題。針對這一問題，本文提出了一種基于威脅情報的網(wǎng)絡安全態(tài)勢感知模型，對網(wǎng)絡資產(chǎn)狀態(tài)、風險狀態(tài)、日志警告進行態(tài)勢要素采集，將采集到的數(shù)據(jù)信息在外源威脅情報指導下進行數(shù)據(jù)篩選、清洗以及關聯(lián)分析，通過攻防之間的博弈過程對處理后的數(shù)據(jù)進行態(tài)勢量化及預測。在此過程中，利用外源威脅情報指導內(nèi)源威脅信息，并與態(tài)勢感知預測結果對比分析后，生成內(nèi)源威脅情報。

2 相關工作

態(tài)勢感知是指在特定的時間和空間內(nèi)提取系統(tǒng)的要素，理解其含義并預測其可能產(chǎn)生的影響。Endsley[4]將態(tài)勢感知分為3 個層面：態(tài)勢要素提取、態(tài)勢理解、態(tài)勢投射。之后Bass[5]提出了網(wǎng)絡態(tài)勢感知的概念，即在大型網(wǎng)絡環(huán)境中，獲取、理解、評估和顯示可能導致網(wǎng)絡狀態(tài)發(fā)生變化的要素，并預測未來的發(fā)展趨勢。

在態(tài)勢感知模型的研究方面，文獻[6]針對物聯(lián)網(wǎng)防御復雜的問題，提出了基于隨機C-Petri 網(wǎng)的安全態(tài)勢感知博弈模型，動態(tài)地考慮攻防兩者的對抗行為，發(fā)現(xiàn)潛在的攻擊行為，做出有效的防御；但在具有大量IoT 節(jié)點的復雜網(wǎng)絡環(huán)境下，該模型的計算面臨很大的困難，還需引入云計算的方法降低計算復雜性。文獻[7]提出了一種基于隨機博弈的網(wǎng)絡安全態(tài)勢評估模型，綜合分析了攻擊方、防御方和環(huán)境信息三者對安全態(tài)勢的影響；然而在考慮攻防雙方策略選擇時僅考慮簡單的策略集合，而在真實的攻擊場景中策略選擇要復雜得多。文獻[8]提出了基于拓撲漏洞分析的態(tài)勢感知模型，通過網(wǎng)絡安全態(tài)勢要素的獲取、分析，計算網(wǎng)絡安全態(tài)勢值，實現(xiàn)態(tài)勢感知；但當網(wǎng)絡環(huán)境更改時，它需要再次對環(huán)境建模，不能很好地適應網(wǎng)絡更改，還需建立模型參數(shù)自適應理解機制。文獻[9]針對電子滲透APT 攻擊提出了馬爾可夫多階段可轉移信念模型，將殺傷鏈模型與攻擊樹結合，利用沖突作為識別悖論的指標，能夠為復雜的多階段攻擊進行態(tài)勢感知；但該模型在選取最有效的方式優(yōu)化資源分配以及改善決策制定方面也需要進行改進。

威脅情報主要是利用大數(shù)據(jù)的收集方法獲取，能夠提供最全、最新的安全事件數(shù)據(jù)，極大提高了網(wǎng)絡安全態(tài)勢感知工作中對新型和高級危險的察覺能力。文獻[10]針對APT 攻擊鏈進行研究，選取域名系統(tǒng)（DNS,domain name system）流量作為APT 整體檢測的原始數(shù)據(jù)，采用多種不同檢測特征，結合最新的威脅情報和大數(shù)據(jù)技術，對APT攻擊檢測具有一定的意義。文獻[11]以威脅情報為切入點，設計安全威脅情報共享系統(tǒng)，通過第三方共享的威脅情報數(shù)據(jù)對電網(wǎng)安全的安全態(tài)勢進行評估，并及時發(fā)現(xiàn)異常行為，利用威脅情報實現(xiàn)入侵意圖識別，大大提升了系統(tǒng)安全態(tài)勢感知的能力。威脅情報具有強大的更新能力，通過威脅情報的共享技術，情報庫不斷更新，因此威脅情報的共享技術是實現(xiàn)攻擊溯源的重要手段。文獻[12]為實現(xiàn)有效的攻擊溯源，基于STIX 提出了一種精簡模式的威脅情報共享利用框架，以有關C2信息為例描述了威脅情報的共享利用表達方式，實驗結果表明利用威脅情報進行攻擊溯源具有實用性。

