張紅斌，尹彥，趙冬梅，劉濱

（1.河北科技大學(xué)信息科學(xué)與工程學(xué)院，河北 石家莊 050018；2.河北師范大學(xué)河北省網(wǎng)絡(luò)與信息安全重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050024；3.河北科技大學(xué)經(jīng)濟(jì)管理學(xué)院，河北 石家莊 050018；4.河北科技大學(xué)大數(shù)據(jù)與社會計(jì)算研究中心，河北 石家莊 050018）

1 引言

隨著網(wǎng)絡(luò)規(guī)模和用戶數(shù)量的不斷增加，網(wǎng)絡(luò)朝著大規(guī)模、多業(yè)務(wù)、大數(shù)據(jù)化的方向發(fā)展，網(wǎng)絡(luò)的體系結(jié)構(gòu)也隨之日趨復(fù)雜化。在這種背景下，計(jì)算機(jī)病毒、惡意軟件、信息泄露等網(wǎng)絡(luò)攻擊越來越嚴(yán)重，多層次的安全威脅和風(fēng)險(xiǎn)也在持續(xù)地增加。高級持續(xù)威脅（APT,advanced persistent threat）成為目前網(wǎng)絡(luò)攻擊的新趨勢[1]，尤其是APT 使用高級的攻擊手段對某一指定目標(biāo)進(jìn)行長期、持續(xù)的網(wǎng)絡(luò)攻擊，具有高度的隱蔽性和危害性[2]。近年來，網(wǎng)絡(luò)威脅情報(bào)（CTI,cyber threat intelligence）的出現(xiàn)為態(tài)勢感知的研究帶來了新思路。CTI 描述了攻擊行為，提供了網(wǎng)絡(luò)攻擊的上下文數(shù)據(jù)，并指導(dǎo)了網(wǎng)絡(luò)攻擊和防御，利用威脅情報(bào)收集大量數(shù)據(jù)，通過有效的數(shù)據(jù)共享和確保信息交換的安全和質(zhì)量，分析惡意行為，可發(fā)現(xiàn)和預(yù)防APT[3]。

然而，目前對于CTI 的研究仍處于初始階段，相關(guān)研究成果較少，在使用CTI 進(jìn)行態(tài)勢感知研究方面，如何合理規(guī)范地使用威脅情報(bào)也是亟待解決的關(guān)鍵問題。針對這一問題，本文提出了一種基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢感知模型，對網(wǎng)絡(luò)資產(chǎn)狀態(tài)、風(fēng)險(xiǎn)狀態(tài)、日志警告進(jìn)行態(tài)勢要素采集，將采集到的數(shù)據(jù)信息在外源威脅情報(bào)指導(dǎo)下進(jìn)行數(shù)據(jù)篩選、清洗以及關(guān)聯(lián)分析，通過攻防之間的博弈過程對處理后的數(shù)據(jù)進(jìn)行態(tài)勢量化及預(yù)測。在此過程中，利用外源威脅情報(bào)指導(dǎo)內(nèi)源威脅信息，并與態(tài)勢感知預(yù)測結(jié)果對比分析后，生成內(nèi)源威脅情報(bào)。

2 相關(guān)工作

態(tài)勢感知是指在特定的時(shí)間和空間內(nèi)提取系統(tǒng)的要素，理解其含義并預(yù)測其可能產(chǎn)生的影響。Endsley[4]將態(tài)勢感知分為3 個(gè)層面：態(tài)勢要素提取、態(tài)勢理解、態(tài)勢投射。之后Bass[5]提出了網(wǎng)絡(luò)態(tài)勢感知的概念，即在大型網(wǎng)絡(luò)環(huán)境中，獲取、理解、評估和顯示可能導(dǎo)致網(wǎng)絡(luò)狀態(tài)發(fā)生變化的要素，并預(yù)測未來的發(fā)展趨勢。

在態(tài)勢感知模型的研究方面，文獻(xiàn)[6]針對物聯(lián)網(wǎng)防御復(fù)雜的問題，提出了基于隨機(jī)C-Petri 網(wǎng)的安全態(tài)勢感知博弈模型，動(dòng)態(tài)地考慮攻防兩者的對抗行為，發(fā)現(xiàn)潛在的攻擊行為，做出有效的防御；但在具有大量IoT 節(jié)點(diǎn)的復(fù)雜網(wǎng)絡(luò)環(huán)境下，該模型的計(jì)算面臨很大的困難，還需引入云計(jì)算的方法降低計(jì)算復(fù)雜性。文獻(xiàn)[7]提出了一種基于隨機(jī)博弈的網(wǎng)絡(luò)安全態(tài)勢評估模型，綜合分析了攻擊方、防御方和環(huán)境信息三者對安全態(tài)勢的影響；然而在考慮攻防雙方策略選擇時(shí)僅考慮簡單的策略集合，而在真實(shí)的攻擊場景中策略選擇要復(fù)雜得多。文獻(xiàn)[8]提出了基于拓?fù)渎┒捶治龅膽B(tài)勢感知模型，通過網(wǎng)絡(luò)安全態(tài)勢要素的獲取、分析，計(jì)算網(wǎng)絡(luò)安全態(tài)勢值，實(shí)現(xiàn)態(tài)勢感知；但當(dāng)網(wǎng)絡(luò)環(huán)境更改時(shí)，它需要再次對環(huán)境建模，不能很好地適應(yīng)網(wǎng)絡(luò)更改，還需建立模型參數(shù)自適應(yīng)理解機(jī)制。文獻(xiàn)[9]針對電子滲透APT 攻擊提出了馬爾可夫多階段可轉(zhuǎn)移信念模型，將殺傷鏈模型與攻擊樹結(jié)合，利用沖突作為識別悖論的指標(biāo)，能夠?yàn)閺?fù)雜的多階段攻擊進(jìn)行態(tài)勢感知；但該模型在選取最有效的方式優(yōu)化資源分配以及改善決策制定方面也需要進(jìn)行改進(jìn)。

