工業安全態勢感知三部曲之業務安全態勢預測
工業安全態勢感知通過采集工業網絡中的安全設備日志、網絡設備日志、工業控制系統日志、業務應用日志,利用平臺集成的安全分析模型,實時發現網絡中的威脅,并對分析的結果產生告警,但此類分析能力只局限于事中、事后,缺少事前預測的能力,因此工業安全態勢感知的終極目標是通過收集網絡源數據,實現攻擊預測,協助運營者提前落實防護策略,避免業務系統遭受攻擊造成經濟損失和惡劣的社會影響。
背 景
在網絡環境日益復雜和攻擊手段動態變化的背景下,如果能預測網絡未來的安全狀況和趨勢變化,可為網絡安全策略動態調整、動態應用提供指導,從而增強網絡防御的主動性,盡可能降低網絡攻擊的危害。
“預測”是指在認知引起事物發展變化的外因和內因的前提下,研究內外部影響事物變化的現象和規律,從而估計和預測事物將來發展的趨勢,推演未來發展變化的可能情況。預測的本質就是通過了解過去、掌握當下,并以此為基礎預測未來。
態勢感知攻擊預測實現的前提和面臨的挑戰
面對復雜的網絡安全形式,攻擊方常采用大量的信息偵查、漏洞利用和混淆技術在網絡進行惡意活動或破壞行為。雖然當前網絡安全態勢感知平臺盡可能的發現和監測新漏洞的利用過程,但僅僅這樣還不夠,當前常見的態勢感知都存在一些不準確的觀察現象,需要將相關事件自動關聯到已知或未知的攻擊策略,對攻擊策略進行評估,實現對網絡安全事件的預測。
實現態勢感知的攻擊預測需要具備以下兩個前提條件:
- 知己,即準確理解我方網絡資產和系統的漏洞情況;
- 知彼,理解攻擊模式,掌握攻擊者的行為模式。
網絡攻擊預測主要面臨三大挑戰:
- 對被保護網絡的網絡配置情況,用戶可訪問性和系統漏洞可能無法準確感知。由于存在技術或管理原因,導致很難及時掌握統漏洞的更新情況;
- 態勢感知能力不足,對告警日志的態勢關聯分析不充分,導致網絡的安全狀態具有不確定性,攻擊預測方法需要適應這種不確定性,而且需要在這種不確定性的條件下進行預測;
- 攻擊者攻擊策略多樣化,且隨時間的推移演化,攻擊預測方法需要具備自適應性,并且最好能在線實施處理未知的攻擊策略。
態勢感知攻擊預測實現
預測即知道了過去、掌握現在,并以此為基礎來預知未來。依據預測的性質、任務來劃分,主要分定量預測和定性預測兩類。定量預測主要利用原始數據和信息,依靠數學模型和方法,分析數據前后之間的關系,得出其未來的發展變化規律,達到預測的目的,其分析方法主要包括時間序列、回歸分析、人工神經網絡、復合式攻擊預測等。定性分析主要依靠經驗積累和能力,利用有限原始數據進行推理、判斷和估測,其方法主要包括類推法、判斷分析法等。
基于時間序列的預測技術
時間序列是指由某一隨機過程在不同時刻的相繼觀察到的數值排列而形成的一組數字序列。這個數據與聚集的時間粒度密切相關,并且按時間的順序排列的聚集值就是在一個時間序列。
由此可以看出,時間序列預測技術是一種統計預測的方法,是以時間序列能反映的事件發展過程和規律性進行推理,預測其發展趨勢的方法。它研究預測目標與時間過程的演變關系,根據統計規律性構造擬合X(t)的數學模型。
其中,時間序列把客觀過程的一個變量或一組變量X(t)進行度量,由
得到以時間t為自變量、離散化的有序集合
,自變量t可以有不同的物 理意義,如安全事件的次數、網絡日志報警數、攻擊的主機數等。
基于回歸分析的模型預測技術
基于回歸分析模型的預測方法是在分析各種因變量和自變量之間關聯關系的基礎之上,確定自變量(態勢值)和因變量(評估指標)之間的邏輯、函數關系,達到預測態勢的目的。
回歸分析的基本思想:首先從一組觀測到的樣本數據出發,建立變量之間的函數關系,然后對這些函數關系的可信度進行驗證,確定影響某主要結合值的各變量的影響程度。再進一步利用函數關系,確定一個或幾個變量的取值來影響另一個特定結果變量的取值,并量化該影響的精確程度。
回歸分析預測方法的一般步驟:
第一步,平穩性判斷。根據平穩時間序列的特征對其平穩性進行判斷。
第二步,模型識別。在得到平穩序列后,進行模型的初步識別和定階,初步識別自相關函數(ACF)和偏相關函數(PACF),根據ACF和PACF的拖尾或截尾性質,確定采用的回歸序列預測模型。
第三步,模型定階。經過模型識別后,可能存在多個通過識別檢驗的p階截止尾和q階拖尾值。在需要確定選定模型的階數時,策略是讓擬合程度更好,即讓誤差平方和或者均方差最小。
第四步,參數估計。確定了事件序列的模型和階數后,還需要對模型的參數進行計算。
