复杂网络安全事件的知识表示和关联分析方法.pdf

收稿日期: 2007207218 基金项目:国家自然科学基金项目(70761003)资助. 作者简介:刘 炜,男, 1971年生,博士,讲师,研究方向为知 识管理、 系统工程. 复杂网络安全事件的知识表示和关联分析方法 刘 炜 (江西财经大学 信息管理学院,江西 南昌330013) E2mail: lw0519126. com 摘 要:针对复杂网络安全事件信息的模糊性和不确定性的推理问题,提出采用一种加权模糊Petri网的安全事件知识表示和 关联分析的方法.将Petri网和加权模糊产生式方法结合起来,通过引入网络安全事件征兆权值的概念,用权值大小来描述多个 安全事件征兆对安全事件发生的贡献程度.在一定程度上有效地解决网络安全事件之间的复杂因果关系推理及不确定知识的 表示问题. 关 键 词:安全事件;知识表示;加权模糊Petri网 中图分类号: TP393 文献标识码 :A 文 章 编 号: 100021220(2008)1222218206 Knowledge Representation and Correlation Analysis of the Security Incidents in a Complex Network Environment L I U W ei (S chool ofInf orm ation M anagem ent,J iangx i U niversity of F inance know ledge representation; the weighted fuzzy petri net 1 引 言 复杂网络环境下,网络安全事件的传播是一个典型的动 态过程,是一个不断获取信息的试探过程,为了达到目的,事 件的发起者需要采取很多步骤,经历很长一段时间,而且不论 从时间维还是空间维,任何一个安全事件行为都不是简单孤 立的,每个行为之间有着错综复杂的关系,每个安全事件的发 生也都有着显性的或隐性的迹象.因此,通过对网络安全事件 间的关联分析,可以确定安全事件发生的可能性,并寻找出安 全事件发生的原因和过程,对网络安全事件的跟踪防御、 系统 脆弱性的完善以及最终安全态势的有效估计有着重要的作 用. 目前,网络安全事件关联的分析方法有许多种.文献1 提出基于状态转移图的关联分析方法,利用高层状态转移图 来表示和分析已知的安全事件入侵模式.这种技术首先在 STA T系统2中研究实现;美国普渡大学的I D I OT入侵分析 系统利用CPN的变种来表示和检测安全事件的入侵模 式3, 4,入侵事件行为用CPN表示,整个特征匹配过程由标记 的动作完成;文献5, 6利用攻击树对攻击意图建模,预测攻 击者可能的后续攻击;文献6提出了攻击图模型,在安全事 件关联分析中综合考虑了网络拓扑信息;文献7采用图论的 模型分析方法,将复杂系统的多点脆弱性转换为安全事件的 入侵关系图. 以上文献方法各有优缺点和针对性,但大多数只描述系 统事件的静态结构和静态行为,没有考虑到各子系统间执行、 交互以及时序等动态行为因素.特别是大规模复杂网络系统 具有联结形式多样性、 终端分布不均匀性、 网络开放性及涌现 性等高度动态性的特征,使得网络系统中的单一主机或子域 的安全事件可能只是更大范围安全事件的一部分或一个环 节.如,分布式拒绝服务,就会在跨越多个系统,从多个源地址 来实现对系统攻击.因此,网络系统结构的复杂性导致了网络 安全事件特征信息的模糊性和不确定性,使得传统安全事件 关联模型方法并没有取得很好的结果. 本文针对网络安全事件传播的特性以及网络安全事件信 息的模糊性和不确定性的推理问题,提出采用一种加权模糊 Petri网的安全事件知识表示和安全事件关联分析的方法.该 方法将模糊Petri网和模糊产生式结合起来,解决了安全事件 关联的层次性问题,事件信息保留问题以及模糊知识表示和 推理问题,并通过引入网络安全事件征兆权值的概念,用权值 大小来描述多个安全事件征兆对安全事件发生的贡献程度. 该方法在一定程度上能够有效地解决网络安全态势估计中安 全事件之间的复杂因果关系及不确定知识的表示和推理问 小型微型计算机系统 Journal of Chinese Computer System s 2008年12月 第12期 Vol129 No. 122008 题. 2 基于加权模糊Petri网的模型方法 复杂网络安全事件的关联分析是通过基于知识的判断推 理来实现的,因此,安全事件知识的表达、 推理、 搜索就成了决 策分析的关键.在传统知识工程中,典型的知识表示方法有语 义网络、 产生式规则、 框架式表示、 谓词逻辑、Petri网模型等, 每种方法都有各自的优缺点和适用领域.