基于頻繁模式挖掘的網(wǎng)絡(luò)安全防護(hù)

劉懿

（中國(guó)移動(dòng)通信集團(tuán)北京有限公司，北京 100007）

0 引言

隨著互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，從網(wǎng)絡(luò)衍生出來(lái)的產(chǎn)品（如網(wǎng)上購(gòu)物、微信聊天、網(wǎng)上銀行等）越來(lái)越多，這些互聯(lián)網(wǎng)應(yīng)用在給人類生活帶來(lái)極大便利的同時(shí)，也將個(gè)人信息泄露和數(shù)據(jù)安全推到了風(fēng)口浪尖，不法分子利用網(wǎng)絡(luò)存在的漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，產(chǎn)生了網(wǎng)絡(luò)安全事件，如：2014 年，摩根銀行大樓遭受網(wǎng)絡(luò)攻擊，致使7 600 萬(wàn)個(gè)人賬戶和700 萬(wàn)企業(yè)賬戶的關(guān)鍵信息被泄露；2020 年，丹麥稅收網(wǎng)遭到黑客攻擊，超過(guò)120 萬(wàn)丹麥納稅人詳細(xì)信息被惡意軟件意外收集，經(jīng)調(diào)查，這種行為已長(zhǎng)達(dá)5 年之久；2021 年，一黑客篡改可遠(yuǎn)程控制的計(jì)算機(jī)數(shù)據(jù)，將佛羅里達(dá)州奧德馬爾的一家水處理廠中的氫氧化鈉含量調(diào)高到了極其危險(xiǎn)水平，差點(diǎn)讓整個(gè)城市居民集體中毒。由此可見(jiàn)，隨著網(wǎng)絡(luò)攻擊技術(shù)不斷變化，互聯(lián)網(wǎng)金融網(wǎng)站的安全情況令人擔(dān)憂。而攻擊手段的日新月異，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)顯得力不從心。面對(duì)新的安全的形勢(shì)變化，網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)運(yùn)而生，很多學(xué)者都投入了大量的精力去研究網(wǎng)絡(luò)安全防護(hù)技術(shù)以及相關(guān)的防護(hù)模型。Xu 等人[1]提出一個(gè)基于語(yǔ)義本體和用戶定義規(guī)則的情境推理方法，構(gòu)造物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，該模型通過(guò)4 個(gè)關(guān)鍵子域來(lái)反映物聯(lián)網(wǎng)安全情況，并利用用戶定義規(guī)則補(bǔ)償4 個(gè)關(guān)鍵子域的描述能力，以此提升模型的推理能力；Liu 等人[2]提出一種基于風(fēng)險(xiǎn)評(píng)估的NSSA 模型，該模型通過(guò)收集漏洞信息并使用相應(yīng)的風(fēng)險(xiǎn)水平定性地衡量系統(tǒng)的安全狀況，方便管理員監(jiān)控系統(tǒng)并對(duì)系統(tǒng)可能的威脅保持警惕；Jiagen 等人[3]提出一種基于RBF 神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，該模型利用網(wǎng)絡(luò)安全態(tài)勢(shì)值具有非線性時(shí)間序列的特點(diǎn)，使用RBF 神經(jīng)網(wǎng)絡(luò)找出網(wǎng)絡(luò)安全態(tài)勢(shì)值的非線性映射關(guān)系；Zuo 等人[4]提出一種基于安全感知的SDN 物聯(lián)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)，該架構(gòu)可以在SDN 的每一層部署不同的網(wǎng)絡(luò)安全模塊，并通過(guò)整合、分析不同安全模塊的數(shù)據(jù)以實(shí)現(xiàn)提升網(wǎng)絡(luò)安全的性能。通過(guò)分析現(xiàn)有的網(wǎng)絡(luò)防護(hù)模型構(gòu)建可知，大多數(shù)學(xué)者將網(wǎng)絡(luò)防護(hù)過(guò)程進(jìn)行了多層次多角度的分析，很少利用知識(shí)發(fā)現(xiàn)的角度將網(wǎng)絡(luò)攻擊行為生成相應(yīng)的圖或者算法，并用于解決現(xiàn)有模糊識(shí)別網(wǎng)絡(luò)防護(hù)的問(wèn)題。因此，本文提出一種基于頻繁模式挖掘的網(wǎng)絡(luò)安全防護(hù)方法，該方法采用頻繁模式挖掘報(bào)警的規(guī)則進(jìn)而獲得高層次的攻擊語(yǔ)義和攻擊證據(jù)；然后，采用DS 方法融合主機(jī)攻擊的多條證據(jù)并量化網(wǎng)絡(luò)主機(jī)的威脅態(tài)勢(shì)，從而很好地刻畫(huà)主機(jī)的安全態(tài)勢(shì)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的有效評(píng)估。

