MathJax.Hub.Config({tex2jax: {inlineMath: [['$','$'], ['\\(','\\)']]}}); function MyAutoRun() {    var topp=$(window).height()/2; if($(window).height()>450){ jQuery(".outline_switch_td").css({ position : "fixed", top:topp+"px" }); }  }    window.onload=MyAutoRun; $(window).resize(function(){ var bodyw=$win.width(); var _leftPaneInner_width = jQuery(".rich_html_content #leftPaneInner").width(); var _main_article_body = jQuery(".rich_html_content #main_article_body").width(); var rightw=bodyw-_leftPaneInner_width-_main_article_body-25;   var topp=$(window).height()/2; if(rightw<0||$(window).height()<455){ $("#nav-article-page").hide(); $(".outline_switch_td").hide(); }else{ $("#nav-article-page").show(); $(".outline_switch_td").show(); var topp=$(window).height()/2; jQuery(".outline_switch_td").css({ position : "fixed", top:topp+"px" }); } }); 基于环境属性的网络威胁态势量化评估方法
  软件学报  2015, Vol. 26 Issue (7): 1638-1649   PDF    
基于环境属性的网络威胁态势量化评估方法
席荣荣, 云晓春 , 张永铮    
中国科学院 信息工程研究所, 北京 100093
摘要:传统的网络威胁态势评估方法主要是基于原始的警报信息,未结合目标网络的环境信息,使得方法的准确性受到很大的影响.提出了一种基于环境属性的网络威胁态势量化评估方法,该方法首先根据目标网络的环境属性对警报进行验证,判定引发警报的安全事件发生的可能性;然后,基于安全事件的风险级别及所针对的资产价值,分析安全事件发生后造成的损失;最后,基于安全事件发生的可能性及造成的损失量化评估网络的威胁态势.实例分析结果表明,该方法可以准确地量化评估网络的威胁态势.
关键词威胁态势量化评估    警报验证    环境属性    资产价值    
Quantitative Threat Situational Assessment Based on Contextual Information
XI Rong-Rong, YUN Xiao-Chun , ZHANG Yong-Zheng    
Institute of Information Engineering, The Chinese Academy of Sciences, Beijing 100093, China
Corresponding author:
Abstract: Traditional network threat situational assessment is based on primary alerts, however, its lack of access to contextual information compromises the accuracy of assessment. This paper proposes a method to quantitatively assess network threat situation based on not only alerts but also contextual information. The new method first verifies alerts along with contextual information to determine the successful possibility of events; then analyzes the loss caused by events according to the risk and the corresponding asset value of events; and finally quantitatively assesses network threat situation based on the successful possibility and the loss of events. Case studies show that the proposed method can evaluate network threat situations accurately.
Key words: threat situational assessment    alert verification    contextual information    asset value    

网络的威胁态势是指网络面临的来自外部的各种恶意行为造成的危害和影响.网络威胁态势的分析,可以帮助安全管理人员准确、及时地把握网络安全状况及其发展趋势,为其提供决策支持.目前,网络威胁态势评估的主要方法之一是基于IDS产生的原始警报信息评估网络的威胁态势.如,Peng等人[1, 2, 3, 4]通过分析警报之间的逻辑关系对警报进行关联分析,基于关联结果分析网络的威胁态势.但是他们的研究假设所有的警报信息均代表成功的攻击行为,而在实际网络中,很大比例的警报为虚假警报或者不相关警报.文献[5]将IDS警报信息作为隐马尔可夫模型的观测序列,利用隐马尔可夫模型实时量化评估网络所处的安全状态.该方法可以有效评估网络的安全状态,但模型参数的合理设置存在很大的难度.文献[6]利用IDS警报,结合服务和主机的重要性构建了层次化网络安全威胁态势评估模型并提出了相应的量化计算方法,从而使该领域的研究推进了一大步,但其不足在于未将警报信息与具体的网络环境信息相结合.基于上述研究中存在的问题,本文提出了一种基于环境属性的网络威胁态势量化评估方法.该方法首先根据目标网络的环境信息对警报进行验证,判定安全事件发生的可能性;然后,基于安全事件的风险级别及针对的目标资产价值分析安全事件发生后造成的损失,进而量化评估网络的威胁态势.

1 相关概念及描述

为了更加准确地描述网络威胁态势的评估,下面首先给出评估过程中的一些定义.