从抽象的、 整体的观 点来看,复杂网络安全事件的知识表示可以分为浅层知识表 示与深层知识表示两种.浅层知识又叫启发性知识或经验知 识,是领域专家在长期工作中获得的,具有表达直观、 形式统 一、 模块性强、 推理速度快等优点.然而,由于网络安全事件的 复杂性,所以很难完整、 精确地表示网络安全事件知识,许多 安全事件的产生和估计也是没有经验可循的.深层知识是指 描述系统对象内部结构、 功能以及内在联系等更深一层次的 知识(系统模型、 原理知识 ), 它表达了估计对象的内在规律. 深层知识获取方便且维护简单,易于保证知识库的一致性和 完备性,它的缺点主要是搜索空间过大而造成推理速度变 慢. 网络安全事件的关联分析过程并不是孤立地、 简单地使 用深层知识或浅层知识,而是应该将两者有机结合并相互补 充的.只有将这两种知识表示方法结合起来,才能有效提高对 安全事件分析判断的准确性和效率.加权模糊Petri网模型方 法是在模糊产生式基础上,引入网络安全事件征兆的权重,从 而解决网络安全事件征兆对激发安全事件影响度差异的标识 问题,并结合Petri网的强大建模功能实现对不确定事件命题 的知识表示和推理. 2. 1 加权模糊产生式规则 在传统的基于模糊规则的安全事件检测方法1, 8中,规则 的前提部分用于表示安全事件的征兆,而结论部分用于表示 安全事件发生的类型,置信度表示安全事件在某个事件征兆 下发生的可能性度量.在实际的推论过程中,当安全事件征兆 的置信度大于事先设定的阈值,那么安全事件就被激活.而事 实上,当同一安全事件对应着多种安全事件征兆,不同的安全 事件征兆对激发安全事件的贡献程度是不一样的.研究表明, 人类在进行推理时,首先根据一、 二个主要特征或征兆,得出 初步结论,然后由此出发针对性地寻找其他旁证.因此,在网 络安全事件关联分析过程中,网络安全事件的主要征兆为规 则前提的主要证据,对规则的推理有重要作用.辅助征兆,对 网络安全事件的确定起有限的支持作. 若一个加权模糊产生式规则集合R= R1,R2,Rn,第i 个加权模糊产生式规则的常见形式为:Ri:IF a T hen c(CF= ), ,w其中: (1)a= a1,a2,an为包含模糊变量的前提命题,由一 个或多个由AND或OR连接在一起,通常表示网络安全 事件的征兆.如普通用户短时间的多次登录失败等; (2)c为结论命题,用于表示发生的安全事件.如拒绝服 务等,所有安全事件就构成了网络安全态势空间; (3)为规则的置信度; (4)为规则中的阈值; (5)w= w1,w2,wn为前提命题的权值系数. 通常加权模糊产生式规则中有几个前提命题,就有多少个权 值系数.对于AND连接的前提命题,其权值系数一般要求 为: 0wi1且 i= 1w i= 1. 2. 2 加权模糊产生式的Petri网模型 Petri网是对离散事件动态系统建模和分析的重要工具, 可以很好地描述安全事件的产生、 传播过程以及相关性.但传 统Petri网对于模糊知识的表示和推理有很大的局限性.加权 模糊Petri网(W eighted Fuzzy PetriN et, W FPN)是传统Petri 网的扩展9. 定义1.加权模糊Petri网定义为一个10元组: W FPN = ( P,T,D,I,O,f,T h,W)其中: (1)P= p1,p2,pn是一个有限的库所集合,表示模 糊变量的命题; (2)T= t1,t2,tn是一个有限的变迁集合; (3)D= d1,d2,dn是一个有限的命题集合; PT=,PT=,P=D (4)I:TP是输入函数,它是变迁到库所的映射; (5)O:PT是输出函数,它是库所到变迁的映射; (6)f:T0, 1是关联函数,它是变迁到0, 1的实数值 的映射,即变迁的置信度; (7):P0, 1是关联函数,它是库所到0, 1的实数值 的映射,即库所的置信度; (8):PD是库所与命题间的映射; (9)T h= 1,2,n为阈值集合; (10)W= w1,w2,wn为权重系数集合; (11)wi:PW每个库所赋予一个权值. W FPN把权系数引入Petri网,以表示输入库所(前提命 题)对变迁(规则推理过程)的重要程度.其中命题的权值系数 越大,则表示它的重要程度越高. 定义2.初始库所集合(Source Place, SP ). 如果pP, 有p= ,则称库所p为初始库所,由初始库所组成的集 合称为初始库所集.也就是说,在W FPN模型中,初始库所是 那些只有引向变迁的流,而没有从变迁引向库所的流的结点, 一般用来表达安全事件发生的原因. 定义3.