前言：本站為你精心整理了網(wǎng)絡(luò)通信威脅智能識(shí)別方法探究范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要:針對(duì)現(xiàn)階段網(wǎng)絡(luò)通信不同路徑威脅識(shí)別概率低、均方根誤差大等問題，提出基于多信息融合的網(wǎng)絡(luò)通信威脅智能識(shí)別方法。通過分析攻擊圖中所描述的網(wǎng)絡(luò)攻擊占據(jù)網(wǎng)絡(luò)資源過程獲取攻擊路徑;分析攻擊者發(fā)出的攻擊行為，將產(chǎn)生的網(wǎng)絡(luò)通信威脅作為攻擊行為的證據(jù)，采用D－S證據(jù)理論，將多條威脅匯集為攻擊行為信息分析攻擊者能力，通過判斷攻擊者達(dá)成攻擊想法的概率，獲取攻擊者的攻擊意圖，以此為基礎(chǔ)，通過威脅量化算法，獲取網(wǎng)絡(luò)通信威脅程度，實(shí)現(xiàn)網(wǎng)絡(luò)通信威脅智能識(shí)別。經(jīng)實(shí)驗(yàn)驗(yàn)證，該方法在網(wǎng)絡(luò)通信威脅識(shí)別過程中具有較低的識(shí)別均方根誤差，且不同路徑下的網(wǎng)絡(luò)通信威脅識(shí)別概率較高。

關(guān)鍵詞:多信息融合;網(wǎng)絡(luò)通信威脅;智能識(shí)別;攻擊行為

1引言

由于互聯(lián)網(wǎng)應(yīng)用的愈發(fā)廣泛，越來越多的行業(yè)受到網(wǎng)絡(luò)安全問題的影響，對(duì)網(wǎng)絡(luò)安全性進(jìn)行提升，是目前較多領(lǐng)域正在研究的問題［1］。其中，網(wǎng)絡(luò)通信的安全性保障尤為重要，一旦網(wǎng)絡(luò)通信出現(xiàn)故障，許多領(lǐng)域都會(huì)出現(xiàn)不同程度的損失［2］。因此，保障網(wǎng)絡(luò)通信安全，及時(shí)對(duì)網(wǎng)絡(luò)通信威脅進(jìn)行識(shí)別，能夠同時(shí)保障較多領(lǐng)域的網(wǎng)絡(luò)資源安全性［3－4］。由于當(dāng)前網(wǎng)絡(luò)通信過程中不斷出現(xiàn)較大規(guī)模的威脅，許多學(xué)者對(duì)其進(jìn)行研究，其中，例如田俊峰等［7］，研究一種基于卷積神經(jīng)網(wǎng)絡(luò)的Web攻擊檢測(cè)方法，雖然該方法能夠檢測(cè)出攻擊流量，但對(duì)于通信威脅的識(shí)別率依然較低;如任帥等［8］，研究基于層次化網(wǎng)絡(luò)的多源頭威脅態(tài)勢(shì)高效評(píng)估方法，該方法檢測(cè)效率較高，但面對(duì)海量網(wǎng)絡(luò)通信威脅的狀況時(shí)，依然存在檢測(cè)識(shí)別率低等問題。現(xiàn)階段，攻擊圖為較為常用的識(shí)別工具，其可從威脅發(fā)出者的角度，通過分析網(wǎng)絡(luò)通信中存在的脆弱性得出攻擊路徑［7］。利用單一數(shù)據(jù)源或者單一事件的識(shí)別方法在現(xiàn)如今已經(jīng)難以滿足實(shí)際應(yīng)用需求，通過多信息融合的識(shí)別方式，能夠有效識(shí)別網(wǎng)絡(luò)通信中攻擊者發(fā)出的威脅［8］。因此，研究基于多信息融合的網(wǎng)絡(luò)通信威脅智能識(shí)別方法，通過融合攻擊圖、攻擊路徑、攻擊行為與攻擊者能力，實(shí)現(xiàn)多信息融合，并通過威脅識(shí)別算法與威脅量化算法，最終實(shí)現(xiàn)網(wǎng)絡(luò)通信威脅智能識(shí)別過程。

