文章目錄
- 1. 引言
- 2. 網絡安全态勢評估基礎
-
- 2.1 基本術語
- 2.2 網絡安全态勢評估流程
- 3. 實時攻擊階段識别
-
- 3.1 攻擊場景聚類
- 3.2 實時攻擊階段識别算法
- 3.3 攻擊階段識别算法的改進
- 4 網絡安全态勢量化分析
-
- 4.1 攻擊安全機率
- 4.2 攻擊階段實作機率
- 4.3 網絡安全态勢值
- 5 實驗結果及分析
-
- 5.1 LLDOS資料集
- 5.2 CTF資料集
- 5.3 算法效能分析
1. 引言
-
過去研究
方法:從攻擊威脅、網絡脆弱性等方面
存在的問題:要素單一,無法滿足管理人員對掌握網絡
整體安全狀态的需求。
背景:以前的态勢感覺方法都隻能以攻擊事件作為評估基礎,沒有挖掘安全事件之間的因果關系,而現在APT攻擊盛行,有大規模、協同、多階段的特點,絕大部分危害巨大的攻擊是多部攻擊;
-
現有态勢感覺方法存在的問題:
1)缺乏對多步攻擊的階段識别,無法全面評估各攻擊軌迹對網絡資産所造成的影響;
2)缺乏對攻擊者的識别,無法準确評估各攻擊者對網絡造成的影響;
3)尚未給出一個合理有效的安全态勢量化标準。
-
本文角度:從攻擊者身份出發
1)對攻擊行為進行攻擊場景聚類,識别攻擊軌迹
2)建立攻擊模式庫,對攻擊行為因果分析,識别所處階段
3)根據2)結論作為态勢評估要素,結合CVSS量化标準,進行态勢要素和節點态勢融合
2. 網絡安全态勢評估基礎
2.1 基本術語
- 主機資訊(HostIP,Service,Vuls,Weight),
HostIP 表示主機的 IP 位址,Services 表示主機所運作的服務資訊
(如 SSHD、SQL、HTTP、Ms-office),Vuls 表示主機上的脆弱性與漏洞清單,Weight 表示該主機在網絡中的重要程度。
- 脆弱性集V(id,type,IP,impact,info)
id 表示該脆弱性的唯一辨別;type 表示該脆弱性的類型,包括配置錯誤類型的非安全政策、防火牆配置錯誤、裝置接入權限設定錯誤,以及漏洞類型;IP 表示該漏洞出現的主機位址;impact 表示該漏洞對資産造成的危害性;info 表示該脆弱性的較長的描述資訊。
- 拓撲結構
主機間的實體連接配接結構,無向圖G(N,E),N表示網絡中實體主機節點集合,E表示連接配接節點間的邊
- 網絡連通性
主機間的通信關系,(hosti,hostj,protocol/port),兩個host表示相連主機,protocol/port表示雙方可以通信的協定與端口
- 原子攻擊事件
(id,time,Sip,Dip,Sport,Dport,AttackType,p(a)),id 是該事件的唯一辨別符;time 是該事件的發生時間;Sip 是攻擊者的源位址;Dip 是攻擊的目标位址;Sport 是攻擊者的源端口;Dport 是攻擊的目的端口;AttackType 是本次安全事件使用的攻擊類型; p(a)是經過融合後該攻擊事件的發生機率。
- 攻擊狀态轉移圖
2.2 網絡安全态勢評估流程
- 要素收集
- 攻擊方資訊:來源于IDS、防火牆、系統日志等傳感器的報警資訊
- 環境資訊:主機資訊(對運維系統/軟體的統計和對主機的漏掃)、拓撲結構(對網絡結構的統計)、網絡連通性(防火牆過濾規則)。
- 攻擊階段識别
對攻擊行為進行因果關聯分析。首先攻擊行為進行場景聚類,将資訊融合為安全事件,進行場景劃分然後與攻擊模式庫進行關聯分析。
- 網絡安全态勢量化
基于CVSS完成評估
3. 實時攻擊階段識别
3.1 攻擊場景聚類
定義7:攻擊關聯度cor(a,b)
确定攻擊a,b兩個攻擊屬于同一攻擊場景的可能性。抽取屬性:源IP,目的IP,源端口,目的端口,時間,攻擊類型
Feature (a, b)和αk 分别表示第 k 個特征屬性之間的關聯度和相應的權重.
