网络安全量化评估方法研究.pdf

《网络安全量化评估方法研究.pdf》由会员分享，可在线阅读，更多相关《网络安全量化评估方法研究.pdf（123页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国科学技术大学博士学位论文网络安全量化评估方法研究姓名：汪渊申请学位级别：博士专业：计算机科学技术系指导教师：陈国良2003.5.1中国科学技术大学博t 学位论文摘要随着网络的复杂性不断增加，如何综合各种确定的与不确定的、完全的和不完全的信息对当前的网络安全态势进行量化分析与智能评估是网络安全领域研究发展需要解决的问题，尤其在网络信息战中，量化评估是指挥者进行各种决策活动的基础。本文的研究内容是围绕项目“网络攻防量化指标”而完成的。本文在深入分析网络安全态势评估过程的基础上，从数据融合的角度引入了网络安全态势评估的概念，认为网络安全评估的目的是获得更精确的安全威胁行为以及得到更全面、及时的网

2、络目前安全状态和威胁估计，评估过程涉及到检测、关联、相关、估计及数据与信息联合等多级别、多方面处理。提出了网络安全评估应能够综合融合各种安全态势判断、攻击企图以及反应效果方面的得失，对网络目前的安全念势及可能采取的安全措施做出一个量化的判断，从而在资源及能力有限的情况下取得最好的安全等级。论文主要研究内容为：(1)采用数据融合技术从信息处理的角度对网络安全态势评估的过程进行了详细的功能分析，指出量化评估系统主要功能有：多系统数据采集、数据格式标准化、聚类分析、数据关联、态势显示与预测、威胁分析以及相关的辅助支持库。在对量化评估中的基本功能进行了技术分析的基础上，提出了基于数据融合技术的网络安全

3、态势评估模型。(2)针对网络安全态势量化评估过程中的特征级融合问题，提出了基于神经网络与粗糙集理论构建的能简化安全特征集的R s 神经网络，并阐述了其在网络安全特征集融合中的应用。(3)针对安全态势相关知识的动态性、复杂性和不确定性特点，提出了贝叶斯网络与案例推理相结合的方法，在安全态势推理过程中。应用贝叶斯网络进行推理，用安全案例来表达相应的攻击方案，对网络安全态势知识进行动态表达与推理。(4)对整体态势评估的威胁量化问题进行了详细的指标分析，对各种威胁手段的指标进行了定义，且运用层次分析法对威胁的量化进行了模型构建与计算。中国科学技术大学博l 学位论-义(5)对安全态势评估过程中多源信息的

4、属性相关性进行了分析，并提出大量信息聚类分析的方法，针对网络攻击的特征，提出顺序与或攻击树模型，并基于此模型分析了其在安全态势信息特征级关联中的应用。最后，文中对系统的部分实现进行了介绍与分析，对目前研究状况进行了说明，并指出以后的研究方向与重点。【关键字】网络安全态势评估，量化，数据融合，粗糙集，人工神经网络，攻击树，案例推理，贝叶斯网络。生旦型主垫查叁兰壁!：堂垡堡兰N e t w o r kS e c u r i t yQ u a n t i f i c a t i o nA s s e s s m e n tM e t h o dR e s e a r c h【A b s t r a

5、c t1A tp r e s e n tn e t w o r ki sb e c o m i n gm o r ec o m p l i c a t e d，i ti Sap r o b l e mh o wt oa s s e s sw h o l en e t w o r ks e c u r i t ys i t u a t i o nf a c i n gw i t ha l lk i n d so fu n c e r t a i n t ya n di n c o m p l e t ej 1 1 f o r m a t i o n E s p e c i a l l yi nt

6、 h ef i e l do fm i l i t a r yn e t w o r ki n f o r m a t i o nc o m b a t，a l la c t i v i t i e so fac o m m a n d e rm u s tr e l yo nq u a n t i t a t i v ea s s e s s m e n to fn e t w o r ks e c u r i t ys i t u a t i o n M a i nc o n t e n to ft h ep a p e ri Si nf u l f i l m e n to ft h e