定义1(警报(alert)). 警报是指由安全防护设备发出的、用于表明检测到可疑安全事件的通知,表示为

Alert={Name,Time,SIP,DIP,SP,DP,Description,Classification,Completion,Severity},

其中,Name表示警报的名称;Time表示检测到警报的时间;SIPDIP表示警报的源IP和目的IP;SPDP表示警报的源端口和目的端口;Description表示警报的一些描述性信息,如警报所对应的操作系统等;Classification表示警报的类型;Completion表示警报所代表攻击完成的程度,即,攻击成功的概率;Severity表示攻击的威胁严重度,即,攻击对目标系统造成的影响.

定义2(警报验证(alert verification)). 警报验证是指将警报相关的信息和目标系统有关的配置信息进行匹配,以此来判定警报所代表的安全事件发生的概率.其中,

·警报的相关信息是指警报的属性,如警报的名称Name,警报的产生时间Time,警报的源IP、目的IP,源端口,目的端口及警报的类型等属性;

·目标系统的配置信息是指可对警报的分析提供辅助作用的所有目标网络信息,主要包括网络状态信息(stateinfo)和网络的脆弱性信息(vulninfo).

网络状态信息侧重描述网络中主机的信息,如主机类型、操作系统类型及版本、IP 地址、开放端口类型、提供服务类型等信息,可表示为

StateInfo={IP,Hostname,Role,State,OpenPort,PortState,Service,Ostype},

其中,IP表示系统状态监测信息所在主机IP地址;Hostname表示主机名称;Role表示主机的角色,如router, switch,Webserver,database等;State表示主机的状态,分为Active和Inactive;Openport表示主机上开放的端口; PortState表示主机上开放端口的状态;Service表示主机上运行的服务;Ostype表示主机上运行的操作系统.

网络的脆弱性信息描述系统中存在的各种安全漏洞及漏洞的相关信息,表示为

VulnInfo={CVE-ID,IP,Port,Severity,Risk,Description},

其中,CVE-ID表示漏洞的cve编号,IP表示发现该漏洞的主机IP地址,Port表示漏洞所针对的主机端口号, Severity表示该漏洞信息的严重程度,Risk表示漏洞安全风险级别的高低,Description表示漏洞的详细描述信息.

定义3(环境属性相关度(contextual relevancy)).环境属性相关度是指警报的相关信息与目标系统对应配置信息的匹配程度.匹配程度越高,相关性越强,引发警报的安全事件发生的可能性越高.

定义4(资产价值(asset)). 资产价值是资产重要程度的表征.资产是指网络中有价值的信息或资源.资产的价值越高,资产对于网络安全性的影响越重要.

2 网络威胁态势量化评估方法

网络威胁态势不仅与网络受到的外部威胁有关,还与网络本身存在的脆弱性以及安全事件所针对的目标资产价值有关.基于外部威胁、内部脆弱性及资产价值这3个因素,威胁态势的评估流程如图 1所示.

Fig.1 Diagram of network threat assessment 图 1 网络威胁态势评估原理图

根据网络威胁态势评估原理图,本文提出了网络威胁态势量化评估方法.该算法首先通过分析警报与环境属性的相关度来评估引发警报的安全事件发生的可能性;然后,根据安全事件的风险级别及所针对的目标资产价值分析安全事件发生后所造成的损失;最后,基于安全事件发生的可能性及发生后造成的损失量化评估网络的威胁态势.

2.1 安全事件发生的可能性

网络安全防护设备通常会产生海量的警报信息,但其中很大一部分恶意行为并没有发生,说明很多警报是与恶意行为无关的虚假警报或者是代表一个不成功事件的不相关警报[7].为了有效滤除虚假和不相关警报,更加准确地判定安全事件发生的可能性,本文提出了一种基于环境属性的入侵警报验证算法.该算法将警报相关的信息和目标网络的配置信息进行匹配,根据匹配程度判定引发警报的安全事件发生的可能性[8].

目前,大部分的警报验证方法主要是将安全事件所针对的漏洞与目标网络存在的漏洞相比较,确定警报与目标网络的相关性[9, 10].即:警报验证方法只考虑了警报与目标网络漏洞的匹配,并没有考虑警报与其他环境信息的匹配,如操作系统、应用服务系统、安全配置等,在实际应用中存在一些局限性,主要有以下原因:(1)存在漏洞并不代表安全事件一定发生,警报可能为虚假或者不相关警报;(2) 不是所有安全事件一定需要针对特定的漏洞才可以进行,如DoS攻击和Probing攻击就不需要目标网络存在明显的漏洞.因此,单纯依赖漏洞信息验证警报是不充分的.

