动态实时网络安全风险评估研究.pdf

《动态实时网络安全风险评估研究.pdf》由会员分享，可在线阅读，更多相关《动态实时网络安全风险评估研究.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Computer Engineering and Applications计算机工程与应用2011，47（36）1引言随着网络技术的快速发展和企业信息系统的进步，今天越来越多的企业和组织都是通过网络进行相关的业务和服务。为了确保整个网络信息系统的安全，对整个网络进行网络安全风险评估是非常重要的。网络安全风险评估是一个关于网络存在风险的分析和解释过程，风险评估的基本目的就是将网络风险控制在可以接受的范围之内1。然而，当前的网络安全风险评估技术主要关注焦点集中在系统设计或者通过周期调查阶段进行手动的网络安全风险分析。针对计算机安全风险分析不同的量化和定性方法被提出。例如，网络安全形势自意识模型（N

2、etwork Security AwarenessModel，NSAM）2，过程关键威胁、资产和漏洞评估（The Oper-ationally Critical Threat，Asset，and Vulnerability Evaluation，OCTAVE）3，AHP 和模糊逻辑结合方法4，贝叶斯网络分析（Bayesian Networks Analysis）5，模糊风险分析（Fuzzy RiskAssessment）6等方法。这些方法形成了相对不错的统计过程，但不能够满足无所不在的计算机网络环境的需求，仅仅适合满足评测网络威胁和漏洞。异常事件的检测和诊断已经成为当前研究的一个活跃领域。单纯

3、地采用统计和定量的方法已经不能够满足对网络变动态实时网络安全风险评估研究廖年冬1，易禹1，胡琦2LIAO Niandong1，YI Yu1，HU Qi21.长沙理工大学 计算机与通信工程学院，长沙 4101142.北京交通大学 计算机与信息技术学院，北京 1000441.College of Computer and Communication，Changsha University of Science and Technology，Changsha 410114，China2.College of Computer and Information Technology，Beijing Ji

4、aotong University，Beijing 100044，ChinaLIAO Niandong，YI Yu，HU Qi.Research on dynamical real-time risk assessment of network security.Computer Engi-neering and Applications，2011，47（36）：12-15.Abstract：Risk assessment is a hotspot issue in current network security management.However，current risk assessm

5、ent meth-odologies focus on manual risk analysis of network during system design or through periodic reviews.Techniques for real-time risk assessment of network security are scarce.This paper proposes a novel real-time risk assessment method for largescale networks that build upon existing network m

6、onitoring and Intrusion Detection Systems（IDS）.Different from most otherrisk assessment methods，the approach treats the risk assessment problem as a dynamical real-time inference problem ratherthan a static statistical filter problem using Fuzzy Logic and Petri Nets method（FLPN）.FLPN can describe th

7、e relationshipbetween different steps carried out by intruders，alert observations and transition actions separately，and associate each intru-sion state with a probability（or confidence）.Experimental results clearly show that it can locate the attackers in a short time，predict intrudersnext possible

8、attack action，discover the potential network security risk and provide the confidence scoresof risk assessment.This method can play an important role for network security assessment.Key words：risk assessment；Petri nets；fuzzy logic；intrusion detection system摘要：风险评估是当前网络安全管理的一个热点议题。然而，当前的风险评估方法关注的焦点是在

9、系统设计过程或者通过定期的调查期间进行手动网络风险分析，实时的网络安全风险评估技术是很少的。通过构建在存在的网络监控和入侵检测提出了一种针对大规模网络的实时风险评估方法。不同于大多数其他风险评估方法，采用模糊逻辑和Petri网方法（FLPN）对待风险评估是作为一个动态实时推理过程，而不是静态统计过滤问题。FLPN方法能够描述被入侵检测、报警观察和攻击传递行为完成的不同攻击步骤之间的关系，且用概率（或置信度）关联每一个攻击状态。实验结果清晰表明所提方法可以在短时间内定位攻击，预报攻击的后续攻击行为，发现潜在的网络安全风险和提供可信的风险评估的信任分数。所以该方法可以在网络安全风险评估中扮演一个重

