基于关联分析与FCE的网络安全风险评估.docVIP

基于关联分析与的网络安全风险评估 关键词 文献标志码: A 中图分类号: **** 1 引言 连续运行的入侵检测系统(Intrusion Detection System, IDS)告警的数量往往短时间内就可达到G数量级，其中大部分均是误报和无关报警[1]，网络分析人员虽然可以采集到海量的告警信息，却很难了解系统的真实安全状况，不能及时采取有效的响应措施。因此，如何对系统面临的实时风险态势进行准确的评估，并为管理员制定有效的安全防护策略提供支撑成为急需解决的研究挑战。 在对网络安全风险分析研究中，文献[2-3]均建立了层次化的评估模型，并给出了相应的威胁量化方法，将评估过程模型化、定量化，但仍存在主观性较强网络安全评估数据来源较为单一使评估结果不够准确客观性不高。车载自组网中，Du等人[4]利用攻防树表示其潜在攻击与防御策略，并结合博弈论实现了对安全状况的评估，素与安防措施，评结果不够准确。葛海慧等人[5]针对实告警具有关联性的特点，一种实时的风险评估方法，进而对定内的进行关联分析，具有较高理论意义和实用价值，但存在量化程度不高、缺乏对脆弱性等关键要素的关联。文献[6]，提出一种基于时空关联分析的量化评估方法，但存在时空复杂度较高、准确性不高而且不易操作等问题。 系统紊乱程度的测度Shannon[7]把熵的概念信息领域，。文献[8]为解决信息系统中不确定性信息难以量化的问题，提出了一种基于信息熵的信息系统安全风险分析方法此方法利用信息熵来度量网络系统风险，采用定性与定量相结合的方法得到各个风险因素的风险值，对系统中主要的风险因素采取相应的控制措施。M.Soleiani等[9]提出了一种基于AHP(Analytic Hierarchy Process)和熵权理论评估方法；Wang等人[10]也提出了利用改进的AHP和熵权理论的方法，建立电子银行的风险评估模型。上述网络安全风险分析方法，证实了评判法与AHP[11]的优势，可实现网络威胁综合评估。评结果易受人为因素影响，网络环境中还存在不确定性因素难以量化及定量评估难的问题。刘勇等人[12]为避免信息系统风险评估中过分依赖专家主观判断的情况，采用信息熵的评估方法，并构建三要素矩阵，有效降低了评估的主观性，但对于信息的模糊性未有更好的解决办法。本文利用模糊层次分析法和熵权法对指标进行评估，达到模糊综合评判(Fuzzy Comprehensive Evaluation, FCE)的目的，解决风险评估过程中定量评估的难题。 网络安全风险评估是对网络系统的安全风险进行系统、全面的估计。本文所指的安全风险，是指由网络告警和安全事件发生的可能性及其影响所决定。本文首先对相关术语进行定义。 定义1 网络节点()。指各种不同类型的服务器或计算机终端，一个五元组表示，其中是网络节点的唯一标识；是节点的重要性权重；是节点上运行的软件信息，包含操作系统版本、配置信息等；是该节点上所运行的服务；是节点上的漏洞包括软件漏洞及失误配置等。 定义2 告警()。指触发IDS对攻击行为产生告警信号，表示为。其中，是告警唯一标识，是告警的时间，是告警的关联规则标识；源表示目的IP地址；、分别指源、目的端口。是告警的严重度。 定义3 聚合告警()。对IDS原始告警进行聚合处理后产生的一种数据形式， ，是唯一标识，从原告警继承而来，为该的原始告警次数，和为其起始和最近更新时间。 定义4 威胁严重度()。指攻击对节点造成损失或影响的严重程度，是攻击的途径、复杂度、可靠可用性()及告警严重度()的综合计算，即 (1)。 定义5 节点风险 ()。综合攻击成功率、威胁及资产的评估结果，衡量网络中各节点的风险程度，即是上述三者的加权平均值，(2)。 根据上述定义，可以概括态势评估是以攻击告警为线索，结合网络环境关键信息，提取相应的评估指标，并逐步融合的过程。 3 网络安全风险评估框架 在确立网络安全态势评估的基本概念及其相互关系的基础上，综合考虑攻击成功率、威胁严重度和资产重要性三个关键的风险影响因素，设计层次化风险评估模型框架如图1所示。本模型可以分为指标层、准则层、节点层、目标系统层四个层次，由安全风险影响指标、节点风险指数及系统风险指数等组成。在网络安全风险的量化评估阶段，下上对各指标进行标准化处理，各风险指标的权重，从而综合分析网络安全风险的整体态势。 图1 风险评估框架模型 攻击成功率算法 检测到的每个告警一般均与主机节点上某些环境信息(包括主机配置、漏洞、用户权限等)相关联，它们构成了实施攻击的重要条件，则可将告警事件信息与主机配置、漏洞等进行关联匹配。匹配程度越高，说明攻击告警对目标主机的威胁程度越高。节点率)下降，但由于攻击复杂度及防御措施对攻击成功率的影响为非线性关系，则使用指数函数表示以增强评