通過對上述文獻進行分析可知，威脅情報在提高網(wǎng)絡安全態(tài)勢感知的準確性方面具有很大的影響，因此本文提出基于CTI 和攻防博弈的態(tài)勢感知模型，通過攻防之間的博弈過程量化網(wǎng)絡態(tài)勢，結合CTI 和納什均衡進行網(wǎng)絡安全態(tài)勢預測。

3 態(tài)勢感知模型基礎

本文提出的基于威脅情報的態(tài)勢感知模型分為3 個部分：態(tài)勢覺察、態(tài)勢理解和態(tài)勢投射，如圖1 所示。

圖1 態(tài)勢感知模型

1) 態(tài)勢覺察的主要目的是通過對采集到的要素（主要包含目標網(wǎng)絡的資產(chǎn)狀態(tài)信息、風險狀態(tài)信息及日志警告信息）在外源威脅情報的指導下進行數(shù)據(jù)預處理及關聯(lián)分析，找出系統(tǒng)中的異常攻擊行為及其特征，確定攻擊的意圖、方式以及產(chǎn)生的影響，然后對攻擊信息進行STIX 結構化，生成具有威脅性的內(nèi)源威脅信息。

2) 態(tài)勢理解是在態(tài)勢覺察的基礎上對攻擊行為進行理解，確定攻擊者的攻擊策略，針對攻擊策略選取合適的防御策略。

3) 態(tài)勢投射在前兩步的基礎上分析攻擊行為對網(wǎng)絡中對象的威脅情況，引入攻防博弈的思想，對網(wǎng)絡整體的安全態(tài)勢進行量化及預測，將預測結果與之后網(wǎng)絡態(tài)勢感知的結果進行對比分析。若結果一致，說明通過該方法進行預測分析是可行的，同時將態(tài)勢覺察部分生成的內(nèi)源威脅信息定義為系統(tǒng)內(nèi)源威脅情報。生成的內(nèi)源威脅情報通過威脅情報的共享技術，能夠提高整體網(wǎng)絡空間的安全性。

本文對一般態(tài)勢感知模型的改進主要表現(xiàn)為兩點，一方面在態(tài)勢覺察部分，通過外源威脅情報的指導，對系統(tǒng)內(nèi)部的安全事件進行分析和理解，覺察系統(tǒng)內(nèi)部的威脅。經(jīng)過態(tài)勢覺察生成的內(nèi)源威脅信息可以準確地發(fā)現(xiàn)攻擊，并能對攻擊的意圖、方式及攻擊進行精準描述。另一方面在態(tài)勢投射部分，通過攻擊者、防御者之間的博弈過程，定義相關變量，并對目標系統(tǒng)的安全態(tài)勢進行量化，從而評估網(wǎng)絡的安全狀態(tài)；通過納什均衡存在定理，對目標網(wǎng)絡的未來安全態(tài)勢進行預測，預測攻擊者可能采取的攻擊策略，促使防御者提前采取合適的措施進行防御，使網(wǎng)絡免受攻擊。

4 基于相似度的態(tài)勢覺察方法

本節(jié)介紹了威脅情報的定義、表達格式等相關概念，提出基于外源威脅情報與安全事件相似度比較的威脅信息察覺方法，通過比較兩者之間的相似度，判斷內(nèi)部安全事件是否具有威脅性，發(fā)現(xiàn)系統(tǒng)內(nèi)部的威脅信息。最后將態(tài)勢預測結果對內(nèi)源威脅信息進行反饋，確定內(nèi)源威脅情報。

4.1 威脅情報的定義

Gartner 對威脅情報的定義為：威脅情報是關于IT、信息資產(chǎn)面臨現(xiàn)有或醞釀中的威脅的證據(jù)性知識，包括可實施上下文、機制、標示、含義和能夠執(zhí)行的建議，這些知識可以為威脅的響應、處理決策提供技術支持[13]。本文根據(jù)威脅情報的來源將其分為內(nèi)源威脅情報和外源威脅情報，具體內(nèi)容如以下定義所示。