存在新的安全事件時,将其與已儲存的攻擊場景進行比對,計算關聯度,若超過門檻值,則為同類,否則為新攻擊
3.2 實時攻擊階段識别算法
定義8:實時攻擊場景(ATree),儲存攻擊者實時入侵軌迹,(S,F,Q)
S表示已經發生的攻擊狀态節點集合,F表示狀态節點間轉移有向邊集合,Q表示狀态間依賴關系
定義9:狀态發生函數bool(s)
定義10:轉移等待視窗
算法1:實時攻擊階段識别算法
輸入:融合的安全事件(Alert)
輸出:實時攻擊場景(Atree)
3.3 攻擊階段識别算法的改進
存在的問題:漏報、0Day和報警亂序,回對攻擊場景的生成造成影響
**解決辦法:**将狀态發生函數bool(s)進行拓展,,bool(s) ∈{true,false,middle},增加中間狀态儲存可能發生的狀态轉移,通過後續報警進行狀态更正。
算法:
Step1 設定中間狀态
Step2 狀态更正
4 網絡安全态勢量化分析
4.1 攻擊安全機率
p(ac),對于特定網絡,某種成功入侵的可能性
p(a)為該攻擊發生機率,vlusj 表示該攻擊成功實施所依賴漏洞,Vlus 表示被入侵主機中存在的漏洞庫,vlus∈ Vlus 表示被入侵主機存在該攻擊所依賴漏洞
4.2 攻擊階段實作機率
p(s),攻擊者已經成功入侵到某個階段的可能性。攻擊階段依賴多個單個攻擊的成功,僅當所需的都成功了才會成功。
pi( ac) 、pj(ac ) 分别為攻擊行為Alteri 、Alter j的成功入侵機率;d=0 表示狀态節點 s 為或節點; d=1 表示狀态節點 s 為與節點
4.3 網絡安全态勢值
根據CVSS來衡量漏洞對網絡的影響,威脅得分為
CIA分别是機密性、完整性、可用性三個名額的威脅影響得分。
每條攻擊場景需要利用多個系統漏洞,将攻擊階段實作機率p(s)、攻擊階段利用的單個漏洞威脅得分Impact(v)以及攻擊階段發生的節點權重值Weight進行綜合量化,可以得到每一條攻擊場景對網絡安全态勢的影響sa(path),即多漏洞對系統安全态勢的影響值
m 為攻擊場景 pathi 已經實作的攻擊階段。pj(s)≤ 1, Impact (v )≤10 , ∑Weight =1 ,是以sa( path) i≤10 。依據 CVSS 中對得分的威脅程度定義,設當sa(pathi) ∈ [0, 4.0] 時,該攻擊者對網絡造成的危害為低風險;當 sa( pathi) ∈(4.0, 7.0] 時,該攻擊者對網絡造成的危害為中度風險 ; 當sa(pathi)∈ (7.0,10] 時,該攻擊者對網絡造成的危害為高風險。
最後總體安全态勢為,n為檢測到的所有攻擊場景的總和
5 實驗結果及分析
資料集:
- DARPA2000
- Defcon23 CTF
流程:
- 用TCPReplay将資料集重放,利用入侵檢測系統Snort對流量進行檢測
- 利用融合結果實施網絡攻擊階段識别
- 利用工具Graphviz将狀态轉移圖可視化
- 對網絡安全态勢進行量化評估
5.1 LLDOS資料集
屬于DAPRA2000的兩個子集,包含完整的實施DDOS過程的場景,1.0的攻擊者較為初級,2.0的攻擊和更加隐蔽和進階。
- LLDOS1.0攻擊流程
- 對網段進行IP掃描,查詢有效主機
- 對有效主機執行Sadmind Ping,查詢運作Sadmind服務的主機
- 利用有效主機作業系統的Sadmind漏洞執行Daemon Installed攻擊
- 利用Exploit獲得三台主機的Root權限
- 利用三台主機對最終目标實施DDoS攻擊
- LLDOS2.0攻擊流程
放棄了PING,而是使用DNS_Query,查詢到DNS伺服器位址,然後根據漏洞擷取root權限,最後控制其他主機,最後執行DDoS
表1通過攻擊事件及運作的服務資訊分析得到
表2通過CVSS
網絡分為DMZ和INSIDE,由于DMZ有1個網段,INSIDE為6個,ui那次配置設定權重時會不太一樣。
對各節點進行資料融合、攻擊階段識别、網絡安全态勢評估,得到實時的網絡安全态勢值。根據此方法得到二主要受攻擊主機的相關資訊如下表所示:
繪制成圖檔如下,态勢值越大表示此刻網絡中收到的攻擊危害程度越大
結論:
可以看到本文的方法能展現出多步攻擊的攻擊階段,考慮到了攻擊間的因果關聯,是以是具有參考價值的
5.2 CTF資料集
選用藍蓮花小組作為防護對象,對第一天采集的資料集的安全态勢進行評估,也能較好反映攻擊實情。
5.3 算法效能分析
目的:通過對攻擊階段與攻擊者進行識别給出一個更加合理有效地安全态勢量化評估值。針對重複、亂序、誤報、漏報這四個問題進行改進。
- 重複:1. 利用報警屬性對其進行聚類,使重複報警聚合成一條資訊 。2. 利用狀态轉移,對重複狀态進行丢棄
- 亂序:設定中間狀态,儲存先到的後續狀态,當其前提狀态到達,便将後續狀态更新為發生狀态,能更加準确識别攻擊階段
- 誤報:1.對多源報警資訊進行融合 。 2. 對報警資訊進行場景重構
- 漏報: 設定中間狀态,狀态的更新依賴于後續狀态的發生
- 0DAY:中間狀态,對尚未成功的攻擊進行儲存,若後續攻擊的前提狀态為該中間狀态,則能推測出0day。但是還停留在理論
- 算法執行判斷而非循環語句,時間複雜度O(1)