7、p r o j e c to fn e t w o r ka t t a c ka n dp r e v e n t i o ni n d e xq u a n t i f i c a t i o n T h ep a p e ri n t r o d u c e st h ec o n c e p to in e t w o r ks e c u r i t ys i t u a t i o nq u a n t i t a t i v ea s s e s s m e n tb a s e do nd a t af u s i o nt h e o r y B a s e do ni n

8、d e p t ha n a l y s i so fs e c u r i t ys i t u a t i o na s s e s s m e n t，t h ep a p e rd e f i n e st h a ta s s e s s m e n to fn e t w o r ks e c u r i t ys i t u a t i o ni sap r o c e s si n v o l v e di nf i e l d so fd e t e c t i o n，a s s o c i a t i o n，r e l e v a n c e，e v a l u a t

9、 i o na n di n f o r m a t i o nu n i f i c a t i o nw h i c he n d e a v o r st og e tm o r ea c c u r a t es e c u r i t yt h r e a tb e h a v i o u ra n dm o r ec o m p l e t ea n dt i m e l yp r e s e n tn e t w o r ks e c u r i t ys i t u a t i o n N e t w o r ks e c u r i t ys i t u a t i o na

10、 s s e s s m e n ts h o u l dh a v ea b i l i t i e s：i tc a np r o v i d eaq u a n t i t a t i v ej u d g e m e n tb a s e do ns y n t h e s i so fs e c u r i t ys i t u a t i o n a t t a c ki n t e n ta n dt r a d e o f fa m o n ga l lk i n d sf a c t o r s M a i nr e s e a r c hc o n t e n to ft

11、h ep a p e ri Sf o l l o w i n g s：(1)T h ep a p e rp r o v i d e saf r a m e w o r ko fn e t w o r ks e c u r i t ys i t u a t i o na s s e s s m e n tb a s e do nt h ec o n c e p to fa l lk i n d so fs e c u r i t yi n f o r m a t i o nd a t af u s i o na n dp r o v i d e sad e t a i l e da n a l

12、y s i so ft h ef r a m e w o r k i tp r o v i d e st h eb a s i cf u n c t i o n sw h i c hi n c l u d e sd a t ag a t h e r i n g，d a t a-p r e p r o c e s s i n g，d a t ac l u s t e r i n g，s i t u a t i o nf o r e c a s t，t h r e a ta n a l y s i sa n dr e l e v a n ta u x i l i a r yd a t a b a

13、s e(2)T h ep a p e rc o n s t r u c t saR S-A R T I N E Tm a k i n gu s eo fr o u g hs e tt h e o r ya n da r t i f i c i a ln e t w o r km e t h o dj no r d e rt os o l v ea t t r t b u t e s中国科学技术大学博1：学位论文f u s i o np r o b l e m，t h ep a p e rd e s c r i b e si t sa p p l i c a t i o nt os e c u

14、r i t ya t t r i b u t e sf u s i o n(3)T h ep a p e rm a k e sU S do fb a y e s n e ta n dc a s e b a s e dr e a s o n i n gm e t h o dt od y n a m i c a l l yr e p r e s e n ta n dr e a s o nn e t w o r ks e c u r i t ys i t u a t i o nk n o w l e d g e F a c i n gw i t ht h ec h a r a c t e r i s

15、 t i c so fv a r i a b i l i t ya n dc o m p l i c a t i o no fs i t u a t i o nk n o w l e d g et h ep a p e ra d o p t st h ec a s e st or e p r e s e n tt h ea t t a c kk n o w l e d g ea n da d o p t sB a y-n e tt or e a s o nt h es i t u a t i o nk n o w l e d g e(4)T h ep a p e rc a r r i e sO

16、 U Id e t a i l e di n d e xa n a l y s i so nn e t w o r ks e c u r i t yt h r e a ta n dp r o v i d e sq u a n t i t a t i v em e t h o db a s e do na n a l y t i ch i e r a r c h yp r o c e s s，m e a n w h i l et h ep a p e rp r o v i d e st h e i rd e f i n i t i o no ft h ei n d e x e s(5)T h e