定義1外源威脅情報（ECTI,external cyber threat intelligence）。通常源于情報提供者提供的開源威脅情報（OSINT,open source intelligence），如互聯(lián)網(wǎng)公開的漏洞信息、安全事件信息、網(wǎng)絡安全預警信息等。

定義2內(nèi)源威脅情報（ICTI,internal cyber threat intelligence）。企業(yè)或機構產(chǎn)生的威脅情報數(shù)據(jù)，用于保護內(nèi)部信息資產(chǎn)和業(yè)務流程。通常是目標系統(tǒng)受到攻擊后，通過相應的安全信息與時間管理入侵檢測系統(tǒng)等安全設備獲取的相關數(shù)據(jù)集，進行數(shù)據(jù)分析、融合后，與態(tài)勢感知的結果進行對比分析證明正確性，最后生成系統(tǒng)內(nèi)源威脅情報。

在進行威脅情報數(shù)據(jù)的預處理前，有必要統(tǒng)一內(nèi)外源威脅情報的格式，本文采用結構化威脅信息表達式STIX[14]作為威脅情報的格式。STIX 提供一種以標準XML 為基礎的語法，用于描述威脅情報的詳細信息、內(nèi)容和威脅情報各個方面的特點。本文首先對ECTI 進行STIX2.0 結構化，選取威脅指標（Indicator）、攻擊模式（Attack Pattern）、工具（Tool）、漏洞（Vulnerability）、可觀測數(shù)據(jù)（Observed Data）這5 類對象作為分析要素，其中每個對象包含了若干的威脅屬性，如表1 所示；然后將這些對象及屬性作為ICTI 的收集依據(jù)，發(fā)現(xiàn)系統(tǒng)內(nèi)部的攻擊行為。威脅對象的具體描述如下。

表1 對象及其屬性

1) Indicator：威脅的指標點，包含攻擊時間、工具、惡意軟件所在的僵尸網(wǎng)絡信息等特征參數(shù)。

2) Attack Pattern：描述攻擊者試圖破壞目標的方式，實際是TTP（tactic、technique and procedure）類型，通常使用通用攻擊模式枚舉和分類（CAPEC）標準來結構化描述攻擊模式。

3) Tool：威脅者可以用來執(zhí)行攻擊的合法軟件。

4) Vulnerability：軟件中的錯誤，黑客可以直接利用該錯誤來訪問系統(tǒng)或網(wǎng)絡。

5) Observed Data：在系統(tǒng)和網(wǎng)絡上觀察到的傳輸信息，例如IP 地址等。

4.2 針對威脅的態(tài)勢覺察方法

威脅覺察過程為通過對目標系統(tǒng)攻擊數(shù)據(jù)的處理，明確攻擊的目的、攻擊工具及產(chǎn)生的影響等；利用STIX2.0 提取上述相關對象及威脅屬性，生成安全事件（SI,security incident）；對安全事件進行權重的計算，得到具有威脅價值的信息，將其定義為內(nèi)源威脅信息。圖2 描述了相似度分析的過程。

圖2 相似度分析的過程

1) 獲取相關對象及屬性

安全事件SI 是一個5 元組，對應上述的5 個對象，每個對象都代表一個分系統(tǒng)，每個分系統(tǒng)下又有若干的威脅屬性，即

其中，每個對象的權重用ωi表示，所有對象的權重值滿足，每個對象下威脅屬性的權重用ωij表示，權重值滿足。

2) 權重計算

開源的威脅情報庫過于龐大，系統(tǒng)內(nèi)部SI 與其完全匹配成功的可能性極低，因此，使用與安全事件相同類型的威脅情報來分析后續(xù)的安全事件。本文利用攻擊方式的CAPEC-id 進行ECTI 的分類，統(tǒng)計每種類型威脅情報中具有SI 特性的威脅數(shù)據(jù)。

本文以分系統(tǒng)Indicator 為例進行描述。對象Indicator 的3 個屬性在外源威脅情報中出現(xiàn)的次數(shù)如表2 所示，其中，xij表示威脅屬性在外源威脅情報中出現(xiàn)的次數(shù)。

