多步网络攻击的预测与防御模型研究

作     者：王佳年 

作者单位：西安理工大学 

学位级别：硕士

导师姓名：张亚玲;彭伟

授予年度：2024年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：入侵检测 攻击特征聚类 多步网络攻击 攻击预测 博弈论 

摘      要：随着计算机技术和网络技术的飞速发展,网络攻击的形式演变为危害性更大、持续性更强的多步网络攻击,攻击者通过网络系统中的多个节点相互配合进行攻击,最终完成对目标节点的攻击。传统的多步网络攻击预测模型预测规则之间的关联性较差,且预测规则大多都是根据以往的检测结果进行人为设定的,导致多步网络攻击预测准确率较低;其次,对不同领域的网络攻击进行预测时需要大量的领域知识和专家知识。常见的防御技术存在“攻防不对称的严重劣势,防御方总是防御滞后、被动防御,并且没有对攻击方的行为进行主动的分析从而实现主动防御。针对以上的问题,本文以系统漏洞为研究对象,对其特征进行分析,提出了对应的多步网络攻击的预测和防御模型。本文的研究工作主要包括以下两个方面: (1)针对多步网络攻击预测准确低以及需要大量领域知识的问题,提出了一种基于攻击警告特征聚类的多步网络攻击预测模型。多步网络攻击预测模型基于隐马尔可夫模型(Hidden Markov Model,HMM)进行建模,根据观测到多个步骤的攻击特征对攻击的多个步骤进行预测。首先,将入侵检测系统检测到的攻击警告进行分析、特征组合;其次,对不同类型攻击的特征添加不同的权重进行聚类,发掘攻击警告数据之间的共同特点,以提高聚类的效果;最后,将聚类的结果作为观测状态输入基于HMM的预测模型实现攻击预测,并将预测序列与数据集中的真实攻击进行比较。实验分析结果表明,本文的多步攻击预测模型在攻击序列长度大于4时,预测准确率优势明显,且通过权重聚类的方式降低了对领域知识的依赖。 (2)针对多步网络攻击防御存在被动防御、滞后防御的问题,提出了一种基于漏洞利用的博弈攻防对抗模型。该模型不仅考虑了博弈过程中当前阶段的收益,还考虑了长期收益,在博弈论模型的基础上引入了一个控制收益的衰减系数γ,根据防御系统的需求,通过改变收益衰减系数γ的值选取多步网络攻击对应的最优防御策略。博弈对抗模型首先对目标网络中存在的漏洞进行扫描,根据扫描到的漏洞信息生成目标网络对应的攻击图和状态转换图,对各个状态进行评估,得到各个路径的攻击概率。然后攻防双方各自采取不同的策略,通过效用函数分别计算攻防双方采取不同策略时的收益,得到相应的效用矩阵。根据效用矩阵计算当前状态攻防双方策略,不断迭代,最终达到纳什均衡,从而得到最优的防御策略和攻击策略。最后通过实验验证了当收益衰减系数γ趋近于1时,长期收益所占比重越大,防御策略的选取更加趋向于长期收益较大的策略;当收益衰减系数γ趋近于0时,当前收益所占比重越大,防御策略的选取更加趋向于当前收益较大的策略;本文给出了对攻防策略选取算法的时间性能的测试结果和分析,实验结果表明该算法在博弈迭代次数较高时,时间性能的优势更加明显。