基于关联分析与FCE的网络安全风险评估.doc

基于关联分析与FCE的网络安全风险评估摘 要：传统的网络安全风险评估方法中，存在评估结果单一性和过分主观性依赖性等问题。为使评估结果更切合实际及解决不确定性因素难以量化及定量评估难的问题，首先，设计了一个用来衡量安全防御措施能力与节点脆弱性对攻击结果的影响的成功率算法；之后，采用攻击威胁严重度算法，通用安全漏洞评分对脆弱性进行评估。最后，提出基于熵权理论的模糊综合评判分析方法计算系统整体的风险态势值，从而能更好的辅助网络分析人员及时掌握系统实时的风险态势。针对本文方法进行仿真实验分析，结果表明此法可以准确并客观的评估网络面临的风险，进而避免传统方法存在的主观性和片面性问题，证明了该方法的合理性。 关键词：网络安全风险评估; 模糊综合评判(FCE) ; 熵权理论文献标志码: A 中图分类号:* 1 引言 连续运行的入侵检测系统(Intrusion Detection System, IDS)告警的数量往往短时间内就可达到G数量级，其中大部分均是误报和无关报警1，网络分析人员虽然可以采集到海量的告警信息，却很难了解系统的真实安全状况，不能及时采取有效的响应措施。因此，如何对系统面临的实时风险态势进行准确的评估，并为管理员制定有效的安全防护策略提供支撑成为急需解决的研究挑战。在对网络安全风险分析研究中，文献2-3均建立了层次化的评估模型，并给出了相应的威胁量化方法，将评估过程模型化、定量化，但仍存在主观性较强，网络安全评估数据来源较为单一，使评估结果不够准确及客观性不高。车载自组网中，Du等人4利用攻防树表示其潜在攻击与防御策略，并结合博弈论实现了对其安全状况的评估，由于未描述和量化风险因素与安全防御措施的防御能力间的关系，使获得的安全态势的评价结果不够准确。葛海慧等人5针对实时告警具有关联性的特点，采用一种动态的实时的风险评估方法，进而对特定时段内的告警进行关联分析，具有较高理论意义和实用价值，但存在量化程度不高、缺乏对脆弱性等关键要素的关联。文献6考虑到从时间维度上和空间维度上对网络威胁进行多角度的深入分析，提出了一种基于时空关联分析的威胁识别与量化评估方法，但存在时空复杂度较高、准确性不高而且不易操作等问题。为描述系统紊乱程度的测度，Shannon7把熵的概念应用到信息领域，称之为“信息熵”。文献8为解决信息系统中不确定性信息难以量化的问题，提出了一种基于信息熵的信息系统安全风险分析方法，此方法利用信息熵来度量网络系统风险，采用定性与定量相结合的方法得到各个风险因素的风险值，对系统中主要的风险因素采取相应的控制措施。M.Soleiani等9提出了一种基于AHP(Analytic Hierarchy Process)和熵权理论评估方法；Wang等人10也提出了利用改进的AHP和熵权理论的方法，建立电子银行的风险评估模型。上述网络安全风险分析方法，证实了评判法与AHP11的优势，可实现网络威胁综合评估。由于获得各层权重是采用的AHP法，因而风险综合评估结果易受人为主观性因素影响，此外网络环境中还存在不确定性因素难以量化及定量评估难的问题。刘勇等人12为避免信息系统风险评估中过分依赖专家主观判断的情况，采用信息熵的评估方法，并构建三要素矩阵，有效降低了评估的主观性，但对于信息的模糊性未有更好的解决办法。本文利用模糊层次分析法和熵权法对各层每个风险指标进行评估，使之最终能够达到模糊综合评判(Fuzzy Comprehensive Evaluation, FCE)的目的，解决风险评估过程中定量评估的难题。2 相关定义网络安全风险评估是对网络系统的安全风险进行系统、全面的估计。本文所指的安全风险，是指由网络告警事件和安全事件发生的可能性及其影响所决定。要识别此类网络系统的安全风险，需依据对网络安全事件、告警事件及其他负面影响的评估，本文首先对相关术语进行定义。 定义1 网络节点()。指各种不同类型的服务器或计算机终端，由一个五元组表示为，其中是网络节点的唯一标识；是节点的重要性权重；是节点上运行的软件信息，包含操作系统版本、配置信息等；是该节点上所运行的服务；是节点上的漏洞包括软件漏洞及失误配置等。定义2 告警()。指触发IDS对攻击行为产生告警信号，表示为。