表2 Indicator 的屬性在ECTI 中出現(xiàn)的次數(shù)

計算Indicator 分系統(tǒng)中各個屬性在ECTI 中出現(xiàn)的頻率，即

建立目標對象的相對優(yōu)越度矩陣Rm×n為

對象的屬性出現(xiàn)頻次越多，在威脅情報中越具有代表性，利用該屬性進行威脅情報生成越能準確反映目標系統(tǒng)的安全狀態(tài)。根據(jù)文獻[15]，利用式(3)求取相對優(yōu)越值rij，通過式(4)計算ECTI 中每個屬性的權重。

通過對系統(tǒng)內(nèi)部安全數(shù)據(jù)的收集、整理，可以得到內(nèi)部安全事件SI 中每個元組的權重ωi，以及每個元組下屬性的權重ωij，計算式為

其中，yij表示威脅屬性在內(nèi)部安全事件SI 中出現(xiàn)的頻次，則ωi={ωi1,ωi2,…,ωij}，i=1,2,…,5，j=1,2,…,n。

比較ωij與之間的差值，差值越小，說明安全事件中這一對象與同類ECTI 的相似性越大。通過比較可以得到內(nèi)外源安全數(shù)據(jù)Indicator 對象中差值最大的屬性，將該差值作為SI與ECTI中Indicator之間的相似度si1m，即

同理，能夠求得SI 中其余元組與ECTI 的相似度，選擇這些simi中的最大值作為內(nèi)部安全事件與外源威脅情報之間的相似度Sim，即

設置閾值ε，當Sim≤ε時，則該安全事件可以作為目標系統(tǒng)內(nèi)源的威脅信息；否則，將此安全事件進行存儲。

得到系統(tǒng)內(nèi)源的威脅信息后，對攻防策略建立博弈模型，進行態(tài)勢預測，得到預測結果，將威脅信息與預測結果進行對比分析，判斷是否一致，若一致，將此內(nèi)源威脅信息定義為ICTI。圖3 為ICTI生成過程，在此過程中ECTI 指導信息收集，規(guī)范了ICTI 信息的格式。

圖3 內(nèi)源威脅情報生成過程

5 攻防博弈模型

5.1 攻防模型的建立

在網(wǎng)絡攻防過程中，攻防雙方采取的攻擊與防御措施會對整個目標系統(tǒng)網(wǎng)絡狀態(tài)的轉移產(chǎn)生影響，使系統(tǒng)的網(wǎng)絡狀態(tài)進行更新，導致攻防雙方根據(jù)新的網(wǎng)絡狀態(tài)選擇新的行動策略，并反復進行該行為。此過程符合博弈的思想，因此，本文采用隨機博弈的思想對網(wǎng)絡攻防過程進行建模。

在攻防博弈中，參與者不論采用何種策略都會產(chǎn)生相應的成本和收益，定義兩者之間的差值為效用，利用效用來量化網(wǎng)絡安全態(tài)勢值。假設網(wǎng)絡攻防雙方收益相等，本文將攻防過程描述為一個非合作零和攻防博弈模型。

網(wǎng)絡安全博弈模型定義如下。

定義3基于隨機博弈的網(wǎng)絡安全感知模型（NSAM-SG,network security awareness model-stochastic game）描述了網(wǎng)絡攻擊與防御行為，包含博弈的參與者、目標網(wǎng)絡的安全狀態(tài)、攻防雙方的策略集合、博弈雙方的效用函數(shù)，即NSAM-SG=(P,S,Ta,Td,U)。

NSAM-SG 各個元組的含義表示如下。

P表示參與攻防博弈的參與者集合，Pa為攻擊者，Pd為防御者，即P=(Pa,Pd)。

S表示目標網(wǎng)絡的安全狀態(tài)構成的集合，S=(S0,S1,S2,…,Sn)，Si表示目標網(wǎng)絡在i（1≤i≤n）時刻所處的安全狀態(tài)。

