江苏龙网

  1. 主页 > 生活百科 > >

网络安全态势预测研究综述( 三 )

网络安全


上述分类策略从态势预测所关注的具体目标对 相关工作进行划分,并对相关工作的共性特征进行了分析 。事实上,不同的研究所采取的数学模型及预测方法均存在差异 。Husak和Komarkova等人回从模型方法的角度对现有工作进行了比较详尽的调 研,并将相关研究的模型和方法归纳为(1)离散模型;(2)连续模型;(3)机器学习和数据挖掘;(4)难以纳入上述三类的其他方法等四个类别 。
其中,离散模型主要包括攻击图模型、贝叶斯网络、马尔科夫模型等概率图模型,以及基于博弈论的预测模型 。这些离散模型主要被用于预测单个或复合攻击事件的演化趋势,即战术级预测 。基于连续模型的预测方法主要包括时间序列分析法和基于灰度模型的预测方法,而基于机器学习和数据挖掘的预测方法则试图对神经网络、支持向量机(Support Vector machine, SVM)、频繁模式挖掘、关联规则挖掘、序列挖掘、决策树、随机森林等传统方法进行适当改造,将其应用到网络安全态势预 测的具体场景中 。表格1对上述模型方法和相应文献进行了归纳 。

网络安全态势预测研究综述

文章插图
 
第四个类别中的方法因为采用一些比较特殊的方法针对某个非常具体的问题进行研究,难以被纳入到上述几类中 。相关研究主要包括基于相似度计算的攻击意图识别卬刁气基于流量强度异常分析的DDoS攻击预测,基于置信规则库模型和进化计算的网络安全整体态势评估及预测㈣,基于非典型信息源的安全态势预测等 。其中基于非典型信息源的预测方法主要通过如Twitter之类的社交网络收集相关数据,分析其中所蕴含的情感倾向,为网络安全态势预测提供辅助 。
2 方法评估
在对相关预测方法进行评估时,首先需要考 虑该方法的实用性,而预测精度和算法效率是两个至关重要的衡量指标 。许多方法都能够在特定测试 数据集上取得超过90%的精度,但是已有研究表明,若将这些方法应用到实际网络场景中,针对 实时网络流量进行处理,其预测精度会大幅下降至60% ~ 70%甚至更低 。算法效率方面的实用性主要通过两个方面的时间量进行衡量:(1)算法运行时间,即获得预测目标的相关信息所消耗的时间;(2)获得这些信息时距离对应事件实际发生时的时间 。
总体而言,预测方法应当尽可能提前在威胁事件发生之前得到准确的预测结果,为主动防御工 具预留足够反应时间 。早期的相关工作重点从算法 的计算复杂度对其效率进行分析,但是系统性的分析报告十分稀少 。而近期出现的工作多数都着力于在实时环境下对网络安全态势进行预测,算法延迟非常小,因此第一个方面的时间延迟不再是障碍 。但是,了解威胁事件发生前的反应时间仍然很有必要 。H. A. Kholidy等人在2014年发表了一系列文章宣称他们所提的方法能够在攻击发生之前39分钟做出预测,为防御方预留了足够反应时间 。然而据我们所知,使用这种度量方法的后续工作还未曾出现 。
在调研现有研究的过程中,我们发现许多工作都采用了几个常见的数据集对所提方法进行评估 。其中,使用最为广泛的当属麻省理工学院的Lincoln 实验室于1998年-2000年先后发布的3套入侵检测数据集㈣ 。虽然这些数据集的相关文档非常全面, 但是它们面临着时效性的问题——约20年前的数 据并不能良好反映当今网络空间的安全威胁和流量模式 。
此外,还有许多学者在研究过程中独立创建了相应的测试数据集,但是由于数据敏感性,这些数据集无法被公开发布 。另一种方案则是建设相应的测试平台,但也由于其工作繁琐的原因难以推 广 。
因此,对相关研究结果的重现仍然是网络安全态势预测领域中面临的一个难题 。用于攻击行为预测方法评估的数据集面临着一个更普遍的问题——产生这些数据集的初衷并不是将其用作攻击行为预测方法评估 。
D. S. Fava等人在2008年就曾指出,包括Lincoln实验室提供的多数常用数据集适用于入侵检测,但是将其用于攻击行为预测的方法评估 则存在缺陷:数据中并不包含攻击行为的轨迹信 息,无法从中挖掘攻击者的攻击意图以及各个攻击 步骤之间的关联关系 。
因此,使用这些数据集固然 可以检验对下一步攻击行为的预测精度,却难以评估相关方法对于攻击意图、攻击趋势的预测是否准确合理 。
另一种价值更高但是也更具挑战的评估手段 是在真实的场景中对所提方法进行检验 。


推荐阅读


上一篇:2020年六款13英寸笔记本电脑推荐

下一篇:面向对象设计7大原则