目前网络安全风险评估方法有两类:传统风险评估和实时评估,传统风险评估主要是基于一些国际标准来进行的,有代表性的是ISO/IEC27002(即ISO/IEC17799)[1]、CC[2](即ISO/IEC15408)、SSE-CMM[3]、ISO/IEC13335,国内也制定了以《信息安全风险评估指南》为基础的一系列标准,比如2006年3月14日正式颁布了GB/T20261-2006的国家标准,于2008年11月1日开始实施的国家标准GB/T 22080-2008和国家标准GB/T 22081-2008(分别等同于国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005)。这些标准和规范提出了风险评估的详细评估模型和评估流程(即所谓的传统风险评估)。对标准的研究也逐渐从单一化的技术方面向兼容管理方面转变。同时,应用网络安全专家(例如TigerTeam[4])对目标网络进行风险评估,也会带来很多潜在的风险。基于此,导致传统风险评估存在下面几个问题:
1) 评估估过程繁琐,主观因素多,很难使评估自动化;
2) 需要较多人为参与,评估周期较长;
3) 评估结果是静态的,不能实时反映信息系统安全态势的变化,对一些突发事件很难迅速地作出响应。
从而导致现阶段网络安全处于被动防御的局面[5]。虽然,实时动态风险评估能动态反应网络安全的客观状态,但是相比传统风险来说,其评估过程也是相对复杂得多;同时,国内外对于实时风险评估的研究还处于初步探索阶段。该文将按检测攻击方法的不同分别详细介绍目前国内外实时风险评估的研究现状。
1 基于网络传感器以及IDE(入侵检测系统)的网络安全实时风险评估的研究
2005年,Arnes等人中给出的算法1即可计算出相应γt(i)。
利用HMM来量化网络安全风险,具有以下4个优点:
1) 动态性,由于风险评估的输入是通过网络传感器实时采集的,具有动态性,这也使得输出呈现动态的变化。
2) 易于量化,该模型下主机的风险值是由两部分的乘积构成的:每个状态发生的概率以及此状态下的风险代价。
3) 参数可调节性,给不同网络确定不同的λ以及代价向量C(i),会得到不同的风险评估结果,这样更能适应不同的网络环境。
4) 计算过程耗时短,隐马尔可夫模型的计算量相对来说是比较小的,一方面,内网主机数量有限,另一方面,风险值的计算很简单。因此整个计算过程消耗的时间非常短。
但是利用HMM进行安全风险量化的方法也存在两个明显问题:
1) P、Q矩阵的确定,Arnes等人提出对于P矩阵的构造可以基于现实或实验统计攻击数据,也可以来自于专家的主观经验,对于Q矩阵的构造文中没有给出详尽的阐释。马煜等人[6]将各阶段攻击时间、难度系数以及状态转移概率三者之间建立起联系,从而确定出P矩阵。而对于Q矩阵的构造,则较为主观的将所有攻击归为三类,对于安全要求较高的现实环境不太适用。
2) Q矩阵规模的控制,首先对IDS告警的攻击方式非常多,Snort基本告警就多达8000多个,如果将每一个IDS告警直接与Q矩阵关联,那么Q矩阵的规模将相当庞大,使得风险值的运算效率会非常低。所以李伟明等人[7]提出了一种针对告警的威胁程度的算法,该算法综合考虑漏洞、资产、环境等各个方面因素,将告警威胁度预设为10级,将所有IDE告警根据影响程度归入这10类,从而使Q矩阵的规模控制为4×10。但文中对于风险的计算过于简单化,没有考虑到多网络中不同主机对于风险敏感程度的不一致性,所以最终确定的风险值过于粗糙。其次文中提到风险规则库的构造也缺乏通用性,不具备不同网络间的普适性。另外,这篇文章中首次采用了遗传算法对γt=﹛γt(i)﹜进行实时更新。
2 基于非负矩阵分解在实时风险评估中的应用
目前入侵检测系统越来越受到广泛关注,同时所出现的问题也越来越多。一方面入侵检测系统在处理海量数据的能力不够强,另一方面入侵检测系统很难平衡检测率和误报率这两个指标。文献之后做了进一步发展。
NMF是一种高效的数据降维的方法,最早由D.D.Lee和H.S.Seung在1999年的《Nature》杂志上提出[13]。此降维方法的特点是,所有的数据必须都是非负的。而对于数据的统计频率,具备上述的非负特性。
在文献[11]中,整个实时
风险入侵检测分成三个阶段。数据预处理阶段主要是统计每组数据中每个元素出现的频率。假定初始数据被分为m组,数据中有n个不同类型的元素,这样我们就可以构造出初始矩阵Vnm。接下来,通过非负矩阵分解对所给出的迭代公式即可计算得到最优的矩阵分解W与H,使得V≈WH。作为正常数据特征的H,它的每列元素之和恒等于1。基于此,我们就可以建立起正常程序的行为模型。最后,在分类检测阶段,给定一组测试数据,首先经过数据预处理方法统计该组数据中每个元素的频率,从而形成一测试向量t,将t进行矩阵分解从而可以得到新特征与训练数据所包含的特征之差的绝对值,再将这个绝对值作为入侵检测的异常度ε。如果待测数据的异常度大于ε,则判断该数据异常,否则为正常。
该方法只是从定性角度分析了系统所存在某种风险,并没有对风险值进行量化,这样使得我们很难进行风险决策。
3 结束语
本文综述的文献主要来自IEEE、SpringerLink和中国期刊网,也有部分来自如Nature以及Journal of Machine Learning Research等国际著名期刊。该文主要是对目前国内外实时风险评估研究的现状以及及存在的问题进行了系统的分析,总结和比较。除此之外,很多专家学者对实时风险评估也作出了极大的贡献,国外方面,Haslum[14]提出使用连续HMM,而非离散的HMM来对状态转换进行计算;Gehani[15]提出基于主机的实时风险评估;Jonsson和Olovsson[16][17]利用入侵检测系统中的实验数据来分析攻击者的行为,通过观测系统的实时输入和输出对系统进行风险评估;国内方面,陈秀真博士[18]也通过研究入侵检测系统中的数据,定量评估实时网络安全威胁态势。综上所述,目前实时风险评估的研究虽取得了一定的研究成果,但其仍然处于摸索阶段,还有很多现实的问题有待进一步的讨论和研究,比如:(1)如何更好的确保实时性;(2)预言机制的应用;(3)实时风险评估在不同网络间的适应性问题等。
参考文献:
[1] ISO/IEC 17799. International Organization for Standardization, Code of Practice for Information Security Management[S].2005.
[2] CC v3.1. Common Criteria for Information Technology Security Evaluation[S]. 2006.