2基于多信息融合的網(wǎng)絡(luò)通信威脅智能識(shí)別方法

2.1網(wǎng)絡(luò)攻擊圖的定義及相關(guān)概念

網(wǎng)絡(luò)攻擊指的是在網(wǎng)絡(luò)存在漏洞和安全缺陷的情況下，對(duì)網(wǎng)絡(luò)系統(tǒng)的軟、硬件及其中的數(shù)據(jù)進(jìn)行攻擊，以達(dá)到竊取、修改、破壞網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)男畔⒌饶康摹榱苏页鏊嘘P(guān)聯(lián)關(guān)系，通過模擬網(wǎng)絡(luò)攻擊中攻擊者對(duì)漏洞進(jìn)行攻擊的過程，找到達(dá)到目標(biāo)的攻擊路徑，以圖的形式將這些路徑呈現(xiàn)，此圖就是網(wǎng)絡(luò)攻擊圖。在網(wǎng)絡(luò)攻擊圖中，存在攻擊者發(fā)出的通信威脅與疑似占據(jù)的網(wǎng)絡(luò)資源節(jié)點(diǎn)［9－10］。2.1.1攻擊圖。在攻擊圖中，既存在網(wǎng)絡(luò)內(nèi)的威脅行為節(jié)點(diǎn)，又包含了資源節(jié)點(diǎn)［11］，同時(shí)還存在二者間的有向邊，且攻擊圖能夠表示占據(jù)網(wǎng)絡(luò)資源過程的步驟。通過以下定義，設(shè)定網(wǎng)絡(luò)攻擊圖NAG，其圖狀態(tài)如圖1所示:(1)AND關(guān)系中，若想到達(dá)子節(jié)點(diǎn)，需要全部父節(jié)點(diǎn)同一時(shí)刻達(dá)到指向性條件。(2)OR關(guān)系中，只需要全部父節(jié)點(diǎn)能夠隨意達(dá)成某個(gè)指向性條件。(3)攻擊圖NAG=(Θ，R，A，E，S，Rv，F(xiàn)，D，Π)，其為一個(gè)九元組，且存在多個(gè)有向無環(huán)圖，這些有向無環(huán)圖由AND或OR關(guān)系連接的節(jié)點(diǎn)組成。a．威脅行為節(jié)點(diǎn)集由A描述，A={aii=1，2，．．．，n，ai為任意攻擊行為節(jié)點(diǎn)}。當(dāng)未出現(xiàn)行為ai時(shí)，Θ(ai)=FALSE，當(dāng)行為ai出現(xiàn)時(shí)，Θ(ai)=TRUE。b．資源節(jié)點(diǎn)集由R描述，R={rii=1，2，．．．，n，ri為任意資源節(jié)點(diǎn)};當(dāng)資源ri被占據(jù)時(shí)，通過Θ(ri)=TRUE描述;當(dāng)ri并未被占據(jù)時(shí)，由FALSE描述。c．節(jié)點(diǎn)狀態(tài)集由Θ描述，Θ={TRUE，F(xiàn)ALSE}。節(jié)點(diǎn)ri和ai的形態(tài)依次由Θ=(ri)與Θ=(ai)描述。d．各類節(jié)點(diǎn)的有向邊連接集由E描述，E={eai，aj∈A，ri∈R，e=〈ai，ri〉∪〈ri，aj〉}，其中含義是在e中，包含〈ai，ri〉與〈ri，aj〉。e．威脅節(jié)點(diǎn)ai出現(xiàn)的機(jī)率由di描述，目標(biāo)Θ(ri)=TRUE被ai完成的機(jī)率由d＇i描述，D=(di∪d＇i)，其中，di=P(Θ(ai)=TRUEPre(ai)=TRUE)，d＇i=P(aiΘ(ai)=TRUE)。f．攻擊威脅屬性集由S描述，S={siai∈A，ri∈R，i=1，2，．．．，n，si為邊〈ai，ri〉威脅屬性}，其中，si=f(Rμ，I，ω－，Cost(〈ai，ri〉))，在以下計(jì)算過程描述f(Rμ，I，ω－，Cost(〈ai，ri〉))。g．