17、p a p e rp r o v i d e sd e t a i l e da n a l y s i so nt h ef u n c t i o n so fd a t ac l u s t i n ga n dd a t aa s s o c i a t i o nb a s e do na n d-o r-o r d e ra t t a c kt r e em e t h o db a s e do nd e t a i l e da n a l y s i so fs e c u r i t yi n f o r m a t i o n F i n a l l yt h ep a

18、 p e re x p o u n d sp r e s e n ts t a t u so fr e s e a r c ho fn e t w o r ks e c u r i t ys i t u a t i o na s s e s s m e n ta n dp o i n t so u tf u t u r ed i r e c t i o n s【k e y w o r d s】n e t w o r ks e c u r i t ys i t u a t i o na s s e s s m e n t，q u a n t i f i c a t i o n，d a t af

19、u s i o n，r o u g hs e t，a r t i f i c i a ln e t w o r k，a t t a c kt r e e，c a s e-b a s e sr e a s o n i n g，b a y e sn e t w o r k 中国科学技术大学博士学位论文1 1 研究背景第一章绪论计算机网络发展到今天，已经从最开始的简单分时共享系统(几台终端连到一台中心计算机)发展到作为国民经济中关键基础性设施的大规模复杂环境“”“”，网络系统涉及到的软件也越来越多，如应用软件、中间件、操作系统、编译系统等等，仅仅靠预防已经不能提供计算机信息系统所需的安全级别，高可靠

20、性的网络安全必须通过积极的网络安全检测、评估和反击来取得。在军事领域，随着现代科学技术的发展，战争胜负的关键在于作战双方谁取得了制信息权，而计算机网络是信息对抗的物质基础，它在现代信息战中扮演着神经中枢的角色。网络安全态势量化评估的研究正是发展网络攻防计算机辅助决策系统必须进行的一部分基础性研究工作，本文的研究内容是围绕军方项目“网络攻防量化指标”而完成的。目前，可用的网络安全检测系统有限，且具有高误报率和漏报率，山于对网络安全态势的评估以及准确预报可采取的安全措施的过程具有不确定性，所以网络安全评估应具有这种能力：能够综合融合各种安全态势判断、攻击企图以及反应效果方面的得失，对网络目前的安全

21、态势及可能采取的安全措施做出一个量化的判断，从而在资源及能力有限的情况下取得最好的安全等级。这方面的研究也在不断的出现，如文献 4 5 6 7 8 9 。目前的入侵检测有如下缺点“：(1)不能协同工作，即不能实现信息共享；(2)不同的入侵检测系统有它的盲点，基于入侵特征识别的入侵检测系统准确率高，但是技术上落后于攻击；基于异常检测的入侵检测系统误警率高；主机型入侵检测与网络型检测也具有互补性；(3)现有的入侵检测不能根据目标调整：(4)探测的信息粒度偏细，对安全整体态势的理解不足。随着网络入侵手段的不断更新，入侵的技巧及隐蔽性越来越强，且入中国科学技术大学博士学位论文侵过程是一个长期的过程，所

22、以对入侵行为的判断是一个不断的情报分析过程，需要综合分析各种因素”“5“”。在入侵过程中攻击者不断的在暴露自己行为的相关信息，这种信息可被利用来建立入侵者的能力和企图模型。网络安全评估是一个综合网络环境、管理及使用等因素对攻击的行动步骤进行可能性及可用性分析的过程。目前，美国国防情报部提出的下一代信息系统基础设施是建立在“可接受的网络安全风险”的概念上，一个处于开放环境的网络系统是很难避免受到攻击，为了维护一个网络系统的安全运转，是一项长期而且非常消耗资源的工作，那么在资源有限的条件下，自然应该优先把资源投向到面l 晦威胁最大的，本身又是最重要的网络系统上来，网络安全量化评估可以使我们获得很多

23、有价值得信息：(1)量化评估的结果将作为制定整体安全策略的根据；(2)量化评估可以为动态安全策略提供调整策略的方向性指导与依据；(3)量化评估就可以评估风险，从风险的反面我们就可以知道那些系统是值得信任的；(4)薰化评估可以预测未来网络系统各个节点将要遭受攻击估计的频度；(5)量化评估的结果为实施有效的反击提供可参考的数据。所以到底怎样评估一个网络系统所面临的威胁有多大，就成为一个急待解决的问题。随着网络的复杂性增强以及网络威胁因素的增多，网络安全研究的方向及重点是“”：(1)网络安全评估要综合多种安全手段的优点，具有更大的视野；(2)网络安全要从整体态势上进行分析：(3)网络安全状况需要有一

