高级持续性威胁的建模与分析方法研究

作     者：何婧瑗 

作者单位：华中科技大学 

学位级别：硕士

导师姓名：韩兰胜

授予年度：2022年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：高级持续性威胁 攻防博弈 效能评估 态势推断 

摘      要：随着信息技术的发展,网络空间面临着越来越多的安全问题。高级持续性威胁(Advanced Persistent Threat,APT)是一类以复杂性高、针对性强、隐蔽性好为特点的网络安全问题,其危害性远远超过普通网络攻击,且传统的网络攻击模型难以对其进行准确刻画及分析。因此,对APT的建模及分析方法进行研究是很有必要的。围绕APT与普通网络攻击的不同,从三个方面为APT构建模型,并基于所提出的模型对APT攻防过程及状态进行分析。首先,为了刻画APT在时间维度上的持续对抗性,构建了一种基于时间的APT攻防博弈模型APT-DCOTG,将攻防行动按照时间特性划分为离散和连续两类,将博弈的目标抽象为攻防双方对资产控制时间的争夺,并给出博弈均衡的求解算法。其次,为了量化APT攻防行动的效能这一博弈模型参数,设计了一种同时适用于APT攻击与防御行动的效能评估指标体系,引入可变模糊集对APT效能评估的不确定性进行处理,提出了一种APT效能评估模型APT-VFSEA,并给出利用该模型进行效能评估的具体方法。最后,为了刻画APT在空间维度上的复杂性与隐蔽性,构建了一种基于隐马尔可夫模型(Hidden Markov Model,HMM)的APT态势推断模型APT-HMM,并根据APT攻防行动的特点,对三种经典的HMM应用算法进行了改进。实验表明,APT-DCOTG模型及其均衡求解算法设计合理,对APT攻防对抗的刻画符合实际情况;APT-VFSEA模型对APT攻防行动效能的评估准确、高效;APT-HMM模型的参数学习算法稳定、可靠,状态分析算法和行动预测算法准确性较高。三个模型从不同的角度,全面地反映了APT的主要特点,具有一定的实用价值。