（计算机软件与理论专业论文）一种基于人工免疫的网络安全风险检测方法.pdf

一种基于人工免疫的网络安全风险检测方法 专业计算机软件与理论 研究生王益丰指导教师李涛 网络安全风险评估是动态网络安全模型的基础。但目前大多数的网络安全 风险评估方法是静态的评估方法，只能粗略的估计网络长期所处的风险状态， 不能在遭受攻击时实时地检测网络安全风险，因此遇到网络入侵时，不能实时 地调整自己的防御措施，从而最大地降低系统的损失。因此实时的网络安全风 险榆测对动态网络安全的研究具有重要的意义，是当前网络安全的研究热点之 。 依据人体免疫系统抗体浓度的变化与病原体入侵强度的对应关系，本文提 m 了一种基于免疫的网络安全风险检测方法。该方法可以对当前遭受到的攻击 进行分类、实时定量地计算出整个网络以及网络中的主机当前面临的整体安全 风险指标以及某种攻击的安全风险指标等。实验表明该方法是实时网络安全风 险检测的一种有效的新途径。 具体来说，本文的主要贡献有： 分析了实时网络安全风险检测的研究现状； 建立了未成熟免疫细胞的自体耐受、成熟免疫细胞的动态演化、记忆免 疫细胞的动态演化的数学模型： 在人工免疫系统中引入了抗体浓度的概念，并给出了其数学模型。 提出了一种自体动态耐受的方法来解决真实网络环境中自体动态变化 的问题： 提出了一种对网络攻击进行自动分类的方法； 提出了一种基于抗体浓度的网络安全风险的定量计算模型，该模型能够 实时定量地计算整个网络以及网络中的主机面临的整体风险和某种攻 击的风险； 对本文提出的方法进行了实验仿真，并对实验结构进行了分析。 关键词：人工免疫，风险评估，网络入侵检测，动态网络安全 ar e a l t i m em e t h o do f r i s ke v a l u a t i o nb a s e do n a r t i f i c i a li m m u n es y s t e mf o rn e t w o r ks e c u r i t y m a j o rc o m p m e rs o f t w a r e & t h e o r y s t u d e n tw a n g f e n ga d v i s o rl it a o 融s ke v a l u a t i o nf o rn e t w o r ks e c u r i t yi st h eb a s eo fd y n a m i cn e t w o r ks e c u r i t y m o d e l h o w e v e r , t h em e t h o d so fr i s ke v a l u a t i o nf o rn e t w o r ks e c u r i t ya r ea l m o s ts t a t i c ， w h i c hc a no n l ym a k ear o u g he s t i m a t eo ft h es e c u r i t yr i s kt h a tt h en e t w o r kf a c e di n t h ep a s t a n dc a n n o te v a l u a t et h es e c u r i t yr i s ki nr e a lt i m ew h e nt h en e t w o r ki s s u f f e r i n gf r o mt h ea t t a c k s t h e r e f o r e ，w h e nt h es y s t e ms u f f e r sf r o mn e t w o r ki n t r u s i o n ， i tc a n n o ta d j u s ti t sd e f e n s es t r a t e g i e si n r e a lt i m es ot h a ti t sl o s s e sa r ed e c r e a s e dt o m i n i m u m t h er e s e a r c ho fr e a l t i m e r i s ke v a l u a t i o nf o rn e t w o r ks e c u r i t yi sv e r y i m p o r t a n tt ot h ed e v e l o p m e n to fd y n a m i cn e t w o r ks e c u r i t y , a n di ti sc o n s i d e r e dah o t s d o ti nt h er e s e a r c ho f n e t w o r ks e c u r i t y w h ht h er e l a t i o n s h i pb e t w e e nt h ea n t i b o d yc o n c e n t r a t i o na n dt h ed e g r e eo f i l l n e s si nt h eh u m a ni m m u n es y s t e m ar e a l - t i m em e t h o do fr i s ke v a l u a t i o nf o r n e t w o r ks e