Rμ={μ(ri)ri為資源節(jié)點(diǎn)，μ(ri)為ri的威脅屬性}，其中資源節(jié)點(diǎn)脆弱屬性集由Rμ表示。h．攻擊威脅性情況集由F={TRUE，F(xiàn)ALSE}。當(dāng)威脅行為ai在e∈E，且e存在于〈ai，ri〉類型中時(shí)，F(xiàn)(e)=TRUE，表示該行為存在威脅，當(dāng)威脅行為ai在F(e)=FALSE時(shí)，不存在威脅。攻擊圖中，每個(gè)節(jié)點(diǎn)的機(jī)率由∏描述，且∏∈［0，1］，其中資源被占據(jù)情況出現(xiàn)的機(jī)率分布由∏(ri)與∏(ai)描述，在所選取的攻擊圖模型內(nèi)，威脅已出現(xiàn)在初始階段，因此，∏(a1，a2，a3)=1.0，且∏(ri)0，以及∏(ai)0。2.1.2攻擊路徑。若在攻擊圖內(nèi)有一組有向邊序列出現(xiàn)在初始節(jié)點(diǎn)ai∈A，且能夠依照拓?fù)浣Y(jié)構(gòu)與目標(biāo)節(jié)點(diǎn)rj∈R相連，并設(shè)有向邊序列{〈ai→ri〉，〈ri→aj〉ai，aj∈A，ri∈R，i，j=1，2，．．．，n}。通過公式(1)構(gòu)建攻擊路徑，公式如下:Path={〈aj→ri〉，〈ri→aj〉i，j=1，2，．．．，n}(1)在圖1中，攻擊路徑以公式(2)、公式(3)、公式(4)表示，在同一節(jié)點(diǎn)內(nèi)的較多有向邊之間的AND關(guān)系由∩描述:Path1=〈a1∩a2→r1〉，〈r1→a4〉〈a4→r3〉，〈r3→a7〉{}(2)Path2=〈a1∩a2→r1〉，〈a3→r2〉，〈r1∩r2→a6〉，〈r2→a5〉〈a5∩a6→r3〉，〈r3→a7〉{}(3)Path3=〈a1∩a2→r1〉，〈a3→r2〉，〈r1∩r2→a6〉，〈a6→r4〉，〈r4→a7〉{}(4)其中，初始節(jié)點(diǎn)為a1，a2，a3，當(dāng)a1與a2進(jìn)行操作后，r1節(jié)點(diǎn)被攻擊者占據(jù)，開始操縱a4，以掌握資源r3，達(dá)成操控a7的能力。構(gòu)建威脅路徑通過a1與a2起始，并經(jīng)歷r1，a4，r3，直至a7完成。以上形式就是對(duì)該路徑的定義。2.1.3攻擊行為。當(dāng)網(wǎng)絡(luò)脆弱性被攻擊者利用，最終使網(wǎng)絡(luò)通信過程受到威脅或狀態(tài)出現(xiàn)轉(zhuǎn)移，即為攻擊行為。可通過ac-tion={name，class，time，aci}攻擊行為，其中，攻擊行為的稱呼由name描述，類別由class描述，作用時(shí)間由time描述，可信度由aci描述。將產(chǎn)生的網(wǎng)絡(luò)通信威脅作為攻擊行為的證據(jù)，采用D－S證據(jù)理論，將多條威脅匯集為攻擊行為信息。由于不同網(wǎng)絡(luò)通信威脅的攻擊特征差距較大，所以造成觸發(fā)的攻擊信息可信度并不一致［12－13］。依據(jù)歷史通信威脅數(shù)據(jù)與識(shí)別威脅的經(jīng)驗(yàn)，能夠獲取不同特征的攻擊信度分配函數(shù)。2.1.4攻擊者能力。攻擊者擁有的技術(shù)與工具等實(shí)力，稱為攻擊者能力，其通過Cap描述。為使攻擊能力得到判斷，依據(jù)攻擊者攻擊狀態(tài)，若其初始能力為空，持續(xù)向能力庫(kù)內(nèi)添加攻擊者操縱的攻擊行為。并設(shè)cap1={name，class，dif-ficulty}，其中能力名稱由name表示，類別由class表示，難度系數(shù)由difficulty表示，攻擊者能力庫(kù)Cap中是否保存cap1，通過攻擊者能否擁有cap1能力來分辨，若攻擊者能夠啟動(dòng)cap1對(duì)應(yīng)的攻擊能力，即能夠保存。