基于环境属性的入侵警报验证算法解决了上述问题,它利用操作系统、应用服务、攻击漏洞、安全配置等多种目标网络环境信息进行警报验证,确定警报与目标网络的相关性,即,引发警报的安全事件发生的可能性.警报与目标网络环境信息匹配程度越高,表明警报与目标网络的相关性越强,引发警报的安全事件发生的可能性越高.将警报与目标网络的环境属性相关度,即,安全事件发生的可能性P定义为

$P = {\varpi _1}{R_{OS}} + {\varpi _2}{R_{Service}} + {\varpi _3}{R_{Vulnerability}} + {\varpi _4}{R_{Configuration}}$ (1)

(1) ROS表示警报与目标网络操作系统之间的相关度,操作系统为间接相关环境属性,相关度越高,安全事件发生的可能性越高;将操作系统与警报的相关度隶属函数定义为

${R_{OS}} = \left\{ {\begin{array}{*{20}{l}} {1.0(A.DIP \in StateInfo.IP) \cap (StateInfo.state = Active) \cap (A.Description(OS) \subseteq StateInfo.Ostype)}\\ {0.5(A.DIP \in StateInfo.IP) \cap (StateInfo.state = Active) \cap (A.Description(OS) = unknown)}\\ {0(A.DIP \notin StateInfo.IP) \cup (StateInfo.state = Inactive) \cup (A.Description(OS) \notin StateInfo.Ostype)} \end{array}} \right.$

(2) RService表示警报与目标网络应用服务之间的相关度,应用服务为间接相关环境属性,相关度越高,安全事件发生的可能性越高;将应用服务与警报的相关度隶属函数定义为

${R_{Service}} = \left\{ {\begin{array}{*{20}{l}} \begin{array}{l} 1.0(A.DIP \in StateInfo.IP) \cap (StateInfo.State = Active) \cap \\ {\rm{ }}(A.DP \in StateInfo.OpenPort \cap (StateInfo.PortState = open) \end{array}\\ \begin{array}{l} 0.8(A.DIP \in StateInfo.IP) \cap (StateInfo.State = Active) \cap \\ {\rm{ }}(A.DP \in StateInfo.Open) \cap (StateInfo.PortState = unknown) \end{array}\\ {0.6(A.DIP \in StateInfo.IP) \cap (StateInfo.State = Active)) \cap (StateInfo.PortState = unknown)}\\ {0.3(A.DIP \in StateInfo.IP) \cap (StateInfo.State = Active) \cap (A.DP = unknown)}\\ {0(A.DIP \notin StateInfo.IP) \cap (StateInfo.State = Inactive) \cap (A.DP \notin StateInfo.Open)} \end{array}} \right.$

(3) RVulnerability表示警报与目标网络漏洞信息之间的相关度,漏洞信息为直接相关环境属性,匹配度越高,安全事件发生的可能性越高;将漏洞信息与警报的相关度隶属函数定义为

${R_{Vulnerability}} = \left\{ {\begin{array}{*{20}{l}} {1.0(A.DIP \in VulnInfo.IP) \cap (A.Description(cve{\rm{ - }}id) \in VulnInfo.CVE{\rm{ - }}ID)}\\ {0.5(A.Description(cve{\rm{ - }}id) = unknown)}\\ {0(A.DIP \notin VulnInfo.IP) \cup (A.Description \notin VulnInfo.CVE{\rm{ - }}ID)} \end{array}} \right.$

(4) RConfiguration表示警报与目标网络安全配置信息之间的相关度,安全配置相关性则表现为对相关攻击的抑制或过滤防护作用,若其相关度越高,则安全事件发生的可能性越低.将安全配置信息与警报的相关度隶属函数定义为

${R_{Configuration}} = \left\{ {\begin{array}{*{20}{l}} {1.0(StateInfo.Role \notin Securitymisc)}\\ {0.5(StateInfo.Role = unkown)}\\ {0(StateInfo.Role \in Securitymisc)} \end{array}} \right.$

