首先,为了验证所提方法的有效性而允许执行针对真实网络 的恶意攻击或者入侵行为是非常冒险的 。
其次,在大规模网络中,获得所有被侵害的主机的访问权限 以便掌握攻击或者入侵行为的完整信息也不具有可 操作性 。即便存在诸多困难,学者们依然借助蜜罐 等手段形成了一些实际场景中的攻击行为数据集,如DShield网和Hackmageddon网 。这类数据的优点在于通常其中只包含恶意的攻击或者入侵行为数 据,缺点则在于仍然较难从中挖掘识别出老练的攻 击者的攻击意图 。
此外,对攻击行为预测进行的研究通常伴随着如何对攻击流量进行引导或者欺骗的研究 。防御方在感知到某次攻击的早期行为时,若能预测得到该次攻击所利用的服务及攻击目标,即可迅速在目标网络中构建一个蜜罐节点,令其运行可被攻击所利用的服务,伪装成一个可被攻击的目标 。通过伪装的蜜罐节点,防御方可以对攻击者进行欺骗,引导其攻击行为朝着自己所期望的方向发 展,从而在蜜罐节点收集得到比较完整的攻击行为数据 。
在早期的研究过程中,实现上述思路往往需要花费较高的代价,但随着软件定义网络(Software Defined Network, SDN)及网络功能虚拟化技术(Network Function Virtualization, NFV )的发展,对攻击流量进行高效地引导和欺骗成为可能 。其中,较具影响力的工作当属S. Shin和V. Yegneswaran等人于2013年提出的AVANT-GUARD框架网 。事实上,上述应用场景也反过来推动着SDN及NFV技术的进步 。
4 结 语
前文对四个安全态势预测问题及其相关研究方法分别进行了介绍,对每个问题的各种研究方法都 或多或少地面临一些阻碍,这些障碍在某种程度上 也常常具有其相似之处 。例如,依赖于攻击模型的 攻击行为预测方法需要研究如何建立并维护合理的 攻击模型;对网络安全状态进行形式化表达的方法 需要研究构成网络安全状态的所有因素,即构建完 备的安全状态表达模型 。
综上所述,学术界已经在 网络安全态势预测方面进行了大量研究且仍对其保 持着强烈关注,各种新型模型及方法不断涌现,但总体而言,下述问题仍未得到良好的解决:
(1)在预测方法的准确性方面,相较于博弈论和时间序 列方法,马尔可夫模型方法、机器学习方法主要是先从历史数据中得到关联规则,在此基础上再进行 分析 。这种方案对已知的攻击行为能足够清晰和准确地分析出攻击者下一步要采取的行动,而对于一 些新的攻击行为和相似攻击行为的变体需要额外处理,准确性有待提高;
(2)在预测方法的性能方面, 由于攻击活动是动态变化的,攻击活动产生的痕迹 等相关信息非常庞大,传统处理方法未必可行,难以扩展到实时的大规模应用场景中,为此需要实时地对相关信息进行优化处理(如聚类) 。
作者简介 >>>张志勇(1985—),男,博士,高级工程师,主要研究方向为网络空间测绘、统计学习、知识图谱;张文博(1985—),男,博士,工程师,主要研究方向为网络监测预警、网络态势感知、模式识别;杨 慧 ( 1987—),女,博士,工程师,主要研究方向为网络态势感知、社交网络分析;李明桂(1989—),男,硕士,工程师,主要研究方向为网络空间测绘、大数据、网络安全;刘 方(1981—),女,博士,高级工程师,主要研究方向为网络空间测绘、网络态势感知;徐 锐(1976—),女,硕士,研究员,主要研究方向为网络空间测绘、网络态势感知 。选自《通信技术》2019年第七期 (为便于排版,已省去原文参考文献)
网络强国建设的思想库
安全产业发展的情报站
创新企业腾飞的动力源
投稿网址:
http://www.txjszz.com
合作热线:010-88203306
【网络安全态势预测研究综述】
推荐阅读
- 黑客必备神器,包括系统和网络安全、逆向等工具
- 茶叶大数据分析,浙江首次发布茶叶采摘期大数据预测
- 网络安全中的边界防护
- 美国电信网络遭DDOS攻击,DDOS属于哪类网络安全威胁?
- 网络安全技术知识分享
- 从2.8K到35W,一个网络安全人员的自我救赎之路
- 网络安全必须要知道的17个技术知识点
- 人工智能技术或成为未来网络安全的引爆点和驱动力
- 网络安全常见协议解析:TCP、UDP、HTTP、FTP、SMTP等之间的区别
- 大数据时代的食品安全,浙江首次发布茶叶采摘期大数据预测