网络风险评估方法研究.pdf

《网络风险评估方法研究.pdf》由会员分享，可在线阅读，更多相关《网络风险评估方法研究.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、?收稿日期:2008-04-25;修回日期:2008-06-18。?基金项目:上海工程技术大学科研基金项目(07?22)。?作者简介:史志才(1964-),男,吉林磐石人,教授,博士,CCF高级会员,主要研究方向:计算机网络与信息安全。文章编号:1001-9081(2008)10-2471-03网络风险评估方法研究史志才(上海工程技术大学 电子电气工程学院,上海 201620)(szc1964 )摘?要:为了进行网络风险评估,采用隐马尔可夫随机过程作为分析手段,以入侵检测系统的输出(报警事件)为处理对象,建立了描述主机系统受到攻击后状态转化的隐马尔可夫模型(HMM),给出了主机系统风险指数的计

2、算方法,并经过简单叠加得到整个网络风险的定量评价。最后通过实验证实了所提出方法的有效性。关键词:网络安全;隐马尔可夫模型;风险评估中图分类号:TP309;TP393.08?文献标志码:AResearch on methods of network risk evaluationSH I Zhi?cai(Electronic and Electric Engineering Institute,Shanghai University of Engineering Science,Shanghai 201620,China)Abstract:In order to evaluate the net

3、 work risk,H iddenM arkov random procedure was adopted as analysismeans.Theoutput of intrusion detection systems(called alarm events)was used as the processed objects.The H idden M arkov M odel(HMM)to describe the state transfor m of the attacked host syste m was constructed.The calculation method o

4、f the riskcoefficient for host syste ms was given.The risk coefficients for host syste ms were si mply added to obtain the quantitiveevaluation of the risk forwhole network.The experi ments justify that the proposedmethod is effective.Keywords:network security;H iddenM arkovM odel(HMM);risk evaluati

5、on?随着计算机网络及通信技术的发展以及社会信息化进程的推进,信息安全问题得到了社会各界的普遍关注。网络风险评估是信息安全的重要内容,它能够提供网络系统所存在的漏洞、脆弱性等方面的信息,评估并识别系统面临的安全风险,指出网络当前的安全状态,为网络系统安全体系的构建提供依据,进而提升网络系统的生存能力。目前,已有概率统计、信息熵等方法对网络的风险进行评估,但这些方法往往缺乏及时性、动态性且计算复杂。为了评估网络系统受到攻击后的风险状态,本文采用隐马尔可夫随机过程来描述计算机或者网络系统的状态转换,建立了评估网络风险状态的隐马尔可夫模型(H iddenM arkov Mode,l HMM),将入侵

6、检测系统产生的报警序列作为该模型的输入,采用层次的计算方法通过对各个主机的风险评估来得到整个网络系统被攻击后的风险指数,最后给出了网络风险状态的定量描述。1?网络风险评估所谓网络系统风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价1-2。网络的安全风险状态由系统的资产价值、外部威胁以及系统的脆弱性等三种因素构成。其中,资产指对组织有价值的任何东西;威胁指对组织或系统可能产生危害的潜在因素;脆弱性又称漏洞,是指一个资产或资产组能够被威胁所利用的弱点

7、。系统自身的脆弱性是造成系统被攻破的根本原因,外部威胁是造成系统被攻破的必要因素,系统资产价值的重要程度则是确定系统出现安全事故后可能造成的影响大小的必要指标。所以,网络风险是脆弱性、威胁以及资产价值的函数,通过这些参数的测定就可以评价网络系统的安全状态。2?HMM 与系统状态描述HMM 是一个双重随机过程,其中一个是不可见的(隐含的)随机过程,即有限状态马尔可夫链,它描述状态的转移;另一个随机过程描述状态与观测值之间的统计对应关系,通过观察值可以观察到状态的变化情况 3。HMM 描述的随机过程要满足三个假设4:当前状态只与上一状态相关;状态之间的转移概率与状态所处的具体时间无关;观测值只与当

8、前状态有关。设观察值序列为 O=(O1,O2,?,OT),其中 Oi V=(v1,v2,?,vM),V为观察符号集;相应的状态序列为 q=(q1,q2,?,qT),其中qi S=(s1,s2,?,sN),S为系统状态集。HMM 通常用五元组?=(S,V,A,B,?)来表示;A 为状态转移概率矩阵,A=(aij)N!N,其中 aij=P(qt+1=sjqt=si),1i,jN;B为观察符号概率矩阵,B=(bjk)N!M,其中 bjk=P(Ot=vkqt=sj),1k M,1j N。?为初始状态概率矢量,?=(1,2,?,N),其中 i=P(q1=si)。一般情况下,网络攻击通常由多个步骤组成,而