威脅情報(bào)主要是利用大數(shù)據(jù)的收集方法獲取，能夠提供最全、最新的安全事件數(shù)據(jù)，極大提高了網(wǎng)絡(luò)安全態(tài)勢感知工作中對新型和高級危險(xiǎn)的察覺能力。文獻(xiàn)[10]針對APT 攻擊鏈進(jìn)行研究，選取域名系統(tǒng)（DNS,domain name system）流量作為APT 整體檢測的原始數(shù)據(jù)，采用多種不同檢測特征，結(jié)合最新的威脅情報(bào)和大數(shù)據(jù)技術(shù)，對APT攻擊檢測具有一定的意義。文獻(xiàn)[11]以威脅情報(bào)為切入點(diǎn)，設(shè)計(jì)安全威脅情報(bào)共享系統(tǒng)，通過第三方共享的威脅情報(bào)數(shù)據(jù)對電網(wǎng)安全的安全態(tài)勢進(jìn)行評估，并及時(shí)發(fā)現(xiàn)異常行為，利用威脅情報(bào)實(shí)現(xiàn)入侵意圖識別，大大提升了系統(tǒng)安全態(tài)勢感知的能力。威脅情報(bào)具有強(qiáng)大的更新能力，通過威脅情報(bào)的共享技術(shù)，情報(bào)庫不斷更新，因此威脅情報(bào)的共享技術(shù)是實(shí)現(xiàn)攻擊溯源的重要手段。文獻(xiàn)[12]為實(shí)現(xiàn)有效的攻擊溯源，基于STIX 提出了一種精簡模式的威脅情報(bào)共享利用框架，以有關(guān)C2信息為例描述了威脅情報(bào)的共享利用表達(dá)方式，實(shí)驗(yàn)結(jié)果表明利用威脅情報(bào)進(jìn)行攻擊溯源具有實(shí)用性。

通過對上述文獻(xiàn)進(jìn)行分析可知，威脅情報(bào)在提高網(wǎng)絡(luò)安全態(tài)勢感知的準(zhǔn)確性方面具有很大的影響，因此本文提出基于CTI 和攻防博弈的態(tài)勢感知模型，通過攻防之間的博弈過程量化網(wǎng)絡(luò)態(tài)勢，結(jié)合CTI 和納什均衡進(jìn)行網(wǎng)絡(luò)安全態(tài)勢預(yù)測。

3 態(tài)勢感知模型基礎(chǔ)

本文提出的基于威脅情報(bào)的態(tài)勢感知模型分為3 個(gè)部分：態(tài)勢覺察、態(tài)勢理解和態(tài)勢投射，如圖1 所示。

圖1 態(tài)勢感知模型

1) 態(tài)勢覺察的主要目的是通過對采集到的要素（主要包含目標(biāo)網(wǎng)絡(luò)的資產(chǎn)狀態(tài)信息、風(fēng)險(xiǎn)狀態(tài)信息及日志警告信息）在外源威脅情報(bào)的指導(dǎo)下進(jìn)行數(shù)據(jù)預(yù)處理及關(guān)聯(lián)分析，找出系統(tǒng)中的異常攻擊行為及其特征，確定攻擊的意圖、方式以及產(chǎn)生的影響，然后對攻擊信息進(jìn)行STIX 結(jié)構(gòu)化，生成具有威脅性的內(nèi)源威脅信息。

2) 態(tài)勢理解是在態(tài)勢覺察的基礎(chǔ)上對攻擊行為進(jìn)行理解，確定攻擊者的攻擊策略，針對攻擊策略選取合適的防御策略。

3) 態(tài)勢投射在前兩步的基礎(chǔ)上分析攻擊行為對網(wǎng)絡(luò)中對象的威脅情況，引入攻防博弈的思想，對網(wǎng)絡(luò)整體的安全態(tài)勢進(jìn)行量化及預(yù)測，將預(yù)測結(jié)果與之后網(wǎng)絡(luò)態(tài)勢感知的結(jié)果進(jìn)行對比分析。若結(jié)果一致，說明通過該方法進(jìn)行預(yù)測分析是可行的，同時(shí)將態(tài)勢覺察部分生成的內(nèi)源威脅信息定義為系統(tǒng)內(nèi)源威脅情報(bào)。生成的內(nèi)源威脅情報(bào)通過威脅情報(bào)的共享技術(shù)，能夠提高整體網(wǎng)絡(luò)空間的安全性。