其中，是告警唯一标识，是发生告警的时间，是告警触发的关联规则标识；表示源IP地址表示目的IP地址；、分别指源、目的端口。是告警的严重度。定义3 聚合告警()。对IDS原始告警进行聚合处理后产生的一种数据表示形式，是唯一标识，从原告警继承而来，为该的原始告警次数，和为其起始和最近更新时间。 定义4 威胁严重度()。指攻击对节点造成损失或影响的严重程度，是攻击的途径、复杂度、可靠可用性()及告警严重度()的综合计算，即 (1)。 定义5 节点风险 ()。综合攻击成功率、威胁及资产的评估结果，衡量网络中各节点的风险程度，即是上述三者的加权平均值，(2)。根据上述定义，可以概括态势评估是以攻击告警为线索，结合网络环境关键信息，提取相应的评估指标，并逐步融合的过程。3 网络安全风险评估框架在确立网络安全态势评估的基本概念及其相互关系的基础上，综合考虑攻击成功率、威胁严重度和资产重要性三个关键的风险影响因素，依据本研究基于关联分析和FCE的风险评估需求，构建了相应的指标体系及评估框架。设计的层次化风险评估模型框架如图1所示。本模型自下而上可以分为指标层、准则层、节点层、目标系统层等四个层次结构，由安全风险影响指标、节点风险指数及系统风险指数等组成。在网络安全风险的量化评估阶段，由下至上对各层次的指标进行标准化处理，可以确定各层风险指标的权重，从而综合分析网络安全风险的整体态势。图1 风险评估框架模型3.1 攻击成功率算法检测到的每个告警一般均与主机节点上某些环境信息(包括主机配置、漏洞、用户权限等)相关联，它们构成了实施攻击的重要条件，则可将告警事件信息与主机配置、漏洞等进行关联匹配。匹配程度越高，说明攻击告警对目标主机的威胁程度越高。另外，节点采取的安全防御措施的能力的增强，对攻击成功率造成很大的影响，使攻击成功率()下降，但由于攻击复杂度及防御措施对攻击成功率的影响为非线性关系，则使用指数函数表示以增强评估结果区分度。本文提出估算攻击成功率函数为 (3)为攻击复杂度，为目标节点所采取的防御措施强度，为匹配因子。是根据IDS检测出的告警信息，对攻击执行的前提条件与主机存在的漏洞进行匹配，从而衡量攻击对目标主机的威胁程度。先从当前IDS告警中提取关键信息，如、等；再依据从攻击库中查找告警所依赖的重要条件()并从漏洞库中提取相关信息如、目标IP地址、漏洞等先后进行匹配分析。3.2 威胁严重度算法具有关联的多次连续攻击行为的发生通常比多个单一攻击具有更大的威胁程度。为在评估过程中充分的反映这一特性及对告警信息进行关联性分析，本文构建攻击关联库和攻击状态库。其中，攻击关联库存储复杂的不同类型攻击；攻击状态库存储系统发生的所有IDS告警。3.2.1告警聚合预处理 网络安全事件的直接信息源是IDS提供的告警，这些告警事件不能通过传统的方法处理而且可能在所有告警事件中占有比例少之又少，然而它们其中可能存在真正的严重的威胁。同时，这部分告警仍存在数量的冗余，主要由网络攻击（如目标扫描）的连续性及重复性引起，对后续的威胁评估具有一定负面影响，需进一步精炼和约简，本文采用如图2所示算法对告警聚合处理。图2 告警聚合算法在此算法中，在一定的时间段内，假设不同的已生成高级告警数目为和数据库中含有条告警，攻击关联库的规模为，则该算法的时间复杂度可表示为。3.2.2 威胁严重度威胁严重度()指标中借鉴CVSS评分系统中的基本评价方法，采用攻击途径、攻击复杂度、身份认证三个指标进行量化，用式(4)表示。而攻击告警威胁度与同一时间间隔内告警的次数、告警的严重程度有关。在安全风险分析中，50次严重度为1的事件，其带来的危害要比25次严重度为2的事件低。则定义在时刻IDS产生的针对节点的告警的威胁严重程度用式(5)表示。 (4) (5)其中，为告警的严重程度， 一般IDS将告警信息划分为高、中、低等三个级别；若判定为关联告警，就应从所在的整条攻击路径出发考虑问题，取值为此路径中攻击严重度最大者；若的告警聚合为孤立告警，则取值为自身严重度。表示告警的聚合次数，若判定为关联告警，与类似，应考虑所在的攻击路径出发，取值为聚合次数最大者；若的告警聚合为孤立告警，则为的聚合次数。表示防御措施强度；是攻击成功率，用来表示攻击能力。