1 相關(guān)技術(shù)

網(wǎng)絡(luò)安全防護(hù)技術(shù)[5-7]通過(guò)采集網(wǎng)絡(luò)空間中各種設(shè)備的報(bào)警數(shù)據(jù)，并對(duì)這些報(bào)警數(shù)據(jù)進(jìn)行處理、分析和理解，從而對(duì)當(dāng)前網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估，使得網(wǎng)絡(luò)安全管理人員能夠更加全面了解網(wǎng)絡(luò)安全狀態(tài)。

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

（1）態(tài)勢(shì)要素提取

態(tài)勢(shì)要素提取包含網(wǎng)絡(luò)安全數(shù)據(jù)采集和網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理2 個(gè)步驟。

網(wǎng)絡(luò)安全數(shù)據(jù)采集包含2 類采集方式，一類是主動(dòng)式采集，包括通過(guò)網(wǎng)絡(luò)管理協(xié)議、Telnet、文件傳輸協(xié)議、代理、漏洞和端口掃描、“蜜罐”等方式對(duì)數(shù)據(jù)進(jìn)行主動(dòng)式采集；另一類是被動(dòng)式采集，包括系統(tǒng)日志、NetFlow、Web Service 等方式進(jìn)行數(shù)據(jù)采集。

網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理是指對(duì)網(wǎng)絡(luò)采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)缺失處理、噪音數(shù)據(jù)處理、數(shù)據(jù)不一致處理、數(shù)據(jù)融合處理、數(shù)據(jù)關(guān)聯(lián)處理等。

（2）網(wǎng)絡(luò)安全態(tài)勢(shì)理解

在對(duì)態(tài)勢(shì)要素提取的基礎(chǔ)上，對(duì)態(tài)勢(shì)要素進(jìn)行數(shù)據(jù)挖掘，提取網(wǎng)絡(luò)安全語(yǔ)義信息，從整體上評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)值。因此，網(wǎng)絡(luò)安全態(tài)勢(shì)理解是以數(shù)據(jù)融合為核心，將各方面的安全事件進(jìn)行融合和挖掘，獲取高層次的語(yǔ)義信息，從而對(duì)網(wǎng)絡(luò)安全進(jìn)行綜合評(píng)估，輔助網(wǎng)絡(luò)管理員進(jìn)行決策。

（3）網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知不可或缺的部分，是實(shí)現(xiàn)網(wǎng)絡(luò)安全事件預(yù)警、預(yù)報(bào)的有效手段，只有對(duì)網(wǎng)絡(luò)未來(lái)一段事件的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)才能從根本上實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)。為了有效實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)，需要采用數(shù)據(jù)挖掘的算法對(duì)攻擊意圖和入侵進(jìn)行行為預(yù)測(cè)。然而，網(wǎng)絡(luò)攻擊行為具有很大的不確定性，如何有效地挖掘網(wǎng)絡(luò)攻擊意圖，利用知識(shí)發(fā)現(xiàn)將網(wǎng)絡(luò)攻擊行為生成相應(yīng)的網(wǎng)絡(luò)攻擊圖，是解決現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)有效預(yù)警的關(guān)鍵問(wèn)題。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)