本文對一般態(tài)勢感知模型的改進(jìn)主要表現(xiàn)為兩點(diǎn)，一方面在態(tài)勢覺察部分，通過外源威脅情報(bào)的指導(dǎo)，對系統(tǒng)內(nèi)部的安全事件進(jìn)行分析和理解，覺察系統(tǒng)內(nèi)部的威脅。經(jīng)過態(tài)勢覺察生成的內(nèi)源威脅信息可以準(zhǔn)確地發(fā)現(xiàn)攻擊，并能對攻擊的意圖、方式及攻擊進(jìn)行精準(zhǔn)描述。另一方面在態(tài)勢投射部分，通過攻擊者、防御者之間的博弈過程，定義相關(guān)變量，并對目標(biāo)系統(tǒng)的安全態(tài)勢進(jìn)行量化，從而評估網(wǎng)絡(luò)的安全狀態(tài)；通過納什均衡存在定理，對目標(biāo)網(wǎng)絡(luò)的未來安全態(tài)勢進(jìn)行預(yù)測，預(yù)測攻擊者可能采取的攻擊策略，促使防御者提前采取合適的措施進(jìn)行防御，使網(wǎng)絡(luò)免受攻擊。

4 基于相似度的態(tài)勢覺察方法

本節(jié)介紹了威脅情報(bào)的定義、表達(dá)格式等相關(guān)概念，提出基于外源威脅情報(bào)與安全事件相似度比較的威脅信息察覺方法，通過比較兩者之間的相似度，判斷內(nèi)部安全事件是否具有威脅性，發(fā)現(xiàn)系統(tǒng)內(nèi)部的威脅信息。最后將態(tài)勢預(yù)測結(jié)果對內(nèi)源威脅信息進(jìn)行反饋，確定內(nèi)源威脅情報(bào)。

4.1 威脅情報(bào)的定義

Gartner 對威脅情報(bào)的定義為：威脅情報(bào)是關(guān)于IT、信息資產(chǎn)面臨現(xiàn)有或醞釀中的威脅的證據(jù)性知識，包括可實(shí)施上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識可以為威脅的響應(yīng)、處理決策提供技術(shù)支持[13]。本文根據(jù)威脅情報(bào)的來源將其分為內(nèi)源威脅情報(bào)和外源威脅情報(bào)，具體內(nèi)容如以下定義所示。

定義1外源威脅情報(bào)（ECTI,external cyber threat intelligence）。通常源于情報(bào)提供者提供的開源威脅情報(bào)（OSINT,open source intelligence），如互聯(lián)網(wǎng)公開的漏洞信息、安全事件信息、網(wǎng)絡(luò)安全預(yù)警信息等。

定義2內(nèi)源威脅情報(bào)（ICTI,internal cyber threat intelligence）。企業(yè)或機(jī)構(gòu)產(chǎn)生的威脅情報(bào)數(shù)據(jù)，用于保護(hù)內(nèi)部信息資產(chǎn)和業(yè)務(wù)流程。通常是目標(biāo)系統(tǒng)受到攻擊后，通過相應(yīng)的安全信息與時(shí)間管理入侵檢測系統(tǒng)等安全設(shè)備獲取的相關(guān)數(shù)據(jù)集，進(jìn)行數(shù)據(jù)分析、融合后，與態(tài)勢感知的結(jié)果進(jìn)行對比分析證明正確性，最后生成系統(tǒng)內(nèi)源威脅情報(bào)。

在進(jìn)行威脅情報(bào)數(shù)據(jù)的預(yù)處理前，有必要統(tǒng)一內(nèi)外源威脅情報(bào)的格式，本文采用結(jié)構(gòu)化威脅信息表達(dá)式STIX[14]作為威脅情報(bào)的格式。STIX 提供一種以標(biāo)準(zhǔn)XML 為基礎(chǔ)的語法，用于描述威脅情報(bào)的詳細(xì)信息、內(nèi)容和威脅情報(bào)各個(gè)方面的特點(diǎn)。本文首先對ECTI 進(jìn)行STIX2.0 結(jié)構(gòu)化，選取威脅指標(biāo)（Indicator）、攻擊模式（Attack Pattern）、工具（Tool）、漏洞（Vulnerability）、可觀測數(shù)據(jù)（Observed Data）這5 類對象作為分析要素，其中每個(gè)對象包含了若干的威脅屬性，如表1 所示；然后將這些對象及屬性作為ICTI 的收集依據(jù)，發(fā)現(xiàn)系統(tǒng)內(nèi)部的攻擊行為。威脅對象的具體描述如下。

表1 對象及其屬性

1) Indicator：威脅的指標(biāo)點(diǎn)，包含攻擊時(shí)間、工具、惡意軟件所在的僵尸網(wǎng)絡(luò)信息等特征參數(shù)。

2) Attack Pattern：描述攻擊者試圖破壞目標(biāo)的方式，實(shí)際是TTP（tactic、technique and procedure）類型，通常使用通用攻擊模式枚舉和分類（CAPEC）標(biāo)準(zhǔn)來結(jié)構(gòu)化描述攻擊模式。