(5) W=[w1,w2,w3,w4]T为归一化权向量,表示各环境属性对安全事件发生的影响程度.本文采用优序图法确定权向量W.优序图通过两两比较,分析各属性的重要程度.为了保证权向量的可靠性,本文对网络安全领域的50名专业人员进行了调查,针对每位专业人员的调查结果可构造如表 1所示的优序图.将50张优序图中相应格的数字相加,汇总于表 2.表 2中,第ij列的数字与第ji列数字互补,互补值为参加调查的人数50,表明该优序图满足互补检验.把各行的数字横向相加,然后分别与总数T相除就可以得到各指标的权重值,其中, T=n(n-1)m/2=4(4-1)50/2=300.由表 2可计算得到权向量W=[0.11,0.23,0.28,0.38].

Table 1 Precedencechart of one interviewee表 1 一名调查人员的优序图

Table 2 Precedence chart of all interviewees表 2 所有调查人员的优序图汇总

(6) 安全事件发生的可能性P∈[0,1],其取值越大,表示安全事件发生的可能性越大.

2.2 安全事件发生后造成的损失

不同的安全事件对网络造成的损失是不同的.例如,在Internet上非常普及的端口扫描行为,除了增加网络负荷外,并不会危及网络的安全性,表明探测类的安全事件的风险级别较低,该类安全事件造成的损失较小.而获得系统权限的攻击行为,利用系统级的漏洞造成缓冲区溢出,会完全攻陷网络系统,这表明获得系统权限类的安全事件的风险级别较高,该类安全事件会造成重大损失.

目前,对于安全事件造成的损失一般采用如下两种方式分析:

·其一,通过与IDS的警报分级机制相结合量化评估安全事件造成的损失.

如,Snort依安全事件对系统的影响程度将警报的优先级Priority分为高、中、低3级:Priority为高,表示安全事件会造成严重的损失,如尝试获取管理员权限的攻击(attemptedadministrator privilege gain)、木马和网络应用程序攻击等;Priority为中,表示安全事件造成的损失为中等,如DoS攻击、异常连接、可疑用户登录等;Priority为低,表示安全事件会造成轻微的损失,包括网络扫描、ICMP 活动和一些普通协议命令的执行等.这种方法从安全事件的性质上来确定安全事件造成的损失,但安全事件只有高、中、低3个级别,对损失的量化不够精确.

·其二,依据安全事件所针对的安全漏洞的风险级别量化评估安全事件造成的损失.

通用漏洞评分系统CVSS(common vulnerability scoring system)是最著名和通用的方法,它已成为漏洞风险量化评估的标准.该方法基于安全事件所针对的安全漏洞的风险级别表征安全事件造成的损失,但是该方法存在一个局限性:对于不需要漏洞直接进行的攻击,无法量化安全事件造成的损失.

为解决不针对任何漏洞的安全事件的风险级别量化问题,本文对于不针对任何漏洞的安全事件,采用安全事件所属类别的风险值表征安全事件的风险级别,并结合安全事件针对的资产价值asset量化评估安全事件造成的损失,定义安全事件造成的损失L

L=severityxasset (2)

(1) Severity表示安全事件的风险级别:若安全事件是针对某个漏洞的,则采用相应的安全漏洞风险级别表征安全事件的风险级别;若安全事件不是针对某个漏洞的,则采用安全事件所属类别classification的风险值表征安全事件的风险级别.为了实现安全事件到其所属类别的映射,本文根据IDS的规则库构建了一个映射数据库.当采集到安全事件引发的警报信息时,通过查阅映射数据库,可直接将安全事件映射到其相应的类别.安全事件所属类别的风险值由该类别中所有可利用漏洞风险级别的平均值表征.依据通用漏洞评分系统CVSS的评分标准[11],Severity∈[0, 10],取值越大,表示安全事件的风险级别越高.

(2) Asset表示安全事件所针对的资产价值.保密性、完整性和可用性是评估资产价值的3个安全属性.风险评估中,资产的价值不是以资产的经济价值来衡量的,而是由资产在这3个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的.不同的安全属性达成程度使得资产具有不同的价值,而资产面临的威胁、存在的脆弱性以及已采用的安全措施都将对资产安全属性的达成程度产生影响.根据资产在安全属性上的不同要求,将每个安全属性分为5个不同的等级,分别用1,2,3,4,5表示[12],对应资产在该属性缺失时对整个网络安全性的影响.