c u r i t yb a s e do na r t i f i c i a li n l l l l a n es y s t e mi sp r o p o s e d t h i sm e t h o dc a l l c l a s s i f yt h ea t t a c k st h a tt h es y s t e mi ss u f f e r i n g ，a n dc a l c u l a t eq u a n t i t a t i v e l ya n d r e a l t i m e l yt h ew h o l es e c u r i t yr i s ka n dt h es e c u r i t yr i s ko fac e r t a i nk i n do fa t t a c k s f a c e db vt h ew h o l en e t w o r ko rac e r t a i nc o m p u t e r t h ee x p e r i m e n ts h o w st h a tt h i s m e t h o di sag o o ds o l u t i o nf o rr e a l t i m er i s ke v a l u a t i o nf o rn e t w o r ks e c u r i t y s p e c i f i c a l l y , t h ec o n t r i b u t i o no f t h ed i s s e r t a t i o ni n c l u d e s ： a n a l y z i n gt h er e s e a r c ho fr e a l t i m er i s ke v a l u a t i o nf o rn e t w o r ks e c u r i t y ； e s t a b l i s h i n gt h em a t h e m a t i e a lr o o d e l so ft h es e l ft o l e r a n c eo fi m m a t u r e l y m p h o c y t e sa n dt h ed y n a m i c e v a l u a t i o no fm a t u r el y m p h o c y t e sa n d m e m o r yl y m p h o c y t e s ； i n t r o d u c i n gt h ec o n c e p to fa n t i b o d yc o n c e n t r a t i o ni n t ot h ea r t i f i c i a li i n r n u n e s y s t e ma n de s t a b l i s h i n gi t sm a t h e m a t i c a lm o d e l ； p r o p o s i n gam e t h o do fd y n a m i cs e l ft o l e r a n c et os l o v et h ep r o b l e mo ft h e d y n a m i co f s e l f i nar e a l n e t w o r ke n v i r o n m e n t ； p r o p o s i n ga m e t h o do fc l a s s i 研n gt h ea t t a c k sa u t o m a t i c a l l y ； p r o p o s i n gam o d e lo fc a l c u l a t i n gt h en e t w o r k s e c u r i t yr i s k ，w h i c h c 8 1 一川一 c a l c u l a t eq u a n t i t a t i v e l ya n dr e a l t i m e l yt h ew h o l es e c u r i t yr i s ka n dt h e s e c u r i t yr i s ko fac e r t a i nk i n do fa t t a c k sf a c e db yt h ew h o l en e t w o r ko ra c e r t a i nc o m p u t e r ； m a k i n ga ne x p e r i m e n to nt h i sm e t h o da n da n a l y z i n gt h ee x p e r i m e n tr e s u l t k e y w o r d s ：a r t i f i c i a li m m u n es y s t e m ，r i s ke v a l u a t i o n ，i n t r u s i o nd e t e c t i o n ，d y n a m i c n e t w o r k s e c u r i t y i v 四川a 学硕士学位论文 1 绪论 1 1背景 计算机网络是信息社会的基础，网络已经进入到社会的各个角落。