3) Tool：威脅者可以用來執(zhí)行攻擊的合法軟件。

4) Vulnerability：軟件中的錯(cuò)誤，黑客可以直接利用該錯(cuò)誤來訪問系統(tǒng)或網(wǎng)絡(luò)。

5) Observed Data：在系統(tǒng)和網(wǎng)絡(luò)上觀察到的傳輸信息，例如IP 地址等。

4.2 針對威脅的態(tài)勢覺察方法

威脅覺察過程為通過對目標(biāo)系統(tǒng)攻擊數(shù)據(jù)的處理，明確攻擊的目的、攻擊工具及產(chǎn)生的影響等；利用STIX2.0 提取上述相關(guān)對象及威脅屬性，生成安全事件（SI,security incident）；對安全事件進(jìn)行權(quán)重的計(jì)算，得到具有威脅價(jià)值的信息，將其定義為內(nèi)源威脅信息。圖2 描述了相似度分析的過程。

圖2 相似度分析的過程

1) 獲取相關(guān)對象及屬性

安全事件SI 是一個(gè)5 元組，對應(yīng)上述的5 個(gè)對象，每個(gè)對象都代表一個(gè)分系統(tǒng)，每個(gè)分系統(tǒng)下又有若干的威脅屬性，即

其中，每個(gè)對象的權(quán)重用ωi表示，所有對象的權(quán)重值滿足，每個(gè)對象下威脅屬性的權(quán)重用ωij表示，權(quán)重值滿足。

2) 權(quán)重計(jì)算

開源的威脅情報(bào)庫過于龐大，系統(tǒng)內(nèi)部SI 與其完全匹配成功的可能性極低，因此，使用與安全事件相同類型的威脅情報(bào)來分析后續(xù)的安全事件。本文利用攻擊方式的CAPEC-id 進(jìn)行ECTI 的分類，統(tǒng)計(jì)每種類型威脅情報(bào)中具有SI 特性的威脅數(shù)據(jù)。

本文以分系統(tǒng)Indicator 為例進(jìn)行描述。對象Indicator 的3 個(gè)屬性在外源威脅情報(bào)中出現(xiàn)的次數(shù)如表2 所示，其中，xij表示威脅屬性在外源威脅情報(bào)中出現(xiàn)的次數(shù)。

表2 Indicator 的屬性在ECTI 中出現(xiàn)的次數(shù)

計(jì)算Indicator 分系統(tǒng)中各個(gè)屬性在ECTI 中出現(xiàn)的頻率，即

建立目標(biāo)對象的相對優(yōu)越度矩陣Rm×n為

對象的屬性出現(xiàn)頻次越多，在威脅情報(bào)中越具有代表性，利用該屬性進(jìn)行威脅情報(bào)生成越能準(zhǔn)確反映目標(biāo)系統(tǒng)的安全狀態(tài)。根據(jù)文獻(xiàn)[15]，利用式(3)求取相對優(yōu)越值rij，通過式(4)計(jì)算ECTI 中每個(gè)屬性的權(quán)重。

通過對系統(tǒng)內(nèi)部安全數(shù)據(jù)的收集、整理，可以得到內(nèi)部安全事件SI 中每個(gè)元組的權(quán)重ωi，以及每個(gè)元組下屬性的權(quán)重ωij，計(jì)算式為

其中，yij表示威脅屬性在內(nèi)部安全事件SI 中出現(xiàn)的頻次，則ωi={ωi1,ωi2,…,ωij}，i=1,2,…,5，j=1,2,…,n。

比較ωij與之間的差值，差值越小，說明安全事件中這一對象與同類ECTI 的相似性越大。通過比較可以得到內(nèi)外源安全數(shù)據(jù)Indicator 對象中差值最大的屬性，將該差值作為SI與ECTI中Indicator之間的相似度si1m，即

同理，能夠求得SI 中其余元組與ECTI 的相似度，選擇這些simi中的最大值作為內(nèi)部安全事件與外源威脅情報(bào)之間的相似度Sim，即

設(shè)置閾值ε，當(dāng)Sim≤ε時(shí)，則該安全事件可以作為目標(biāo)系統(tǒng)內(nèi)源的威脅信息；否則，將此安全事件進(jìn)行存儲。

得到系統(tǒng)內(nèi)源的威脅信息后，對攻防策略建立博弈模型，進(jìn)行態(tài)勢預(yù)測，得到預(yù)測結(jié)果，將威脅信息與預(yù)測結(jié)果進(jìn)行對比分析，判斷是否一致，若一致，將此內(nèi)源威脅信息定義為ICTI。圖3 為ICTI生成過程，在此過程中ECTI 指導(dǎo)信息收集，規(guī)范了ICTI 信息的格式。

圖3 內(nèi)源威脅情報(bào)生成過程

5 攻防博弈模型

5.1 攻防模型的建立

在網(wǎng)絡(luò)攻防過程中，攻防雙方采取的攻擊與防御措施會對整個(gè)目標(biāo)系統(tǒng)網(wǎng)絡(luò)狀態(tài)的轉(zhuǎn)移產(chǎn)生影響，使系統(tǒng)的網(wǎng)絡(luò)狀態(tài)進(jìn)行更新，導(dǎo)致攻防雙方根據(jù)新的網(wǎng)絡(luò)狀態(tài)選擇新的行動(dòng)策略，并反復(fù)進(jìn)行該行為。此過程符合博弈的思想，因此，本文采用隨機(jī)博弈的思想對網(wǎng)絡(luò)攻防過程進(jìn)行建模。

在攻防博弈中，參與者不論采用何種策略都會產(chǎn)生相應(yīng)的成本和收益，定義兩者之間的差值為效用，利用效用來量化網(wǎng)絡(luò)安全態(tài)勢值。假設(shè)網(wǎng)絡(luò)攻防雙方收益相等，本文將攻防過程描述為一個(gè)非合作零和攻防博弈模型。