9、且下一个攻击步骤的实施仅依赖于前一个攻击步骤的结果,这与 HMM中的状态转移特性相对应。当攻击者进行某步攻击时,必会产生相应的报警事件,不同的攻击步骤产生的报警事件之间是相互独立的,这与 HMM 中状态所产生的观察符号相对应,HMM 中不同状态产生的观察符号是相互独立的。由上面的分析可知,网络攻击可以采用 HMM 进行刻画。每个攻击步骤对应于 HMM 的状态,攻击步骤的转移对应于状态的转换;而攻击的检测结果即报警事件则对应于 HMM中的可观察符号。由此可见,可以采用 HMM 来描述网络系第 28卷第 10期2008年 10月?计算机应用ComputerApplications?Vo.l 28

10、No.10Oc.t 2008统受到攻击后的状态转换过程,并通过可观察的参量(观察符号)对其安全状态进行评价。3?基于 HMM 的网络风险评估模型显然,网络系统是由各种计算机组成的集合体,计算机是网络系统中最重要的资产。下面首先建立各个计算机系统(简称为主机)的风险评估 HMM,然后根据各个主机的风险状况给出网络系统风险状态的定量评价。3.1?基于 HMM 的主机安全状态评估模型建立评估主机安全状态的 HMM,通过检测到的报警事件(即对应 HHM 的观察符号序列)来描述的主机受到网络攻击之后的状态变化,从而实时更新主机的风险指数。主机安全状态的 HMM?=(S,V,A,B,?)描述如下:1)HM

11、M 中的状态分别对应主机中的安全状态。假定主机有 N 种不同的安全状态,则 HMM 的状态即为 S=s1,s2,?,sN,si描述主机的某一安全状态。随着时间的推移,主机的状态会不断发生变化,这一变化过程可用状态序列 Q=q1,q2,?,qT 来描述。2)HMM 中的观察符号分别对应每个报警事件。假定入侵检测系统产生M种不同的报警事件,则 HMM 的观察符号集 V=v1,v2,?,vM,其中 vk对应第 k个报警事件。与状态序列变化相对应的即为观察符号序列,可表示为 O=o1,o2,?,oT,oi V。从以上描述可以看出,HMM 内在地刻画了主机的安全状态。对于管理人员,他无法直接得到系统的安

12、全状态,唯一可以看到的是产生的各种报警事件(HMM 的观察符号),即只有通过报警事件才能推断出系统所处的安全状态。而 HMM 内在的隐含状态及外在的观察符号,完全彻底地模拟了这一过程。下面规定每个主机有四种安全状态:正常(Nor mal)?主机处于正常状态,没有任何可疑事件。刺探(Probed)?主机受到刺探或扫描。当主机处于这种状态时,系统的可用性将会受到一定影响,并且可能增加受攻击的可能性。攻击(Attacked)?主机遭受来自外界的攻击。处于该状态时,系统的性能将会受到严重影响,并且很可能导致系统被攻破。攻破(Compro m ised)?主机已经被恶意程序或黑客控制。由此设主机的状态

13、S=N,P,A,C,分别对应上述四种状态;任意时刻某一主机可能处于其中状态之一,而且任何两个状态之间都可以直接相互转换,各个状态间转换的可能性由状态概率矩阵来描述,具体为:A=a11a12a13a14a21a22a23a24a31a32a33a34a41a42a43a44(1)式中 aij(1i,j4)表示由状态 si转移到 sj的概率,如 a23表示状态 Probed转移到 A ttacked的概率。假设,系统可能收到的报警事件按影响程度分为 M 类,即观察符号集为 V=vkk 1,M ,则观察符号概率矩阵 B 可表示如下:B=b1(1)b1(2)?b1(M)b2(1)b2(2)?b2(M)

14、b3(1)b3(2)?b3(M)b4(1)b4(2)?b4(M)(2)式中 bj(k)表示处于状态 j(1 j 4)时产生观察符号 vk(1 k M)的概率。初始状态分布定义为:?=N,P,A,C(3)该初始状态分布充分考虑了主机可能已经处于被攻破状态或其他非安全状态,因此 Probed、A ttacked及 Comprised等状态的初始概率都可能不为零。3.2?网络风险指数计算为了计算网络风险指数,首先必需得到被保护网络中所有主机的风险指数。在计算主机风险指数前,先定义权值向量 C=c1,c2,c3,c4,该向量与主机状态向量 S=N,P,A,C相对应,ci为对应状态对主机安全的影响程度。

