网络攻击源的行为特点与评估模型构建发布者：本站     时间：2020-05-02 16:05:09

1 引 言

分析评估网络攻击源行为特点及攻击能力有助于增强网络安全防护措施的有效性和针对性． 传统安全监测防护通常以企业网为边界，仅能捕获攻击源针对该企业网发起的局部攻击行为，难以对攻击源行为进行有效分析． 当前，骨干网安全监测条件日渐成熟，一方面显着扩大了网络监测范围，为攻击源威胁行为分析提供了视窗基础，另一方面报警信息海量化使得响应负担过载，迫切需要构建攻击源威胁行为评估机制，以识别重点威胁源并进行优先应对． 现有的安全评估方法主要包括信息安全的风险评估［1-3］和网络攻击效果评估［4-5］两部分，其中信息安全的风险评估主要用于从风险的角度评估威胁可能对资产造成的损失; 网络攻击效果的评估主要用于评估一个攻击方案或一次具体的攻击行为造成的安全效果． 这些评估方法受限与传统的企业网安全监测环境，侧重于信息系统的安全性评测，无法反映攻击源威胁能力的差异性．基于此，本文在分析网络攻击源的行为特点的基础上，层次分析法构建了一个威胁行为动态评估模型，基于真实监测数据的实验分析表明，相比较传统的报警数量排名，本模型给出的攻击源威胁评估更具合理性．

2 评估体系

2． 1 评估指标的提取

构建网络攻击源威胁行为的综合评估模型，首先要选择合适的评估指标． 目前，这方面的研究还比较少，主要有: 汪生［6］等使用 6 大类 10 个方面提出了 59 个指标，但这些指标主要是针对单个攻击模型和联合使用多个攻击模型的攻击效果描述; 胡影［7］等利用攻击库挖掘的技术挖掘得到 5 类 122个原子功能，但这些指标无法从骨干网监测平台上提取; 赵博夫［8］等提出了13 个指标，指标主要反映了攻击者实施的网络攻击的目的为破坏目标网络的安全指标( 使其失效或降低) ，但指标中大量实际监测环境中不可测的指标．总体来说，这些评估指标无法满足网络攻击源威胁的评估，主要存在以下几点原因:

1) 指标的提取不够完备，不能从对攻击源的所有攻击行为出发，进行大视角的整体能力的评估，不具有全面性．2) 部分指标［7，8］需要从目标网络中提取，这在当前的监控条件下是无法获得的，不具有可行性．3) 部分指标［8］过于抽象，不易量化操作，不具有可测性和便利性．在当前的网络监控条件下，网络攻击源组织探测只能以网络攻击源的报警信息和触发的规则信息为挖掘对象，其中报警信息直接包含的信息包括: 报警时间、源地址、目标地址、源端口、目标端口、源 MAC、目标 MAC、报文长度、报警网卡名称、原始报文、插件特征编号; 规则信息直接包含的信息包括:

协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型． 结合攻击源威胁行为的特点，我们从网络攻击源的攻击活跃性，攻击破坏力和攻击目的性出发，挖掘出以下评估指标: 攻击时间的分布，攻击时间的持续性，攻击的频度，掌握攻击手段的数量，攻击的连贯性，偏好使用的攻击威胁，触发报警的种类以及目标地址的等级分布．