網(wǎng)絡(luò)安全博弈模型定義如下。

定義3基于隨機(jī)博弈的網(wǎng)絡(luò)安全感知模型（NSAM-SG,network security awareness model-stochastic game）描述了網(wǎng)絡(luò)攻擊與防御行為，包含博弈的參與者、目標(biāo)網(wǎng)絡(luò)的安全狀態(tài)、攻防雙方的策略集合、博弈雙方的效用函數(shù)，即NSAM-SG=(P,S,Ta,Td,U)。

NSAM-SG 各個(gè)元組的含義表示如下。

P表示參與攻防博弈的參與者集合，Pa為攻擊者，Pd為防御者，即P=(Pa,Pd)。

S表示目標(biāo)網(wǎng)絡(luò)的安全狀態(tài)構(gòu)成的集合，S=(S0,S1,S2,…,Sn)，Si表示目標(biāo)網(wǎng)絡(luò)在i（1≤i≤n）時(shí)刻所處的安全狀態(tài)。

U表示博弈雙方的效用函數(shù)集合，表示攻擊者在狀態(tài)Si下的效用函數(shù)，表示防御者在狀態(tài)Si下的效用函數(shù)。

5.2 態(tài)勢量化

當(dāng)攻擊方τ對目標(biāo)系統(tǒng)進(jìn)行攻擊后，U(τ)a、profit(τ)a和cost(τ)a分別表示攻擊方的效用、收益和成本，則防御方采取防御措施防御后的效用、收益和成本定義為U(τ)d、profit(τ)d和cost(τ)d。相關(guān)定義如下。

1) 攻擊方效用。攻擊方的效用U(τ)a等于攻擊方的收益與成本的差值，即

2) 防御方效用。根據(jù)博弈雙方對立的關(guān)系，防御方的效用為

3) 攻擊成本。攻擊成本可以理解為與攻擊者被發(fā)現(xiàn)進(jìn)行法律制裁的風(fēng)險(xiǎn)有關(guān)[16]，事實(shí)上，被發(fā)現(xiàn)進(jìn)行法律訴訟的情況很少，因此本文認(rèn)為攻擊成本與其對應(yīng)威脅情報(bào)的威脅度（TL,threat level）成正比，威脅程度越高，攻擊成本越大，則

參考MIT 林肯實(shí)驗(yàn)室對攻擊的分類[17]，根據(jù)威脅行為的攻擊意圖，威脅情報(bào)可分為6 類，同種類型的威脅情報(bào)具有相同的威脅度，具體分類說明和TL 值如表3 所示。

表3 威脅情報(bào)分類與威脅度

4) 防御成本。防御成本指攻擊發(fā)生后，防御方采取防御措施付出的操作代價(jià)。結(jié)合文獻(xiàn)[18]對防御類別的分類，根據(jù)外源威脅情報(bào)中處置方法（course of action）的復(fù)雜程度對防御成本進(jìn)行分類，可以分為以下4 個(gè)級別。

DC1：未采取防御措施，操作代價(jià)為零。

DC2：抵御攻擊付出的操作成本很小，如對攻擊行為進(jìn)行監(jiān)測。

DC3：對攻擊行為進(jìn)行阻止，防御的操作成本較大。

DC4：修復(fù)攻擊對系統(tǒng)造成的損害，此時(shí)付出的操作成本很大。

對操作代價(jià)進(jìn)行量化，對應(yīng)的防御成本為DC=(0,4,8,10)。

5) 攻擊方收益。攻擊方的收益通常用攻擊對網(wǎng)絡(luò)系統(tǒng)造成的損害來表示，在本文中，攻擊收益主要從威脅攻擊成功率、利用威脅情報(bào)中脆弱性（Vulnerability）產(chǎn)生的危害這2 個(gè)方面進(jìn)行量化。

根據(jù)CVSS 評級標(biāo)準(zhǔn)，利用Vulnerability 產(chǎn)生的危害Impact 為

其中，λ為修正因子，取值為10.41；VL 為脆弱性利用的難易程度，分為嚴(yán)重（Critical）、高（High）、中（Medium）、低（Low）4 個(gè)等級，評分范圍如表4 所示；CIA=(Cona,Inta,Avaa)表示該脆弱性對系統(tǒng)造成的機(jī)密性、完整性、可用性危害，根據(jù)CVSS 評分標(biāo)準(zhǔn)，Cona,Inta,Avaa的取值如表5 所示。最終可以得到攻擊方的收益為

表4 Vulnerability 等級與評分標(biāo)準(zhǔn)

表5 CIA 要素取值范圍

其中，β為攻擊成功率，來自系統(tǒng)的歷史信息。

6) 防御方收益。防御方的收益與防御者采取防御措施后使系統(tǒng)免受的損害有關(guān)，在數(shù)值上與攻擊造成的收益相等，因此，防御收益為

通過上述的量化方法，將式(12)和式(13)代入式(8)中，可以得到攻擊方的效用函數(shù)U(τ)a，即

同理，可以求得防御方的效用函數(shù)U(τ)d，即

雙方的效用函數(shù)分別代表了攻防雙方采取策略行動(dòng)的收益程度，根據(jù)博弈雙方的效用函數(shù)，計(jì)算得到目標(biāo)網(wǎng)絡(luò)的安全態(tài)勢值S為

