(支持向量机理论及其在网络安全中的应用)第5章支持向量机在网络安全风险评估

1、,第5章 支持向量机在网络安全风险 评估和态势预测中的应用,5.1 网络安全风险评估和态势预测概述 5.2 支持向量机应用于网络安全风险评估和 态势预测的可行性 5.3 基于支持向量机的网络安全风险评估方法 5.4 基于支持向量机的网络态势预测方法 5.5 小结,5.1 网络安全风险评估和态势预测概述5.1.1 网络安全风险评估基础理论及研究现状定义5.1.1 (网络安全风险评估)网络安全风险评估是指依据国家有关网络信息安全技术标准，对网络信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。,网络安全风险评估要评估网络信息系统的脆弱性、面临的威胁以及脆弱性

2、被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别网络信息系统的安全风险。根据评估结果，提出有效的安全措施，消除风险或将风险降低到最低程度。网络安全风险要素关系模型如图5.1.1所示，其基本概念及其他们之间的关系如下110。,图5.1.1 风险评估各要素关系图,(1) 威胁(Threat)：就是可能对资产或组织造成损害的意外事件的潜在原因，风险评估关心的是威胁发生的可能性。(2) 脆弱性(Vulnerability)：也被称做漏洞，即资产或资产组中存在的可被威胁利用的缺点，脆弱性本身并不能构成伤害，但脆弱性一旦被威胁利用，就可能对资产造成损害。(3) 风险(R

3、isk)：是指特定威胁利用资产的脆弱性带来损害的潜在可能性。风险是威胁事件发生的可能性与影响综合作用的结果。(4) 资产(Assess)：是指任何对组织有价值的东西，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等。,(5) 资产价值(Assess Value)：是指资产的重要程度和敏感程度，资产价值是资产的属性，也是进行资产评估的具体内容。(6) 安全需求(Security requirement)：是指为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。(7) 安全措施(Safeguard)：是指为了对付威胁、减少脆弱性、保护资产、限制意外事件的影响、检测

4、和响应意外事件、促进灾难恢复和打击信息犯罪而实施的各种事件、规程和机制的总称。(8) 安全事件(Security incident)：是指威胁主体能够产生威胁，并利用资产及其安全措施的脆弱性，产生安全危害的情况。,(9) 残余风险(Residual risk)：是指采取安全防护措施，提高了防护能力后，仍然可能存在的风险。(10) 业务战略(Bussness strategy)：是指一个组织通过信息技术手段实现的工作任务。一个单位的业务战略对信息系统的依赖程度越高，风险评估的任务就越重要。,风险评估各要素之间的关系如下：(1) 业务战略依赖于资产去完成；资产具有价值，单位的业务战略越重要，对资产

5、的依赖程度越高，资产的价值就越大，则风险越大。(2) 风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性来危害资产，脆弱性使资产暴露，脆弱性越大则风险越大。(3) 资产的重要性和对风险的意识会导出安全需求，安全需求通过安全措施来得到满足；安全措施可以抗击威胁，降低风险，减弱安全事件的影响。,(4) 风险不可能也没有必要降低为零，在实施了安全措施后还会有残留下来的风险，其中一部分残余风险来自于安全措施不当或无效，在以后需要继续控制这部分风险；另一部分是综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以接受的。残余风险应受到密切监视，因为它可能会在

6、将来诱发新的安全事件。风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析，如图5.1.2所示。,图5.1.2 风险计算模型,风险计算模型包含信息资产、弱点/脆弱性等关键要素。每个要素有各自的属性。信息资产的属性是资产价值；弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度；威胁的属性是威胁发生的可能性。风险计算的过程如下：(1) 对信息资产进行识别，并对资产赋值；(2) 对威胁进行分析，并对威胁发生的可能性赋值；(3) 识别信息资产的脆弱性，并对弱点的严重程度赋值；(4) 根据威胁和脆弱性计算安全事件发生的可能性；(5) 结合信息资产的

7、重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。,通过对现有网络安全评估系统的研究，网络安全评估技术可进行如下划分111：(1) 根据评估对象分为漏洞、威胁和资产评估。其中，资产评估从资产价值的角度评估系统中所有信息资产，找出哪些资产对系统的各种功能实现最重要，哪些资产最容易受到攻击，哪些资产值得采取安全措施。资产评估根据资产安全属性的输入，按照资产评估模型，得到资产的安全价值，用来确定评估对象，是威胁评估和漏洞评估的基础；漏洞评估主要是检测、评估影响系统安全的内部因素；威胁评估分析外部事件对系统安全的影响。,(2) 依据运行方式分为基于单机系统、基于客户端、网络探测型和管理者/代