3.3 资产重要性根据ISSO/IEC13335标准将系统的安全属性分为CIA特性，即信息资产价值与对应的三个属性分别是机密性、完整性、可用性等属性，量化值分别表示为 ，则资产重要度为 (6)3.4 网络系统风险态势表示为网络系统在特定时段内的风险态势值，由节点风险指数及相应的权重确定，即 (7)其中，为节点在内的风险值，为节点的权重系数。3.5 基于熵权理论的FCE风险评估过程依据目前将熵权理论与模糊理论结合的方法应用于网络的风险评估研究成果8,9，本文采用FCE与熵权理论相结合的方法，则风险评估过程可具体分为以下三个部分。(1)确定隶属度矩阵。根据网络安全风险专家对各指标风险的评定意见，构建相应的因素集与评价集，确定各指标隶属于各权重等级的可能性大小，得到攻击成功率、威胁和资产的隶属度矩阵、。(2)计算熵权系数。在计算准则层指标对网络安全风险的影响时，对评价集中各指标赋予权重，可获得指标的权向量，表示为评价集中元素的数量。利用熵度量因素的相对重要性如式(8)。当取值相等时，熵最大，为，采用熵对公式(8)归一化处理，可确定三个风险因素 、的相对重要性的熵值，如公式(9)所示。 (8) (9)其中，取值满足。由于熵最大的因素对系统风险评估的作用最小，则可利用公式(10)衡量风险要素的权重。 (，) (10)(3)综合评估系统的整体风险。首先，根据风险评估模型自下而上的评估流程，可确定第二层各因素的安全风险值，即攻击成功率要素的风险值，威胁严重度和资产重要性的风险值分别表示为，；其次，依据这些风险因素可获得系统中各主机节点的风险指数，最后这些主机节点的风险值综合集成可得到整个系统的安全风险指数，再结合表1的安全风险隶属等级，辅助相关网络管理人员掌握该网络系统的安全风险态势状况。表1 网络安全风险隶属等级R1-0.80.8-0.60.6-0.40.4-0.20.2-0等级非常高高中等低非常低将本文提出的模糊综合评判与熵权理论相结合的方法应用到评估整个网络系统的安全风险的案例，可以得到特定时间段内该系统的安全风险等级。4 仿真实验结果分析为验证上述评估方法的合理性，进行了仿真实验分析。本文实验环境把网络分为攻击和测试子网两个部分，其中测试子网中含有3个网络节点，以IDS告警信息为原始数据，对系统或网络节点风险进行量化分析，网络拓扑图如图3所示。考虑到风险评估所涉及各因素中模糊性特征比较明显的因素有：攻击成功率、威胁严重度、资产重要性，可运用模糊理论对其进行分析处理。图3 网络拓扑图4.1 确定隶属度矩阵以威胁严重度（即指标）为例进行分析，风险因素集为，并设定因素集的评判集为。由多名网络安全专家评定风险因素集，据此计算各因素隶属于各项指标的可能性大小，可获得如表2所示的隶属度矩阵，则其它关键因素的隶属度矩阵也做类似处理。表2 “威胁严重度”隶属度矩阵因素Very high High Medium Low Very lowI210.2 0.3 0.2 0.2 0.1I220.1 0.2 0.4 0.2 0.1I230.2 0.2 0.3 0.3 0.0I240.3 0.2 0.3 0.1 0.14.2计算各风险因素的熵权系数参照4.1节中“攻击成功率”、“威胁严重度”、“资产重要性”、“节点风险”隶属度矩阵，由公式(8)-(10)对进行处理得到风险因素的权重向量分别为：我们确定评价集标准的权重分别为(1/5，1/5，1/5，1/5，1/5)。4.3 节点风险指数为简化运算，对实验告警信息进行聚合预处理，再结合公式进行综合量化，直接给出一台主机()的相关参数值，依据风险评估模型，自下而上的计算各底层指标的安全风险值可得到第二层三个风险属性的安全风险值，即，。考虑到攻击成功率、威胁严重度、资产重要性各要素重要程度基本相当，结合系统综合评估思想，设计为各模块对整个信息系统的重要程度相同，取，则利用公式(2)得到一台主机节点的安全风险值为。4.4 系统风险指数按照以上方法依次评估网络中其他网络节点在某一采样时刻的风险值，最后利用式(7)计算整个网络的风险大小，最终可得到实验进行期间（本实验采集内的告警信息，每隔时段融合计算一次系统风险态势值）网络安全态势演化图，如图3所示。图4 网络安全态势演化图从图4的网络安全态势图中，可看出整个网络在某一采样时刻点的安全状况。