目标库所集合(Goal Place, GP ). 如果pP,有 p = ,则称库所p为目标库所,由目标库所构成的集合 称为目标库所集.也就是说,在W FPN模型中,目标库所是那 些只有引向库所的流,而没有从库所引向变迁的流的结点,一 般用来表达系统的安全事件状态. 定义4.反向直接可达库所集(R IRP ). 如果某个库所pj经 一次变换t能够到达库所pi,则称pj为pi的反向直接可达库 所,由所有pj构成的库所集合称为pi的反向直接可达库所集 合. R IRP可由一个三列元素组成的表格来描述,第一列为结 论库所,第二列为结论库所的前提库所集合,第三列为结论库 所的某个输入变迁.其中前提库所为对应规则前提部分的库 所,而结论库所为对应规则结论部分的库所. 定义5.相邻库所集合(A P ). 一个库所pj的相邻库所是一 912212期 刘 炜:复杂网络安全事件的知识表示和关联分析方法 系列与pi经同一变迁能立即达到某个库所的库所集合. A P 可由一个三列元素组成的表格来描述,第一列为前提库所,第 二列为前提库所的某个结论库所,第三列为相邻库所集合. 2. 3 加权模糊产生式与模糊Petri网的对应关系 表1显示的是网络安全事件关联分析过程与加权模糊 Petri网之间的对应关系. 表1 网络安全事件分析、 模糊Petri网 和加权模糊产生式的对应关系 Table 1 Correspondence between the processes of security incident analysis and weighted fuzzy Petri net 网络安全 事件分析 加权模糊 Petri网 加权模糊 产生式规则 事件状态、 关联过程变迁规则 事件系统网规则库 系统安全状态库所条件 安全事件征兆标示条件集 安全状态变化变迁的激活规则的适用 输入强度规则权重 模糊性输出权重规则确信度 变迁启动阈值规则适用阈值 根据加权模糊产生式规则和模糊Petri网之间的相互对 应关系,可得出加权模糊Petri网的三种类型表示方法: 类型1.简单规则 R:IF djT hen dk(CF= ), ,w 在这种类型规则中,由于前提中只有一个命题,所以dj 的权系数w是没有意义的,一般把它设为常数1.对于结论命 题dk的置信度算法,当前提命题dj的置信度大于规则的可用 阈值时,也就是CF(dj ) ,规则可以激活,得到结论命题的 置信度为 CF(dk )= CF(dj). 该类型的模糊Petri网表示以及触发规则,如图1所示. 图1 简单规则的加权模糊Petri网结构 Fig. 1 The weighted fuzzy petri net for si mple rule 类型2.复合与连接规则 R:IF diand d2andand dn, then dk(cf= ), ,w1,w2,wn 该规则的前提有多个命题,每一个前提命题对结论具有 不同的重要程度,它由加权因子wi来表达,如果命题对结论 成立的重要性较高,则应使wi具有较大的权值;如果一个前 提命题具有较大的独立性,而其他前提命题对它有依赖关系, 则应使这个前提命题具有较大的权值.权值的获取方式由许 多种,本文中我们采用了由安全领域专家给出的方法,因此带 有一定的主观性. 对于这种类型规则的推理,首先应该求出该规则的组合 命题置信度为: CF(di )= n i= 1w iCF(di) 如果组合命题置信度大于规则的可用阈值时,即CF(dj) ,则该规则激活,得到结论命题的置信度为CF(dk ) = CF (dj). 该类型的模糊Petri网表示以及触发规则,如图2所示. 图2 复合与规则的加权模糊Petri网结构 Fig. 2 The weighted fuzzy Petri net for AND rule 类型3.复合或连接规则 R:IF d1or d2oror dn, then dk(cf= ), 1,2,n,w1,w2,wn 该类型的模糊Petri网表示以及触发规则如图3所示. 图3 复合或规则的加权模糊Petri网结构 Fig. 3 The weighted fuzzy Petri net for OR rule 在网络安全态势估计过程中,虽然不同的安全事件征兆 可以导致同样的安全事件,但由于产生事件的可能程度不一 样,所以可将这种类型规则转换为多个简单规则,并且每一种 规则的置信度可能不一样.对于这种多个规则同时产生一个 结论的情况,可采用以下三种解决方法9211. 设n条规则(d1,d2,dn)的前提条件置信度满足CF (d1,d2,dn)ii= 1, 2,n且都被使用. 