3个安全属性对资产价值的影响并不是呈线性增加的,而是随着取值的增加,影响逐渐增强;且取值越高,对资产价值的影响越大.为了量化分析安全属性对资产价值的影响,本文采用常用的3种函数——线性函数、指数函数和对数函数分别对3种安全属性值的125种组合方式生成的资产价值进行了分析,其中,部分资产价值的分布趋势如图 2所示.

Fig.2 Impact ofsecurity attributes for asset value 图 2 安全属性取值对资产价值的影响

图 2中的4个子图分别表示当属性1,2取值确定时,随着属性3的变化,资产价值的变化趋势.图 2表明:3种函数都可以刻画随着安全属性取值的增加对资产价值的影响逐渐增大的特点;但是对于取值越高对资产价值影响越大的特点,只有对数函数的效果最佳.因此,本文采用对数函数量化安全属性对资产价值的影响,将资产价值asset确定为

$asset = Round2\left( {{{\log }_2}\left( {\frac{{{w_1}{2^{Conf}} + {w_2}{2^{Int}} + {w_3}{2^{avail}}}}{3}} \right)} \right)$ (3)
其中,Conf,Int,Avail分别表示资产在保密性、完整性和可用性上的安全等级,等级越高,表示该属性的缺失对网络安全性的影响越大;Log2(×)表示取以2为底的对数;Round2(×)表示保留两位小数.

另外,由于网络对3种安全属性的需求有所不同,因此在计算资产价值时,本文引入了不同的权值W=[w1,w2, w3],分别表示3种安全属性对资产价值的影响程度.根据文献[13]的调查,对于一般的应用网络,85%的被调查者认为可用性是最重要的,62%的被调查者认为完整性是3个属性中对资产价值影响最小的因子.采用层次分析法分析3个属性对资产价值的影响,求解得到W=[0.26,0.1,0.64].

asset[1, 5],取值越大,表示资产越重要,资产的安全属性被破坏后对网络造成的损失越严重.

(3) 安全事件造成的损失L∈[0, 50],取值越大,表示安全事件造成的损失越严重.

2.3 网络威胁态势的量化评估

根据计算出的安全事件发生的可能性P及安全事件造成的损失L,量化评估网络的威胁态势值R[14, 15].

$R = \frac{1}{n}\sum\limits_{i = 1}^n {P[i] \times L[i]} $ (4)

其中,n表示在采样周期内采集到的警报数目;R∈[0, 50]表示网络的威胁态势值,值越大,表示网络受到的威胁越强,网络的安全性越低.

3 实验分析

为了描述算法融合数据的能力及算法对网络威胁态势值的调整作用,本文提出两个指标——数据约简率和误差修正值.

(1) 数据约简率(data reduction ratio,简称DRR).

$DRR = \frac{{No.\;of\;validation\;alerts}}{{Total\;No.\;of\;alerts}} \times 100\% $ (5)

DRR衡量原始警报的约简数目占所有已监测警报的比值,DRR的值越小,表明算法的数据融合能力越强.

(2) 误差修正值(error correction value,简称ECV).

ECV=|Ra-Rb| (6)

误差修正值ECV用于描述对系统误差进行补偿的程度,在一定意义上表示误差减少的程度.ECV的值越大,表明对系统的修正程度越高,修正方法的效果越明显.当然,由于系统误差不能完全获知,修正之后,系统误差会比修正之前减小,但不可能为0,即,修正值只能对系统误差进行有限程度的补偿.

其中,Ra表示与环境属性相关之后,根据本文算法计算所得的网络威胁值;Rb表示未与环境属性相关之前所得到的风险值,同样由安全事件发生的可能性和造成的损失决定.但是,安全事件的可能性只考虑警报与漏洞信息的匹配程度,未结合其他环境属性,即,P=RVulnerbility;安全事件造成的损失由安全事件所针对的漏洞优先级决定,未结合安全事件的分类及所针对的资产价值,即,L=Severity.

3.1 实验1

据我们所知,目前还没有任何公开测试数据集评估网络的威胁态势.为了验证本文算法的有效性,我们构造了一个实验网络.实验网络的拓扑图如图 3所示,其中,入侵检测系统Snort[16]用于监测攻击,产生警报信息, OpenVAS[17]和Nmap[18]采集网络系统中的环境信息.