（1）貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)作為一種模擬推理過(guò)程中因果關(guān)系的不確定處理模型，是一個(gè)有向無(wú)環(huán)圖；其由變量的結(jié)點(diǎn)和連接這些結(jié)點(diǎn)有向邊構(gòu)成，是一種概率圖模型[8]。貝葉斯網(wǎng)絡(luò)的數(shù)學(xué)表達(dá)：G=。其中I表示所有結(jié)點(diǎn)的集合，E表示有向邊的集合。如果兩個(gè)結(jié)點(diǎn)之間由箭頭相連，那么箭尾相連的結(jié)點(diǎn)是“父結(jié)點(diǎn)”，箭頭相連的結(jié)點(diǎn)是“子結(jié)點(diǎn)”，這兩個(gè)結(jié)點(diǎn)將產(chǎn)生一個(gè)條件概率值。貝葉斯使用條件概率值來(lái)表示各個(gè)結(jié)點(diǎn)依賴關(guān)系的強(qiáng)弱，通過(guò)將先驗(yàn)的信息和樣本知識(shí)結(jié)合來(lái)促進(jìn)先驗(yàn)知識(shí)和數(shù)據(jù)集成，結(jié)點(diǎn)之間產(chǎn)生的條件概率值一旦更新，那么整個(gè)貝葉斯網(wǎng)絡(luò)中的知識(shí)就自動(dòng)更新。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)過(guò)程中，由于網(wǎng)絡(luò)節(jié)點(diǎn)之間依賴拓?fù)潢P(guān)系很難確定，輸入變量之間的相關(guān)性一旦產(chǎn)生較大的偏差，其結(jié)果會(huì)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)產(chǎn)生很大的影響；另外，貝葉斯網(wǎng)絡(luò)當(dāng)參數(shù)過(guò)多時(shí)會(huì)造成計(jì)算代價(jià)非常大，因此，基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)僅適用于網(wǎng)絡(luò)規(guī)模較小的場(chǎng)景。

（2）支持向量機(jī)

支持向量機(jī)[9-10]以間隔最大化為學(xué)習(xí)策略，在特征空間中尋找間隔最大的線性分類器，并最終轉(zhuǎn)化為一個(gè)凸二次規(guī)劃問(wèn)題。為了降低支持向量機(jī)在高維或無(wú)線維空間中構(gòu)造超平面確定分類邊界的計(jì)算復(fù)雜度，研究者采用核函數(shù)來(lái)實(shí)現(xiàn)樣本的線性劃分。核函數(shù)的核心是使用一個(gè)非線性映射將原始樣本變換到另一個(gè)特征空間中，在這個(gè)空間中，樣本變得線性可分。假設(shè)一個(gè)二維空間中，有數(shù)據(jù)集D=(x1,y1),(x2,y2),…(xn,yn)，其中y∈{-1,1}。支持向量機(jī)的目標(biāo)是使用一個(gè)合適的超平面f(x)=wTx+b將數(shù)據(jù)分開(kāi)，其中w為法向量，b為位移。超平面以虛線為邊界，兩條虛線間的距離稱為“間隔”。支持向量機(jī)訓(xùn)練樣本的示意圖如圖1 所示。

圖1 支持向量機(jī)訓(xùn)練樣本示意圖

（3）BP 神經(jīng)網(wǎng)絡(luò)

BP 神經(jīng)網(wǎng)絡(luò)[11-12]作為一種按誤差逆?zhèn)鞑ニ惴ㄓ?xùn)練的多層前饋網(wǎng)絡(luò)，其依據(jù)信號(hào)的前向傳播和誤差的反向傳播來(lái)計(jì)算網(wǎng)絡(luò)神經(jīng)元連接之間的參數(shù)，最終實(shí)現(xiàn)任務(wù)的分類。BP神經(jīng)網(wǎng)絡(luò)的過(guò)程主要分為兩個(gè)階段，第一階段是信號(hào)的前向傳播，從輸入層經(jīng)過(guò)隱含層，最后到達(dá)輸出層；第二階段是誤差的反向傳播，從輸出層到隱含層，最后到輸入層，依次調(diào)節(jié)隱含層到輸出層的權(quán)重和偏置，輸入層到隱含層的權(quán)重和偏置。BP 神經(jīng)網(wǎng)絡(luò)的示意圖如圖2 所示：