24、个定量的描述。1 2 相关的研究工作从评估过程的性质来分，网络安全评估主要分两种：静态安全评估与动态安全评估。静态安全评估方法在评估时将评估的对象作为一个静止待估对象，不同的评估方法针对待估对象从不同的角度进行分析与评估，并给出整个对象的安全程度。动态安全评估则将待估对象作为一个动态变化的过程，针对动态过程中所呈现的安全相关特征建立相应的实时动态提取中国科学技术大学博：I：学位论文分析模型，通过连续的数据分析来实现对待估对象当前安全态势的评估。现有的静态安全评估方式可以大致归结为以下四类：安全审计“们“”、风险分析9 m、系统安全工程能力成熟度模型(s s E c M M)m”3 和安全测评等

25、2 3 1 2 4 1。以安全审计概念为核心的安全评估思想认为可以通过关于安全的最佳实践(B e S tP r a c t i c e s)实施与否及其程度来评估I T 系统的安全性。这一类相关的模型包括美国信息系统审计和控制协会的C O B I T、国际标准化组织的I S 0 1 7 7 9 9 规范等。风险分析模型是从风险控制角度进行的信息安全评估。它通过对要保护的I T 资产存在的安全威胁、漏洞以及这些安全威胁、漏洞对资产可能造成的损失进行计算，经过数学的概率统计得出网络系统安全性的衡量。现有的大部分通用的信息安全标准，如I S O l 7 7 9 9、I S O I3 3 3 5 等，

26、其核心思想都是基于风险的安全理念。系统工程安全能力成熟度模型(S S E c M M)认为可以通过过程(P R O C E S S)来保证安全，S S E C M M 基本思想是：通过对安全工程过程进行管理的途径，将系统安全工程转变为一个定义完好的、成熟的、可测量的过程。它将安全能力划分为五个等级，从低到高，低等级是不成熟的、难以控制的，中等级是可管理的、可控的，高级别是可量化的，可测量的过程。S S E-C M M 是一种动态的、螺旋式上升的模型。安全评测则更多地从安全技术、功能和机制角度来进行信息系统的安全评估，这类评估规范有欧洲的I T S E C、加拿大的C T C P E C 和I

27、S O 的信息技术安全评估通用准则。目前大多数的静态安全评估研究思想都是从信息系统的某一个侧面出发，如技术、管理、过程及人员等，着重于评估网络系统安全的某一方面实践规范，在可操作性及客观性方面有待于提高。动态安全评估技术从其评估系统结构的发展过程来分主要经历了以下三个阶段：单节点型集中式入侵检测、多节点型分布式入侵检测及协同式主动安全态势量化评估。I 单节点型集中式入侵检测单节点型集中式入侵检测指信息的收集及处理都在一个节点上完成，通常单节点型集中式入侵检测系统可监测系统、事件和W i n d o wN T 下的安全记录以及U N I X 环境下的系统记录。当有文件发生变化时，系统将新的记录条

28、目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。单节点型集中式入侵检测在发展过程中也融入了病毒检测技术。如对关键系统文件和可执行文件的入侵中国科学技术大学博|：学位论文检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。属于这种类型的系统主要有：A L V A”、A S A X”、A p p S h ie 1d”“、B 1 a c k I C ES e n t r y、B r o、C E R NN S M、C a p t I O、C o m p W a t c h、D e f e n s eW o r x、H a y s t a

29、 c k 、H y p e r v i e w、I D I O T、J a n u s、L A N g u a r d，L A N g u a r dS E L M。单节点型集中式入侵检测具有以下优点：a)更加细腻这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取。b)视野集中一旦入侵者得到了一个主机的用户名和口令，基于单节点型集中式入侵检测是最有可能区分正常的活动和非法的活动的。C)易于用户剪裁由于每一个节点有其自己的代理，用户容易自己定制与剪裁。d)不受网络流量影响用单节点型集中式入侵检测一般不会因为网络流量的增加而丢掉对网络行为的j l 矗视。2 多节点型分布式入侵检