Fig.3 Topology of test network 图 3 实验网络的拓扑结构图

网络中关键设备的环境信息和主要的资产信息分别见表 3表 4.

Table 3 Contextualinformation of critical device in test network表 3 实验网络中关键设备的环境信息

Table 4 Assetin test network表 4 网络中主要的资产信息

实验网络采集从2013年3月18日13:30~3月22日13:30的数据作为测试数据.数据被汇入数据库作为威胁态势评估的数据源.其中,模拟攻击的详细信息如下:

·攻击场景1:模拟扫描攻击,2013年3月19日从9:30~10:05,主机Attacker 192.168.158.5使用Nmap, X-Scanner,ISS对子网192.168.158.0/24执行SYN扫描、FIN扫描和UDP扫描;

·攻击场景2:模拟DoS攻击,2013年3月20日从11:30~12:10,主机Attacker 192.168.158.5对主机Victim192.168.158.9发起SYN flood攻击.

下面将基于上述攻击场景产生的IDS报警日志以及网络的环境和资产信息,采用本文提出的算法分析网络威胁态势值的变化趋势.首先分析警报验证机制的数据融合能力,设定采样周期Dt为5min,分别从正常的网络流量、攻击场景1和攻击场景2提取两个采样周期的数据分析算法的数据融合能力,结果见表 5.

Table 5 DRRof alert verification algorithm表 5 警报验证算法的数据约简率

结果表明,警报验证机制具有数据融合能力.通过约简警报数目,使得管理员可以从海量警报信息中提取出具有代表性的警报信息,专注于真正的攻击行为.另外,结果还表明:正常网络流量时,DRR的近似值为25%;而在攻击情景1和情景2时,DRR的近似值为15%.表明,当具有攻击行为时,警报验证机制具有更好的融合能力.同样采用上述6个采样周期的数据,分析算法对于误差修正值的影响,结果见表 6,其相应的柱状图如图 4所示.

Table 6 ECV of network threat assessmentalgorithm表 6 网络威胁态势评估算法的误差修正值

Fig.4 Distribution of ECV 图 4 误差修正值的分布图

图 4表明:在正常网络流量时,即,在采样周期1和周期2期间,二者的相差幅度比较小,在2.5之下;而在网络具有攻击行为时,即,在采样周期3~周期6,相对于Rb,Ra增加的幅度更为明显,这表明,Ra对于攻击行为的刻画更加准确.图 4说明,采用警报验证机制和资产价值后所得到的网络威胁态势值Ra比之前的态势值Rb能够更加准确地描述网络安全状态的变化趋势.

最后计算在所有采样周期内的网络威胁态势值RaRb,结果如图 5所示.

Fig.5 Trend of network threat value 图 5 网络威胁态势值的变化趋势

图 5(a)表明:RaRb具有一致的网络安全态势变化趋势,即,在1 200min时都出现了小幅的波峰,说明在这一时段网络的安全状态发生了变化,出现了某种威胁,而模拟的扫描攻击正好发生在这个时段;在2 760min时, RaRb的值都出现了一个骤升的过程,说明在该时段网络安全状态急速恶化.根据模拟攻击场景的描述,在这个时间段,DoS攻击正在进行.图 5(b)表明:相对于Rb,Ra能够更加明显地表征网络中的攻击行为.如图 5(b)所示,在2 760min时,Rb的值从正常的19.35骤升至31,而Ra的值则由17骤升至36,具有更加明显的变化幅度.上述分析表明,本文提出的算法可以更加准确地反映网络安全态势的变化趋势.

3.2 实验2

为了对比分析算法的有效性,采用与文献[6]相同的数据集作为实验数据,即,采用Honeynet组织采集的2000年11月份的黑客攻击数据作为数据源,量化评估网络威胁态势的变化趋势.

Honeynet组织的拓扑结构图如图 6所示.

Fig.6 Topology of Honeynet collecthacking data 图 6 Honeynet采集黑客攻击数据的拓扑结构图

Honeynet组织构建的蜜网作为一种安全资源,其价值在于被扫描、攻击和攻陷,所以假设蜜网中攻击行为对应的端口是开放的;攻击对应的漏洞是存在的.基于上述两点假设,结合警报信息构建蜜网中关键设备的环境信息和资产信息,见表 7.