圖2 BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練樣本示意圖

網(wǎng)絡(luò)攻擊是一種系統(tǒng)行為，不是依靠分析一系列的報(bào)警事件的相互關(guān)系就能準(zhǔn)確判斷該行為是正常的行為還是異常的行為，而是需要分析各種報(bào)警事件之間的邏輯關(guān)系，才能將攻擊者的一系列相關(guān)的步驟進(jìn)行有效梳理。如今，隨著網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，如何從海量的報(bào)警數(shù)據(jù)中獲得隱藏在其中的網(wǎng)絡(luò)攻擊步驟，是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)十分重要的課題。為此，本文提出一種基于頻繁模式的網(wǎng)絡(luò)安全防護(hù)方法，通過(guò)對(duì)報(bào)警數(shù)據(jù)進(jìn)行頻繁多步攻擊序列挖掘，對(duì)單個(gè)攻擊事件（信息探測(cè)、漏洞掃描、漏洞利用、權(quán)限提升、發(fā)動(dòng)攻擊、留下后門）之間的邏輯關(guān)系進(jìn)行關(guān)聯(lián)，挖掘其中的頻繁項(xiàng)集，有助于發(fā)現(xiàn)因果關(guān)系不明確的多步攻擊模式，能夠更好地對(duì)攻擊行為進(jìn)行識(shí)別。

2 基于頻繁模式挖掘的網(wǎng)絡(luò)安全防護(hù)

2.1 報(bào)警數(shù)據(jù)信息融合

各類安全檢測(cè)設(shè)備在檢測(cè)網(wǎng)絡(luò)攻擊行為時(shí)會(huì)產(chǎn)生大量的報(bào)警日志，而這些報(bào)警日志很有可能是針對(duì)同一個(gè)攻擊行為產(chǎn)生的，因此，需要對(duì)大量的冗余報(bào)警信息進(jìn)行預(yù)處理，避免現(xiàn)有的報(bào)警數(shù)據(jù)對(duì)后期的攻擊行為分析和處理帶來(lái)巨大的計(jì)算量。因此，需要對(duì)相似度較高的報(bào)警日志進(jìn)行融合處理，通過(guò)把相似度較高的報(bào)警日志融合到同一個(gè)類別，將同一個(gè)類別的報(bào)警進(jìn)行處理，并生成網(wǎng)絡(luò)攻擊事件。

首先，需要對(duì)報(bào)警數(shù)據(jù)進(jìn)行數(shù)據(jù)提取，本文參考文獻(xiàn)[13] 對(duì)報(bào)警數(shù)據(jù)的提取格式，將報(bào)警數(shù)據(jù)格式定義為（Id,Src_ip,Dst_ip,Src_port,Dst_port,Attack_type,StartTime,EndTime,Protocol)，具體如表1 所示。

表1 報(bào)警數(shù)據(jù)格式

其次，基于多個(gè)報(bào)警數(shù)據(jù)，需要對(duì)各個(gè)屬性進(jìn)行相似度衡量，結(jié)合各個(gè)屬性的相似度進(jìn)行加權(quán)平均，得到每一條報(bào)警數(shù)據(jù)與基報(bào)警之間的相似度。本文將每一個(gè)報(bào)警數(shù)據(jù)轉(zhuǎn)化成向量，通過(guò)計(jì)算兩個(gè)向量的夾角的余弦值來(lái)衡量向量之間的相似度值。

然后，按照屬性的重要程度對(duì)各個(gè)屬性賦予權(quán)重，采用加權(quán)平均方法計(jì)算每一條報(bào)警數(shù)據(jù)與基報(bào)警數(shù)據(jù)之間的相似度。

最后，結(jié)合相似度閾值判斷每一條報(bào)警數(shù)據(jù)是否能夠與基報(bào)警數(shù)據(jù)進(jìn)行融合，如果每一條報(bào)警數(shù)據(jù)與基報(bào)警數(shù)據(jù)的相似度大于設(shè)定的閾值（閾值在0.5～1，按照實(shí)際的需求設(shè)置，一般設(shè)在0.8 以上），那么則將其納入基報(bào)警數(shù)據(jù)中，否則，將其作為一條新的基報(bào)警數(shù)據(jù)，如此不斷循環(huán)。

2.2 基于FP-樹(shù)全局頻繁項(xiàng)集的多步攻擊模式挖掘

在對(duì)報(bào)警數(shù)據(jù)進(jìn)行融合之后，將會(huì)產(chǎn)生多條報(bào)警基數(shù) 據(jù)(Id,Src_ip,Dst_ip,Src_port,Dst_port,Attack_type,StartTime,EndTime,Protocol)，然后將這些數(shù)據(jù)按照時(shí)間進(jìn)行排序組成報(bào)警事務(wù)數(shù)據(jù)庫(kù)，采用FP-樹(shù)全局頻繁項(xiàng)集對(duì)攻擊系列進(jìn)行挖掘，挖掘多步攻擊模式。具體步驟如下。