5.3 攻擊預(yù)測

在博弈中，納什均衡指參與博弈的任一方選擇的策略針對其他人的策略選擇都是最優(yōu)方案。網(wǎng)絡(luò)攻防的過程中，攻擊者與防御者都希望能夠以最小的攻擊或防御成本，收獲最大的利益，在這種情況下，攻防雙方會根據(jù)彼此的策略選擇最佳策略。根據(jù)納什均衡，NSAM-SG 必然存在均衡點(diǎn)。因此，本文利用納什均衡對攻擊行為進(jìn)行預(yù)測。

在攻防進(jìn)行時(shí)，雙方采取的策略對彼此來說都是不明確的，因此不存在純策略的納什均衡。本文使用混合策略對NSAM-SG 進(jìn)行博弈均衡分析。

設(shè)攻擊者與防御者分別依據(jù)概率向量Pa=(x1,x2,x3,…,xm)、Pd=(y1,y2,y3,…,yn)選擇攻擊策略與防御策略，則攻防雙方的混合策略為

定義攻擊者的效益期望為 Ea，防御者的效益期望為 Ed，即

6 實(shí)驗(yàn)結(jié)果與分析

6.1 實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)利用加拿大網(wǎng)絡(luò)安全研究院提出的CICIDS2017 入侵檢測數(shù)據(jù)集進(jìn)行基于相似度生成ICTI 方法的驗(yàn)證，根據(jù)NSAM-SG 驗(yàn)證利用納什均衡預(yù)測攻擊行動(dòng)方法的有效性與準(zhǔn)確性，該數(shù)據(jù)集拓?fù)浣Y(jié)構(gòu)如圖4 所示。

由圖4 可以看出，網(wǎng)絡(luò)結(jié)構(gòu)被劃分成2 個(gè)分離的網(wǎng)絡(luò)，即攻擊者網(wǎng)絡(luò)與受害者網(wǎng)絡(luò)。該數(shù)據(jù)集[19]提供了廣泛的攻擊多樣性，包含了良性流量和最新的攻擊流量，數(shù)據(jù)捕獲期從2017 年7 月3日上午開始，到2017 年7 月7 日下午結(jié)束，實(shí)施的攻擊包括暴力FTP、暴力SSH、DoS、Heartbleed、Web 攻擊、滲透等，具體的攻擊種類及時(shí)間如表6所示。

圖4 CICIDS2017 數(shù)據(jù)集拓?fù)浣Y(jié)構(gòu)

表6 CICIDS2017 攻擊種類及時(shí)間

6.2 威脅覺察

實(shí)驗(yàn)選取CAPEC-24、CAPEC-47、CAPEC-185、CAPEC-122 作為ECTI，指導(dǎo)內(nèi)部威脅的覺察。分析該數(shù)據(jù)集的攻擊行為，將其制成具有STIX2.0 格式的攻擊信息，分析該攻擊信息與外源威脅情報(bào)之間的相似度，判斷該信息是否為內(nèi)源威脅信息。通過實(shí)驗(yàn)，得到SI 分系統(tǒng)Indicator 相關(guān)屬性的頻次如表7 所示。

表7 Indicator 的屬性在ECTI 中出現(xiàn)的頻次

建立目標(biāo)Indicator 的相對優(yōu)越度矩陣R1為

同理，求得 ECTI 中其他元組(AP,Tool,Vul,OD) 屬性權(quán)重分別為=(0.58,0.42)，=(0.33,0.67)，=(1)，=(0.35,0.325,0.325)。

計(jì)算安全事件 SI 中每個(gè)元組的權(quán)重為ω1=(0.5,0.33,0.17)，ω2=(0.44,0.56)，ω3=(0.43,0.57)，ω4=(1)，ω5=(0.5,0.25,0.25)。得到安全事件與外源威脅情報(bào)之間的相似度Sim=0.25。根據(jù)模糊優(yōu)選模型物理含義的分析[20]，設(shè)置模糊閾值ε=0.5，當(dāng)Sim ≤0.5時(shí)，則該安全事件具有威脅價(jià)值，作為系統(tǒng)內(nèi)源的威脅信息，與之后態(tài)勢預(yù)測的結(jié)果進(jìn)行對比分析。

根據(jù)6.4 節(jié)的結(jié)果可知，攻擊者最有可能采取的攻擊策略是利用拒絕服務(wù)漏洞發(fā)起攻擊。因此，所有安全事件SI 中的Tool、Vulnerability 對象及其屬性可以定義為目標(biāo)系統(tǒng)的內(nèi)源威脅情報(bào)。由此可知，本文提出基于相似度分析的威脅察覺方法可以較準(zhǔn)確地發(fā)現(xiàn)威脅行為。

6.3 態(tài)勢評估

本文在林肯實(shí)驗(yàn)室的DARPA2000-LLDoS1.0數(shù)據(jù)集上進(jìn)行對比實(shí)驗(yàn)，驗(yàn)證本文提出基于攻防博弈的態(tài)勢評估的準(zhǔn)確性，在CICIDS2017 入侵檢測數(shù)據(jù)集上驗(yàn)證該方法的普適性。由于實(shí)驗(yàn)數(shù)據(jù)集中僅包含攻擊信息，沒有防御信息，因此假設(shè)防御者未采取防御措施。

