CN102355361A - 基于报警信息的安全评估方法 - Google Patents

Abstract

基于报警信息的安全评估方法，采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；采用无环有向图来表示重构后的攻击场景：1)根据超报警类型的前提集和后果集生成初始攻击场景图集合；2)对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点证据支持度，消去可能的误报；攻击场景图G中误报结点的消去；从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对***造成的风险上，对报警关联后的攻击序列进行了评估；并进行攻击序列的危险性分析和网络***的损失分析。本发明通过对报警信息与目的地***的环境匹配度、攻击类型、相关攻击信息以及目的地***节点安全度的计算得出报警信息。

Description

基于报警信息的安全评估方法

一、技术领域

本发明涉及基于报警信息的安全评估方法。

二、背景技术

随着网络时代的来临，互联网络的规模和应用领域不断发展，已经渗透到人们日常生活、经济、军事、科技与教育等各个领域，其基础性、全局性的地位和作用日益增强.作为重要基础技术与设施的网络安全问题已经成为影响社会经济发展和国家发展战略的重要因素，是当前世界各国共同关注的焦点.然而面对网络日趋复杂的结构和庞大的规模，特别是随着网络攻击和破坏行为的日益普遍和攻击工具的逐渐多样化，传统的网络安全防护及其研究已经不能满足网络发展的实际需求，迫切需要新的基础理论和研究方法.

网络安全的研究工作的发展主要经历了三个阶段.在第一阶段，人们试图构建绝对安全的***，主要研究如何保护网络***防止恶意入侵，普遍认为网络安全事件发生是由于***设计上存在漏洞，可以通过改进***细节和复杂协议的设计来阻止攻击和安全破坏事件的出现.在第二阶段，人们逐渐认识到存在一部分恶意入侵，很难阻止其发生，因此将注意力转移到研究如何及时检测入侵发生，并提醒管理员采取补救措施，如打补丁等.事实表明，要保证网络的绝对安全是非常困难的，特别是随着网络攻击的日益普遍和加剧，网络攻击和入侵不可避免且很难及时检测和报警.在第三阶段，现在人们更多地考虑网络的容侵容错，即研究如何使网络在受到攻击和破坏后仍能恢复继续实现预定功能.鉴于当前网络安全领域存在的严峻问题，面向用户提供***级的安全服务已经逐渐成为网络安全领域发展的新趋势；如何基于可信性构建支持安全服务的网络是国内外研究的热点.

基于可信性构建支持安全服务的一个重要理论基础是安全评价，特别是定量刻画网络***的安全性，评价容侵容错机制保证的安全程度，并从理论上指导构建网络安全机制和措施.例如，入侵检测机制的参数获取、网络流量的设定等都需要基础理论与分析方法.目前，大部分的网络安全性评价工作针对网络安全属性进行定性分析，验证***是否满足某些安全特征.这种情况下往往得到安全性指标偏差很大，对具体网络***的安全性判断不够准确，很难指导构建新的网络安全措施.因此，网络安全的量化分析，尤其是对网络***中细节上的量化分析是目前的网络安全领域中一个重要的研究方向。

一般来说，在一系列的攻击步骤中，入侵事件不是互相独立的，先进行的攻击步骤总是为后续攻击步骤做准备。假设每一次入侵检测***的报警对应于一个攻击步骤，每一个攻击步骤有其前提条件和后果。攻击的前提条件是这个攻击成功的必要条件，攻击的后果是攻击成功后可能产生的结果。那么当先发生的攻击a的后果满足了后继攻击b的前提条件，就可以说a为b作了准备，可以将ab归入一个攻击场景。

由于目前入侵检测***的具有较高的误报率，直接依靠入侵检测***报警信息进行攻击场景重构的准确率不高，会造成攻击场景重构的混乱。

报警可信度指的是报警信息所报攻击真实发生的可能性。

三、发明内容

本发明目的是提出一种从报警可信度的出发对报警关联进行的方法，此方法大大减少了较高的报警误报率对报警关联的影响。

基于报警信息的安全评估方法，采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；具体步骤如下：

(1)采用无环有向图来表示重构后的攻击场景，攻击场景图的生成分为三步；

1)根据超报警类型的前提集和后果集生成初始攻击场景图集合；

2)对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点(攻击步骤)的证据支持度，消去可能的误报；

攻击场景图G中误报结点的消去；

1)对攻击场景图G中每个节点计算其报警可信度C_r，考虑所有C_r≤ε(ε是管理员设定的一极小值，表示当报警可信度小于等于ε的报警可视为误报，(下同)的节点；

2)消去没有前向节点且报警可信度C_r≤ε的节点；

3)消去没有后向节点且报警可信度C_r≤ε的节点；

4)对于剩下的C_r≤ε的节点，分情况讨论：

a)若删去该节点导致攻击场景图***，则保留该节点；

b)若删去该节点攻击场景图仍然连通，则删去该节点；

(2)从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对***造成的风险上，对报警关联后的攻击序列进行了评估，攻击序列的危险性分析的步骤如下：