10、要的角色。关键词：风险评估；Petri网；模糊逻辑；入侵检测系统DOI：10.3778/j.issn.1002-8331.2011.36.004文章编号：1002-8331（2011）36-0012-04文献标识码：A中图分类号：TP301基金项目：长沙理工大学博士引进人才基金资助项目；湖南省科技厅资助科研项目（No.2010FJ3115）。作者简介：廖年冬（1977），男，博士，主要研究方向：信息安全、人工智能；易禹（1976），男，博士；胡琦（1984），男，博士研究生。E-mail：收稿日期：2011-07-11；修回日期：2011-09-05122011，47（36）化、异常情况的分析

11、和评估。最近，为了解决对网络攻击实时变化的检测和风险分析，一些动态的网络安全风险评估被不少研究者引入，比方说隐含有色Petri网网络分析7，遗传模糊分类和数据挖掘网络分析8，随机Petri网和攻击树方法结合模型9和贝叶斯网络分析10等。在这些方法中，使用贝叶斯方法和遗传等方法并不能够很好地解决动态和多步骤网络攻击问题。对于复杂攻击类型和复杂网络环境，它们还没有很好的自适应网络能力，不能够根据网络变化、攻击类型变化而准确监测、预报网络风险情况。文献7提出了一个基于有色Petri网的报警后置处理和关联分析方法，提高了网络数据分析的能力，尤其是其动态数据的预评估。这种方法为解决网络风险评估提供了一条

12、可靠的途径，就是通过实时网络数据的检测、分析，进行网络风险的实时预报评估。本文针对动态实时网络风险评估问题，提出了一种基于网络检测报警和攻击行为信息的网络安全动态实时风险评估模型，该模型充分利用Petri网和模糊逻辑的优点，对已知和未知的攻击能够及时地检测和预报，并且能够很好地定量和定性网络攻击的风险，本文所提方法提供了一种简单、方便和有效的网络安全风险分析和评估过程。2风险评估模型Petri网是模拟信息处理系统普遍使用的工具之一。本文提出了一种基于模糊逻辑和Petri网模型结合（FLPN）的逻辑推理处理方法，该方法的目的就是从检测的攻击数据中推出网络入侵的攻击形势和评估攻击行为的风险。定义1

13、 一种FLPN模型可以定义为包含13种元组的集合：FLPN=RSTPCIOAFtFpreFsFpostFrisk（1）这里，R=ri|i=12Nr(Nr1)是非空的有限代理或传感器的资源集合（颜色集）。他们是正常的用户或者是网络攻击入侵者。S=si|i=12Ns(Ns1)是有限的位置或状态集合，也就是说一个资源已经被占领。T=ti|i=12Nt(Nt1)是有限的传递行为集合，也就是说已经发生的行为集合。P=pi|i=12Np(Np1)是初始或缺省的代理-资源之间拥有的概率标准分布。C=ci|i=01Nc(Nc1)是攻击风险的有限集合。I是输入函数，表示着从传递集合到状态集合之间的输入映射关系，

14、其中I=i:TS，这里S表示着多状态集合S的超集。O是输出函数，表示着从传递集合到状态集合之间的输出映射关系，其中O=o:TS，这里S表示着多状态集合S的超集。A（弧的集合），它是一个有限弧的集合，其中A=ApreApost，这里，Apre(ST)表示着攻击条件的前置链接弧线的集合，和Apost(TS)表示着攻击条件的后置链接弧线的集合。Ft是一个关联函数，表示着从传递函数到真实的在0，1之间的实数映射关系，Ft也是当一个攻击行为t在已知的传递的前置条件满足后将要发生的概率，注意：如果攻击行为t的前置条件不满足，则其概率将为0。其中：Ft=ft:T01=P(tT将要激活到下一个行为|t被激活)

15、（2）Fpre是一个前置条件关联函数，表示着从攻击关联着攻击前置条件弧线Apre的集合到多个颜色集合的超集HM(C)的映射关系，其中：Fpre=fpre:ApreHM(C)（3）Fpost是一个后置条件关联函数，表示着从攻击关联着攻击后置条件弧线Apost的集合到多个颜色集合的超集HM(C)的映射关系，其中：Fpost=fpost:ApostHM(C)（4）Fs是一个关联函数，表示着从攻击满足资源到真实的在0，1之间的实数映射关系，其中：Fs=fs:S01（5）Frisk是一个关联函数，表示着从攻击的风险到真实的在0，1之间的实数的映射关系，其中：Frisk=frisk:R01（6）3风险计算