30、测多节点型分布式入侵检测系统是将入侵检测的任务进行分散，在系统的各个子节点布置代理，这种代理可以是智能的，它们可以完成对各个子节点的相关收集和处理，然后将经过处理的高层信息向中心节点集中，同时中心节点还可以对代理进行控制，这种方式可以大减轻整个入侵检测系统的处理压力，并且可以提高检测的精度。同时高层信息中以可以从网络的角度对各种信息进行关联分析从而可以发现更多的安全威胁企图。属干这种类型的系统主要有：A A F I D”、A F J 1、C A R D S“1、C S M、C e n t r a x m l、D I D S、D P E M、D r a g o n、E M E R A L D、F

31、 o r m a t G u a r d、G R I D S、H PI D S 9 0 0 0 0、H a m m e r 5 5】、J i N a o。多节点型分布式入侵检测具有以下的优点：a)系统坚固性好分布式结构使整个系统的信息收集及处理进行了分散，可以避免一点突破就导致整个系统瘫痪的缺陷。b)视野更宽基于分布式的入侵检测可以对各节点信息进行综合，所以信息更大。C)攻击者不易转移证据分布式入侵检测能在大范围进行监控。3 协同式主动安全态势评估系统协同式主动安全态势评估系统是将多种多种安全手段(如入侵检测系统、主动式漏洞扫描工具以及相关网络管理工具)融合在一起，使它们实4中国科学技术人学博

32、I 学位论文现信息共享，并且利用它们之间信息的互补性，可以进行信息更大范围的关联、整体安全态势的动态推理以及整体的安全威胁分析。目前属于这种类型的系统主要有：C C S【4 1、D A S S A“3。协同式主动安全态势评估系统具有以下优点：a)信息源范围更加广泛协同式主动安全态势评估系统集成各种安全检测子系统，可以得到更加全面的安全相关信息；b)智能性更强整个协同式主动安全念势评估系统趋向于检测、评估、控制一体化设计，使系统形成一个自我反馈系统，具有更大的智能必；C)对整体安全态势分析显示更多协同式主动安全态势评估系统以图形界面显示各种威胁因素，并对整体安全态势进行了智能推理，可以很大程度的

33、实现了态势的各个层面显示。c c s(c y b c rC o m m a n dS y s t e m)系统是D A R P A 正在研究的新一代协同式主动安全态势评估系统【4】，它设计了系统内部统一的协议来使各个子系统进行交互通讯。在C C S 系统中集成了安全漏洞评估中间件、网络管理中间件、系统管理中间件、行为步骤分析中间件、入侵检测与反应中间件、人机交互界面中间件、边界控制中间件及安全政策定制中间件，系统中部分中间件负责收集网络态势中某一方面的安全信息，部分中间件对系统进行控制和管理，整个系统相互协作来完成对整个系统的智能量化评估和管理。图1 1 为整个系统的结构框图：图i IC C

34、S 系统整体结构图 4 中国科学技术大学博士学位论文D A S S A(D iS t r i b u t e dA c t iv eS e c u r i t Y!i t u a t j O nA s s e s s m e n t)是在D A P P A 信息安全计划下由T e k n o#l e d g ec o p o r a t i O n F 在实施。该系统是一个进行网络安全态势评估的知识系统，在对一定的关注范围内是否发生大规模的有预谋的攻击进行判断。1。图i 2 为整个系统的组成原理图：图i 2D A S S A 系统的组成原理图 5 在D A S S A 系统中也集成多种具有独自

35、功能的中间件，这些中间件功能上具有互补性且相互作用构成了个智能的整体。整个系统的功能构成如图1 3 所示：本文讨论的量化评估系统属于协同式主动安全态势评估系统，文中探讨的网络安全量化评估将技术因素、管理以及人员因素综合考虑，且运用相关的数学理论，对网络安全态势进行定量分析。且论文中对整个安全量化评估中的过程、体系结构及相关方法进行详细分析，且提出了一些具体的量化分析方法。6中国科学技术大学博士学位论文图1 3D A S S A 系统功能构成图 5 1 3 论文内容及结构论文的第二部分介绍相关的概念，认为网络安全评估的目的是为了获得更精确的安全威胁行为以及得到更全面、及时的网络目前安全状态和威胁

