一種優(yōu)化的實時網(wǎng)絡風險評估方法

黃 海，劉林東

（廣東第二師范學院計算機學院，廣州 510303）

0 引言

實時網(wǎng)絡風險評估對網(wǎng)絡防御技術具有重要意義，作為下一代網(wǎng)絡的關鍵技術，已經(jīng)得到了專家學者們的廣泛關注［1］。風險評估方法包括人工評估和自動評估［2］。人工評估通常是通過問卷調(diào)查的方法，這依賴于專家經(jīng)驗。雖然這種評估方法比較全面，但是它容易導致主觀化以及評估過程的復雜性，往往會帶來巨大成本。自動評估通常是自動識別漏洞或攻擊。由于自動評估方法自動、高效且易于管理，風險評估相關研究集中在自動評估方面。

為了從cops 中獲取信息，Ortalo 等［3］引入加權圖理論來為系統(tǒng)漏洞建模。他們使用馬爾可夫模型來計算攻擊者可能會滲透到安全定量測量系統(tǒng)安全性的成本，這是一種靜態(tài)方法。龔文濤等［4］提出了網(wǎng)絡漏洞檢測方法。Jajodia 等［5］基于攻擊圖模型對攻擊行為進行建模和分析。李世斌等［6］提出了一個以免疫為基礎的網(wǎng)絡安全風險檢測模型，這種模型強調(diào)評估網(wǎng)絡系統(tǒng)的實時風險。張永錚等［7］提出了一個風險評估網(wǎng)絡信息傳播模型系統(tǒng)。但是，最后兩種方法針對已知的網(wǎng)絡攻擊檢測已不能滿足當前的網(wǎng)絡安全環(huán)境精準度的需要。

因為計算機網(wǎng)絡安全的問題與生物免疫系統(tǒng)（BIS）在變化環(huán)境中都要保持穩(wěn)定狀態(tài)，所以它們呈現(xiàn)出極好的導向和相似度。Burnet等［8］在1957 年提出了著名的克隆理論，并建立“非我模式”模型。該模型認為各種淋巴細胞受體有其特異性。基于“非我模式”， Forrest 等［9］在1994年提出了否定性選擇算法（NS）。NS算法極大地促進了免疫原理在計算機安全方面的應用，這對幾乎所有計算機免疫系統(tǒng)（cis）方面的研究是鼓舞人心的?；谌斯っ庖呦到y(tǒng)的網(wǎng)絡安全技術被認為是非常有前途的研究方向。Matzinger［10］提出的風險理論指出，免疫系統(tǒng)不僅能夠識別“非我模式”，而且當入侵的“風險”積累到一定的程度還會散發(fā)出風險的信號。這意味著免疫系統(tǒng)可發(fā)現(xiàn)外部抗原入侵。

為了有效地評估實時網(wǎng)絡風險，本文提出了一種基于Reapai 的實時網(wǎng)絡風險評估模式。它先給出了自我、非自我和檢測器的定義， 然后介紹了入侵檢測器子模型定義，最后建立了基于免疫風險理論的網(wǎng)絡風險評估子模型。在該模型中，包括主機和網(wǎng)絡的所有帶有風險程度的各類攻擊，都可以被實時和定量地計算。理論分析和實驗結(jié)果都表明，Reapai提供了一個有效的、新穎的網(wǎng)絡風險評估方法。

1 提出理論模型

Reapai 由兩個子模型組成，一個是入侵檢測子模型，負責入侵檢測；另一個是風險評估子模型，負責入侵評估，最后計算網(wǎng)絡系統(tǒng)各種攻擊類型的風險。

1.1 入侵檢測子模型

子模型含三個模塊，內(nèi)存檢測器檢測模塊、成熟檢測器檢測模塊和未成熟檢測器容忍模塊。與之相關的定義如下。在我們的模型中，抗原（Ag，Ag?D，D={0，1}∫）是從網(wǎng)絡傳輸中的互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)包中抽取的固定長度為1位二進制字符串。異己模式代表來自計算機網(wǎng)絡攻擊的IP數(shù)據(jù)包，而自我模式是正常的網(wǎng)絡服務事務，因此

sAg是從Ag中以η的概率隨機選擇（檢測系數(shù)，0＜η≤1）。

假設B代表公式（1）給出的入侵檢測器，其中d代表抗體，年齡是抗體d的年齡，s是檢測器的損傷程度，計數(shù)是與抗體d相匹配的抗原的數(shù)量，N是自然數(shù)集合。

