本站原创摘 要 :网络安全风险评估方法主要分为两类:静态风险评估和实时风险评估.由于静态风险评估问题重重,使得实时风险评估越来越受到关注.该文针对目前国内外实时风险评估研究现状做了比较详细深入地介绍,对所提出的具有代表性的实时风险评估方法的设计原理做了详细的说明,并经深入地分析给出了其各自客观存在的现实问题.最后预测和分析了未来实时风险评估研究的可能方向.
关 键 词 : 实时风险评估;隐马尔科夫模型;非负矩阵分解;人工免疫
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)06-1176-02
A Survey On Real-Time Risk Assesent
HE Li
(Department of Computer, Guangdong AIB Polytechnic College,Guangzhou 510507, China)
Abstract: The risk assesent methods for work security are classified into two categories in this paper: the static risk assesent and the real-time risk assesent. Because of lots of problems about the static risk assesent, the real-time risk assesent is being more and more concerned about. Current status of the Study on real-time risk assesent are described in detail in this paper, and the design principles and existing problems of it are systematically discussed. Besides, some open problems in the development of real-time risk assesent are presented and analyzed in the end.
Key words: real-time risk assesent; hidden Markov models; Non-Negative Matrix Factorization; artificial immune
目前网络安全风险评估方法有两类:传统风险评估和实时评估,传统风险评估主要是基于一些国际标准来进行的,有代表性的是ISO/IEC27002(即ISO/IEC17799)[1]、CC[2](即ISO/IEC15408)、SSE-CMM[3]、ISO/IEC13335,国内也制定了以《信息安全风险评估指南》为基础的一系列标准,比如2006年3月14日正式颁布了GB/T20261-2006的国家标准,于2008年11月1日开始实施的国家标准GB/T 22080-2008和国家标准GB/T 22081-2008(分别等同于国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005).这些标准和规范提出了风险评估的详细评估模型和评估流程(即所谓的传统风险评估).对标准的研究也逐渐从单一化的技术方面向兼容管理方面转变.同时,应用网络安全专家(例如TigerTeam[4])对目标网络进行风险评估,也会带来很多潜在的风险.基于此,导致传统风险评估存在下面几个问题:
1) 评估估过程繁琐,主观因素多,很难使评估自动化;
2) 需要较多人为参与,评估周期较长;
3) 评估结果是静态的,不能实时反映信息系统安全态势的变化,对一些突发事件很难迅速地作出响应.
从而导致现阶段网络安全处于被动防御的局面[5].虽然,实时动态风险评估能动态反应网络安全的客观状态,但是相比传统风险来说,其评估过程也是相对复杂得多;同时,国内外对于实时风险评估的研究还处于初步探索阶段.该文将按检测攻击方法的不同分别详细介绍目前国内外实时风险评估的研究现状.
1.基于网络传感器以及IDE(入侵检测系统)的网络安全实时风险评估的研究
2005年,Arnes等人[5]提出了基于HMM(隐马尔科夫模型)的实时风险评估方法.该方法是这样定义的:首先检测定网络中的每台主机具有N个状态,我们分别用S等于{s1,等,sN}描述这N个状态,我们用X等于{x1,等,xT}来描述网络中某一台主机在某一时刻的状态序列,其中xt∈S.为了研究的方便,通常我们只考虑3种状态:Good(G),Attacked(A),Compromised (C).同时再检测定主机可能会受到的攻击有M种,我们用V等于{v1,等,vM}表示,这样,攻击序列可表示为Y等于y1,等,yT,其中yt∈V.HMM还包含一个三元组λ等于(P,Q,π),其中P 等于 {pij}表示状态迁移矩阵,pij表示主机从t时刻状态si迁移到t+1时刻状态sj的概率,即条件概率pij 等于P(xt+1等于sj|xt等于si),1≤I,j ≤N.观察矩阵Q 等于 {qj(l)}表示在时刻t,主机处于sn状态观察到某种攻击vm的概率,qj(l) 等于 P(yt 等于 vl|xt 等于 sj),1 ≤ j ≤N,1 ≤ l ≤ M.M.初始状态π是一个向量,表示计算开始主机处于各个状态的概率π 等于 {πi}.t时刻主机的总风险为Rt等于[i等于1NRt(i)]等于[i等于1Nγt(i)C(i)],其中γt(i)、C(i)分别表示t时刻主机处于si状态的概率以及每个状态下的风险代价.为了体现风险评估的实时性,风险写作技巧需要动态地更新γt等于﹛γt(i)﹜.给定观察到的攻击yt以及三元组λ,风险写作技巧只需要通过文献[5]中给出的算法1即可计算出相应γt(i). 利用HMM来量化网络安全风险,具有以下4个优点:
1) 动态性,由于风险评估的输入是通过网络传感器实时采集的,具有动态性,这也使得输出呈现动态的变化.