36、估计，其过程涉及到检测、关联、相关、估计及数据与信息联合的多级别、多方面处理。分析了网络安全评估的要素和程序级安全评估的方法，并简要阐述了安全评估的过程。第三部分对网络安全量化评估系统的框架、功能组成及数据融合技术进行了详细的分析。第四部分对量化评估过程中相关的具体方法进行详细分析，主要有：基于神经网络与粗糙集理论构建了能约简特征集的R s 神经网络，并阐述了其在安全评估过程中的应用；用层次分析和图论的方法对网络安全威胁的量化进行了分析；基于聚类方法和顺序与或攻击树模型的网络安全信息特征分析与关联；基于贝叶斯网络与案例相结合的方法对网络安全态势知识的动态表示及推理进行了分析。第五部分对量化评估

37、系统原型的相关实现问题进行分析与讨论；第六部分对论文进行总结，并指出下一步的研究方向及工作。中国科学技术大学博士学位论文1 4 论文的主要贡献论文的主要贡献有以下几方面：(1)提出了一个功能定义较完整的网络安全整体态势评估框架和模型：(2)基于神经网络与粗糙集理论构建了能约简特征集的R S 神经网络，并阐述了其在安全评估过程中的应用；(3)用层次分析和图论的方法对网络安全威胁的量化进行了分析：(4)基于贝叶斯网络和案例推理方法对网络安全态势知识的动态表示及推理进行了分析；中田科学技术大学博士学位论文第二章网络安全量化与评估2 1 网络安全量化评估概念高可靠性的网络安全必须通过具有检测(d e

38、t e c t i o n)、评估(a s s e s s m e n t)、反应(r e s p o n s e)一体化功能的软件平台来保证，而安全评估作为中间一个重要的环节，对网络安全起着重要的作用。网络安全量化评估指为了获得更精确的安全威胁行为以及得到更全面、及时的网络目前安全状态和威胁估计，涉及检测、关联、相关、估计及数据与信息联合的多级别、多方面的一种处理。网络安全量化评估信息融合流程主要有以下几步：(1)特征采集：包括各方面特征信息的采集：各种入侵检测系统前端对网络及主机采集的相关信思、网络管理系统采集的网络环境相关信息、漏洞扫描得到的相关信息、人的经验信息、系统的一些相关的历史信

39、息等：(2)提取特征及格式化：对各种探测信息进行格式标准化，将数据整合为统一的知识表达形式：(3)真伪辨别：对于伪信息或无价值的信息应予删除，消除冗余。网络是一个非常复杂的环境，在这环境中充满着不确定性，不确定性主要包括二方面：一是数据本身的不确定性，二是模型的不确定性；网络中各种特征是关联性，如果一个攻击得成功，则其会暴露出一系列的特征，这些特征是相互印证的，可以通过特征之间的关联关系来对目标进行真伪判断；运用不确定性理论对信息的可信度计进行算，当可信度低于一定的程度，则将其视为伪数据；不确定性管理：(4)相关处理：判断各信息源的信息是否属于同一入侵，是新入侵行为还是以前发现的入侵行为；(5

40、)识别：主要是根据各种特征对入侵的类型进行判断；(6)综合处理：对不同时间和不同地点获得的同一入侵特征信息予以综合：(7)可信度估计：对入侵特征的真伪程度及其它入侵特征属性的可靠程9中国科学技术大学博j：学位论文度做出量化估计；(8)态势预测：对全部入侵特征联合一起对网络安全态势及入侵行为和入侵威胁程度进行估计；(9)价值分析：根据入侵行为的最化指标对入侵行为进行综合价值分析；对各种入侵的威胁程度进行价值分析，(1 0)图形显示：把各种数据及相关信息显示成图形或文字，形成直观网络安全态势分析结果；数据融合是一个层次系统，根据各层输入信息形的不同，其可以分为三级：(1)像素级：其是在采集到的原始