相比Apriori 算法挖掘頻繁項(xiàng)集，F(xiàn)P-樹(shù)能夠壓縮所有事務(wù)記錄的關(guān)聯(lián)項(xiàng)集，并且以其獨(dú)特的結(jié)構(gòu)提供一種方便深度優(yōu)先挖掘最大頻繁項(xiàng)集的方法，在深度優(yōu)先遍歷搜索空間樹(shù)時(shí)建立FP-樹(shù)，對(duì)于每個(gè)結(jié)點(diǎn)，保存該結(jié)點(diǎn)到根結(jié)點(diǎn)搜索路徑上的每一個(gè)結(jié)點(diǎn)對(duì)應(yīng)的FP 子樹(shù)，F(xiàn)P子樹(shù)表示與其相關(guān)結(jié)點(diǎn)挖掘有關(guān)的頻繁信息，在當(dāng)前結(jié)點(diǎn)上，通過(guò)在相應(yīng)項(xiàng)集之中添加對(duì)應(yīng)的FP 子樹(shù)頭表中的某個(gè)項(xiàng)，來(lái)生成搜索空間中的子結(jié)點(diǎn)。基于FP-樹(shù)全局頻繁項(xiàng)集的多步攻擊模式挖掘的步驟如下：

首先，采用滑動(dòng)窗口法產(chǎn)生候選攻擊序列集。由于報(bào)警數(shù)據(jù)按照時(shí)間排序而成的，因此，為了更有效挖掘攻擊序列，需要采用滑動(dòng)窗口的方法來(lái)劃分攻擊數(shù)據(jù)的時(shí)間序列。窗口每滑動(dòng)一次就會(huì)產(chǎn)生一個(gè)序列s，直到窗口滑動(dòng)到指定時(shí)間段的攻擊數(shù)據(jù)時(shí)間序列的最后一個(gè)數(shù)據(jù)為止?；瑒?dòng)窗口產(chǎn)生的攻擊序列集為Alert_seg=(s1,s2,…,sn)。

然后，采用FP-樹(shù)挖掘頻繁攻擊序列集，篩選大于最小支持度的頻繁項(xiàng)集。

最后，針對(duì)上一步挖掘出來(lái)的所有頻繁攻擊序列集，對(duì)頻繁攻擊序列進(jìn)行剪枝，剪去頻繁攻擊序列集中的非頻繁項(xiàng)集，篩選出最大頻繁攻擊序列?；贔P-樹(shù)的多步攻擊模式挖掘的流程圖如圖3 所示。

圖3 基于FP-樹(shù)全局頻繁項(xiàng)集的多步攻擊模式挖掘

2.3 基于DS方法的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

基于FP-樹(shù)得到多步攻擊序列，每一條Lk項(xiàng)攻擊序列其實(shí)或多或少解揭示了每一個(gè)攻擊行為發(fā)生的成功率與對(duì)主機(jī)的威脅值，從而計(jì)算出每一條Lk項(xiàng)攻擊序列的初始信任度；在此基礎(chǔ)上，利用DS 方法對(duì)Lk項(xiàng)攻擊序列進(jìn)行合成，從而評(píng)估Lk項(xiàng)攻擊序列對(duì)主機(jī)的威脅態(tài)勢(shì)值；最后，根據(jù)每個(gè)網(wǎng)絡(luò)中每個(gè)主機(jī)的重要程度，計(jì)算整個(gè)網(wǎng)絡(luò)的威脅態(tài)勢(shì)值。

根據(jù)漏洞評(píng)價(jià)系統(tǒng)CVSS 中Access Complexity 去衡量信息探測(cè)、漏洞掃描、漏洞利用、留下后門、權(quán)限提升、發(fā)動(dòng)攻擊6 個(gè)攻擊的成功率，攻擊成功率如下：

其中，SAi表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列的成功率，saij表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列第j項(xiàng)攻擊的成功率。隨著攻擊步數(shù)的增多，攻擊者對(duì)網(wǎng)絡(luò)發(fā)起多步攻擊后，攻擊行為對(duì)主機(jī)的攻擊成功率越高。多步攻擊對(duì)主機(jī)的威脅如下：

其中，TAi表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列的威脅值，Ci表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列的主機(jī)資產(chǎn)機(jī)密性損失；Ii表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列的主機(jī)完整性損失；Ai表示第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列的主機(jī)可用性損失。α、β、γ表示主機(jī)機(jī)密性、完整性、可用性的權(quán)重，α+β+γ=1。