15、主机 h在 t时刻检测到一系列攻击,其观察符号序列为O=o1,o2,?,oT,此时该主机的风险指数 Rh,t计算如下:Rh,t=#Ni=1!t(i)ci(4)式中 N 表示状态数,ci表示状态 si对应的权值;!t(i)表示在给定模型?和观察符号序列 O情况下主机在 t时刻处于状态si的概率,具体使用 前向?后向%算法来计算 5。定义前向变量 at(i)=p(o1o2?ot,qt=si|?)和后项变量 t(i)=p(ot+1ot+2?oT,qt=si|?),而!t(i)=at(i)t(i)/p(O|?),其中p(O|?)=#Ni=1at(i)t(i)=#Ni=1#Nj=1at(i)aijbj(

16、ot+1)t+1(j)。在得到 t时刻网络中所有主机的风险指数后,即可计算该时刻整个网络的风险指数,具体如下:Rnet work,t=#Hh=1Rh,t(5)式中,H 表示网络中主机的数量。显然,网络风险指数是所有主机风险指数的叠加,计算方法简单,速度快。4?实验与结果分析4.1?Lincoln Laboratory DDoS 1.0数据集L incoln Laboratory DDoS 1.0数据集是从四个不同的 C类子网收集而来,即子网 172.16.112.0/24、172.16.113.0/24、172.16.114.0/24和 172.16.115.0/24。这些数据经过 Snort

17、及 USTAT入侵检测系统处理后,生成了入侵检测消息交换格式(Intrusion DetectionM essage Exchange For mat,I DMEF)的报警数据。在实验环境下,网络的外部及 DMZ区分别装有基于网络的入侵检测系统 Snort;主机 M ill及 Pascal分别安装了基于主机的入侵检测系统 USTAT。网络中的主机 M ill(172.16.115.20)、Pascal(172.16.112.50)及 Locke(172.16.112.10)最终被攻破,之后这三台主机被用于对网络内部其他主机发动 DDoS攻击。攻击被分为五个阶段:IP扫描阶段、Sadm ind服

18、务探测阶段、入侵阶段、安装 DDoS工具阶段和 DDoS攻击阶段,各个阶段具体的实施过程请参考文献 6。4.2?HMM 参数的设置在整个网络风险评估模型中,被保护网络中的每个主机都会建立一个 HMM,以便跟踪主机安全状态的变化和计算单台主机的风险。为了便于模型的建立,根据 Snort及 USTAT对数据集的初步处理结果,将报警事件分为 7类,即对应 7个可见的观察符号:主机探测类报警,表示主机受到任何方式探测时产生的所有报警事件;端口探测类报警,表示主机的端口受到扫描时产生的所有报警事件;外出类报警,来源于网络内部且目标主机为外部网络的报警事件;未授权访问报警,当受2472?计算机应用第 28

19、卷到非法文件访问时产生的报警事件;非法写入报警,当受到非法文件写入时产生的报警事件;可疑事件报警,所有未能明确划入其他类的报警事件,都将被分为该类型;无报警,指在一定时间间隔内主机没有收到任何报警。其中未授权访问报警和非法写入报警事件由基于主机的入侵检测系统 USTAT 产生。实验中为了计算方便、简单起见,除了安装基于主机的入侵检测系统的 M ill和 Pascal外,其他主机的状态转移概率矩阵 A、观察符号概率矩阵 B、初始状分布向量?及权值向量 C 都完全一样。主机 Locke的状态转移概率矩阵 A 定义如下:AL ocke=0.930.040.020.010.010.870.110.01

20、0.0010.0090.880.110.0010.0030.0040.992(5)矩阵 A 显示出该主机进入 Co mprised状态的概率较低,可一旦进入该状态则离开的概率也很低。主机 Locke的观察符号概率矩阵 B 为:BL ocke=b1(1)b1(2)b1(3)b1(6)b1(7)b2(1)b2(2)b2(3)b2(6)b2(7)b3(1)b3(2)b3(3)b3(6)b3(7)b4(1)b4(2)b4(3)b4(6)b4(7)=0.000030.000020.000010.000040.99990.400.340.050.200.010.010.010.710.250.020.01