41、信息基础上的融合：主要包括一些相关的网络流量信息、系统及网络行为的记录信息等；(2)特征级融合：其是利用从各个信息源的原始信息中提取的特征信息进行综合和处理的中间层次过程：主要包括一些入侵检测前端经过判断得到的信息、从漏洞扫描中可以确定的系统漏洞信息；(3)决策级融合：是最高层次的融合，直接针对具体决策目标，充分利用特征级融合所得出的目标各类特征信息并给出简明而直观的结果，融合结果将直接影响决策的水平；2 2 网络安全整体评估要素分析由于信息网络系统的威胁涉及到的面非常广，讨论信息网络系统的威胁问题首先必须对信息网络系统的威胁要素进行评估分析才能相应的讨论信息网络系统安全的其它方面”2”H“儿

42、删“。对于信息网络系统的威胁，不同领域的人有不同的要求，不同的侧重点。一个通用的信息网络系统的威胁评估模型必须具有普适性及可行性。普适性指模型考虑的要素必须涉及各方面对信息网络系统威胁的共同要求，可行性是指实旄信息网络系统的威胁模型在经济上是可行的，综合考虑信息网络系统的威胁涉及到的各方面要求0 7”1，可将信息网络系统的威胁评估模型定义为表2 1 的二维矩阵的形式(表中表示相应层次具有相应的评价的指标)。I O中墨科学挫术大学博士学位论文表2 1 信息网络系统威胁要素属性保宪可可可连可不不层密穗宙H j糕接恢可定性性计性性性复抵性性性赖性系统威胁通讯威胁物理威胁人员威胁运行环境威胁成用威胁性

43、能威胁设计正确性威胁该袭列燃信息阙络系统的威胁评估，共涉及到售患嘲终系统懿八个方颇及九个属性，八个方厦对可能影响劐信息嘲络系统的藏胁的各个方瑟进行了全颟综合的考虑，九个属性则对傣息网终系统的威胁要求遴孬了缨致撼述。酋先对八个方露的定义进纷一下缎释：(1)系统藏胁：其主要考虑慰整个卿络运行中涉及到的系统软 牛造戏懿威胁，如网终操作系统、分毒式数据瘁系统等。(2)通谖威胁：其主骚搬对网络审受责婀终信息传递躲软 牛与襞 牛造成的威胁。(3)物理威胁：皇要摈对那魑与整个慰络鸯关蛇磴拌、材料以及寄关文档等遮成的威胁。(4)人员威胁：主要攫对那些弼络的操作、管理与锼躅久受造成豹藏蔻簪。(5)运霉臻壤藏胁；

44、燕要指慰那些舄弼终鸯关鹣法援、政策 2 盂及交锌造成豹威胁。(6 应耀威胁：撂对那些运行在网络系统软伴之上的离层应需鼙软件造残的藏胁。中国科学技术大学博士学位论文(7)性能威胁：指对那些可能引起网络崩溃的网络流量以及网络吞吐量等关键性指标造成的威胁。(8)设计的正确性威胁：主要指对整个网络的拓扑结构、逻辑结构以及系统集成方案的正确性造成的威胁。下面对具体指标进行定义和描述：(1)完整性：指信息在网络的传输过程中不能被非授权的更改，必须保持它的原样。(2)可审计性：指网络中信息的每一动作及变化是可以跟踪的，可以被系统记录下来。(3)可用性：指信息对接收方来说是可用的，也许它并不是完整未改动的。(

45、4)可靠性：指信息在网络传递过程中它必须是稳定和连续的，网络系统本身的性能不能影响数据本身。(5)连接性：指网络系统能提供信息传递透明通道的能力。(6)恢复性：指数据在系统崩溃的情况下也能自动进行安全性恢复。(7)不可抵赖性：指系统中的每一条信息其来源都具有不可抵赖性。(8)不定性：指系统的状态规律对局外人来说应该具有不可推断性。(9)保密性：指信息只对指定范围的人刁可见，对局外人是不可见的。利用以上具体指标可以列各种威胁手段的量化值进行度量。下图2 1对系统威胁具体可能的威胁手段进行了分析：中国科学技术大学博士学位论文甲甲甲匾翅医蓟匾翅圈2 1 部分威胁手段分析2 3 程序级安全评估分析单机