U表示博弈雙方的效用函數(shù)集合，表示攻擊者在狀態(tài)Si下的效用函數(shù)，表示防御者在狀態(tài)Si下的效用函數(shù)。

5.2 態(tài)勢量化

當攻擊方τ對目標系統(tǒng)進行攻擊后，U(τ)a、profit(τ)a和cost(τ)a分別表示攻擊方的效用、收益和成本，則防御方采取防御措施防御后的效用、收益和成本定義為U(τ)d、profit(τ)d和cost(τ)d。相關定義如下。

1) 攻擊方效用。攻擊方的效用U(τ)a等于攻擊方的收益與成本的差值，即

2) 防御方效用。根據(jù)博弈雙方對立的關系，防御方的效用為

3) 攻擊成本。攻擊成本可以理解為與攻擊者被發(fā)現(xiàn)進行法律制裁的風險有關[16]，事實上，被發(fā)現(xiàn)進行法律訴訟的情況很少，因此本文認為攻擊成本與其對應威脅情報的威脅度（TL,threat level）成正比，威脅程度越高，攻擊成本越大，則

參考MIT 林肯實驗室對攻擊的分類[17]，根據(jù)威脅行為的攻擊意圖，威脅情報可分為6 類，同種類型的威脅情報具有相同的威脅度，具體分類說明和TL 值如表3 所示。

表3 威脅情報分類與威脅度

4) 防御成本。防御成本指攻擊發(fā)生后，防御方采取防御措施付出的操作代價。結合文獻[18]對防御類別的分類，根據(jù)外源威脅情報中處置方法（course of action）的復雜程度對防御成本進行分類，可以分為以下4 個級別。

DC1：未采取防御措施，操作代價為零。

DC2：抵御攻擊付出的操作成本很小，如對攻擊行為進行監(jiān)測。

DC3：對攻擊行為進行阻止，防御的操作成本較大。

DC4：修復攻擊對系統(tǒng)造成的損害，此時付出的操作成本很大。

對操作代價進行量化，對應的防御成本為DC=(0,4,8,10)。

5) 攻擊方收益。攻擊方的收益通常用攻擊對網(wǎng)絡系統(tǒng)造成的損害來表示，在本文中，攻擊收益主要從威脅攻擊成功率、利用威脅情報中脆弱性（Vulnerability）產(chǎn)生的危害這2 個方面進行量化。

根據(jù)CVSS 評級標準，利用Vulnerability 產(chǎn)生的危害Impact 為

其中，λ為修正因子，取值為10.41；VL 為脆弱性利用的難易程度，分為嚴重（Critical）、高（High）、中（Medium）、低（Low）4 個等級，評分范圍如表4 所示；CIA=(Cona,Inta,Avaa)表示該脆弱性對系統(tǒng)造成的機密性、完整性、可用性危害，根據(jù)CVSS 評分標準，Cona,Inta,Avaa的取值如表5 所示。最終可以得到攻擊方的收益為

表4 Vulnerability 等級與評分標準

表5 CIA 要素取值范圍

其中，β為攻擊成功率，來自系統(tǒng)的歷史信息。

6) 防御方收益。防御方的收益與防御者采取防御措施后使系統(tǒng)免受的損害有關，在數(shù)值上與攻擊造成的收益相等，因此，防御收益為

通過上述的量化方法，將式(12)和式(13)代入式(8)中，可以得到攻擊方的效用函數(shù)U(τ)a，即

同理，可以求得防御方的效用函數(shù)U(τ)d，即

雙方的效用函數(shù)分別代表了攻防雙方采取策略行動的收益程度，根據(jù)博弈雙方的效用函數(shù)，計算得到目標網(wǎng)絡的安全態(tài)勢值S為

5.3 攻擊預測

在博弈中，納什均衡指參與博弈的任一方選擇的策略針對其他人的策略選擇都是最優(yōu)方案。網(wǎng)絡攻防的過程中，攻擊者與防御者都希望能夠以最小的攻擊或防御成本，收獲最大的利益，在這種情況下，攻防雙方會根據(jù)彼此的策略選擇最佳策略。根據(jù)納什均衡，NSAM-SG 必然存在均衡點。因此，本文利用納什均衡對攻擊行為進行預測。