16、计算机资产的初始风险是通过攻击的初始概率来定义的。FLPN模型通过每一个检测传感器的每一个报警信息来评测当前系统所遭受的风险状态。已知这些攻击行为的概率，FLPN模型就可以很容易地判断哪一个攻击行为是最危险的，以及评价系统所遭受攻击风险的概率。表1描述了在本文定义模型中所定义的变量。命题1 一个攻击行为被激活发生的概率可以表示为：P(E(ti)|)=P(ti|)=PsjI(ti)(sj)FtisjI(ti)j1p(sj)Fti)=sjI(ti)(sj)（7）命题2 在未知攻击行为所对应的报警信息情况下，该攻击行为可能发生的概率可以表示为：P(T=ti+1|)=P(titi+1)|E(ti)P(

17、E(ti)|)Fpostti*P(E(ti)|)=fpostti*sjI(ti)j1(sj)（8）命题3 已知某攻击行为对应的攻击状态si和下一个报警信息ai+1，在下一个攻击行为发生的概率为P(T=ti+1|siai+1)，且公式如下：变量ViijRviRtiaE()titi()titi+1LiLii01说明系统si的初始风险攻击的总数攻击从系统si到系统sj的期望发生概率漏洞vi的风险值攻击行为ti的风险值在时间a内的标准分布攻击行为ti的期望值攻击行为ti被激活攻击行为ti将改变为下一个攻击行为ti+1在系统si的总共期望损失一种成功攻击发生后，系统si的期望损失系统si的攻击碎片概率表

18、1模型变量定义廖年冬，易禹，胡琦：动态实时网络安全风险评估研究13Computer Engineering and Applications计算机工程与应用2011，47（36）P(T=ti+1|siai+1)=P(T=ti+1ai+1|si)P(ai+1|si)=P(T=ti+1|si)P(ai+1|T=ti+1si)P(ai+1|si)（9）一个系统在没有网络攻击的情况下的初始风险可以表示为：iRviLi。一个网络组织的初始风险可以表示为：ci=i=1miRviLi。如果系统之间没有相互依赖关系，也就是说攻击之间不存在相互传播现象，则：ij=0ij时Li=Li。当在网络攻击发生时，如果考虑

19、到网络攻击的风险可以从一个机器传播到其他机器，也就是说可能存在二次攻击，在这种情况下，系统攻击发生的风险就应该考虑到网络攻击传播风险，整个系统的风险可以表示如下：Li=Li+k=1kinijLkLi+k=1kimkRvkLk+k=1kim(P(E(tk)|)Rtk)+k=1kim(P(T=tk+1|)Rtk+1)（10）如果考虑三次传播风险，则公式如下：Li=Li+k=1kinikLk+m=1miknkmLmLi+k=1kimkRvkLk+k=1kim(P(E(tk)|)Rtk)+k=1kim(P(T=tk+1|)Rtk+1)+k=1kim(P(T=tk+2|)Rtk+2)（11）4实验整个网

20、络风险实验是在真实网络环境下进行的，数据集获取来自四个不同子网的数据，分别是远程网络（RN）、内部网络1（LAN1）、内部网络2（LAN2）、内部网络3（LAN3）。从检测传感器获取的报警信息也被分为四个部分：收集的报警信息来自远程网络(ARN)、收集的报警信息来自本地网络1(ALAN1)、收集的报警信息来自本地网络2(ALAN2)、收集的报警信息来自本地网络3(ALAN3)。收集到的数据被拆分为两个不同数据集：测试数据集和训练数据集，其中训练数据集用来评测FLPN模型的参数选择，测试数据集用来评测FLPN模型的有效性，且每一个数据集大约有2 000个不同的报警信息。表2显示了测试网络环境下主