2) 易于量化,该模型下主机的风险值是由两部分的乘积构成的:每个状态发生的概率以及此状态下的风险代价.
3) 参数可调节性,给不同网络确定不同的λ以及代价向量C(i),会得到不同的风险评估结果,这样更能适应不同的网络环境.
4) 计算过程耗时短,隐马尔可夫模型的计算量相对来说是比较小的,一方面,内网主机数量有限,另一方面,风险值的计算很简单.因此整个计算过程消耗的时间非常短.
但是利用HMM进行安全风险量化的方法也存在两个明显问题:
1) P、Q矩阵的确定,Arnes等人提出对于P矩阵的构造可以基于现实或实验统计攻击数据,也可以来自于专家的主观经验,对于Q矩阵的构造文中没有给出详尽的阐释.马煜等人[6]将各阶段攻击时间、难度系数以及状态转移概率三者之间建立起联系,从而确定出P矩阵.而对于Q矩阵的构造,则较为主观的将所有攻击归为三类,对于安全要求较高的现实环境不太适用.
2) Q矩阵规模的控制,首先对IDS告警的攻击方式非常多,Snort基本告警就多达8000多个,如果将每一个IDS告警直接与Q矩阵关联,那么Q矩阵的规模将相当庞大,使得风险值的运算效率会非常低.所以李伟明等人[7]提出了一种针对告警的威胁程度的算法,该算法综合考虑漏洞、资产、环境等各个方面因素,将告警威胁度预设为10级,将所有IDE告警根据影响程度归入这10类,从而使Q矩阵的规模控制为4×10.但文中对于风险的计算过于简单化,没有考虑到多网络中不同主机对于风险敏感程度的不一致性,所以最终确定的风险值过于粗糙.其次文中提到风险规则库的构造也缺乏通用性,不具备不同网络间的普适性.另外,这篇文章中首次采用了遗传算法对γt等于﹛γt(i)﹜进行实时更新.
2.基于非负矩阵分解在实时风险评估中的应用
目前入侵检测系统越来越受到广泛关注,同时所出现的问题也越来越多.一方面入侵检测系统在处理海量数据的能力不够强,另一方面入侵检测系统很难平衡检测率和误报率这两个指标.文献[8][9]都检测设数据量非常小或者维数很低,这样的简化使得得出来的结论与实际环境并不相符,根本达不到我们所需要的实时效果,例如Warrend等人基于HMM,使用大量的数据在正常模型的训练中需要约2个月[10],王伟在其博士论文中使用改进后的HMM方法,在其模型中仅使用近6万条的数据就耗时约50分钟 [11],这显然不能满足我们对实时风险评估的需要.所以,文献[11]提出运用NMF(非负矩阵分解)的思想将实时入侵检测分为三个阶段:数据预处理、NMF数据降维与特征提取以及分类决策.张凤斌、杨辉继[12]文献[11]之后做了进一步发展.
NMF是一种高效的数据降维的方法,最早由D.D.Lee和H.S.Seung在1999年的《Nature》杂志上提出[13].此降维方法的特点是,所有的数据必须都是非负的.而对于数据的统计频率,具备上述的非负特性.