在攻防進行時，雙方采取的策略對彼此來說都是不明確的，因此不存在純策略的納什均衡。本文使用混合策略對NSAM-SG 進行博弈均衡分析。

設攻擊者與防御者分別依據(jù)概率向量Pa=(x1,x2,x3,…,xm)、Pd=(y1,y2,y3,…,yn)選擇攻擊策略與防御策略，則攻防雙方的混合策略為

定義攻擊者的效益期望為 Ea，防御者的效益期望為 Ed，即

6 實驗結果與分析

6.1 實驗環(huán)境

本文實驗利用加拿大網(wǎng)絡安全研究院提出的CICIDS2017 入侵檢測數(shù)據(jù)集進行基于相似度生成ICTI 方法的驗證，根據(jù)NSAM-SG 驗證利用納什均衡預測攻擊行動方法的有效性與準確性，該數(shù)據(jù)集拓撲結構如圖4 所示。

由圖4 可以看出，網(wǎng)絡結構被劃分成2 個分離的網(wǎng)絡，即攻擊者網(wǎng)絡與受害者網(wǎng)絡。該數(shù)據(jù)集[19]提供了廣泛的攻擊多樣性，包含了良性流量和最新的攻擊流量，數(shù)據(jù)捕獲期從2017 年7 月3日上午開始，到2017 年7 月7 日下午結束，實施的攻擊包括暴力FTP、暴力SSH、DoS、Heartbleed、Web 攻擊、滲透等，具體的攻擊種類及時間如表6所示。

圖4 CICIDS2017 數(shù)據(jù)集拓撲結構

表6 CICIDS2017 攻擊種類及時間

6.2 威脅覺察

實驗選取CAPEC-24、CAPEC-47、CAPEC-185、CAPEC-122 作為ECTI，指導內(nèi)部威脅的覺察。分析該數(shù)據(jù)集的攻擊行為，將其制成具有STIX2.0 格式的攻擊信息，分析該攻擊信息與外源威脅情報之間的相似度，判斷該信息是否為內(nèi)源威脅信息。通過實驗，得到SI 分系統(tǒng)Indicator 相關屬性的頻次如表7 所示。

表7 Indicator 的屬性在ECTI 中出現(xiàn)的頻次

建立目標Indicator 的相對優(yōu)越度矩陣R1為

同理，求得 ECTI 中其他元組(AP,Tool,Vul,OD) 屬性權重分別為=(0.58,0.42)，=(0.33,0.67)，=(1)，=(0.35,0.325,0.325)。

計算安全事件 SI 中每個元組的權重為ω1=(0.5,0.33,0.17)，ω2=(0.44,0.56)，ω3=(0.43,0.57)，ω4=(1)，ω5=(0.5,0.25,0.25)。得到安全事件與外源威脅情報之間的相似度Sim=0.25。根據(jù)模糊優(yōu)選模型物理含義的分析[20]，設置模糊閾值ε=0.5，當Sim ≤0.5時，則該安全事件具有威脅價值，作為系統(tǒng)內(nèi)源的威脅信息，與之后態(tài)勢預測的結果進行對比分析。

根據(jù)6.4 節(jié)的結果可知，攻擊者最有可能采取的攻擊策略是利用拒絕服務漏洞發(fā)起攻擊。因此，所有安全事件SI 中的Tool、Vulnerability 對象及其屬性可以定義為目標系統(tǒng)的內(nèi)源威脅情報。由此可知，本文提出基于相似度分析的威脅察覺方法可以較準確地發(fā)現(xiàn)威脅行為。

6.3 態(tài)勢評估

本文在林肯實驗室的DARPA2000-LLDoS1.0數(shù)據(jù)集上進行對比實驗，驗證本文提出基于攻防博弈的態(tài)勢評估的準確性，在CICIDS2017 入侵檢測數(shù)據(jù)集上驗證該方法的普適性。由于實驗數(shù)據(jù)集中僅包含攻擊信息，沒有防御信息，因此假設防御者未采取防御措施。

1) 準確性的驗證

DARPA2000-LLDoS1.0 數(shù)據(jù)集拓撲結構如圖5所示，該數(shù)據(jù)集描述了一個完整的分布式拒絕服務攻擊場景，分為5 個攻擊階段，即掃描、探測、登錄、安裝DDoS 軟件、發(fā)動DDoS 攻擊。