8、理型评估软件。最早的安全评估工具是基于单机系统的方法，如COPS、System Security Scanner(S3)；采用客户端方法的有Kane Security Analyst；网络探测型通过在系统外围进行扫描来发现漏洞，不需要进入到网络中不同的系统，比如Nessus；使用管理者/代理型方法的检测人员，只需一台控制器和管理者通信，管理者依次和网络中不同系统上运行的检测代理通信。,(3) 按照评估目标分为主机、网络、应用系统和安全策略评估。其中，主机评估包括对用户、系统、网络服务的安全分析；网络评估涉及网络设备(如交换机、路由器)和网络拓扑结构(网络安全区域划分、访问控制策略、通信传输加密

9、等)的评估；应用系统评估涉及到非附属于操作系统的软件产品(如数据库)的评估；安全策略评估针对软件的使用问题，涉及对象是操作系统提供的功能选项设置，如service pack and hotfix、帐户和审计策略等。,(4) 根据相对位置分为在企业内运行评估软件的内部评估和模拟黑客的外部评估。(5) 根据评估方法分为手动和自动评估。手动方法由评估人员根据经验，检查各种配置是否正确、补丁是否齐全等；自动评估使用评估软件，检查系统安全漏洞，且对系统资源的使用状况进行分析。(6) 根据评估模式分为基于评估标准检查列表(checklist)的静态评估和基于系统配置/黑客行为改变的动态评估。,在针对目标进

10、行评估过程中，经常使用到的技术有如下两大类：(1) 从安全漏洞的角度进行网络安全评估，通过各种方法识别网络中存在的漏洞，然后给出相应的评估结果和解决方案，常用的手段有入侵测试、安全审计、主观评价法、工具扫描和顾问访谈等。我们分别使用属性综合评价系统理论和D-S证据理论对漏洞的静态严重性和动态严重性进行了评估112, 113。,(2) 不依赖于安全漏洞的安全评估模型，建立量化脆弱性因素的评估指标，通过不同的数学模型对各量化指标进行融合分析，得出合理的评估结果，如应用AHP算法对目标网络进行安全评估、基于Bayes网络的安全评估等。但是，在应用第2种方法的安全评估工作中，量化指标值的确定包含大量主

11、观成分，过多依赖专家经验。目前应用的风险评估的方法很多，主要有事件树分析法114、故障树分析法115、层次分析法116、模糊综合评判法117，还有最近出现的神经网络评估方法118等。表5.1.1详细说明了各种方法的特点及其优缺点119。,5.1.2 网络态势预测基础理论及研究现状定义5.1.2 (网络态势)网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势120。需要指出的是，态势是一种状态、一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。定义5.1.3 (网络态势预测)网络态势预测是指根据提取出的历史网络态势，预测未来网

12、络态势的过程。,网络态势预测是网络态势感知的一个重要的组成部分，网络态势感知的定义如下：定义5.1.4 (网络态势感知)网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势120。1988年，Endsley在其文章中121把态势感知定义为“在一定的时空条件下，对环境因素的获取、理解以及对未来状态的预测”，整个态势感知过程可由如图5.1.3所示的三级模型直观地表示出来。网络态势评估和威胁评估分别是网络态势感知的两个环节，网络威胁评估建立在网络态势评估的基础之上。三者之间的关系如图5.1.4所示。,图5.1.3态势感知的三级模型,图5.

13、1.4网络态势感知、态势评估与威胁评估关系图,5.2 支持向量机应用于网络安全风险 评估和态势预测的可行性5.2.1 支持向量机应用于网络安全风险评估的可行性使用支持向量机对网络安全风险进行评估，主要基于如下原因132：(1) 网络安全风险评估本质上属于有限样本(数据)的、非线性模式识别问题，支持向量机是专门针对有限样本情况的，它的目标是得到现有信息下的最优解而不仅仅是样本数趋向于无穷大时的最优解。,(2) 风险评估追求的是在现有信息情况下的最优解，支持向量机能将分类问题最终转化成一个二次寻优问题，从理论上将得到全局最优解，解决了在神经网络方法中无法避免得到局部极值的情况。(3) 风险评估对问

14、题解决方法的泛化能力以及简单性要求较高。支持向量机能将实际问题通过非线性变换转到高维特征空间，在高维空间中构造线性判别函数使得原始空间具有了非线性判别函数的功能，不仅保证了模型的推广能力，并且解决了维数灾难问题。,5.2.2 支持向量机应用于网络态势预测的可行性网络态势感知系统通过对提取的网络特征值进行综合计算得出定量描述的网络总体状态的安全态势值，这是一个基于时间序列的数据集，基于该数据集的态势预测具有非线性关系和非正态分布的特性133。传统的预测方法如线性回归分析、灰色预测等算法可以预测一段时间内数据变化的大致趋势，但在处理具有非线性关系、非正态分布特性的网络态势值所形成的时间序列数据时，