首先分别对每一条规则求出结论置信度CFi(h ), 即: CFi(h )= CF(d1,d2,dn)ii= 1, 2,n 然后选择下面三种方法可求出结论的可信度CF(h ): (1)求极大值法.对于n个CFi(h ). CF(h)= max(CF1(h ), CF2(h ), ,CFn(h) (2)加权求和法. CF(h )= 1 n i= 1CF (h,ei) n i= 1CF (h,ei)CF(ei) (3)有限和法. CF(h )= m in ( n i= 1CF i(h), 1) 0222 小 型 微 型 计 算 机 系 统 2008年 2. 4 加权模糊产生式规则的转化算法 假定现有安全事件知识库K= r1,r2,rn,其中ri是加 权模糊产生式规则的三种基本表示形式之一,参照文献92 11的方法,可以得到知识库K转换成W FPN的算法,具体步 骤如下: (1)将知识库K中所有规则的命题转换为W FPN中的库 所集P; (2)在K中任意选取一条规则ri,riK,然后令K=K2 ri; (3)在W FPN中增加变迁结点ti,并将ri的阈值定义为变 迁结点ti的激活阈值; (4)检查库所集P,对所有p,如满足pP且p为规则ri 的前提命题,则在W FPN中增加输入弧(p,ti ), 将命题的权值 表示为输入弧的连接强度; (5)检查库所集P,对所有p,如p满足pP且p为规则 ri的结论命题,则在W FPN中增加输出弧(ti,p ), 规则ri的置 信度CF表示为变迁的置信度; (6)如果K= ,那么转换完成,否则转2. 2. 5 加权模糊Petri网推理机的控制策略 利用W FPN的安全事件关联分析过程中,推理机根据事 件库、 规则库中的己有知识,不断以迭代的方式(把推导出的 结论作为新的事件)对新的事件的置信度进行计算,最后得出 用户所关心问题的答案.整个推理过程可采用不同的控制策 略,常用控制策略有正向推理、 反向推理和双向混合推理三种 策略. 根据网络安全事件的关联特征以及分析评估的需求,我 们采用反向推理算法10, 11.其基本思想是先根据初步决策分 析得出的某种可能的安全事件,然后去核对是否所有的征兆 都相符合.如果与征兆相符合,就证实了确实是这种安全事 件,反之就否定了这种事件.推理算法的具体过程如下: 第1步.建立目标库所集合GP、 初始库所集合SP,反向直 接可达库所集R IRP和相邻库所集合A P.在推理过程中,系统 管理员所需要向系统提供的信息就是初始库所的token值, 所以初始库所集合也称作用户输入集合(U ser Input Set, U IS ); 第2步.从GP中获取元素pi,如果GP= ,则跳到第6 步; 第3步.从R IRP表中寻找pi的符合条件的输入变迁(标 志位B1),如果pi,有多个输入变迁,则按照冲突消解策略选 取规则置信度最大的变迁ti,然后再从R IRP表中获取pi相对 变迁ti的前提库所ai.如果pi没有输入变迁,则算法进行回溯. 第4步.对于pi相对变迁ti的前提库所ai,进行如下计算: (1)如果ai是U IS的元素,则要求用户输入相关信息; (2)如果ai不是U IS中的元素,且没有token,则把ai的结 论库所和ai先后放入堆栈,回到第3步,再获取ai的前提库所 集,迭代; (3)如果ai和它的相邻库所都有token值,或ai有token 值但没有相邻库所,计算变迁ti的输入强度,与阈值相比较判 断ti能否点火.如能够点火,则可计算出ai相对变迁ti结论库 所pi的值.然后从堆栈中删除ai结论库所,如果堆栈为空,则 回到第5步,否则回到第4步.如果变迁不能点火,则按回溯算 法进行后向回退. 回溯算法: (1)首先将ai结论库所pi的输入变迁ti置一个标志(B= 1),表示此变迁在当前事实下不能点火. (2)如果库所ai在堆栈内,则删除ai,然后回到第3步寻 找ai结论库所pi是否有别的输入变迁,如果存在,则继续第3 步操作.否则回到 (1), 循环回溯,如果最后堆栈为空,则说明 该目标库所的事实在当前情况下不会发生. 第5步.给出结论库所pi的推理值,如果用户需要获得其 他结论,则先在目标库所中删除pi,然后回到第2步. 第6步.结束. 3 实施方法 传统的基于规则的安全事件检测方法具有表达直观、 形 式统一、 模块性强、 推理速度快等优点.然而,随着网络安全事 件的复杂性不断增大,基于规则的方法很难完整、 精确地表示 网络安全事件知识,要实现从征兆到事件的关联推理是相当 困难的. 加权模糊Petri网的安全事件知识表示和关联分析的方 法将模糊Petri网和模糊产生式结合起来,并通过引入网络安 全事件征兆权值的概念,用权值大小来描述多个安全事件征 兆对安全事件发生的贡献程度,在一定程度上能够解决网络 安全态势估计中安全事件之间的复杂因果关系及不确定知识 的表示和推理问题.