第五步,模型校驗。確定事件序列的表達后,為了檢驗模型的正確性,需要對模型的殘差序列進行驗證,如果是白噪聲序列,則說明建立的模型是正確的,可用該模型對時間序列進行預測,否則需對模型進行修改。
基于神經網絡預測技術
神經網絡預測是目前最常用的網絡安全態勢預測方法之一,神經網絡預測模型屬于人工智能領域,它是一種機器學習工具,具有良好的函數擬合性、對目標樣本自學習和自記憶功能,還具有并行處理、高度容錯和極強的函數逼近能力等特性,可以獲取復雜非線性數據的特征模式。利用神經網絡預測態勢的原理為:首先以一些輸入輸出數據作為訓練樣本,通過網絡的自學習能力調整權值,構建態勢預測模型;然后運用模型,實現從輸入狀態到輸出狀態空間的非線性映射。
一個典型的人工神經元模型由輸入
、閾值 θ 、求和單元∑、激 勵函數f、輸出out組成。
神經網絡的學習方法
- 相關學習規則。根據連接間的激活水平來改變權系數,常用于自聯想網絡。
- 糾錯學習規則。根據輸出節點的外部反饋來改變權系數。
- 無監督學習規則。根據對輸入檢測進行自適應的學習規則。
感知器學習法的學習原理
復合式攻擊預測
基于攻擊行為因果關系的復合式攻擊預測方法
通過提前設定好的攻擊步驟(除第一步和最后一步)之間的前驅后繼關系,根據已經監測出的攻擊步驟,推測后一段時間內該攻擊者對該IP地址要繼續實施的攻擊步驟以及要最終要達到的攻擊目的。
基于貝葉斯博弈論的復合式攻擊預測方法
基于貝葉斯博弈理論的復合式攻擊預測方法是基于貝葉斯法則和博弈論的。該方法需要提前將告警信息之間的因果關系映射到貝葉斯網絡中,建立基于貝葉斯博弈論的復合式攻擊預測模型,再根據告警信息識別攻擊者的攻擊意圖并預測攻擊,然后根據攻擊者已經實施的攻擊行為,依照貝葉斯法則不斷修正攻擊行為節點上的概率值,最后以上述概率值為基礎分析攻擊者和防御者雙方的收益,預測理性的攻擊者在下一個博弈階段選擇攻擊的概率和防御者在下一個博弈階段選擇防御的概率。
基于CTPN的復合式攻擊預測方法
CTPN全稱為Colored Time Petri Net,即著色賦時Petri網,他是基于傳統的著色Petri網中加上了時序邏輯,將時間閾值引入CPTN的變遷引發序列中。CTPN由一個九元組構成,格式為
,九元組中參數的含義如下:
為顏色集合,非空有限。
為狀態集合,有限集。
為變遷集合,有限集。- A為有限集,且
。 - N為節點函數,且
。 - C為顏色函數,且
。 - G為警衛函數,且
。 - E為弧函數,且
。其中P為a鏈接的庫所 - I為初始化函數,且
當且僅當變遷集合D同時滿足著色Petri網的引發條件和邏輯公式這兩個條件時,才會將D引發。基于CTPN的復合式攻擊預測方法的攻擊過程如下:
威努特工業安全態勢感知平臺在攻擊預測的落地化實踐
威努特工業安全態勢感知為實現攻擊預測能力,利用回歸分析預測方法對突變型木馬攻擊事件進行預測,以下不做詳細展開,只總結實現的關鍵步驟。
第一步:利用時序圖進行平穩性判斷。對平穩性時間序列,其均值和方差都為常數。如果一個時間序列的序列值始終在一個常數附近隨機波動,并且波動范圍有限,那么可以大致判斷該序列是平穩事件序列。如果一個序列在時序圖上的序列值有明顯的突變趨勢,通常可以立刻判斷其不是平穩時間序列,那么就需要對其進行平穩化處理;
第二步:模型識別。模型識別通常采用自相關函數和偏相關函數識別的方法。再次,采用ARIMA模型進行建模。因為時間序列不平穩,所以需要進行一次差分運算,并將差分后的序列作為模型的輸入序列;
第三步:模型定價。經過模型識別后,可以得出其P值應該與偏相關函數截尾點相近,q值與相關函數截尾點相近,即P=6,q=13;
第四步:參數估計。由于模型定階中采用赤池信息準則AIC(Akaike information Criterion)的方法,因此可以使用MATLAB對其進行參數估計。
第五步:模型檢驗。利用訓練數據集的后半部分數據集對其預測值進行預測對比,最后通過檢驗得到的木馬攻擊事件時序數據預測效果圖。
總 結
隨著網絡態勢感知走向動態網絡防御,網絡攻擊預測的趨勢下一步發展方向是需要利用各種數據分析和機器學習算法,基于網絡安全知識和人工智能的最新發展,圍繞網絡中關鍵資產可能被混淆、存在噪聲的數據以及我方的防御手段(有限的“知己”信息)等,利用深度學習技術來動態地學習和創建針對對方新的攻擊策略與行為模型(預估“知彼”情況),以實現工業安全態勢感知平臺對工業網絡安全威脅事件的準確預測。