Table 7 Informationof critical device and asset in Honeynet表 7 Honeynet中的关键设备信息和资产信息

由于Honeynet提供的警报数据已经过初步处理,因此实验中不再分析数据约简率.另外,层次分析法和环境属性法采用的是完全不同的算法,所以实验中也不对误差修正值进行分析.设定采样周期Dt为1天,基于Honeynet提供的警报信息和构建的网络环境和资产信息,利用第2节介绍的算法量化评估网络的威胁态势值,得到的实验结果如图 7所示.

Fig.7 Trend of network threat value 图 7 网络威胁态势值的变化趋势

上述实验结果表明:

(1)11月2日,只产生了针对WWW服务的CGI phf attempt警报信息,环境属性法生成的威胁态势值为28.2,而层次分析法的威胁态势值近似为0.这主要是由于环境属性法对于11月2日产生的CGI phf attempt警报信息,根据警报相应的漏洞信息CVE-1999-0607及资产信息172.16.1.107量化分析网络的威胁态势值;而层次分析法将CGIphf attempt警报信息相应的WWW服务的权重值设置为0.083,相对于rpc和ftp服务0.25的权重值,WWW服务对于网络威胁态势值的影响极小,所以出现了威胁态势值近似为0的情况;

(2)11月5日、9日、13日、14日以及24日、28日和29日,环境属性法生成的威胁态势值为10.14,而层次分析法生成的威胁态势值为0.环境属性法对于黑客采集信息过程中产生的portscan警报信息,会根据引发警报的安全事件的风险级别及所针对的资产价值定量分析网络的威胁态势值;而层次分析法依据服务判定网络的威胁态势值,portscan警报没有针对本文设定的rpc和ftp服务,所以层次分析法自动过滤了portscan警报信息表示的潜在威胁;

(3)11月4日、7日、11日以及21日,相对于环境属性法,层次分析法生成的威胁态势值变化幅度更加明显.上述采样周期内产生的警报信息主要是针对主机172.16.1.107的rpc和ftp服务的,层次分析法对rpc和ftp服务设置了0.25的较高权重值,而且对主机172.16.1.107设置了40.5的主机重要程度,所以层次分析法生成的风险值变化幅度更加明显.

上述分析表明:层次分析法对于已知的针对特定服务和目的主机的网络威胁进行量化评估,具有更高的准确性;而环境属性法对于未知的针对不确定服务和目的主机的网络威胁进行量化评估,准确性更高.

3.3 讨 论

完备的网络环境属性信息的获取是保证该方法有效性的关键,而衡量网络环境属性信息完备性的重要标准就是获取的网络环境属性信息是否能够准确反映网络安全态势的变化趋势.已知系统的脆弱性、外部威胁以及系统的资产价值这3个基本要素决定网络安全态势的变化趋势[12],且其相互之间的关系如图 8所示.

Fig.8 Basicelements of the network security situation assessment 图 8 评估网络安全态势的基本要素

基于网络安全态势评估的3个基本要素,本文对网络环境属性信息的获取主要从以下3个层面进行:

·网络自身的脆弱性,它是造成系统被攻破的根本原因(内因).本文获取的Vulnerability,OS,Service,Configuration可从不同的角度描述系统自身的脆弱性;

·外部威胁,它是造成系统被攻破的必要原因(外因).本文获取的Alert可用于描述系统的外部威胁;

·系统资产价值,资产价值的重要程度是确定系统出现安全事故后可能造成的影响大小的必要指标.本文对资产价值的量化可准确衡量资产的重要程度.

上述分析表明:本文获取的网络环境属性信息涵盖了网络安全态势评估的各个方面,可提供完备的网络态势评估信息.

4 小 结

本文提出了一种基于环境属性的网络威胁态势量化评估方法,该方法首先结合目标网络的环境信息对警报进行验证,判定引发警报的安全事件发生的可能性;然后,基于安全事件的风险级别及所针对的目标资产价值分析安全事件发生后造成的损失,进而量化评估网络的威胁态势值.实例分析表明:该方法可以准确地反映网络威胁态势的变化趋势.但该方法还存在一些局限性,例如,本文对资产安全属性的赋值主要是基于网络资产的分类,但是资产分类中存在不全面或者相交的问题,导致资产价值的量化存在不确定性.另外,该方法对于安全事件的分类主要是基于映射数据库,而数据库的构建存在一定的主观性,限制了方法的应用.因此,下一步工作主要集中在这两个方向上.