圖5 LLDoS1.0 數(shù)據(jù)集拓撲結構

各主機在攻擊過程中所占的權重如表8 所示。

表8 主機所占權重

對目標系統(tǒng)的主機資產(chǎn)進行權重的分配，即CIAM=(5,5,5),CIAL=(1,5,10),CIAP=(5,5,10),CIAH=(5,5,1),CIAR=(5,5,1),CIAwww=(5,5,10)。各主機在攻擊階段以相同的方式受到攻擊，因此各階段對目標系統(tǒng)資產(chǎn)的攻擊影響按照等級劃分為N=(1,2,3,3,2)。通過計算，得到整個網(wǎng)絡環(huán)境的安全態(tài)勢變化趨勢，變化曲線如圖6 所示，此時網(wǎng)絡處于危險狀態(tài)，且安全態(tài)勢值越大，網(wǎng)絡越危險。

從圖6 中可以看出，攻擊者在探測階段對網(wǎng)絡的影響小，之后的緩沖區(qū)溢出攻擊使網(wǎng)絡的危險狀態(tài)進一步加強，當攻擊者獲取主機的Root 權限并安裝DDoS 工具后，網(wǎng)絡的安全面臨進一步的威脅。攻擊者手動啟動DDoS，威脅仍未解除，整個網(wǎng)絡的態(tài)勢值進一步提高。

圖6 安全態(tài)勢曲線

為了探究本文方法的特性，將應用集對分析方法[21]、HMM 方法[22]、層次化分析方法[23]與本文基于攻防博弈的態(tài)勢評估方法進行比較，對比結果如表9 所示。

表9 與其他方法的比較

表9 中，應用集對分析方法的原理融合了多個數(shù)據(jù)源的信息，對網(wǎng)絡安全各要素展開了全面的分析，但在區(qū)分危險性不強的探測階段，該方法的靈敏度不高；HMM 方法使用隱馬爾可夫模型進行態(tài)勢評估，采用威脅評估結果對告警分類，解決了觀測事件分類問題，但模型參數(shù)的配置具有一定的主觀性，準確性偏低；層次化分析方法在評估整個網(wǎng)絡系統(tǒng)風險值時具有一定的優(yōu)勢，但風險計算的本質(zhì)依舊為風險累計算法，利用風險累積進行態(tài)勢評估，風險值只增不減，不能準確地反映網(wǎng)絡態(tài)勢的變化。

各方法的網(wǎng)絡安全態(tài)勢變化對比如圖7 所示。從圖7 中可以看出，基于攻防博弈的態(tài)勢評估方法在區(qū)分危險性不強的探測階段，態(tài)勢值有了顯著的變化，相對于應用集對分析方法更靈敏；在危險較大的權限提升階段方面，基于攻防博弈的態(tài)勢評估方法與HMM 方法、應用集對分析方法相比，對網(wǎng)絡態(tài)勢的變化反應更強烈，更能引起網(wǎng)絡安全管理員的警覺；同時，該方法解決了層次化分析法風險值只增不減的問題，反映了不同攻擊方式對網(wǎng)絡態(tài)勢的影響不是一味地增長，而是具有一定的回復性。因此，本文提出的態(tài)勢評估方法可以正確地反映網(wǎng)絡態(tài)勢值的變化。

圖7 不同方法的網(wǎng)絡安全態(tài)勢變化對比

2) 普適性的驗證

在CICIDS2017 入侵檢測數(shù)據(jù)集上驗證本文提出方法的普適性。根據(jù)提出的NSAM-SG 模型，量化數(shù)據(jù)捕獲周期的安全態(tài)勢值，由于星期一的數(shù)據(jù)都是正常流量，網(wǎng)絡處于安全狀態(tài)，態(tài)勢值為0，因此本文從星期二開始進行態(tài)勢評估。CICIDS2017數(shù)據(jù)集入侵類型的攻擊成本如表10 所示。