21、机存在的漏洞初始风险概率情况。表3显示了不同网络攻击流所关联的风险概率情况。表4列出了被FLPN模型推出的网络攻击行为发生风险概率情况。主机211.71.75.110211.71.75.111211.71.75.116211.71.73.12211.71.72.104202.112.56.3攻击行为PingGet user authorityFtp loginExecute ftp/.rhost filePingGet user authoritySSH loginPingGet user authoritySSH loginURL execute commandExecute script

22、filePingGet user authorityPingGet user authorityPing报警数1271285234534594332135634857523状态ProbeSystem compromisedFtp connectedDaemon installedProbeSystem compromisedSSH connectedProbeSystem compromisedSSH connectedRemote code installedReady for buffer overflow attackProbeSystem compromisedProbeSystem

23、compromisedProbe下一攻击行为System compromisedFtp connectedReady ftp attackSSH buffer overflow attackSystem compromisedSSH connectedSSH buffer attackSystem compromisedSSH connectedRemote code installedReady for buffer overflowattackSystem errorSystem compromisedFTP connectedSystem compromisedSSH connected

24、System compromised风险概率0.720.550.940.570.390.14表4网络攻击行为发生风险概率情况主机211.71.75.110（FTP Server）211.71.75.111（SSH Server）211.71.75.116（Terminal）211.71.75.118（Data Server）漏洞FTP.rhost attackFTP buffer overflowFTP buffer overflowFTP.rhost attackStrip heap overflowt1lib heap overflowKernel file overflowLICQ re

25、mote-2-userSuid Buffer overflowCVE#1999-05472001-07752006-24211999-05472008-39162006-63152007-59042001-04392001-1180风险概率0.890.760.820.670.920.870.850.920.79表2不同主机存在的漏洞初始风险概率情况主机211.71.75.110（LAN1）211.71.75.111（LAN1）211.71.75.116（LAN1）211.71.73.12（LAN2）211.71.72.104（LAN3）202.112.56.3（RN）状态ProbeSystem

26、 CompromisedFTP ConnectedReady FTP AttackProbeSystem CompromisedProbeSystem CompromisedVulnerability Kernel fileDaemon InstalledReady to Buffer Overflow AttackProbeSystem CompromisedProbeSystem CompromisedProbe风险概率0.960.870.890.780.840.670.990.930.780.840.740.680.450.560.330.26表3不同网络攻击流所关联的风险概率情况142

27、011，47（36）表5显示了对未知攻击的检测率、误报率和整个系统的统计风险概率情况。从表5中，可以容易地发现基于模糊逻辑和Petri网的报警分析和风险评估可以大大减少网络攻击报警的数量，且能够有效地提高风险评估的可靠性。BlackICE系统检测到了759个来自内部局域网1的报警；同样的攻击情况，Snort检测到834个来自局域网1的报警；而通过FLPN模块的报警分析，本文系统仅仅汇报了小于500个的报警信息。采用FLPN方法的系统不但减少了报警数量，而且提高了对新攻击的检测率。表5中，BlackICE的误报率为36.6%，Snort系统的误报率为27.4%，而采用FLPN方法的系统降低到7.

28、7%，系统发生的风险情况，也从BlackICE系统检测的56.3%，Snort系统检测的62.4%，提高到采用FLPN方法的系统检测到的85.6%。换句话说，FLPN方法可以大大提高风险评估的质量，FLPN可以利用检测信息和攻击行为的关系来进一步提高风险评估的质量和可靠性。5结束语本文提出了一种新颖的基于模糊逻辑和Petri网结合的网络安全风险在线评估方法。该方法能够有效地检测网络和主机系统的攻击情况，评估网络系统存在的风险概率。该方法的优点主要有两个：第一，本文方法可以预报网络攻击的行为，对报警信息进行有效处理。第二，通过网络攻击行为风险的获取，可以准确地定位风险发生的来源，增加对攻击的了解

29、。第三，基于FLPN的风险评估方法作为一种动态实时评估方法，可以有效地减少误报率和对新攻击的即时预报。下一步的工作要对算法进一步优化，提供网络攻击的检测率，更加合理地获取网络攻击行为和报警之间的关系，提高FLPN方法的性能。参考文献：1 Aven T.A unified framework for risk and vulnerability analysiscovering both safety and securityJ.Reliability Engineering andSystem Safety，2007，92（6）：745-754.2 Lai J B，Wang H Q，Zhu L