经济、 文化、军事和社会生活越来越多地依赖计算机网络。由于因特网本身的开放型、 跨国界、无主管、不设防、无法律约束等特性，存带给人们带来巨火便利的同 时，计算机网络的安全问题面临着严峻挑战。国际上计算机犯罪上e 以每年1 0 0 的速度增长，在i n t e r n e t 上的黑客攻击事件也以每年1 0 倍的速度在增长。1 9 9 5 年入侵美国国防部计算机网络的事件多达2 5 万次，其中6 5 ( 1 6 2 5 万次) 获得了 成功，欧美等国金融机构的计算机网络被入侵的比例高达7 7 。我国近几年来 计算机犯罪也以3 0 的速度在增长，据有关部门统计：国内9 0 以上的电子商 务网站存在严重的安全漏洞，网络的安全问题正面临着目益严重的威胁。目前 网络安全成为一个人们十分关，0 的研究和应用领域【1 - 4 1 o 目前传统的网络安全技术( 例如防火墙) 依赖于系统正确的设置和完善的 防御手段，并且在很大程度上针对固定的威胁和环境弱点，是静态的网络安全 模型。这种方式忽略了l n t e m e t 安全的重要特征，即i n t e r n e t 安全没有标准的过 程和方法，所谓“道高一尺，魔高一丈”，它是矛与盾的无限循环。安全不是一 朝之事，幻想一劳永逸的解决方案是非常危险的，新的安全问题的出现需要新 的技术和手段柬解决。因此，静态的网络安全技术对动态的安全威胁缺乏相应 的应对措施。 为突破传统静态、被动的网络安全防御技术的局限性，美国i s s 公司提出了 动态网络安全体系的代表模型：p 2 d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) 模 型【“。p 2 d r 模型是在整体的安全策略的控制和指导下，在综合运用防护工具的 同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整 到“最安全”和“风险最低”的状态。之后，人们又提出了一些p 2 d r 的扩展模 型，如a p p d r r t ”等。这些模型的基础是风险评估，核心是策略，也就是根据风 险评估的结果来动态的修改安全策略。但目前提出的主要的风险评估方法都是 一种静态的评估方法，只能粗略地就网络长期所处的风险状态进行静态评估， 一一 凹型查堂竺圭兰垡笙壅 不能够在遭受网络攻击时对网络安全风险进行实时定量地评估。因而当发生大 规模网络入侵时，经常导致系统崩溃，造成巨大灾难。实时的网络安全风险评 估对动态网络安全理论的研究具有重要的意义，但与静态的网络安全风险评估 的研究相比，目前国内外实时的网络安全风险评估的研究成果较少，还处f 探 索阶段。因此，实时定量的风险评估方法成为了目前网络安全研究热点之一。 近年来，人们不断从生物系统获得灵感，提出了仿生计算方法，例如人工 神经网络”l 、遗传算法【8 。1 0 、d n a 计算卜3 1 、进化计算15 1 等。生物免疫系统 同样是个高度进化的生物系统，它旨在区分外部有害抗原和自身组织，从而 清除病原并保持有机体的稳定l 哺。”。从计算的角度来看，生物免疫系统是一个 高度并行、分布、自适应和自组织的系统，具有很强的学习、识别、记忆和特 征提取能力。人们从生物免疫系统的运行机制中获取灵感，提出了人工免疫系 统( a r t i f i c i a li m m u n es y s t e m ，a t s ) 。目前，a i s 已发展成为计算智能研究的个 崭新的分支【1 8 32 1 。由于计算机的安全问题与生物免疫系统所遇到的问题具有惊 人的相似性，两者都要在不断变化的环境中维持系统的稳定性，因此目前计算 机安全已经成为人工免疫系统应用最广泛的领域之一1 3 3 - 6 9 1 。 1 2课题来源 本课题来源于四川大学计算机学院李涛教授主持的国家自然科学基金、教 育部博士点基金课题“大规模网络入侵动态取证、实时风险检测与控制技术”。 本课题为对其中的实时风险检测部分的研究。 1 3国内外研究现状 目前网络安全风险检测的方法主要有两类：静态评估和实时检测。大部分 静态评估方法利用一些评估标准来评估，例如t e s e c 70 1 、 t s e c t 7 ”、c c 7 2 1 、 i s o i e c1 7 7 9 9 7 3 1 、b s7 7 9 9 7 4 】、i s o1 3 3 3 5 7 5 】等；也可以利用一些网络安全专家 ( 例如t i g e rt e a m r 7 6 j ) 对目标网络的风险进行评估，这些人对系统潜在的安全漏 洞具有很强的敏感性。但静态网络安全风险评估方法缺乏实时性，只能粗略地 估计网络长期所处的安全风险状态，对网络正在遭受的攻击缺乏实时地网络安 全风险检测。与静态评估方法相比，目前在国内外实时网络安全风险检测的研 一2 - 一 些型茎兰塑主兰篁笙墨 究尚处于探索阶段，研究成果较少。现有的实时网络安全风险检测方法主要有 基于攻击者行为的方法、基于信息融合的方法等。 基于攻击者行为的方法主要是通过从概率上估计攻击者的行为来评估系统 的风险。e j o n s s o n 和t o l o v s s o n l 7 7 1 基于入侵检测中的一些实验数据对攻击者行 为进行了分析，将攻击者的行为分成三类：学习阶段、标准攻击阶段和创新攻 击阶段，从而通过评估系统的可靠性来评估系统的安全风险。