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，报警a_i的自身危险度、节点价值、服务价值分别为r_i、n_i、s_i，其定义及取值如下

报警的攻击类型等因素的实际匹配度取值，定义如下：攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种，取值分别为1，0.7和0.4，自身危险度按通常IDS的风险等级设为高、中、低三种状态，取值分别为1、0.6和0.2。节点安全度、节点价值、服务价值的状态见下段，计算时的取值要乘上0.1。

节点价值是一个用来表示节点重要性的量化的一个值。我们设节点价值度量的范围从1到N，其中1表示的是最低的重要性，而N表示最高的重要性(本章中为了计算的简便N设为10)。节点价值、服务价值的度量范围和取值是根据整个***的具体情况由***管理员指定的。

和节点价值与服务价值标示的是节点与服务的重要性相似，节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值，它由节点安装的操作***及版本，应用程序，开放的服务、端口，使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间，同节点价值一样，设为1到P，其中1表示最低的安全度，P表示最高安全度(本章中为了计算机的简便设P为10)。节点安全度是由安全管理***或***管理员针对每一个节点的情况进行评估得到的。

则攻击序列S的危险度

$r_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{r}_i\·n_i\·s_i---\left(2\right)$

表示攻击序列S如果成功的话，造成***的危险程度；

(3)网络***的损失分析；

网络***的损失，归结到攻击关联图上各攻击序列的综合评估值上，定义为该攻击序列总的损失期望；

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，第i个报警a_i的损失评估分为θ_i，第i+1个报警的可信度为p_i+1，则从初始报警a₁到第i个报警a_i可信度为

$p_{1,i}=1-\underset{k=1}{\overset{i}{\mathrm{\Π}}}(1-p_i)---\left(3\right)$

则该攻击序列给***造成的总的损失为

${\mathrm{\θ}}_S=E\left({\mathrm{\θ}}_i\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(4\right)$

取报警a_i的危险度为其损失评分，即

θ_i＝r_i·n_i·s_i    (5)

则

${\mathrm{\θ}}_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(6\right)$

根据***损失排名，优先处理危险系数大***损失高的攻击序列，从而提高***安全管理员得工作效率和效果。

本发明从报警关联出发，首先从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对***造成的风险上，对报警关联后的攻击序列进行了评估，提出了一种网络安全量化分析的新方法。这种方法能有效帮助安全管理员从各个不同的角度理解当前网络中的主要的攻击状况，一方面可以对网络***中已经采用的安全机制和措施进行定位评估，即将***的整体安全机制和攻击序列所经过的节点上安全机制进行统一的评估，另一方面能对安全管理员从***的整体安全角度对***中已发生的攻击的进行应对措施选择。

本发明通过对报警关联所反映的攻击序列中每一报警可信度、危险度和给***造成的损失进行综合计算，可得出整个报警序列的可信度、危险度和给***造成的损失。通过对攻击场景图中所有攻击序列进行评估即可对当前网络***的安全性进行细致的量化评估。

本发明的有益效果是：因为攻击场景图中的节点就是各种报警信息，可以通过对报警信息与目的地***的环境匹配度、攻击类型、相关攻击信息以及目的地***节点安全度的计算得出报警信息的。把报警可信的值赋予攻击场景图中的每一个节点中，通过计算每条攻击序列的可信度就可以找到最可能已遭受攻击的攻击序列并计算攻击关联图中各攻击序列的危险度以及网络***的损失。本发明从报警可信度的出发对报警关联，本发明方法大大减少了较高的报警误报率对报警关联的影响。