B包含兩個子集：成熟檢測器（Tb）和記憶檢測器（Mb），因此

成熟檢測器是一種能容忍自我但不能被抗原激活的檢測器。記憶檢測器是從在其生命周期中能與足夠多的抗原相匹配的成熟檢測器演繹而來，因此

其中β（＞0）代表激活閾值，

fmatch(x,y)代表一個r個連續(xù)比特的匹配函數(shù)，即

假設Ib代表未成熟檢測器集合，其中

它將用于生成成熟檢測器。Ib可以有兩種方法生成，一種來自抗原存托，另外一種是隨機生成。Ib的隨機性使得新的成熟檢測器有更多的多樣性。

對于每一個輸入集合Ag，它被分成δ（δ是不變的）個時代。對于每個抗原時代，大量的抗原被選擇組成集合sAg。而sAg通過B檢測器設置的檢測又被分成自我和異己兩類。每個時代的迭代過程如圖1所示。整個過程是由三個階段組成的。第一階段是從0時刻到容忍終止α時刻。在這個階段我們定義了最初的自我集合Self（0）和未成熟檢測器集合Ib（0）。其中集合Ib（0）將成長為成熟檢測集合。第二階段是自主學習階段，它從α+1 時刻到記憶檢測器出生時刻。通過克隆擴張， 成熟檢測器將產(chǎn)生足夠多的具有相同特異性抗原。未成熟檢測器對自我抗原給出其容忍性。最后一個階段是從記憶檢測器的出生到系統(tǒng)的結(jié)束。在實際檢測環(huán)境中，免疫系統(tǒng)的所有部分分成三種類型：基因檢測器檢測抗原；成熟檢測器檢測剩余部分； 免疫檢測器用剩下的抗原再來實驗其容忍性。整個過程如圖1所示。

圖1 入侵檢測子模型

在運行過程中，外部系統(tǒng)也能添加合法的自我抗原到Self（t）中。雖然新添加的自我抗原會產(chǎn)生自身具有耐受性的檢測器，但隨著抗原的更新，未出現(xiàn)一些給定的時間，那么新的檢測器就不能容忍抗原。因此，系統(tǒng)具有良好的自適應性。在系統(tǒng)中，如果對抗原有容忍和非容忍兩種類型的檢測器， 它們的競爭將由外部系統(tǒng)來評價（即共刺激）。

系統(tǒng)收到來自記憶檢測器和成熟探測器匹配成功的抗原，立即檢查當前抗原是否屬于集合Self（t）。如果抗原屬于集合，那么共同刺激將產(chǎn)生。如果抗原是自我，則與抗原相匹配的檢測器將被刪除；否則，抗原將被刪除，并且刪除的自我元素將不再屬于自我；如果抗原不是自我，那么它會被當成異己分子。

1.2 風險評估子模型

用入侵檢測子模型檢測入侵或攻擊抗原，記憶檢測器對檢測到的入侵或攻擊抗原進行風險評估。從時刻t-1 到時刻t，如果主機的第i（0≤i≤1）個記憶檢測器發(fā)現(xiàn)入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣增加。同時，相應的記憶檢測器的年齡設置為0。如果記憶檢測器檢測到多個相同的入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣累計計算，表明攻擊威脅在持續(xù)增加。假設η1（η1＞0）代表初始損傷程度，η2（η2＞0）代表鼓勵基因，用于監(jiān)控連續(xù)類似的網(wǎng)絡攻擊。

但是，如果記憶檢測器無法檢測到入侵或攻擊抗原，那么根據(jù)公式（5），它的損傷程度將降為1/λ，并且它的記憶檢測器的年齡增加1。

定理1：如果記憶檢測器沒有檢測到入侵抗原，探測器的風險性會衰變?yōu)?，或者記憶檢測器將死亡和被刪除。

證明：根據(jù)上面的公式，成熟探測器在捕獲入侵抗原β后會進化成記憶檢測器， 或者記憶檢測器在生命周期捕獲到抗原。可以看出當記憶檢測器的年齡增加λ，記憶檢測器的損傷程度下降為0，這幾乎是符合實際的入侵情況。當沒有同樣攻擊會話的新入侵事務時，會話就被認為是相應的入侵。

假設rk(t)（0≤rk(t)≤1，1≤k≤K）代表k主機在時間t的風險：如果rk(t)=1， 表明風險極高；如果rk(t)=0，表明沒有風險。系統(tǒng)存在的風險與rk(t)值成正比?？紤]到主機的各種配置和不同類型攻擊風險，用μi代表各種攻擊的風險程度，ωk代表主機k的配置。