2.2威脅識(shí)別算法

依據(jù)馬爾科夫假設(shè)來進(jìn)行網(wǎng)絡(luò)通信威脅智能識(shí)別。馬爾科夫過程能夠描述網(wǎng)絡(luò)通信狀態(tài)被攻擊行為造成轉(zhuǎn)移的過程，即網(wǎng)絡(luò)通信未來的狀態(tài)與過去狀態(tài)無關(guān)，僅與當(dāng)前狀態(tài)有關(guān)。首先對(duì)網(wǎng)絡(luò)進(jìn)行給定，并依據(jù)服務(wù)與資源的重要性構(gòu)建攻擊意圖庫(kù)，該意圖庫(kù)需依據(jù)網(wǎng)絡(luò)通信保護(hù)需求;下一步對(duì)網(wǎng)絡(luò)進(jìn)行掃描，以確定其拓?fù)湫问脚c脆弱性被發(fā)現(xiàn)，針對(duì)所掃描的結(jié)果構(gòu)建攻擊圖，探尋攻擊路徑，該路徑能夠直達(dá)攻擊想法［14－15］;最終判斷攻擊者達(dá)成攻擊想法的概率，通過將攻擊者能力、攻擊行為與攻擊狀態(tài)的關(guān)聯(lián)關(guān)系相連接實(shí)現(xiàn)判斷，經(jīng)判斷后，向高于所設(shè)閾值或最大概率的攻擊想法與攻擊路線提出警示，以及依據(jù)攻擊想法與狀態(tài)量化網(wǎng)絡(luò)通信威脅。2.2.1攻擊路徑預(yù)測(cè)與攻擊意圖識(shí)別。設(shè)所指網(wǎng)絡(luò)通信的攻擊圖為G=(S，τ，s0，sf)，其中該通信過程的攻擊意圖集由Int描述。對(duì)攻擊行為進(jìn)行分析，若所發(fā)出的行為為action={name，class，time，aci}，同時(shí)aci＞ξ，其中，ξ描述依據(jù)先前經(jīng)驗(yàn)所設(shè)閾值，則可以認(rèn)定攻擊action出現(xiàn)。且設(shè)su為攻擊完成狀態(tài)，并在此時(shí)向攻擊者能力庫(kù)cap加入action。設(shè)Path(su，sj)為攻擊路徑集，其中攻擊想法Intv與狀態(tài)sj相應(yīng)，并且su∈S，sj∈sf，Intv∈Int。對(duì)能力集Cap進(jìn)行查探，若攻擊行為action*出現(xiàn)，則向狀態(tài)sq遷移sp，同時(shí)sp，sq∈Path(su，sj)，action＊∈Cap，并將概率ω(p，q)=1，該概率存在于狀態(tài)轉(zhuǎn)移矩陣內(nèi)。通過以下公式(5)計(jì)算出現(xiàn)攻擊意圖Intv的機(jī)率，其中su至sj全部路徑的最長(zhǎng)路徑由k＇描述:Pr(IntvSu)=Rk＇uv(5)其中，攻擊路徑集Path(su，sj)中，攻擊想法Intv與狀態(tài)sj相應(yīng)，且su∈S，sj∈sf，Intv∈Int。若想判斷攻擊者所選用的攻擊路線，可依據(jù)攻擊想法Intv推算?？梢圆煌ㄟ^單一路徑實(shí)現(xiàn)某個(gè)特定出現(xiàn)的威脅，因此，對(duì)全部路徑的概率進(jìn)行預(yù)測(cè)，能夠提升安全防護(hù)性能。若意圖Intv能通過l*條路線達(dá)到，即path1∈Path(su，sj)，l=1，2，．．．，l*，并通過公式(6)計(jì)算path1的機(jī)率:Pr(pathl)=∏ji=uwl(i，i+1)式中，wl(i，i+1)表示在路徑path1內(nèi)，狀態(tài)節(jié)點(diǎn)互相移動(dòng)的機(jī)率為設(shè)計(jì)安全的網(wǎng)絡(luò)通信威脅防范措施，可對(duì)攻擊者所設(shè)想的攻擊方向進(jìn)行分析，通過公式(7)規(guī)劃意圖Intv攻擊路線的相對(duì)概率規(guī)劃:Pr(pathlIntv)=Pr(pathl)/∑lPr(pathl)(7)2.2．2威脅量化算法。設(shè)對(duì)實(shí)體Entityx的某個(gè)攻擊想法為Intv，該實(shí)體不僅可以是用戶，還可以是服務(wù)或主機(jī)，則可通過公式(8)計(jì)算Intv對(duì)該實(shí)體的威脅值:Threat(Entityx)=Pr(Intv)·O(Intv)(8)式中，O(Intv)表示該實(shí)體的完整性、加密性以及可用程度被Intv破壞的水平。并通過公式(9)計(jì)算較多網(wǎng)絡(luò)實(shí)體Entityx的威脅程度:Threat(Entityx)=∑x∈Xc(x)·Threat(Entityx)∑x∈Xc(x)(9)式中，x為Entityx的簡(jiǎn)化形式，c(x)為x的重要性。