r o r m l o 等人【7 8 1 提出了一种将已知的u n i x 安全漏洞映射为“权利图”的方法。该模型根据估 计攻击者攻破系统( 获得某种不属于攻击者的权利) 需要花费的平均时间来评 估系统的安全风险。b b m a d a n 等人( 7 9 i 提出了一种基于状态机的模型，该模型 利用9 个安全状态来描述在遭受攻击时系统的动态行为。通过估计系统从一个 状态转移到另个状态的概率并且攻击者需要花的时间来估计系统面临的风 险。但是攻击者的行为具有很多的不可预测性，特别是未知攻击，很难对攻击 者的行为进行预测。 基于信息融合的方法一般包括目标特征融合、态势评估和威胁评估等几个 个层次，其中层次较高的威胁评估是根据网络安全态势感知结果，推测或判断 威胁程度。t i mb a s e 8 1 1 提出了一个基于信息融合的风险评估框架，在这基础上， 文献 8 2 】、 8 3 等进行了修改和实现。文献 8 2 】提出了一种使用贝叶斯网络对 i d s 检测信息进行融合的网络安全风险评估的方法，但该方法只是根据目标系统 正在遭受的攻击的种类来粗略的评估系统面临的安全风险。文献 8 3 提出了使 用m a m d a n i 模糊神经网络推理算法对各方面获得的信息来进行最后的信息融合 得出目前系统的风险状况。目前由于网络信息及其获取途径的复杂性、模糊性 和不确定性，故建立一个有效的基于信息融合的网络安全风险评估模型有一定 的困难。 另外c k c h u 等人脚l 综合静态和实时的检测方法，提出了一种网络安全的 风险评估框架。在实时检测方面，该方法只能以简单的突发事件( 运行条件的 突然改变、组件的丢失等) 为依据，就某些网络攻击进行简单的实时风险评估。 自从f o r r e s t 等人f 3 3 1 提出了否定选择算法以后，人工免疫理论在网络入侵检 测方面得到了成功的应用。1 9 9 6 年，f o r r e s t 和h o f m e y r 等人【3 4 ”i 将否定选择算 法用于基于主机的入侵检测，对系统进程的系统调用序列进行监控。后来， h o f m e f 和f o r r e s t c 3 7 ，8 9 ，9 0 1 提出了种通用的人工免疫系统框架( a r t i s ) ，并将 其用于基于网络的入侵检测中( h s y s ) 阢8 7 1 ，对网络中的t c ps y n 包进行监 塑型叁兰竺兰兰些堡_ 殳 控。a r t i s 的提出对人工免疫系统的发展具有重要的意义，以后的大部分模型 都借鉴了a r t i s 的一些免疫机制，例如自体耐受、生命周期、协同刺激、记忆 免疫细胞等。k i m 和b e n t l e y l 4 5 1 提出了一个类似l i s y s 的基于免疫的网络入侵检 测模型，其整合了基因库的进化、克隆选择和否定选择三种免疫机制。d a s g u p t a 等人 3 9 1 提出了一种基于a g e n t 的入侵检测框架，该框架中a g e n t 模拟了免疫细 胞的功能，在网络中进行巡逻，从用户层、系统层、进程层、数据包层对主机 的网络活动进行监控。h a r m e r 等人【4 3 1 也提出了一种类似的基于a g e n t 的网络入 侵检测模型。 1 4 论文的主要工作 下 本文提出了一种基于人工免疫的实时网络安全风险检测方法，主要工作如 1 ) 2 ) 分析比较了国内外实时网络安全风险检测的研究现状 给出了未成熟免疫细胞的白体耐受、成熟免疫细胞的动态演化、记忆 免疫细胞的动态演化的数学模型； 3 ) 在人工免疫系统中引入了抗体浓度的概念，并给出了其数学模型。 4 )提出了一种自体动态耐受的方法来解决真实网络环境中自体动态变化 的问题： 5 ) 提出了一种对网络攻击进行自动分类的方法； 6 ) 提出了一种基于抗体浓度的网络安全风险定量计算模型，该模型能够 实时定量地计算整个网络以及网络中的主机面临的整体风险和某种攻 击的风险； 7 ) 对本文提出的方法进行了实验仿真，并对实验结果进行了分析。 1 5论文结构 本文提出了一种基于人工免疫的实时网络安全风险检测方法，并介绍了相 笑的原理及技术。论文的结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 第二章，介绍了动态网络安全模型，静态风险评估的评估标准和一些常见 一4 四川夫学坝j 学位论文 方法以及一些动态风险检测方法。 第三章，介绍了人体免疫系统的概况，人工免疫系统的发展概况、基本的 免疫模型和免疫算法以及在计算机安仝领域的应用。 第四章，阐述了基于人工免疫的实时网络安会风险检测方法，并用集合代 数的方法给出了它的理论模型。 第五章，用实验仿真了基于人工免疫的网络安全风险检测方法，并对实验 结果进行了分析。 第六章，对全文总结。 5 四川i 大学硕士学位论文 2 风险评估 2 1 动态网络安全模型 层出不穷的安全漏洞，自动传播的网络病毒，网络上随处可以下载的攻击 程序，尤其足分布式、协同式攻击的出现，对网络安全造成了巨大的威胁。传统 的静态网络安全观念( 认为安全是静态的，可以劳永逸的，只要精心挑选安 全1 ：具，精心斫i 置以后就不用维护了) 不能适台现代网络安全的需要，对动态 的安全威胁、系统的脆弱性缺乏足够的描述和应对措施，无法完全反映分布式 的、动态变化的互联网安全问题，因此动态网络安全模型应运而生。