在獲取第i個(gè)時(shí)間周期Lk項(xiàng)攻擊序列成功率和威脅值得基礎(chǔ)上，計(jì)算多步攻擊的初始信任度：

基于DS 理論，可對(duì)不同時(shí)間周期（比如將一周分為7 個(gè)周期，每1 天作為一個(gè)周期）的攻擊序列進(jìn)行合成，采用M(D) 來(lái)衡量主機(jī)的風(fēng)險(xiǎn)情況，其公式表示為：

結(jié)合主機(jī)的重要性，整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)可以表示為：

其中，DW為網(wǎng)絡(luò)風(fēng)險(xiǎn)值，wi為不同設(shè)備對(duì)網(wǎng)絡(luò)安全的重要性。

3 實(shí)驗(yàn)分析

3.1 實(shí)驗(yàn)環(huán)境與相關(guān)說(shuō)明

本文采用的數(shù)據(jù)集是DARPA2000 數(shù)據(jù)集中的LLDoS1.0 數(shù)據(jù)集，該數(shù)據(jù)集包含104 萬(wàn)個(gè)數(shù)據(jù)包，它描述新手攻擊者運(yùn)行分布式DDOS 拒絕攻擊服務(wù)攻擊的過(guò)程：攻擊者采用掃描的方式獲取活動(dòng)的主機(jī)列表，并對(duì)主機(jī)進(jìn)行端口掃描，試圖找出主機(jī)存在的漏洞；然后，通過(guò)留下后門等待權(quán)限提升，待權(quán)限提升后對(duì)主機(jī)漏洞進(jìn)行攻擊，采用遠(yuǎn)程登錄的方式對(duì)主機(jī)進(jìn)行多次操作后入侵網(wǎng)絡(luò)系統(tǒng)；最后，將DDOS 安裝到主機(jī)上，通過(guò)啟動(dòng)軟件對(duì)目標(biāo)主機(jī)發(fā)動(dòng)攻擊。基于上述的攻擊順序，CVSS 相關(guān)定義[14]，結(jié)合單步攻擊利用漏洞復(fù)雜度為攻擊者分配相應(yīng)的訪問(wèn)復(fù)雜度，并基于訪問(wèn)復(fù)雜度作為單步攻擊的成功率，單步攻擊的成功率分配如表2 所示：

表2 單步攻擊成功率

表2 的結(jié)果是基于第2.3 節(jié)中的公式(2) 計(jì)算信息探測(cè)、漏洞掃描、漏洞利用、留下后門、權(quán)限提升、發(fā)動(dòng)攻擊6 個(gè)攻擊的成功率。

基于表2 單步攻擊成功率，結(jié)合歷史數(shù)據(jù)統(tǒng)計(jì)值，計(jì)算單步攻擊對(duì)主機(jī)的威脅值如表3 所示：

表3 單步攻擊對(duì)主機(jī)的威脅值

在歷史數(shù)據(jù)統(tǒng)計(jì)的基礎(chǔ)上，結(jié)合專家經(jīng)驗(yàn)，主機(jī)機(jī)密性、完整性、可用性的權(quán)重如表4 所示：

表4 主機(jī)機(jī)密性、完整性、可用性的權(quán)重值

在獲取單步攻擊對(duì)主機(jī)的威脅值和機(jī)密性、完整性、可用性的權(quán)重值后，采用DS 理論結(jié)合公式(3)—公式(5)計(jì)算不同時(shí)間周期的攻擊序列進(jìn)行合成，計(jì)算不同時(shí)間周期主機(jī)的風(fēng)險(xiǎn)。

最后，專家通過(guò)網(wǎng)絡(luò)拓?fù)浞治鼍W(wǎng)絡(luò)設(shè)備的重要性，對(duì)不同設(shè)備的重要性進(jìn)行賦值，并利用公式(6) 計(jì)算整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。網(wǎng)絡(luò)中不同設(shè)備對(duì)網(wǎng)絡(luò)安全影響的重要性如表5 所示：