21、0.010.550.420.01通过矩阵 BLocke,可以看到主机只生产 1、2、3、6及 7等类型的报警事件,而并不产生 4、5类别的报警事件,这是因为Locke并没有安装基于主机的入侵检测系统。当主机处于Probed状态时,产生主机探测类及端口探测类的报警事件非常多,这从矩阵第二行可以清楚地看到。主机 Locke的初始状态分布及权值向量如下:?Locke=N,P,A,C=0.85,0.10,0.04,0.01CL ocke=cN,cP,cA,cC=0,15,25,60(7)初始状态时,考虑到了有可能主机已经处于被刺探、攻击的状态,但是这种可能性非常小。通常,对于正常状态的权值设置为 0,

22、而攻破状态的权值为 60。对于安装了基于主机入侵检测系统的 M ill和 Pasca,l 状态转移概率矩阵 A、初始状态分布向量?及权值向量 C 与其他机器一样,唯一不同的是观察符号概率矩阵 B,因为 M ill和 Pascal主 机包括了由 USTAT 产生的观察符号。M ill和Pascal的观察符号概率矩阵 B 如下:BM ill=b1(1)b1(2)b1(3)b1(4)b1(5)b1(6)b1(7)b2(1)b2(2)b2(3)b2(4)b2(5)b2(6)b2(7)b3(1)b3(2)b3(3)b3(4)b3(5)b3(6)b3(7)b4(1)b4(2)b4(3)b4(4)b4(5)

23、b4(6)b4(7)=0.00020.00030.00010.00010.00010.00010.99910.400.300.010.0010.0010.270.0180.010.010.450.140.160.150.080.050.040.100.430.230.140.01(8)从矩阵 BM ill最后一行可以看出,当主机处于状态被攻破后,产生未授权访问及非法写入类的报警事件概率比较高;而主机处于正常状态时,不产生任何报警事件的概率最大。实验中使用的模型参数都是根据数据集的特征来设定的。除了装有 USTAT系统的 M ill和 Pascal主机的符号概率矩阵有所不同外,其他所有 HMM

24、参数都完全相同,这样在各主机之间才有可比性。在实际的风险评估过程中,主机的HMM 参数会根据安全配置而变化,而观察符号概率参数将根据使用的数据采集器不同而变化。4.3?实验结果分析整个 Lincoln Laboratory DDoS 1.0数据集持续时间长达11838s,共有 36635个报警事件,其中 84个 USTAT报警事件,余下的全为 Snort报警事件。数据集中包含的攻击由五个阶段组成:1500 1920 s为 I P扫描阶段,2880 3480 s为 sad m ind ping阶段,4380 4420 s为入侵 M ill、Pascal及 Locke阶段,5400s为安装 DDo

25、S工具阶段,7620 s为 DDoS攻击阶段。图 1给出了整个数据集上的风险评定情况,即同时包含四个子网。从图中明显看出,约在 4300 4500 s时间段风险指数达到最大峰值,这与实际情况非常吻合;因为这个时间段处于被攻击阶段,主机 M ill、Pascal及 Locke同时达到了峰值。此外,在 8000 s附近又达到了一次峰值,这是由于成功入侵主机后发动了 DDoS攻击。需要注意的是峰值过后整个网络风险始终维持在 1200上下浮动,这主要是由于网络中的网关及路由器有大量外出型的 Internet控制消息协议(Internet ControlM essage Protoco,lI CM P)

26、报文,从而引起外出型报警事件。图 1?网络系统风险的变化情况图 2 图 4显示了随着时间的变化 M ill、Pascal和 Locke三台主机风险的变化情况。图 2?主机 M ill的风险变化情况从这 3幅图中看出,Locke的风险指数变化不及主机 M ill和 Pascal频繁;对于这三台主机,攻击阶段 3、5明显地达到最大风险度;攻击阶段 2、4也出现了峰值,而阶段 1很难与其他活动分辨开来(图 4最明显);由于主机 Pascal产生了 70条USTAT报警事件,而 M ill仅产生了 14条 USTAT报警事件,可以看出图 3中出现的峰值明显多于图 2。(下转第 2477页)?2473第

27、 10期史志才:网络风险评估方法研究?10/s,20/s,50/s,100/s,200/s,500/s和 1000/s的速率发送分组时,分组传递率的情况。为了促使更多的节点发起路由请求,我们把节点的暂停时间设置为 0 s。图 5展现的是具备 SNR 的网络和不具备 SNR的网络在遇到针对路由发现的拒绝服务攻击时的性能方面的比较,横轴是恶意节点每秒发送的 RREP分组的速率,纵轴是网络中数据分组的传递率。由图中可以看出本文的 SNR 算法在遇到 RREP泛洪式攻击时仍然保持了较稳定的数据分组的传递率,即使恶意节点的发送虚假 RREP分组的速率达到 1000分组/s,本文的 SRPP 算 法的数