1) 準(zhǔn)確性的驗(yàn)證

DARPA2000-LLDoS1.0 數(shù)據(jù)集拓?fù)浣Y(jié)構(gòu)如圖5所示，該數(shù)據(jù)集描述了一個(gè)完整的分布式拒絕服務(wù)攻擊場景，分為5 個(gè)攻擊階段，即掃描、探測、登錄、安裝DDoS 軟件、發(fā)動(dòng)DDoS 攻擊。

圖5 LLDoS1.0 數(shù)據(jù)集拓?fù)浣Y(jié)構(gòu)

各主機(jī)在攻擊過程中所占的權(quán)重如表8 所示。

表8 主機(jī)所占權(quán)重

對目標(biāo)系統(tǒng)的主機(jī)資產(chǎn)進(jìn)行權(quán)重的分配，即CIAM=(5,5,5),CIAL=(1,5,10),CIAP=(5,5,10),CIAH=(5,5,1),CIAR=(5,5,1),CIAwww=(5,5,10)。各主機(jī)在攻擊階段以相同的方式受到攻擊，因此各階段對目標(biāo)系統(tǒng)資產(chǎn)的攻擊影響按照等級劃分為N=(1,2,3,3,2)。通過計(jì)算，得到整個(gè)網(wǎng)絡(luò)環(huán)境的安全態(tài)勢變化趨勢，變化曲線如圖6 所示，此時(shí)網(wǎng)絡(luò)處于危險(xiǎn)狀態(tài)，且安全態(tài)勢值越大，網(wǎng)絡(luò)越危險(xiǎn)。

從圖6 中可以看出，攻擊者在探測階段對網(wǎng)絡(luò)的影響小，之后的緩沖區(qū)溢出攻擊使網(wǎng)絡(luò)的危險(xiǎn)狀態(tài)進(jìn)一步加強(qiáng)，當(dāng)攻擊者獲取主機(jī)的Root 權(quán)限并安裝DDoS 工具后，網(wǎng)絡(luò)的安全面臨進(jìn)一步的威脅。攻擊者手動(dòng)啟動(dòng)DDoS，威脅仍未解除，整個(gè)網(wǎng)絡(luò)的態(tài)勢值進(jìn)一步提高。

圖6 安全態(tài)勢曲線

為了探究本文方法的特性，將應(yīng)用集對分析方法[21]、HMM 方法[22]、層次化分析方法[23]與本文基于攻防博弈的態(tài)勢評估方法進(jìn)行比較，對比結(jié)果如表9 所示。

表9 與其他方法的比較

表9 中，應(yīng)用集對分析方法的原理融合了多個(gè)數(shù)據(jù)源的信息，對網(wǎng)絡(luò)安全各要素展開了全面的分析，但在區(qū)分危險(xiǎn)性不強(qiáng)的探測階段，該方法的靈敏度不高；HMM 方法使用隱馬爾可夫模型進(jìn)行態(tài)勢評估，采用威脅評估結(jié)果對告警分類，解決了觀測事件分類問題，但模型參數(shù)的配置具有一定的主觀性，準(zhǔn)確性偏低；層次化分析方法在評估整個(gè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)值時(shí)具有一定的優(yōu)勢，但風(fēng)險(xiǎn)計(jì)算的本質(zhì)依舊為風(fēng)險(xiǎn)累計(jì)算法，利用風(fēng)險(xiǎn)累積進(jìn)行態(tài)勢評估，風(fēng)險(xiǎn)值只增不減，不能準(zhǔn)確地反映網(wǎng)絡(luò)態(tài)勢的變化。

各方法的網(wǎng)絡(luò)安全態(tài)勢變化對比如圖7 所示。從圖7 中可以看出，基于攻防博弈的態(tài)勢評估方法在區(qū)分危險(xiǎn)性不強(qiáng)的探測階段，態(tài)勢值有了顯著的變化，相對于應(yīng)用集對分析方法更靈敏；在危險(xiǎn)較大的權(quán)限提升階段方面，基于攻防博弈的態(tài)勢評估方法與HMM 方法、應(yīng)用集對分析方法相比，對網(wǎng)絡(luò)態(tài)勢的變化反應(yīng)更強(qiáng)烈，更能引起網(wǎng)絡(luò)安全管理員的警覺；同時(shí)，該方法解決了層次化分析法風(fēng)險(xiǎn)值只增不減的問題，反映了不同攻擊方式對網(wǎng)絡(luò)態(tài)勢的影響不是一味地增長，而是具有一定的回復(fù)性。因此，本文提出的態(tài)勢評估方法可以正確地反映網(wǎng)絡(luò)態(tài)勢值的變化。

圖7 不同方法的網(wǎng)絡(luò)安全態(tài)勢變化對比

2) 普適性的驗(yàn)證

在CICIDS2017 入侵檢測數(shù)據(jù)集上驗(yàn)證本文提出方法的普適性。根據(jù)提出的NSAM-SG 模型，量化數(shù)據(jù)捕獲周期的安全態(tài)勢值，由于星期一的數(shù)據(jù)都是正常流量，網(wǎng)絡(luò)處于安全狀態(tài)，態(tài)勢值為0，因此本文從星期二開始進(jìn)行態(tài)勢評估。CICIDS2017數(shù)據(jù)集入侵類型的攻擊成本如表10 所示。