参考文献
[1] PengN, Cui Y, Reeves DS. Constructing attack scenarios through correlation ofintrusion alerts. In: Proc. of the 9th ACM Conf. on Computer and CommunicationsSecurity. ACM Press, 2002. 245-254. http://dl.acm.org/citation.cfm?doid=586110.586144
[2] PengN, Xu D, Healey CG, St. Amant R. Building attack scenarios through integrationof complementary alert correlation methods. In: Proc. of the 11th AnnualNetwork and Distributed System Security Symp. 2004. http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.60.4412
[3] MohamedAB, Idris NB, Shanmugum B. Alert correlation framework using a novel clusteringapproach. In: Proc. of the 2012 Int’l Conf. on Computer & InformationScience (ICCIS). IEEE, 2012. 403-408. http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=6297279&tag=1
[4] BateniM, Baraani A, Ghorbani A. Using artificial immune system and fuzzy logic foralert correlation. Int’l Journal in Network Security, 2013,15(3):190-204.
[5] LiWM, Lei J, Dong J, Li ZT. An optimized method for real time network securityquantification. Chinese Journal of Computers, 2009,32(4):793-804 (in Chinesewith English abstract) .
[6] ChenXZ, Zheng QH, Guan XH, Lin CG. Quantitative hierarchical threat evaluationmodel for network security. Ruan Jian Xue Bao/Journal of Software,2006,17(4):885-897 (in Chinese with English abstract). http://www.jos.org.cn/1000-9825/17/885.htm
[7] TianZH, Wang BL, Zhang WZ, Ye JW, Zhang HL. Network intrusion detection methodbased on context verification. Journal of Computer Research and Development,2013,50(3):498-508 (in Chinese with English abstract).
[8] KruegelC, Robertson W. Alert verificationdetermining the success of intrusion attempts. In: Proc. of the 1st Workshopthe Detection of Intrusions and Malware and Vulnerability Assessment (DIMVA2004). 2004. 25-38. https://eldorado.tu-dortmund.de/handle/2003/22772
[9] GulaR. Correlating IDS alerts with vulnerability information. Technical Report,Tenable Network Security, 2011. https://www.tenable.com/sites/drupal.dmz.tenablesecurity.com/files/uploads/documents/whitepapers/va-ids-new.pdf
[10] Desai N. IDS correlation of VA data and IDS alerts. 2003. http://www.securityfocus.com/infocus/1708
[11] Mell P, Scarfone K, Romanosky S. Common vulnerability scoring system.IEEE Security & Privacy Magazine, 2006,4(6):85-89 .
[12] GB/T 20984-200, Information Security Technology—Risk Assessment Specificationfor Information Security. GB, 2007 (in Chinese).
[13] Fruhwirth C, Mannisto T. Improving CVSS-based vulnerabilityprioritization and response with context information. In: Proc. of the 2009 3rdInt’l Symp. on Empirical Software Engineering and Measurement. IEEE ComputerSociety, 2009.535-544 .
[14] Standards Australia and Standards. AS/NZS 4360: 2004 risk management.2004.
[15] Xi RR, Yun XC, Jin SY, Zhang YZ. Network threat assessment based onalert verification. In: Proc. of the 12th Int’l Conf. on Parallel and DistributedComputing, Applications and Technologies (PDCAT). IEEE, 2011.30-34 .
[16] Snort—Theopen source network intrusion detection system. 2013. http://www.snort.org
[17] OpenVAS—Openvulnerability assessment approach. 2013. http://www.openvas.org/
[18] Nmap—Freesecurity scanner for network. 2013. http://nmap.org/
[5] 李伟明,雷杰,董静,李之棠.一种优化的实时网络安全风险量化方法.计算机学报,2009,32(4):793-804 .
[6] 陈秀真,郑庆华,管晓宏,林晨光.层次化网络安全威胁态势量化评估方法.软件学报,2006,17(4):885-897. http://www.jos.org.cn/1000-9825/17/885.htm
[7] 田志宏,王佰玲,张伟哲,叶建伟,张宏莉.上下文验证的网络入侵检测模型.计算机研究与发展,2013,50(3):498-508.
[12] GB/T 20984-2007,信息安全技术信息系统的风险评估规范.中华人民共和国国家标准,2007.