动态网络 安全模型强调的是动态防御：系统的防御能力是随着时间递增的，能够根据现 有的安全状况自动调整。 2 1 1p 2 d r 模型 动态安全模型的雏形是p 2 d r 模型。p 2 d r 模型是在整体的安全策略的控制 和指导下，在综合运用防护工具( 如防火墙、操作系统身份认证、加密等) 的同时， 利用检测工具( 如漏洞评估、入侵检测等) 了解和评估系统的安全状态，通过适当 的反应将系统调整到“最安全”和“风险最低”的状态。p 2 d r 模型包括四个主 要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。 防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下 保证信息系统的安全。如图1 所示。 该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行 为、防护行为、检测行为和响应行为等等都要消耗时闯。因此可以用时间来衡 量一个体系的安全性和安全能力。 作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当 然攻击成功花费的时间就是安全体系提供的防护时间p ，。在入侵发生的同时， 检测系统也在发挥作用，检测到入侵行为也要花费时问一检测时间d ，；在检测 到入侵后，系统会做出应有的响应动作，这也要花费时间一响应时间r 一。 6 一 婴型查兰型! 兰篁笙茎 p 2 d r 模型就可以用一些典型的数学公式来表达安全的要求： 公式1 ：p r d ，+ r f 。 p f 代表系统为了保护安全目标设詈各种保护后的防护时问；或者理解为在这 样的保护方式下，黑客( 入侵者) 攻击安全目标所花费的时间。n 代表从入侵 者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。毋代表从发现入 侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。那么， 针对于需要保护的安全目标，如果上述数学公式满足防护时间大于检测时间加 上响应时间，也就是在入侵者危害安伞目标之前就能够被检测到并及时处理。 公式2 ：b = d ，+ r 。如果p ，= o 。 公式的前提是假设防护时间为0 。d ，代表从入侵者破坏了安全目标系统开 始，系统能够检测到破坏行为所花费的时间。足代表从发现遭到破坏丌始，系统 能够做出足够的响应，将系统调整到萨常状念的时间。比如，对w e bs e r v e r 被 破坏的页面进行恢复。那么，d r 与见的和就是该安全目标系统的暴露时间e 。 针对于需要保护的安全目标，如果日越小系统就越安全。 通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检 测和响应就是安全”，“及时的检测和恢复就是安全”。 而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护 时间只，降低检测时间d f 和响应时间且。 图lp 2 d r 模型 一 一 四川i 大学项士学位论立 全网动态安全体系a p p d r r 模型如图2 所示，也可由下面的公式概括： 网络安全= 风险分析+ 制定策略+ 防御系统+ 实时监测+ 实时响应+ 灾难恢复 从安全体系的可实施、动态性角度，a p p d r r 模型的设计充分考虑到风险 评估、安全策略的制定、防御系统、监控与检测、响应与恢复等各个方面，并 且考虑到各个部分之间的动态关系与依赖性。 2 2 静态评估 2 2 1 评估标准 2 2 1 1t c s e c 图2a p p d r r 模型 1 9 8 3 年美国国防部首次公布了“呵信计算机系统评估准则”以用于对操作 系统的评估，这足i t 历史上的第一个安全评估标准，1 9 8 5 年公布了第二版。它 将安全分为4 个方面( 安全政策、可说明性、安全保障和文档) 和7 个安全级 别( 从低到高依次为d 、c 1 、c 2 、b i 、b 2 、b 3 、和a 级) 。t c s e c 所列举的安 全评估准则主要是针对美国政府的安全要求，着重点是基于大型计算机系统的 一8 一 型型堂堡主堂堡堡壅 机密文档处理的安全要求。c c 被接纳为国际标准后，美国已停止了基于t c s e c 的评估工作。 2 2 1 。2i t s e c t c s e c 带动了国际计算机安全的评估研究，9 0 年代西欧四国( 英、法、荷、 德) 联合提出了信息技术安全评估标准( i t s e c ，又称欧洲白皮书) 。i t s e c 定 义了从e o 级( 不满足品质) 到e 6 级( 形式化验证) 的7 个安全等级和1 0 种安 全功能。 t s e c 除了t c s e c 的成功经验外，首次提出了信息安全的保密性、完 整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认 识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、 实旌带来深刻的影响。i t s e c 的目标在于成为国家认证机构所进行的认证活动 的一致基准。