表5 不同設(shè)備對(duì)網(wǎng)絡(luò)安全影響重要性

3.2 實(shí)驗(yàn)結(jié)果分析

將數(shù)據(jù)劃分固定周期（按照60 分鐘作為一個(gè)周期計(jì)算），采用FP-樹(shù)挖掘某一個(gè)主機(jī)在不同周期最大頻繁多步攻擊序列，得到10 個(gè)周期的網(wǎng)絡(luò)安全態(tài)勢(shì)值，如表6 所示：

表6 10個(gè)周期多步攻擊序列

基于公式（2）—公式（6），通過(guò)合成不同周期的多步攻擊序列的網(wǎng)絡(luò)安全，可以計(jì)算每一個(gè)周期的某一個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)值，如圖4 所示：

圖4 某主機(jī)隨著時(shí)間推進(jìn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)值

由圖4 可知，某主機(jī)在不同階段的網(wǎng)絡(luò)風(fēng)險(xiǎn)值隨著時(shí)間推進(jìn)，風(fēng)險(xiǎn)值越來(lái)越大。在開(kāi)始階段，攻擊者采用信息探測(cè)、漏洞掃描等方式獲取安全信息，此時(shí)并不會(huì)對(duì)主機(jī)造成很大的威脅性，此時(shí)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)在0.15 左右；一旦攻擊者探測(cè)到漏洞后，將會(huì)查找哪些主機(jī)存在漏洞，并利用存在漏洞的主機(jī)進(jìn)行攻擊，此時(shí)，網(wǎng)絡(luò)的風(fēng)險(xiǎn)呈上升趨勢(shì)，達(dá)到0.20；隨著時(shí)間推移，攻擊者基于主機(jī)現(xiàn)有的漏洞采用權(quán)限提升、滲透性攻擊等手段登錄到主機(jī)內(nèi)部，獲取用戶權(quán)限，此時(shí)，主機(jī)的風(fēng)險(xiǎn)逐漸增高，增至0.44；一旦攻擊者獲得主機(jī)權(quán)限后，嘗試獲得管理者權(quán)限，一旦獲得權(quán)限后，將會(huì)采用遠(yuǎn)程攻擊的手段，試圖遠(yuǎn)程登錄目標(biāo)主機(jī)，網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)一步增大，達(dá)到0.85；最后主機(jī)在目標(biāo)主機(jī)上安裝DDoS 攻擊程序，并發(fā)動(dòng)網(wǎng)絡(luò)流量攻擊，此時(shí)，網(wǎng)絡(luò)將會(huì)出現(xiàn)癱瘓情況，網(wǎng)絡(luò)風(fēng)險(xiǎn)值達(dá)到0.93。

而在上一小節(jié)中對(duì)DARPA2000 數(shù)據(jù)集中的LLDoS1.0 數(shù)據(jù)集的介紹可知，該數(shù)據(jù)集的攻擊過(guò)程是攻擊者采用掃描的方式獲取活動(dòng)的主機(jī)列表—對(duì)主機(jī)進(jìn)行端口掃描—找出主機(jī)存在的漏洞—留下后門等待權(quán)限提升—遠(yuǎn)程登錄的方式對(duì)主機(jī)進(jìn)行多次操作—DDOS 安裝到目標(biāo)主機(jī)上并對(duì)目標(biāo)主機(jī)發(fā)動(dòng)攻擊。由此可知，本文采用的基于頻繁模式挖掘的網(wǎng)絡(luò)安全態(tài)勢(shì)變化情況與DARPA2000 數(shù)據(jù)集的攻擊過(guò)程基本吻合，由此可知，本文提出的網(wǎng)絡(luò)安全防護(hù)方法具有合理性。

4 結(jié)束語(yǔ)

本文針對(duì)多源安全檢測(cè)設(shè)備產(chǎn)生的誤報(bào)、漏報(bào)進(jìn)而無(wú)法應(yīng)對(duì)變化多樣的網(wǎng)絡(luò)攻擊手段的問(wèn)題，在采用FP-樹(shù)挖掘多步攻擊序列的基礎(chǔ)上，使用DS 方法來(lái)合成單個(gè)主機(jī)的風(fēng)險(xiǎn)值，最后基于每一個(gè)主機(jī)在網(wǎng)絡(luò)中的影響程度來(lái)計(jì)算整個(gè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值。實(shí)驗(yàn)表明，本文提出的方法能夠較為準(zhǔn)確地對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行有效的評(píng)估，具有一定的擴(kuò)展性。