在文献[11]中,整个实时风险入侵检测分成三个阶段.数据预处理阶段主要是统计每组数据中每个元素出现的频率.检测定初始数据被分为m组,数据中有n个不同类型的元素,这样我们就可以构造出初始矩阵Vnm.接下来,通过非负矩阵分解对正常行为建模,按文献[13]所给出的迭代公式即可计算得到最优的矩阵分解W与H,使得V≈WH.作为正常数据特征的H,它的每列元素之和恒等于1.基于此,我们就可以建立起正常程序的行为模型.最后,在分类检测阶段,给定一组测试数据,首先经过数据预处理方法统计该组数据中每个元素的频率,从而形成一测试向量t,将t进行矩阵分解从而可以得到新特征与训练数据所包含的特征之差的绝对值,再将这个绝对值作为入侵检测的异常度ε.如果待测数据的异常度大于ε,则判断该数据异常,否则为正常.
该方法只是从定性角度分析了系统所存在某种风险,并没有对风险值进行量化,这样使得我们很难进行风险决策.
3.结束语
本文综述的文献主要来自IEEE、SpringerLink和中国期刊网,也有部分来自如Nature以及Journal of Machine Learning Research等国际著名期刊.该文主要是对目前国内外实时风险评估研究的现状以及及存在的问题进行了系统的分析,总结和比较.除此之外,很多专家学者对实时风险评估也作出了极大的贡献,国外方面,Haslum[14]提出使用连续HMM,而非离散的HMM来对状态转换进行计算;Gehani[15]提出基于主机的实时风险评估;Jonsson和Olovsson[16][17]利用入侵检测系统中的实验数据来分析攻击者的行为,通过观测系统的实时输入和输出对系统进行风险评估;国内方面,陈秀真博士[18]也通过研究入侵检测系统中的数据,定量评估实时网络安全威胁态势.综上所述,目前实时风险评估的研究虽取得了一定的研究成果,但其仍然处于摸索阶段,还有很多现实的问题有待进一步的讨论和研究,比如:(1)如何更好的确保实时性;(2)预言机制的应用;(3)实时风险评估在不同网络间的适应性问题等.
Control and Security Newsletter,1989,27(4):1-10.[5] Arnes A,Sallhammar K.Real-time risk assesent with work sensors and intrusion detection systems[C].Proceedings of the International Conference on Computational Intelligence and Security.Springer-Verlag,2005:388-397.
[6] 马煜,刘建华,尚星,田东平.基于隐马尔可夫的网络实时风险评估[J].计算机工程与设计,2009,30(11):2656-2659.
[7] 李伟明,雷杰,董静,李之棠.一种优化的实时网络安全风险量化方法[J].计算机学报,2009,32(4):794-804.
[8] Hu W, Liao Y, Vemuri V R. Robust Support Vector Machines for Anomaly Detection in Computer Security. The 2003 International Conference on Machine Learning and Applications(ICMLA’03)[C]. Los Angeles, California, 2003-3.
[9] Feng L, Guan X, Guo S, et al. Predicting the Intrusion Intentions by Observing System Call Sequences[J].Computer&Security,2004, vol. 23, No. 5:245-252.
[10] Warrender C, Forrest S, Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models[J].Preceedings of 1999 IEEE Sysposium on Privacy,1999.133-145.
[11] 王伟.多信息源的实时入侵检测方法[D].西安:西安交通大学,2005.
[12] 张凤斌,杨辉.非负矩阵分解在入侵检测中的应用[J].哈尔滨理工大学学报,2008,13(2):20-22.
[13] Lee D D, Seung H S. Learning the Parts of Object with Nonnegative Matrix Factorization[J].Nature,1999(401):788-791.
[14] Haslum Kjetil, rnes André. Multisensor real-time risk assesent using continuous-time hidden Markov models//Proceedings of the International Conference on Computational Intelligence and Security (CIS). Guangzhou, China, 2006:694-703.
[15] Gehani A, Kedem G. Rheostat: Real-time risk management//Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection. French Riviera,France, 2004: 296-314.
[16] Jonsson E, Olovsson T. An empirical model of the security intrusion process//Proceedings of the 11th Annual Conference on Computer Assurance. Gaithersburg, 1996: 176-186.
[17] Jonsson E, Olovsson T. A quantitative model of the security intrusion process based on attacker behior. IEEE Transactions on Software Engineering, 1997, 23(4): 235-245.
[18] 张永铮,方滨兴,迟悦,云晓春.网络风险评估中网络节点关联性的研究[J].计算机学报, 2007, 30(2): 234-240.