46、安全是网络安全的基础，单机安全又是由单机中的程序安全来保证的。对于程序的安全性评储是网络安全评估的基础。程序安全的评估主要怒采取测试理论的方法，结合网络安全漏洞的相关知识。通过观察与统计，可以发现绝大多数的安全漏洞是由应用程序(A p p li c a t i o n)和运行环境(E n v i r o n m e n t)的错误交甄(I n t e r a c t i o n)日I 发的，因而应用程序(即软件)的安全性与应用程序的运行环境密切相关”“。在监测被测系统行为的同时，应用错误注入方法，把环境扰动(E n v i r o n m e n tP e r t u r b a t i o

47、n)作为错误，注入到被测皮用程序的运行环境中，如果被测软件系统不能承受环境扰动则表明软件中存在安全漏洞“”1。环境实体是软件运行的璧要依存。内部实体与环境实体的区别在于环境实体作为共掌资源可以被多个应用程序或是主体所改变，面内部实体 乍为应用程序的私有物，在底层操作系统保护进程空阅机制的支持下，只允许应用程序本身对它踅 行访问和修改。虽然在并发的馕况下，被共享的环境资源有互斥和信号量机制可以保护它们的安全，但是只鸯很少的程序员会有意识的保护他们的环境。因为程序员可娆并没奇认识到环境实体属于挟享资源。比如应用稷序要去写一个文件，它发现是己有此权限，就假设对此文传的后续操作合法两没有浊意剿其他主体

48、包攒攻爨考可能已经教变了环境，从而使它对环境正确的假设不成立。虽然枣些机划，铡翅文件锁，可以保诞程序员对环境实体始终正确驰假设熟分成立，傻是没鸯一个普遍逑用的机制去保护全部环境。因此环境我非法入侵中扮演7 重要的是魏。环境错误注入鲍思想就是模拟系统被非法入侵后的，入侵行为在坯境巾艨造成豹异常。要想确定被测软l 牛系统在各秘环境条传下豹行为，裁要鸯效煺模拟备静实豁环境扰动。将镂误注入在应用程序和坯境的交互处是对实黪玫凌秘错误懿赢屡次中国科学技术大学博士学位论文抽象，可以确保这样所发现的安全漏洞的可靠性和实用性。大多数的漏洞库记录了攻击者利用每一种漏洞的方式。通过E A I 模型的使用把这些漏洞的

49、利用方式直接转换成为被植入到环境中的错误，且不需要太多的分析如何利用每种漏洞去实现攻击所造成的环境异常。并且，把错误注入到应目j程序和环境的交互层相比于把错误注入到程序体的其他层次有效地降低了注入错误和真实异常的语义差距。按环境错误影响被测试程序时所用到的媒介来分有两种方式：间接影响：通过内部实体引发安全隐患。被注入到环境中的错误，存在于环境实体中，通过与应用程序的交互，成为应用程序的输入，进入应用实体，在应用实体内部繁衍，最终引发安全隐患。例如，注入的错误是改变应用程序所要读的文件的符号连接，而应用程序仍然读此文件，读到的内容为不正确的内容，此错误进入应用程序，并且开始传播，最终导致安全违规

50、。再例立I A N S IC 中有一个函数c h a r*g e t s(c h a r*b u f f e r)，此函数可以从标准输入流中读入以换行符为结束的一行输入，但是因为它并没有指定缓冲区的长度，很容易造成缓冲区溢出。此种缺陷曾被利用，造成1 9 8 8 年的i n t e r n e t 网蠕虫事件。如果被测试的软件中有此语句，那么实际上它可能存在着安全漏洞。以换行符结束的一行尾部缀有攻击代码的超长输入作为应用程序的标准输入。便可能导致安全违规。在此例中被从标准输入流读入的超常攻击代码就是被注入的环境错误，用户输入为环境实体，应用程序的缓冲区为内部实体，在应用进程和环境的交互过程中，