對于主機k， 在t時刻的第i種攻擊的安全風險，記為rk,i(t)，其定義為公式（6）。

對于主機k，在t時刻的整體安全風險定義為公式（7）：

對于整個網(wǎng)絡系統(tǒng)，在t時刻的第i種攻擊的安全風險程度，記為Ri（t），其定義為公式（8）：

最后，在t時刻的整體網(wǎng)絡安全風險程度定義為公式（9）：

2 仿真和實驗結(jié)果

實驗在廣東第二師范學院信息安全實驗室完成。環(huán)境是100 兆局域網(wǎng)， 它是通過一個C類IP 地址10.0.209.*.連到互聯(lián)網(wǎng)。服務器的操作系統(tǒng)是Red Hat Linux 9.0。抗原被定義為一個固定長度二進制字符串（l=128），它是由源主機/目的主機的IP 地址（64 bits），端口數(shù)（16 bits），協(xié)議標志（16 bits）和數(shù)據(jù)包內(nèi)容（32 bits）組成。任務目標是檢測網(wǎng)絡攻擊和評估主機的風險程度。漢明匹配規(guī)則用于計算抗原和抗體之間（距離=80）的親和力。一般情況下， 由于正常處理網(wǎng)絡改變不大，所以成熟細胞的容忍性參數(shù)α，設置為1。和成熟細胞的生命周期一樣，激活閾值β 確保模型來實現(xiàn)更高的TP 入侵檢測價值（真陽性）和較低的FP 值（假陽性）。為了看到實時風險評估的影響，記憶檢測器的風險下降步驟λ 設置為1。為了演示Reapai 的網(wǎng)絡攻擊評估模型，我們做了不同的網(wǎng)絡攻擊實驗，結(jié)果如圖2和圖3所示。

圖2 攻擊強度曲線和風險程度曲線

圖3 阻斷攻擊強度曲線和風險程度曲線

這兩個圖說明了Reapai 模型關于攻擊強度曲線和風險程度曲線的評估結(jié)果。從結(jié)果可以看出，Reapai 模型能夠極好地評估網(wǎng)絡攻擊和顯示出相應的風險程度曲線。進一步證明Reapai 模型在對風險評估上的作用。我們分別在主機和整個網(wǎng)絡做了tcpreset 攻擊和udpstorm攻擊。圖4 和圖5 針對Reapai 模型與Insre 模型的風險曲線進行了比較。

圖4 阻斷攻擊強度曲線和風險程度曲線

圖5 攻擊強度曲線和風險程度曲線

在圖4 中，從0 s～7 s，隨攻擊力度減少，對應的風險指標顯著下降。但從8 s～12 s， 攻擊力度降低，對應的風險指示出現(xiàn)上升。在圖5中，從0 s～10 s，網(wǎng)絡攻擊強度下降，相應的風險指標顯示出上升趨勢。然而，從11 s～19 s，網(wǎng)絡攻擊強度增加，相應的風險指標也迅速增長。

實驗表明Reapai 模型和Insre 模型都能反映出每臺主機和整個網(wǎng)絡的綜合風險。然而，圖2和圖3 顯示出Reapai 模型比Insre 模型更符合攻擊強度。

3 相關工作

目前，網(wǎng)絡安全的風險評估工作剛剛開始，且只有少數(shù)文獻可參考。在風險評估上，我們用Reapai 模型和其它模型進行了比較。表1 表明現(xiàn)有模型主要集中在靜態(tài)評估上，不能發(fā)現(xiàn)未知攻擊。然而，Reapai 模型能夠在進行較低的計算下發(fā)現(xiàn)未知攻擊。

表1 Reapai和其他風險評估模型的比較

4 結(jié)語

本文提出了一個基于Reapai 的網(wǎng)絡風險評估模型。該模型有效地將人工免疫系統(tǒng)的相關理論應用于網(wǎng)絡安全技術。與現(xiàn)有的風險評估模型相比，本文提出的模型可以有效地檢測每臺主機和每種類型的網(wǎng)絡攻擊的實時總體風險程度。

因此，Reapai 模型將幫助系統(tǒng)管理員了解系統(tǒng)安全的宏觀威脅情況，引導他們發(fā)現(xiàn)網(wǎng)絡安全的趨勢和行為規(guī)則，調(diào)整安全策略，提高網(wǎng)絡安全性能。