以下通过一个例子来说明加权模糊Petri 网在网络安全态势估计中的具体应用. 若基于规则的安全事件攻击知识库中包含如下规则: 规则1. IF用户具有普通用户的权限(P3,1= 0. 3) AND用户用touch命令创建了一个空文件x(P2,2= 0. 3) AND执行了mail root 1= 0. 60,说明变迁 t1能够被激活.计算出P6的值,即 (P6 )= 1S F(t1)= 0. 90. 87= 0. 783, 然后从堆栈中删除库所P6. (11)由于P6有值且没有相邻库所,则判断变迁t4能否激 活,同理根据式(6. 1)可以算出S F(t4)= 0. 783,由于S F(t4 ) 4,所以变迁t4能够激活.计算P8的值,即 (P8 )= 4S F(t4)= 0. 90. 783= 0. 70, 然后从堆栈中删除库所P8. (12)由于堆栈为空,所以显示当前目标库所P8,即系统 受root权限攻击的置信度为0. 70. 通过以上加权模糊Petri网方法对网络安全事件进行关 联分析可以对安全事件发生的可能性进行进一步的量化估 计,特别是通过该方法可以更形象化,更直观的描述安全事件 征兆与安全事件的因果关系,便于网络安全事件的检测和追 踪. 4 小 结 网络安全事件关联的模型分析是网络安全态势估计的重 要内容.在大规模复杂网络环境下,网络安全事件具有模糊性 和不确定性特征.网络安全态势估计的过程就是通过基于安 全事件知识的判断推理来实现对当前网络安全态势分析估 计,网络安全态势估计系统所具有的解决问题的能力来源于 其所拥有的知识及其对知识的选择和应用策略. 模糊产生式规则的知识表示方法可用来表达两个命题之 2222 小 型 微 型 计 算 机 系 统 2008年 间的模糊关系,方法直观自然,易于理解,便于推理,模块性 好,易于增删修改,既能表示精确的知识也能表示不精确的知 识,是模糊专家系统主要的知识表示方法.但其推理效率不 高,对结构性的知识表示比较困难. Petri网模型方法易于表 达结构性和过程性知识,适合于并行的逻辑推理,但是比较抽 象,不易理解,专业性太强.因此,针对安全事件传播的特点, 结合多种知识表达和推论方法来描述大规模复杂网络中的安 全事件的演变和因果关系是必要的. 在本文中,我们针对网络安全事件传播的特性以及安全 事件不确定性信息表示和推理问题,提出采用加权模糊Petri 网的知识表示和推论方法,来实现基于模型的安全事件的关 联分析.该方法在一定程度上解决了网络安全事件关联的层 次性问题,事件信息保留问题以及模糊知识表示和推理问题. 网络安全事件规则库的建立和更新本身就是极具挑战性 的工作,而基于加权模糊Petri网的模型方法的前提条件就是 要有完备的规则库.因此,对网络安全事件规则库的构建是基 于加权模糊Petri网的模型方法得以广泛使用的关键,这也是 我们今后研究工作的重点. References: 1 Porras P A A. Penetration state transition analysis: a rule based intrusion detection approach C . Proceedings of the Eighth Annual Computer Security Applications Conference, 1992, 2202 229. 2 An extensible stateful intrusion detection system EB?OL . http:? ?www. cs.ucsb. edu? 2kemm?NetSTAT?doc?index. htm l, 2005. 3 Kumar S. Classification and detection of computer intrusions D . Department of Computer Science,Purdue U niversity, 1995. 4 Kumar S, Spafford E H. A pattern2matching model for m isuse intrusion detection C .Proceedings ofthe 17th National Computer Security, Baltimore, MD, 1994, 11221. 5 MooreA , Ellison R, L inger R. A ttack modeling for