表10 CICIDS2017 數(shù)據(jù)集入侵類型的攻擊成本

通過計算，得到整個網(wǎng)絡環(huán)境的安全態(tài)勢值，態(tài)勢變化曲線如圖8 所示，此時網(wǎng)絡處于危險狀態(tài)。從圖8 中可以看出，在每個攻擊階段中，隨著攻擊的深入，態(tài)勢值呈上升趨勢，整個網(wǎng)絡面臨的危險進一步加深。針對不同的攻擊可以看出，當網(wǎng)絡受到端口掃描攻擊時，網(wǎng)絡的安全態(tài)勢值最低，網(wǎng)絡受到的影響最小，當網(wǎng)絡受到SSH 暴力攻擊、滲透攻擊時，網(wǎng)絡的安全態(tài)勢值很高，網(wǎng)絡受到的影響比較嚴重。

圖8 安全態(tài)勢

從實驗結果可以看出，本文提出的態(tài)勢評估方法可以適用不同的數(shù)據(jù)集，能夠正確地反映網(wǎng)絡安全態(tài)勢值的變化，具有一定的普適性。但不足之處表現(xiàn)在當網(wǎng)絡受到像DoS/DDoS 這樣攻擊過程不明顯的攻擊行為時，網(wǎng)絡安全態(tài)勢值的變化不明顯，在攻擊初期時可能無法引起安全管理員的注意，因此在接下來的工作中還需要進一步的改進。

6.4 攻擊預測

在圖4 所示的網(wǎng)絡拓撲結構中，選取CICIDS2017入侵檢測數(shù)據(jù)集中受害主機Ubuntu 16 WebServer、Ubuntu12 進行實驗，選取的主機共有5 處漏洞，具體的漏洞信息及防御者可采取的防御策略如表11 所示。

表11 系統(tǒng)漏洞信息及防御措施

根據(jù)攻防雙方策略的選擇，利用式(14)和式(15)計算雙方的收益矩陣P為

根據(jù)博弈論納什均衡的滿足條件，計算得到雙方的混合策略為x?=(0，0.71，0，0.12，0.17)，y?=(0,0,0,0.31,0.22,0,0.47)。

通過對原始數(shù)據(jù)集進行處理，合并5 天的數(shù)據(jù)，刪除無效的樣本，將具有相似特征和行為的少數(shù)攻擊進行合并，重新定義標簽[24]。經(jīng)過數(shù)據(jù)處理后，發(fā)現(xiàn)DoS/DDoS類攻擊的樣本數(shù)量最多，共379 748條記錄，占全部樣本的36%，且DoS/DDoS 類攻擊付出的攻擊成本較低，因此攻擊者下一步最有可能進行DoS攻擊。所以本文提出的納什均衡進行態(tài)勢預測方法是可行的。

為驗證本文提出的納什均衡態(tài)勢預測方法的準確精度，選取CICIDS2017 數(shù)據(jù)集中周二的流量數(shù)據(jù)，分別使用RBF 神經(jīng)網(wǎng)絡和Verhulst 灰色模型進行預測，并與本文方法進行對比。使用均方根誤差RMSE 作為定量評價預測模型的預測精度的指標，計算方法為

3 種預測方法預測精度結果如表12 所示。

表12 3 種預測方法預測精度結果

由表12 可知，本文提出的基于納什均衡的態(tài)勢預測方法的預測精度優(yōu)于其他方法，能取得良好的預測效果。

7 結束語

本文提出了基于威脅情報的網(wǎng)絡態(tài)勢感知模型，利用威脅情報進行態(tài)勢感知，對網(wǎng)絡進行態(tài)勢覺察，發(fā)現(xiàn)內(nèi)部威脅信息。對攻防博弈進行建模，通過定義模型的相關概念，量化雙方成本和收益，評估當前網(wǎng)絡的安全狀態(tài)，最后利用納什均衡預測攻擊者可能采取的攻擊行為。實驗分析表明，該模型可以很好地發(fā)現(xiàn)未知攻擊，對網(wǎng)絡的安全態(tài)勢進行準確的評估和預測。在下一步的工作中，要將所提出的方法應用到實際的網(wǎng)絡環(huán)境中，改進實驗中存在的不足，并在ICTI 生成過程中引入預測攻擊策略概率的思想，進一步規(guī)范ICTI 的生成。