以動(dòng)態(tài)關(guān)聯(lián)分析為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

屈博

在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)中，存在著一些風(fēng)險(xiǎn)隱患，如病毒、木馬和黑客等，對(duì)于信息傳輸安全形成了巨大威脅，需要做好計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和預(yù)防工作。本文以動(dòng)態(tài)關(guān)聯(lián)分析為基礎(chǔ)，就計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了研究和討論。

【關(guān)鍵詞】動(dòng)態(tài)關(guān)聯(lián)分析 計(jì)算機(jī)網(wǎng)絡(luò) 安全風(fēng)險(xiǎn)評(píng)估

1 引言

傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估采用的多是入侵檢測(cè)系統(tǒng)，該系統(tǒng)雖然就可以就異常信息發(fā)出報(bào)警，但是其中僅有1%的報(bào)警屬于必要報(bào)警，其余99%均為無(wú)關(guān)報(bào)警，管理人員在面臨海量報(bào)警時(shí)，無(wú)法準(zhǔn)確掌握系統(tǒng)面臨的安全威脅，也就無(wú)法及時(shí)采取有效應(yīng)對(duì)措施?；诖?，本文提出了一種以動(dòng)態(tài)關(guān)聯(lián)分析為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)估方法，可以針對(duì)一定時(shí)間間隔內(nèi)的報(bào)警事件開(kāi)展關(guān)聯(lián)性分析，并以此為基礎(chǔ)提出了攻擊威脅度和攻擊成功率算法。

2 理論分析及算法設(shè)計(jì)

為保證理論分析的嚴(yán)謹(jǐn)性以及表述的清晰性，在研究前提出三個(gè)假設(shè)條件：

（1）不考慮入侵檢測(cè)系統(tǒng)（IDS）的錯(cuò)報(bào)和漏報(bào)情況；

（2）不考慮IDS告警延遲引發(fā)的告警順序錯(cuò)誤；

（3）假定同一個(gè)目標(biāo)節(jié)點(diǎn)不會(huì)在同時(shí)遭遇多種復(fù)雜攻擊。

2.1 攻擊威脅度算法

實(shí)踐表明，存在關(guān)聯(lián)關(guān)系的多步攻擊事件連續(xù)發(fā)生較獨(dú)立攻擊事件單獨(dú)發(fā)生的危害性更強(qiáng)，因此，為了在評(píng)估環(huán)節(jié)充分反映上述安全特性，構(gòu)建攻擊關(guān)聯(lián)規(guī)則數(shù)據(jù)庫(kù)以及攻擊狀態(tài)數(shù)據(jù)庫(kù)。

2.1.1 報(bào)警預(yù)處理

網(wǎng)絡(luò)攻擊通常都存在連續(xù)性的特點(diǎn)，一次攻擊行為會(huì)進(jìn)行多次重復(fù)，在這種情況下，IDS會(huì)發(fā)出大量的報(bào)警信息，需要針對(duì)冗余信息進(jìn)行聚合預(yù)處理，從中提取出有用的報(bào)警信息。

2.1.2 動(dòng)態(tài)關(guān)聯(lián)分析

攻擊事件的動(dòng)態(tài)關(guān)聯(lián)形式如圖1所示。

結(jié)合圖1分析，Ni表示IDS某次報(bào)警TI的目標(biāo)節(jié)點(diǎn)，△T表示從當(dāng)前到過(guò)去的時(shí)間段，存在，tc表示當(dāng)前時(shí)刻，td則為過(guò)去某個(gè)時(shí)刻。目標(biāo)節(jié)點(diǎn)在△T內(nèi)存在的所有IDS報(bào)警可能會(huì)被分割成m條攻擊鏈，這里以Atj表示。動(dòng)態(tài)關(guān)聯(lián)需要遵循的規(guī)則有幾個(gè)：