四、具体实施方式

1、采用无环有向图来表示重构后的攻击场景。攻击场景图的生成分为三步。

1)根据超报警类型的前提集和后果集生成初始攻击场景图的集合。

2)对于初始攻击场景图中的每一个攻击场景图，计算其中各个节点(攻击步骤)的证据支持度，消去可能的误报。

2、攻击场景图G中误报结点的消去

1)对攻击场景图G中每个节点计算其报警可信度C_r，考虑所有C_r≤ε(ε是管理员设定的一极小值，表示当报警可信度小于等于ε的报警可视为误报，下同)的节点。

2)消去没有前向节点且报警可信度C_r≤ε的节点

3)消去没有后向节点且报警可信度C_r≤ε的节点

4)对于剩下的C_r≤ε的节点，分情况讨论：

c)若删去该节点导致攻击场景图***，则保留该节点。

d)若删去该节点攻击场景图仍然连通，则删去该节点。

3、攻击序列的危险性分析

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，报警a_i的自身危险度、节点价值、服务价值分别为r_i、n_i、s_i，其定义及取值见本文3.2.2节？则攻击序列S的危险度

$r_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{r}_i\·n_i\·s_i---\left(2\right)$

表示攻击序列S如果成功的话，造成***的危险程度。

4、网络***的损失分析

网络***的损失，可以归结到攻击关联图上各攻击序列的综合评估值上，定义为该攻击序列总的损失期望。

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，第i个报警a_i的损失评估分为θ_i，第i+1个报警的可信度为p_i+1，则从初始报警a₁到第i个报警a_i可信度为

$p_{1,i}=1-\underset{k=1}{\overset{i}{\mathrm{\Π}}}(1-p_i)---\left(3\right)$

则该攻击序列给***造成的总的损失为

${\mathrm{\θ}}_S=E\left({\mathrm{\θ}}_i\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(4\right)$

本章取报警a_i的危险度为其损失评分，即

θ_i＝r_i·n_i·s_i    (5)

则

${\mathrm{\θ}}_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(6\right)$

5、根据***损失排名，优先处理危险系数大***损失高的攻击序列，从而提高***安全管理员得工作效率和效果。

Claims (1)

1.基于报警信息的安全评估方法，其特征是采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；具体步骤如下：

(1)采用无环有向图来表示重构后的攻击场景，攻击场景图的生成分为三步；

1)根据超报警类型的前提集和后果集生成初始攻击场景图集合；

2)对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点(攻击步骤)的证据支持度，消去可能的误报；

攻击场景图G中误报结点的消去；

3)对攻击场景图G中每个节点计算其报警可信度C_r，考虑所有C_r≤ε(ε是管理员设定的一极小值，表示当报警可信度小于等于ε的报警可视为误报，(下同)的节点；

4)消去没有前向节点且报警可信度C_r≤ε的节点；

5)消去没有后向节点且报警可信度C_r≤ε的节点；

6)对于剩下的C_r≤ε的节点，分情况讨论：

a)若删去该节点导致攻击场景图***，则保留该节点；

b)若删去该节点攻击场景图仍然连通，则删去该节点；

(2)从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对***造成的风险上，对报警关联后的攻击序列进行了评估，攻击序列的危险性分析的步骤如下：

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，报警a_i的自身危险度、节点价值、服务价值分别为r_i、n_i、s_i，其定义及取值见？，则攻击序列S的危险度

$r_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{r}_i\·n_i\·s_i---\left(2\right)$

表示攻击序列S如果成功的话，造成***的危险程度；

(3)网络***的损失分析；

网络***的损失，归结到攻击关联图上各攻击序列的综合评估值上，定义为该攻击序列总的损失期望；

设攻击序列S＝{a₁，a₂，…，a_n}由n个报警a₁，a₂，…，a_n组成，第i个报警a_i的损失评估分为θ_i，第i+1个报警的可信度为p_i+1，则从初始报警a₁到第i个报警a_i可信度为

$p_{1,i}=1-\underset{k=1}{\overset{i}{\mathrm{\Π}}}(1-p_i)---\left(3\right)$

则该攻击序列给***造成的总的损失为

${\mathrm{\θ}}_S=E\left({\mathrm{\θ}}_i\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(4\right)$

取报警a_i的危险度为其损失评分，即

θ_i＝r_i·n_i·s_i    (5)

则

${\mathrm{\θ}}_S=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\left({\mathrm{\θ}}_i{p}_{1,i}\right)---\left(6\right)$

根据***损失排名，优先处理危险系数大***损失高的攻击序列，从而提高***安全管理员得工作效率和效果。