30、.Study of network security situationawareness model based on simple additive weight and grey the-oryC/2006 International Conference on Computational Intelli-gence and Security（ICCIAS 06），Guangzhou，2006：1545-1548.3 Alberts C，Dorofee A.Managing information security risks：theOCTAVE approachM.S.l.：Addis

31、on-Wesley，2003.4 Zhao D M，Zhang Y Q，Ma J F.Comprehensive risk assessmentof the network securityJ.Computer Science，2004，31（7）：66-69.5 Bonafede C E，Giudici P.Bayesian networks for enterprise riskassessmentJ.Physica A：Statistical Mechanics and its Applica-tions，2007，382（1）：22-28.6 Schmidt S，Steele R，Di

32、llon T S，et al.Fuzzy trust evaluation andcredibility development in multi-agent systemsJ.Applied SoftComputing，2007，7（2）：492-505.7 Yu D，Frincke D.Improving the quality of alerts and predictingintruder s next goal with hidden colored Petri-netJ.ComputerNetworks，2007，51（3）：632-654.8 韦勇.网络安全态势评估模型研究D.合

33、肥：中国科技大学，2009.9 Ozyer T，Alhajj R，Barker K.Intrusion detection by integratingboosting genetic fuzzy classifier and data mining criterion rulepre-screeningJ.Journal of Network and Computer Applications，2007，30（1）：99-113.10 Dalton G C，Mills R F，Colombj J M，et al.Analyzing attacktrees using generalized

34、stochastic Petri netsC/Proceedings ofthe 2006 IEEE Workshop on Information Assurance UnitedStates Military Academy，NY，2006：116-123.系统BlackICESnortFLPNARN1214545ALAN1759834467ALAN2524478348ALAN323825678Dr/（%）63.472.692.3Far/（%）36.627.47.7Dua/（%）4.56.715.8RS/（%）56.362.485.6表5三种不同系统的检测率、误报率和风险发生概率（上接8页

35、）5结论安全的XML关键字查询一直是受人们普通关注的问题，人们希望在保护敏感信息的前提下方便高效地进行XML关键字查询，这里采用扩展的Dewey编码方式，对于任意两个节点，不仅能反应出他们的父子或子孙信息，而且还能反应出两节点是否为同名的兄弟信息；压缩访问策略的方式节省了访问策略的存储空间，为提供查询效率提供了基础。这两种方式的结合，能很好地保证安全，又能保证查询效率，为广大用户提供了安全快捷的查询服务，但是此方法最适合XML文档的结构查询，快速了解文档的框架，在其他方面例如使结果更有意义9-10方面有待进一步改进和完善。参考文献：1 Luo B，Lee D，Lee W C，et al.QFi

36、lter：fine-grained run-time XMLaccess control via NFA-based query rewritingC/Proceedings ofthe 2004 ACM CIKM International Conference on Informationand Knowledge Management，Washington D C，USA.New York：ACM Press，2004：543-552.2 Murata M，Tozawa A.XML access control using static analysisJ.ACM Transaction

37、s on Information and System Security，2006，9（3）：292-324.3 Yu T，Srivastava D.A compressed accessibility map for XMLJ.ACM Transactions on Database Systems，2004，29（2）：1-38.4 Iwaihara M，Wang B，Chatvichienchai S.Extracting global poli-cies for efficient access control of XML documentsC/LNCS3806：WISE，2005：

38、161-174.5 XML DOM tutorialEB/OL.http：/ Xu Y，Papakonstantinou Y.Efficient keyword search for smallestLCAs in XML databasesC/Processings of SIGMOD，New York，NY，USA，2005：527-538.7 Berkeley DBEB/OL.http：/ XML data repositoryEB/OL.http：/www.cs.washington.edu/re-search/xmldatasets/.9 Liu Z，Chen Y.Identifying meaningful return information for XMLkeyword searchC/Proceedings of SIGMOD，2007：329-340.10 Li Guoliang，Feng Jianhua.Effective keyword search for valu-able lcas over XML documentsC/Proceedings of the 16th ACMConference on Information and Knowledge Management，2007：1-10.廖年冬，易禹，胡琦：动态实时网络安全风险评估研究15