（1）對(duì)于目標(biāo)節(jié)點(diǎn)TI首先執(zhí)行報(bào)警聚合預(yù)處理，通過(guò)相關(guān)參數(shù)來(lái)判斷是否屬于新建聚合預(yù)警，如果判斷為否，則需要對(duì)其所在的攻擊鏈信息進(jìn)行更新；

（2）在新建hT時(shí)，應(yīng)該進(jìn)行動(dòng)態(tài)關(guān)聯(lián)操作，判斷其是否屬于攻擊關(guān)聯(lián)規(guī)則庫(kù)中復(fù)雜攻擊的第一個(gè)步驟，如果是，新建攻擊鏈，做好孤立標(biāo)記，當(dāng)出現(xiàn)后續(xù)關(guān)聯(lián)步驟后取消標(biāo)記；如果否，則判斷為孤立報(bào)警；

（3）在周密部署的情況下，攻擊并不會(huì)對(duì)已經(jīng)獲取的權(quán)限進(jìn)行再次獲取，因此，如果再次檢測(cè)到攻擊鏈中的第一個(gè)步驟，則可以判斷攻擊鏈結(jié)束，新一波攻擊來(lái)臨，此時(shí)需要對(duì)原來(lái)的攻擊鏈進(jìn)行注銷(xiāo)，新建攻擊鏈以避免△T取值過(guò)大引發(fā)的告警關(guān)聯(lián)錯(cuò)誤。

2.2 攻擊成功率算法

網(wǎng)絡(luò)攻擊想要成功執(zhí)行，需要具備一定的前提條件，如果這些條件不被滿(mǎn)足或者部分滿(mǎn)足，則攻擊成功率會(huì)較低，如果條件全部滿(mǎn)足，則攻擊成功率較高。同時(shí)，攻擊成功率受目標(biāo)節(jié)點(diǎn)安全防護(hù)程度的影響，安全防護(hù)措施越強(qiáng)，攻擊成功率越低。結(jié)合相關(guān)經(jīng)驗(yàn)分析，攻擊成功率對(duì)于安全措施的動(dòng)態(tài)變化異常敏感，可以通過(guò)指數(shù)函數(shù)進(jìn)行描述。攻擊成功率AS經(jīng)驗(yàn)公式為：

AS=m/eI

在公式中，m表示攻擊成功前提條件與節(jié)點(diǎn)漏洞信息匹配度，I表示目標(biāo)節(jié)點(diǎn)安防強(qiáng)度。

2.3 系統(tǒng)風(fēng)險(xiǎn)態(tài)勢(shì)值計(jì)算

3 結(jié)語(yǔ)

針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，提出了一種基于IDS告警關(guān)聯(lián)的風(fēng)險(xiǎn)評(píng)估方法，可以實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)時(shí)準(zhǔn)確評(píng)估，對(duì)實(shí)時(shí)風(fēng)險(xiǎn)態(tài)勢(shì)變化曲線(xiàn)進(jìn)行滬指，為安全策略的及時(shí)更新提供參考。同時(shí)，可以針對(duì)多步關(guān)聯(lián)攻擊行為的連續(xù)發(fā)生與獨(dú)立攻擊行為單獨(dú)發(fā)生的威脅度差異進(jìn)行對(duì)比分析，通過(guò)將節(jié)點(diǎn)安防措施強(qiáng)度作為評(píng)估指標(biāo)的方式，保證了評(píng)估結(jié)果的準(zhǔn)確性和客觀(guān)性，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全管理有著良好的促進(jìn)作用。

參考文獻(xiàn)

[1]陳燕.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法研究[D].中國(guó)海洋大學(xué)，2015.

[2]孫雪巖，吳俊華，劉效武，等.基于關(guān)聯(lián)分析與FCE的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估[J].軟件導(dǎo)刊，2016，15（06）：192-196.

[3]葛?；?，陳天平，楊義先.基于動(dòng)態(tài)關(guān)聯(lián)分析的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法[J].電子與信息學(xué)報(bào)，2013，35（11）：2630-2636.

作者單位

商水縣國(guó)土資源局 河南省周口市 466100