表10 CICIDS2017 數(shù)據(jù)集入侵類型的攻擊成本

通過計(jì)算，得到整個(gè)網(wǎng)絡(luò)環(huán)境的安全態(tài)勢值，態(tài)勢變化曲線如圖8 所示，此時(shí)網(wǎng)絡(luò)處于危險(xiǎn)狀態(tài)。從圖8 中可以看出，在每個(gè)攻擊階段中，隨著攻擊的深入，態(tài)勢值呈上升趨勢，整個(gè)網(wǎng)絡(luò)面臨的危險(xiǎn)進(jìn)一步加深。針對不同的攻擊可以看出，當(dāng)網(wǎng)絡(luò)受到端口掃描攻擊時(shí)，網(wǎng)絡(luò)的安全態(tài)勢值最低，網(wǎng)絡(luò)受到的影響最小，當(dāng)網(wǎng)絡(luò)受到SSH 暴力攻擊、滲透攻擊時(shí)，網(wǎng)絡(luò)的安全態(tài)勢值很高，網(wǎng)絡(luò)受到的影響比較嚴(yán)重。

圖8 安全態(tài)勢

從實(shí)驗(yàn)結(jié)果可以看出，本文提出的態(tài)勢評估方法可以適用不同的數(shù)據(jù)集，能夠正確地反映網(wǎng)絡(luò)安全態(tài)勢值的變化，具有一定的普適性。但不足之處表現(xiàn)在當(dāng)網(wǎng)絡(luò)受到像DoS/DDoS 這樣攻擊過程不明顯的攻擊行為時(shí)，網(wǎng)絡(luò)安全態(tài)勢值的變化不明顯，在攻擊初期時(shí)可能無法引起安全管理員的注意，因此在接下來的工作中還需要進(jìn)一步的改進(jìn)。

6.4 攻擊預(yù)測

在圖4 所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，選取CICIDS2017入侵檢測數(shù)據(jù)集中受害主機(jī)Ubuntu 16 WebServer、Ubuntu12 進(jìn)行實(shí)驗(yàn)，選取的主機(jī)共有5 處漏洞，具體的漏洞信息及防御者可采取的防御策略如表11 所示。

表11 系統(tǒng)漏洞信息及防御措施

根據(jù)攻防雙方策略的選擇，利用式(14)和式(15)計(jì)算雙方的收益矩陣P為

根據(jù)博弈論納什均衡的滿足條件，計(jì)算得到雙方的混合策略為x?=(0，0.71，0，0.12，0.17)，y?=(0,0,0,0.31,0.22,0,0.47)。

通過對原始數(shù)據(jù)集進(jìn)行處理，合并5 天的數(shù)據(jù)，刪除無效的樣本，將具有相似特征和行為的少數(shù)攻擊進(jìn)行合并，重新定義標(biāo)簽[24]。經(jīng)過數(shù)據(jù)處理后，發(fā)現(xiàn)DoS/DDoS類攻擊的樣本數(shù)量最多，共379 748條記錄，占全部樣本的36%，且DoS/DDoS 類攻擊付出的攻擊成本較低，因此攻擊者下一步最有可能進(jìn)行DoS攻擊。所以本文提出的納什均衡進(jìn)行態(tài)勢預(yù)測方法是可行的。

為驗(yàn)證本文提出的納什均衡態(tài)勢預(yù)測方法的準(zhǔn)確精度，選取CICIDS2017 數(shù)據(jù)集中周二的流量數(shù)據(jù)，分別使用RBF 神經(jīng)網(wǎng)絡(luò)和Verhulst 灰色模型進(jìn)行預(yù)測，并與本文方法進(jìn)行對比。使用均方根誤差RMSE 作為定量評價(jià)預(yù)測模型的預(yù)測精度的指標(biāo)，計(jì)算方法為

3 種預(yù)測方法預(yù)測精度結(jié)果如表12 所示。

表12 3 種預(yù)測方法預(yù)測精度結(jié)果

由表12 可知，本文提出的基于納什均衡的態(tài)勢預(yù)測方法的預(yù)測精度優(yōu)于其他方法，能取得良好的預(yù)測效果。

7 結(jié)束語

本文提出了基于威脅情報(bào)的網(wǎng)絡(luò)態(tài)勢感知模型，利用威脅情報(bào)進(jìn)行態(tài)勢感知，對網(wǎng)絡(luò)進(jìn)行態(tài)勢覺察，發(fā)現(xiàn)內(nèi)部威脅信息。對攻防博弈進(jìn)行建模，通過定義模型的相關(guān)概念，量化雙方成本和收益，評估當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)，最后利用納什均衡預(yù)測攻擊者可能采取的攻擊行為。實(shí)驗(yàn)分析表明，該模型可以很好地發(fā)現(xiàn)未知攻擊，對網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行準(zhǔn)確的評估和預(yù)測。在下一步的工作中，要將所提出的方法應(yīng)用到實(shí)際的網(wǎng)絡(luò)環(huán)境中，改進(jìn)實(shí)驗(yàn)中存在的不足，并在ICTI 生成過程中引入預(yù)測攻擊策略概率的思想，進(jìn)一步規(guī)范ICTI 的生成。