《表5 警报约减率:高安全属性价值设备威胁态势量化评估方法》
图6结果表明,本文方法能够以设备的性能、配置、脆弱性为基础,验证威胁警报、计算警报有效性评估值,并通过评估结果反映出威胁对设备作用的有效程度,具体表现在两个方面。一是算法1能够在大量警报数据中根据设备的属性信息提取出有效警报,从警报数量、警报频率层面评估威胁对设备的作用,警报约减率如表5所示,根据表5计算可得平均约减率为33.04%。有效的警报显式地反映出威胁的数量、频率,以场景1为例,根据表5可知在16:00-19:00这段时间内设备受到有效的可见攻击为26次。二是算法1能够通过警报的评估分值,反映出威胁对设备作用的有效程度。场景1中de_011设备在第25、28、33、38个警报的评估分值较高,达到了0.67,主要原因是设备在以上时刻受到不同恶意主机连续对其进行了远程Telnet提权攻击,攻击过程使设备网络会话连接、丢包率等性能劣化,导致警报评估分值较高,一定程度上反映出远程Telnet提权对设备作用的程度。场景2中de_011设备在第63~66警报时刻、第114~119警报时刻评估分值较高,分别达到了0.67和0.44,主要原因是设备分别受到Syn flood和Udp flood攻击,一定程度上反映出拒绝服务攻击对设备作用的程度。场景3中de_006设备在第155~163警报时刻、第250~257警报时刻评估分值较高,达到了0.625,主要原因是设备分别受到Syn flood和Udp flood攻击,曲线变化反映出拒绝服务攻击对设备作用的程度。
图表编号 | XD00226771500 严禁用于非法目的 |
---|---|
绘制时间 | 2020.10.15 |
作者 | 韩磊、刘吉强、王健、石波、和旭东 |
绘制单位 | 北京计算机技术及应用研究所、信息保障技术重点实验室、北京交通大学智能交通数据安全与隐私保护技术北京市重点实验室、北京交通大学智能交通数据安全与隐私保护技术北京市重点实验室、北京计算机技术及应用研究所、北京交通大学智能交通数据安全与隐私保护技术北京市重点实验室 |
更多格式 | 高清、无水印(增值服务) |