在被c c 标准取代以前，i t s e c 就一直被实际应用在欧洲国家的评 占和认证方案中。 2 2 1 3c c 美国为了保持他们在制定准则方面的优势，不甘心t c s e c 的影响被t c s e c 取代，他们联合其他国家和组织( 英国、加拿大、法国、德国、荷兰、美国国 家安全局和国家技术标准研究所) 共同提出新评估准则的办法。1 9 9 1 年1 月宣 布了制定通用安全评估准则( c c ) r 计划。1 9 9 6 年1 月出版了1 0 版。它的基 础是欧洲的t c s e c ，美国的包括t c s e c 在内的新的联邦评估标准，加拿大的 c t p e c ，以及国际标准化组织i s o ：s c 2 7 w g 3 的安全评估标准。1 9 9 8 年又公布 了c c 的2 0 版本。c c 取代了美国的t c s e c 、欧洲的i t s e c 以及加拿大的 c t c p e c ，是事实上的国家安全标准。1 9 9 9 年，c c 被i s o 批准成为国际标准 i s o f l e c l 5 4 0 8 ，1 9 9 9 并正式颁布发行，其对应的c c 版本为2 1 版。c c 标准吸收 了各国对现代信息系统信息安全的经验和知识，对未来信息安全的研究与应用 带来了重大影响。 c c 将评估过程划分为功能和保证两部分，评估等级分为e a l l 、e a l 2 、 e a l 3 、e a l 4 、e a l 5 、e a l 6 和e a l 7 共7 个等级。每一级均需评估7 个功能类， 分别为配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测 叫j i 大学坝上学位论支 试和脆弱性评估。 c c 标准中定义了风险管理涉及的主要安全概念和它们之间的相互关系，如 图3 所示。它强调对防护措施进行评估，评估的结果是对防护措施保障程度的 描述，即防护措施能够降低安全风险的可信度。 希望滥用或破坏 图3c c 中的安全概念与相互关系 2 2 1 4b s7 7 9 9 ( 1 s o i i e c1 7 7 9 9 ) b s7 7 9 9 是由英国标准协会( b s i ) 于1 9 9 5 年2 月首次公布，1 9 9 9 年5 月 又进行了修订。b s7 7 9 9 的第一部分b s7 7 9 9 。l ：1 9 9 9 已于2 0 0 0 年1 2 月被i s o 接 纳成为国际标准( i s o i e c17 7 9 9 ：2 0 0 0 ) 。新版本标准b s7 7 9 9 、2 ：2 0 0 2 于2 0 0 2 年 9 月5 日在英国发布。b s7 7 9 9 广泛地涵盖了所有的安全主题，是一个非常详尽、 甚至有些复杂的信息安全管理标准。在b s7 7 9 9 标准中，信息安全作为一种系统 和全局的观念，主要体现在安全性、完整性和可用性三个主要方面。同时强调 风险管理的思想，指导组织建立信息安全管理体系，使之成为一个系统化、程 序化和文件化的管理体系。基于系统、全面、科学的安全风险评估，体现预防 控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求， 强调全过程和动态控制。本着控制费用与风险平衡的原则合理选择安全控制方 一1 0 - 叫川大学硕上学位论文 式，保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可 接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续 性。 2 2 1 5i s o1 3 3 3 5 i s o l 3 3 3 5 是一个信息安全管理指南，这个标准的主要目的就是要给出如何 有效地实施i t 安全管理的建议和指南。在i s 0 1 3 3 3 5 中分析了在安全管理过程 中的几个高层次的关键要素： 1 1 资产：包括物理资产、软件、数据、服务能力、人、企业形象等。 2 ) 威胁：可能引起对我们的系统、组织和财富的，我们所不希望的不良影 响。这些威胁可能是环境方面的、人员方面的、系统方面等等。 3 ) 漏洞：漏洞就是存在于我们系统的各方面的脆弱性。这些漏洞可能存在 于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本 身。 4 ) 影响：影响就是我f fj 不希望出现的一些事故，这些事故导致我们在保密 性、完整性、可用性、负责性、确实性、可靠性等方面的损失，并且造 成我们信息资产的损失。 5 ) 风险：风险是威胁利用我们的漏洞，引起一些事故，对我们的信息财富 造成一些不良影响的可能性。我们整个的安全管理实际上就是在做风险 管理。 6 ) 防护措施：是我们为了降低风险所采用的解决办法。这些措麓有些是在 环境方面的，比如：网络防火墙、网络监控和分析、加密、数字签名、 防病毒、备份和恢复、访问控制等等。 7 ) 剩余风险：在经过一系列安全控制和安全措施之后，信息安全的风险会 降低，但是绝对不会完全消失，会有一些剩余风险的存在。对这些风险 可能我们就需要用其他方法转嫁或者承受。 8 ) 约束：是一些组织实拖安全管理时不得不受到环境的影响，不能完全按 照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、 人员素质、时间、法律、技术、文化和社会等等。 