3實(shí)驗(yàn)結(jié)果與分析

將方法應(yīng)用于某企業(yè)的網(wǎng)絡(luò)資源管理中心，智能識(shí)別該中心的網(wǎng)絡(luò)通信威脅。由于攻擊者對(duì)每條攻擊路徑發(fā)出的威脅有所不同，在進(jìn)行威脅識(shí)別時(shí)，不同方法所識(shí)別的概率也不同，因此在通過action={name，class，time，aci}攻擊行為進(jìn)行模擬攻擊下，選取三條路徑，分別為a1與a2起始，并經(jīng)歷r1，a4，r3，直至a7完成的路徑1，a3起始，并經(jīng)歷r2，a5，r3，直至a7完成的路徑2，a3起始，并經(jīng)歷r2，a6，r4，直至a7完成的路徑3，分析采用本方法在進(jìn)行網(wǎng)絡(luò)通信威脅智能識(shí)別時(shí)的路徑概率，并通過文獻(xiàn)［5］方法與文獻(xiàn)［6］方法進(jìn)行對(duì)比，根據(jù)圖2(a)可知，文獻(xiàn)［5］方法隨著采樣時(shí)間的上升，三條路徑的識(shí)別概率上升過程較為相似，三條路徑在采樣時(shí)間為10h時(shí)識(shí)別概率均達(dá)到80%左右;而文獻(xiàn)［6］方法三條路徑的識(shí)別概率相差較大，這可能是由于攻擊者發(fā)出的威脅在每條路徑的情況下并不相同，雖然該方法的識(shí)別概率最低在20%，但最高識(shí)別概率只能達(dá)到81%，與本方法相比，文獻(xiàn)［5］方法與文獻(xiàn)［6］方法的識(shí)別概率都低，且本方法在路徑2與路徑3的識(shí)別概率能夠達(dá)到98%，因此，本方法的網(wǎng)絡(luò)通信威脅識(shí)別率較高。因?yàn)橥{到網(wǎng)絡(luò)安全的方式類型較多，例如竊聽、偽造、病毒木馬和篡改等方式，采用最常見和具有普遍性的威脅類型木馬分析不同方法在識(shí)別過程中不同威脅數(shù)量所產(chǎn)生的均方根誤差，分析結(jié)果如圖3表示。根據(jù)圖3可知，由于威脅數(shù)量的增加，不同方法對(duì)威脅的識(shí)別能力逐漸降低，表現(xiàn)為對(duì)威脅的識(shí)別均方根誤差逐漸上升，其中，文獻(xiàn)［5］方法的識(shí)別均方根誤差最大，在威脅數(shù)量100時(shí)均方根誤差達(dá)到0.8%，而文獻(xiàn)［6］方法的均方根誤差雖然低于文獻(xiàn)［5］方法，但依然高于本方法，在威脅數(shù)量100時(shí)均方根誤差達(dá)到0.005%，而本方法在此時(shí)的均方根誤差為0.0008%，始終保持在最低范圍內(nèi)，因此，本方法具有最小的均方根誤差，能夠精確識(shí)別網(wǎng)絡(luò)通信威脅。

4結(jié)束語

提出了基于多信息融合的網(wǎng)絡(luò)通信威脅智能識(shí)別方法，通過分析攻擊圖、攻擊路徑、攻擊行為以及攻擊者能力，設(shè)計(jì)威脅識(shí)別算法，對(duì)其中攻擊路徑進(jìn)行預(yù)測(cè)，并識(shí)別攻擊意圖，得出網(wǎng)絡(luò)通信威脅程度，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)通信威脅的智能識(shí)別。可在以后研究階段對(duì)該方法繼續(xù)優(yōu)化，以實(shí)現(xiàn)網(wǎng)絡(luò)中多種風(fēng)險(xiǎn)與威脅的識(shí)別與控制。

作者:劉祥 楊永強(qiáng) 單位:中國(guó)電信股份有限公司河南分公司 河南財(cái)經(jīng)政法大學(xué)計(jì)算機(jī)與信息工程學(xué)院