在采样时刻点3.5和8时，网络安全态势的风险值较大，表示攻击对网络安全威胁程度大；而在采样时刻点2时，网络安全态势风险值较小，网络系统遭受的攻击较少，安全状况良好。 将本文基于关联分析和熵权的FCE法与传统的综合评估方法进行风险评估比较和分析而知，若仅依赖传感器的低层次告警来评估风险，孤立地计算告警事件或局部脆弱性对网络造成的威胁，而忽略安全防御强度对攻击告警的影响，则得到的结果也具有一定差异。通过对告警进行关联分析及去冗余处理，进一步给出了主要安全风险评估指标及其量化方法，且该方法兼顾专家统一意见和客观数据属性，在一定程度上避免主观差异造成的影响，得到了更加精确和客观的定量评估结果。5 结论本文在系统分析了基于网络安全风险因素和风险评估过程上，提出了基于关联分析与FCE相结合的网络安全风险评估方法。首先，提出一个层次化的风险评估模型，该模型自下而上的对影响风险等级的各风险指标进行详细的描述；其次，采用基于熵权的FCE方法对各层风险因素的进行风险评估，最终综合计算得到整个网络系统的安全风险，以便辅助使网络管理人员做出相应的决策；最后，对本文评估方法进行仿真结果分析，仿真实验结果表明了该方法能效解决网络安全风险评估领域中信息不确定性及难以量化的问题，对以后的网络安全风险评估研究具有一定的参考价值。参考文献：1 Elshoush H T,Swman I M.Alert correlation in collaborative intelligent intrusion detection systems-A suveyJ.Applied Soft Computing,2011,11(7):4349-4365. 2 Chen X Z,Zheng Q H,Guan X H,et al.Quantitative hierarchical threat evaluation model for network securityJ.Journal of Software,2006,17(4):885-897.3 Chen Feng,Liu Dehui,Zhang Yi,et al.A hierarchical evaluation approach for network security based on threat spread modelJ.Journal of Computer Research and Development,2011,48(6):945-954.4 Du S,Li X,Du J,et al.An attack-and-defense game for security assessment in vehicular ad hoc networksJ.Peer-to-Peer Networking and Applications,2014,7(3): 215-228.5 葛海慧,肖达,陈天平,杨义先.基于动态关联分析的网络安全风险评估方法J.电子与信息学,2013,35(11):2630-2636.6 LYU H,PENG W,WANG R,et al. A real-time network threat recognition and assessment method based on association analysis of time and apaceJ.Journal of Computer Research and Development,2014,51(5):1039-1049.7 梁吉业,钱宇华.信息系统中的信息粒与熵理论J.中国科学E辑:信息科学,2008,38(12):2048-2065.8 Fu S,Liu Z,Zhou H,et al.A Security Risk Analysis Method for Information System Based on Information EntroyJ. Open Cybernetics& Systemics Journal,2015,9(1):23-27.9 M.Soleimani damaneh and M.Zarepisheh.“Shannons entropy for combining the efficiency