对上面的一些安全管理要素，i s 0 1 3 3 3 5 给出了一个非常有意思的风险管理 四川大学颂上学位论文 关系模型，如图4 所示。 2 2 1 6 国内评估标准 图4i s 0 1 3 3 3 5 风险管理关系模型 1 9 9 9 年9 月国家质量技术监督局发布了强制性国家标准计算机信息安全 保护等级划分准则，它是建立安全等级保护制度、实施安全等级管理的重要基 础标准。该标准的制定主要有三个目的：一是为计算机信息系统安全法规的制 定和执法部门的监督检查提供依据；二是为安全产品的研制提供技术支持；三 是为安全系统的建设和管理提供技术指导。该标准的制定参考了美国的可信计 算机系统评估标准和可信计算机网络系统说明。 自从c c1 0 版本发布以后，国内相关部门一直密切关注着它的发展情况， 并对该版本做了大量的研究工作。2 0 0 1 年3 月8 日，国家质量技术监督局正式 颁布了参考c c 的国家标准g b t1 8 3 3 6 2 0 0 1 信息技术安全性评估标准。 2 2 2 评估方法 安全风险是由于系统漏洞( 脆弱性) 与外部威胁而可能对系统造成损失的 潜在危险，因此，静态风险评估通过对被保护系统存在的安全威胁、脆弱性以 及对资产可能造成的损失进行概率统计和评估，得出系统安全性的衡量值。静 四川大学硕 学位论义 态风险评估可以分为三类：定性的安全风险评估法、定量的安全风险评估法和 混合评估方法。 2 2 2 1 定性评估方法 定性分析方法是最广泛使用的风险分析方法，是一种典型的模糊分析方法。 该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。多数定性 风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风 险等级。在定性评估时带有很强的主观性，并不使用具体的数据，往往需要凭 借分析者的经验和直觉或业界的标准和惯例，为风险要素( 如资产价值) 的大 小或高低程度定性分敛，例如“高”、“中”、“低”。 2 2 。2 1 1o c l - a v e o c t a v e ( o p e r a t i o n a l l y c r i t i c a l ，t h r e a t ，a s s e t a n d v u l n e r a b i l i t y e v a l u a t i o n ) t s 6 是出美国卡内基梅隆大学软件工程学院受d o d 资助研究提出的。o c t a v e 方法 尾种自主型信息安全风险评估方法。这是一种从系统的、组织的角度开发的 新型信息安全保护方法，主要针对大型组织。中小型组织也可以对其适当裁剪， 以满足自身需要。 o c t a v e 给出了建立定性安全风险评估系统的三个步骤，指导安全管理员 完成风险评估。这三个步骤为： 1 ) 建立基于资产的威胁信息。这是从组织的角度进行的评估。组织的全体 员工阐述他们的看法，如什么对组织重要( 与信息相关的资产) ，应当 采取什么样的措施保护这些资产等。分析团队整理这些信息，确定组织 最重要的资产( 关键资产) 并标识对这些资产的威胁。 2 ) 标识基础设施的脆弱性。对计算基础结构进行评估。分析团队标识出与 每种关键资产相关的关键信息技术系统和组件，然后对这些关键组件进 行分析，找出导致对关键资产产生未授权行为的弱点( 技术弱点) 。 3 ) 进行定性安全风险分析并开发安全策略。分析团队标识出组织关键资产 的风险，并确定要采取的措施。根据对收集到的信息所做的分析，为组 织丌发保护策略和缓和计划，以解决关键资产的风险。 凹川人学硕十学位论文 z z z 1 2c o b r a c o b r a ( c o n s u l t a t i v e ，o b j e c t i v ea n db i f u n c t i o n a lr i s k a n a l y s i s ) 8 7 1 是由c & a 公司发布的，主要从系统脆弱性、威胁、后果和安全控制措施四个方面进行安 全风险评估。c o b r a 将控制措施划分为四类：威慑控制( d e t e r r e n tc o n t r o l s ) 、 预防控制( p r e v e n t a t i v ec o n t r o l s ) 、矫f 控制( c o r r e c t i v ec o n t r o l s ) 和检测控制 ( d e t e c t i v ec o n t r o l s ) ，它们与系统脆弱- 性、威胁和后果的关系通过攻击体现出来， 如图5 所示。 对信息系统的威胁丁可以通过攻击实现，攻击针对的是系统的脆弱性矿，存 在着脆弱性则攻击就会产生后果，不同的控制措施c 可以起到不同的作用：威 慑控制可以减少大规模有组织的攻击；检测控制可以发现攻击并触发预防控制； 预防控制可以保护脆弱性并减轻攻击后果；矫正控制可以减少攻击造成的损失。 这些因素对安全风险r 的作用可以定件的表示为： r = t ，矿 而剩余风险r r ( r e s i d u a lr i s k ) 为： 尺r = t i xv c 图5c o b r a 安全风险因素关系图 1 4 叫川大学硕上学位论支 2 2 2 2 定量评估方法 定量评估方法很明确：对构成风险的各个要素和潜在损失赋予数值，当度 量风险的所有要素都被赋值了，风险评估的整个过程和结果也就可以被量化了。 