15、效果不理想。,5.3 基于支持向量机的网络安全 风险评估方法 5.3.1 基于二叉树的多类分类方法基于支持向量机的网络安全风险评估方法119利用基于二叉树的多分类方法。其基本原理为首先将所有类别分成两个子类，再将子类进一步划分成两个次级子类，如此循环下去，直到所有的节点都只包含一个单独的类别为止，此节点也是二叉树中的叶子，这样就得到一个倒立的二叉分类树。二叉树相对于其他的多分类算法来说，结构简单，所需的SVM分类器个数较少，对于K类分类问题只需构造K1个SVM分类器，所以识别速度较快，是目前最先进的一种多分类方法。,先将网络的风险等级分为四级：分别为一级，二级，三级，四级，其中一级为最低风险等

16、级，四级为最高风险等级。基于二叉树的多分类方法用SVM1将训练样本先分为两类(A，B)，利用SVM2将A类分为两类(一级和二级)，利用SVM3将B类分为两类(三级和四级)，所以共需3个SVM就可以把网络的安全风险分为四个不同的等级，形成倒立的树状结构，如图5.3.1所示。,图5.3.1 基于二叉树的分类框,5.3.2 基于支持向量机的网络安全评估模型基于支持向量机的网络安全风险评估方法以LIBSVM为核心代码，以Microsoft VC+6.0作为开发工具，优化设计了SVM工具箱，不仅保证了评估效果，而且大大缩短了评估所花费的时间和费用，提高了评估效果，降低了评估代价。其评估模型包括以下几个部

17、分119。(1) 数据预处理。LIBSVM有专门的数据格式，数据预处理功能就是将收集的数据转换成LIBSVM数据格式。,(2) 设置参数并训练SVM模型。采用RBF核函数，其参数为s2，C=150，其余各参数采用默认参数。参数设置完成后，就可以进行训练和测试了，首先点击“Open”通过浏览导入存放训练数据的训练文件形成trainfile.txt文件，及其需要存放训练结果的模型文件model.txt。然后点击“Train”按钮，就可看到训练得到的SVM模型的各个参数和训练时间。采用基于二叉树的多分类方法，得到3个SVM训练模型，如图5.3.2所示。,图5.3.2 SVM训练结果,(3) 测试SV

18、M模型。导入存放测试数据的文件，如testfile.txt，输入存放结果的输出文件，如out.txt，然后点击“Test”按钮进行测试，就可对测试集的样本进行分类，可以通过结果显示区域看到模型的分类精度和测试时间，也可以通过查看和测试文件存放在同目录的out.txt文件，得到测试集各个样本的分类结果，即风险等级。从而根据风险等级采取相应的控制措施，使系统的风险控制在可以接受的水平。,5.3.3 网络安全风险评估实验和结果分析SVM和ANN都是人工智能方法的两个分支，且都广泛的应用到风险评估方面，所以有必要对两者的评估效果进行比较。下面利用搜集到的样本数据，从三个方面对SVM和ANN评估效果进行

19、比较。,为了比较SVM和ANN在小样本情况下的分类性能，在训练样本中，分别选取10，20，50，80个样本作为训练样本集进行训练，用同样的900个样本作为测试集，对SVM和ANN模型进行测试，比较两者性能的优劣。结果如表5.3.1所示119。,5.4 基于支持向量机的网络态势预测方法5.4.1 e-支持向量回归机,(5.4.1),下面考虑硬e带超平面的存在性。显然，对于有限个训练点组成的训练集，当e充分大时，硬e 带超平面总是存在的。而最小的能使硬e 带超平面存在的e值e min，则应该是下列最优化问题的最优值 (5.4.2) (5.4.3),e-不敏感损失函数为 (5.4.4),如果f(x)

20、为单变量线性函数： (5.4.5)当样本点位于两条虚线之间的带状区域内时，则认为在该点没有损失；只有当样本点位于e带之外时，才有损失出现，如图5.4.1所示。,图5.4.1 e-带示意图,1. 线性硬e带支持向量回归机线性硬e带支持向量回归机的原始最优化问题为： (5.4.6) (5.4.7) (5.4.8),为了求解式(5.4.6)(5.4.8)所示的最优化问题，引入Lagrange函数(5.4.9),(5.4.10) (5.4.11),把式(5.4.10)、(5.4.11)所示的极值条件代入式(5.4.9)中，并对它关于a(*)求极大，就得到如下的对偶问题： (5.4.12) (5.4.1

21、3) (5.4.14),2硬e-带支持向量回归机,Step3 构造并求解最优化问题：(5.4.18) (5.4.19) (5.4.20),(5.4.21) (5.4.22) (5.4.23),3e-支持向量回归机,(5.4.24) (5.4.25) (5.4.26) (5.4.27),为了求解式(5.4.24)(5.4.27)所示的原始问题，引入Lagrange函数：(5.4.28),(5.4.29) (5.4.30) (5.4.31),将式(5.4.29)(5.4.31)代入式(5.4.28)中，并对之关于a(*)求极大，就得到了式(5.4.24)(5.4.27)所示的原始问题的对偶问题： (5.4.32) (5.4.33) (5.4.34),(5.4.35),又记 (5.4.36) (5.4.37) (5.4.38