28、据分 组传递 率一直 维持 在65%70%。而在普通传 感网络中恶意节点发送 的恶意RREP分组达到 50分组/s时,它的分组传递率开始急剧下降,已经呈现出遭到拒绝服务攻击的现象。在恶意节点 10分组/s时传递率为 73%,而到了 200 分组/s时 传递率仅为40%,性能下降了接近一半。图 5?存在拒绝服务攻击时传感网的路由性能3?结语本文提出了一种新的为传感网节点获得相互信任的解决方案。此方案提供了路由发现时规避非信任节点的能力。同时,因为邻节点的相互约束作用,使得网络具备了抵御泛洪攻击的能力。此外,在相互通信的过程中,节点的身份是保密的,从而使得此方案能够轻易地和网络路由协议相协调,为网

29、络提供一个综合的安全考虑。实验验证,方案完全可行,且由此带来的额外的资源负担也处于一个合理的范围之内。参考文献:1?WOOD A D,STANKOV I C JA.Denialof service in sensornetworks J.Computer,2002,35(10):54-62.2?KARLOF C,WAGNER D.Secure routing in wireless sensor net?works:Attacks and counter measures J.Elsevier&s Ad Hoc Net?works Journa,lSpecial Issue on Sensor

30、 Net work Applications andProtocols,2003,1(2/3):293-315.3?PEFFI G A,CANETT IR,TYGAR JD,etal.The TESLA broadcastauthentication protocol J.RSA CryptoBytes,2002,5(2):2-13.4?BROCH J,MALTZ D A,JOHNSON D B,et al.Jetcheva:A per?for mance comparison of multi?hop w ireless ad hoc net work routingprotoco ls C

31、/Proceedings of theAC M/I EEEMOBI COM&98.NewYor k:ACM,1998:85-97.5?PERKI NS C E,ROYER E M.Ad?hoc on?demand distance vectorroutingC/I EEEWMCSA&99.W ashington,DC:I EEE Comput?er Society,1999:90-100.6?HOFFLEI N J,PI PHER J,SILVERMAN J.N tru:A ring?basedpublic key cryptosystem C/A lgorith m ic Number Th

32、eory(ANTS),LNCS 1423.Berlin:Springer,1998:267-288.(上接第 2473页)5?结语本文将网络或者主机系统的安全状态、入侵报警事件分别与 HMM 的状态和观察符号相对应,给出了一种新颖的基于 HMM 的网络风险评估模型;该模型通过关联分析入侵检测系统产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单,速度快。而且模型中处理的报警事件序列采用入侵检测交换协议的 I DMEF标准格式,为模型与其他安全系统的联动奠定了基础。实验结果表明,该模型能够有效、准确地对网络系统的安全状态进行定量评估。由于

33、网络风险评估的复杂性,本文基于对有限规模数据的分析给出了 HMM 的参数,具有一定的局限性,还需要使用大量的数据对 HMM 进行训练,以提高模型的泛化能力和计算精度。另一方面实验中没有考虑主机间的依赖关系,若能够考虑到这种关系,不但可以更加清晰地掌握网络风险,而且容易建立相关报警事件之间的影响度。参考文献:1?冯登国,张阳,张玉清.信息安全风险评估综述 J.通信学报,2004,25(7):10-18.2?司马建平,余祥宣,洪帆.基于角色的安全策略 J.计算机研究与发展,1998,135(5):447-460.3?RABI NER L R.A tutorial on hidden M arkov

34、 models and selectedapplications in speech recognition J.P roceedings of the I EEE,1989,77(2):257-286.4?CHO S B,PARK H J.Efficient anomaly detection bymodeling priv?ilege flow s using hiddenM arkov model J.Computers&Security,2003,22(1):44-55.5?张响亮,王伟,管晓宏.基于隐马尔可夫模型的程序行为异常检测 J.西安交通大学学报,2005,39(10):1056-1059.6?L incoln Laboratory.L incoln laboratory scenario(DDoS)1.0 DB/OL.2008-04-01.http:/www.l.l m it.edu/SST/ideval/da?ta/2000/LLS_DDOS_1.0.ht m.l2477第 10期熊鹏等:传感网单跳链路的可信性研究?