简单的l 龅，定量评估方法就是试图从数字上对安全风险进行分析评估的一种方 法。 基于a l e 的方法是常用的定量评估方法。把威胁事件发生的概率和可能造 成的损失这两个元素简单相乘的结果称为a l e ( a n n u a ll o s se x p e c t a n c y ) 或e a c ( e s t i m a t e d a n n u a lc o s t ) 8 5 1 。理论卜可以依据a l e 计算威胁事件的风险等级， 并且做出相应的决策。文献 8 8 给出了一种基于a l e 的定量风险评估方法。 该方法首先评估特定资产的价值以把信息系统分解成各个组件可能更加有利于 整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频 率，) ；最后计算威胁影响系数乃因为对于每一个风险，并不是所有的资产所遭 受的危害程度都是一样的，程度的范围可能从无危害到彻底危害( 即完全破坏) 。 根掘上述三个参数，计算a l e = y p t 。 定量风险分析方法要求特别关注资产的价值和威胁的量化数据。理论上讲， 通过定量评估方法可以对安全风险进行准确的分级，但这有个前提，那就是可 供参考的数据指标是准确的。可事实上，在信息系统日益复杂多变的今天，定 量分析所依据的数据的可靠性和精确性是很难保证的。例如，对于某些类型的 安全威胁，存在可用的信息，可以估计其概率( 例如，可以根据频率数据估计 人们所处区域的自然灾害发生的可能性( 如洪水和地震) ；也可以用事件发生的 频率估计一些系统问题的概率，例如系统崩溃和感染病毒) 。但是，对于一些其 他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制 和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关 联的。因此定量评估过程非常耗时和困难，现在采用定量评估的方法或纯定量 评估的方法很少。 2 2 2 3混合评估方法 定性评估方法的优点是使评估的结论更全面、更深刻。缺点是主观性很强， 对评估者本身要求很高。定量评估方法的优点是用直观的数据来表述评估的结 一1 5 一 ! ! 型查兰堡兰垡丝三 果，看起来一目了然，而且比较客观。缺点是量化过程容易使本来较复杂的事 物简单化、模糊化。 与定量评估方法相比较，定性评估方法的准确性稍好但精确性不够，定量 评估方法则相反；定性评估方法没有定量评估方法那样繁多的计算负担，但要 求分析者具备一定的经验和能力；定量评估方法依赖大量的统计数据，而定性 评估方法没有这方面的要求；定性分析较为主观，定量评估方法基于客观；此 外，定量评估的结果很直观，容易理解，而定性评估的结果则很难有统一的解 释。 定性评估方法和定量评估方法各自存在不足，所以不能把定性和定量评估 方法简单的分割丌，而是同时使用这两种方法，将这两种方法有机的结合起来， 从而形成了混合评估方法。 2 3 实时检测 2 3 1 基于信息融合的评估方法 信息融合的概念来源于早期军事领域的数据融合，数据融合是信息融合的 早期说法，数据融合主要研究在现代战场管理中对海量的战场多源信息的快速 有效处理，美国国防部j d l ( j o i n t d i r e c t o r o f l a b o r a t o r i e s ) 从军事应用的角度将 数据融合定义为这样的一种过程，即把来自许多传感器和信息源的数据和信息 加以联合、相关和组合，以获得精确的位置估计和身份估计，从而获得对战场 情况和威胁及其重要程度的完整评价。d f s 的主席ew h i t e l 8 0 1 给出了一个著名的 数据融合的经典模型。它把数据融合分为三级，第一级为融合的位置和标示估 计，第二级为敌我军事态势估计，第三级为敌方兵力威胁估计。信息融合的关 键问题和关键思想，就是提出一种理论和方法，对来自一个系统的具有相似或 不同特征模式的多源检测信息进行瓦补集成，从而获得当前系统状态的准确判 断，在此基础上预测系统的未来状态，为采取适当的系统策略提供保障。 一1 6 川大学硕学位论文 图6 基于信息融合的风险评估框架 基于w h i t e 的模型，t i mb a s e i 引l 提出了一个风险评估框架，如图6 所示。最 初的数据是从嗅探器和其他的一些攻击检测传感器中搜集。这些源数据要经过 校对或过滤，一般在融合模型的第零提炼层进行，对这些数据的衡量要被排列 在第一层目标提炼层。在第一层目标提炼层，将数据从时间上进行关联( 如果 需要的话从空间上也进行关联 ，并且这些数据根据其相对的重要性赋予权值。 在目标数据库中，从第一层提炼的目标进行排列、关联并放置在上下文之中， 这些目标集合根据它们之间的协调行为、依赖关系、发现源点、使用的协议、 攻击等级或其他的高级的属性来聚合。通过这一步进行态势的提炼，提供关于 态势的信息和知识。态势知识被用来分析目标，根据现有的攻击检测模板，提 供对现存态势的评测或识别未来具有威胁性的攻击威可能的信息战进攻行动的 一1 7 些型查堂塑主兰垡堡兰 依据。在第三层威胁评测层，安全策略和目标之间的关联性与决定目前形势的