信息安全

第28卷第10期

2008年10月

文章编号:1001-9081(2008)10-2471-03

计算机应用

ComputerApplications

Vol.28No.10

Oct.

2008

网络风险评估方法研究

史志才

(上海工程技术大学电子电气工程学院,上海201620)

(szc1964@http://)

摘　要:为了进行网络风险评估,采用隐马尔可夫随机过程作为分析手段,以入侵检测系统的输出(报警事件)为

处理对象,建立了描述主机系统受到攻击后状态转化的隐马尔可夫模型(HMM),给出了主机系统风险指数的计算方法,并经过简单叠加得到整个网络风险的定量评价。最后通过实验证实了所提出方法的有效性。

关键词:网络安全;隐马尔可夫模型;风险评估中图分类号:TP309;TP393.08　　文献标志码:A

Researchonmethodsofnetworkriskevaluation

SHIZhi2cai

(ElectronicandElectricEngineeringInstitute,ShanghaiUniversityof,)

Abstract:InordertoevaluatethenetwHtedasanalysismeans.Theoutputofintrusiondetectim)pobjects.TheHiddenMarkovModel(HMM)tsystemwasconstructed.Thecalculationmethodoftheriskcoefficientfms.riskcoefficientsforhostsystemsweresimplyaddedtoobtainthequantitiveevaluationofriskforwholenetwork.Theexperimentsjustifythattheproposedmethodiseffective.

Keywords:networksecurity;HiddenMarkovModel(HMM);riskevaluation

　　随着计算机网络及通信技术的发展以及社会信息化进程的推进,信息安全问题得到了社会各界的普遍关注。网络风险评估是信息安全的重要内容,它能够提供网络系统所存在的漏洞、脆弱性等方面的信息,评估并识别系统面临的安全风险,指出网络当前的安全状态,为网络系统安全体系的构建提供依据,进而提升网络系统的生存能力。目前,已有概率统计、信息熵等方法对网络的风险进行评估,但这些方法往往缺乏及时性、动态性且计算复杂。为了评估网络系统受到攻击后的风险状态,本文采用隐马尔可夫随机过程来描述计算机或者网络系统的状态转换,建立了评估网络风险状态的隐马

尔可夫模型(HiddenMarkovModel,HMM),将入侵检测系统产生的报警序列作为该模型的输入,采用层次的计算方法通过对各个主机的风险评估来得到整个网络系统被攻击后的风险指数,最后给出了网络风险状态的定量描述。

数,通过这些参数的测定就可以评价网络系统的安全状态。

2　HMM与系统状态描述

HMM是一个双重随机过程,其中一个是不可见的(隐含

的)随机过程,即有限状态马尔可夫链,它描述状态的转移;另一个随机过程描述状态与观测值之间的统计对应关系,通过观察值可以观察到状态的变化情况[3]。

HMM描述的随机过程要满足三个假设

[4]

:当前状态只

与上一状态相关;状态之间的转移概率与状态所处的具体时间无关;观测值只与当前状态有关。设观察值序列为O=

(O1,O2,……,OT),其中Oi∈V=(v1,v2,……,vM),V为观

察符号集;相应的状态序列为q=(q1,q2,……,qT),其中

qi∈S=(s1,s2,……,sN),S为系统状态集。HMM通常用五

元组λ=(S,V,A,B,Π)来表示;A为状态转移概率矩阵,

A=(aij)N×N,其中aij=P(qt+1=sjqt=si),1≤i,j≤N;B为观察符号概率矩阵,B=(bjk)N×M,其中bjk=P(Ot=

1　网络风险评估

所谓网络系统风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价[1-2]。

网络的安全风险状态由系统的资产价值、外部威胁以及系统的脆弱性等三种因素构成。其中,资产指对组织有价值的任何东西;威胁指对组织或系统可能产生危害的潜在因素;脆弱性又称漏洞,是指一个资产或资产组能够被威胁所利用的弱点。系统自身的脆弱性是造成系统被攻破的根本原因,外部威胁是造成系统被攻破的必要因素,系统资产价值的重要程度则是确定系统出现安全事故后可能造成的影响大小的必要指标。所以,网络风险是脆弱性、威胁以及资产价值的函

Π为初始状态概率矢量,vkqt=sj),1≤k≤M,1≤j≤N。

Π=(π1,π2,……,πN),其中πi=P(q1=si)。

一般情况下,网络攻击通常由多个步骤组成,而且下一个攻击步骤的实施仅依赖于前一个攻击步骤的结果,这与HMM中的状态转移特性相对应。当攻击者进行某步攻击时,必会产生相应的报警事件,不同的攻击步骤产生的报警事件之间是相互独立的,这与HMM中状态所产生的观察符号相对应,HMM中不同状态产生的观察符号是相互独立的。

由上面的分析可知,网络攻击可以采用HMM进行刻画。每个攻击步骤对应于HMM的状态,攻击步骤的转移对应于状态的转换;而攻击的检测结果即报警事件则对应于HMM中的可观察符号。由此可见,可以采用HMM来描述网络系

　　收稿日期:2008-04-25;修回日期:2008-06-18。　　基金项目:上海工程技术大学科研基金项目(07222)。　　作者简介:史志才(1964-),男,吉林磐石人,教授,博士,CCF高级会员,主要研究方向:计算机网络与信息安全。

信息安全

2742　　　　计算机应用第28卷

统受到攻击后的状态转换过程,并通过可观察的参量(观察符号)对其安全状态进行评价。

3　基于HMM的网络风险评估模型

显然,网络系统是由各种计算机组成的集合体,计算机是网络系统中最重要的资产。下面首先建立各个计算机系统(简称为主机)的风险评估HMM,然后根据各个主机的风险状况给出网络系统风险状态的定量评价。3.1　基于HMM的主机安全状态评估模型

建立评估主机安全状态的HMM,通过检测到的报警事件(即对应HHM的观察符号序列)来描述的主机受到网络攻击之后的状态变化,从而实时更新主机的风险指数。主机安全状态的HMMλ=(S,V,A,B,Π)描述如下:

1)HMM中的状态分别对应主机中的安全状态。假定主机有N种不同的安全状态,则HMM的状态即为S={s1,s2,…,sN},si描述主机的某一安全状态。随着时间的推移,主机的状态会不断发生变化,这一变化过程可用状态序列Q={q1,q2,…,qT}来描述。

2)HMM侵检测系统产生,则集V={v1,v2,,M},k。与状,可表示为O={o1,o2,…,oT},oi∈V从以上描述可以看出,HMM内在地刻画了主机的安全状态。对于管理人员,他无法直接得到系统的安全状态,唯一可以看到的是产生的各种报警事件(HMM的观察符号),即只有通过报警事件才能推断出系统所处的安全状态。而HMM内在的隐含状态及外在的观察符号,完全彻底地模拟了这一过程。

下面规定每个主机有四种安全状态:正常(Normal)　主机处于正常状态,没有任何可疑事件。刺探(Probed)　主机受到刺探或扫描。当主机处于这种状态时,系统的可用性将会受到一定影响,并且可能增加受攻击的可能性。

攻击(Attacked)　主机遭受来自外界的攻击。处于该状态时,系统的性能将会受到严重影响,并且很可能导致系统被攻破。

攻破(Compromised)　主机已经被恶意程序或黑客控制。由此设主机的状态S={N,P,A,C},分别对应上述四种状态;任意时刻某一主机可能处于其中状态之一,而且任何两个状态之间都可以直接相互转换,各个状态间转换的可能性由状态概率矩阵来描述,具体为:

a11

A=

a21a31a41

a12a22a32a42

a13a23a33a43

a14a24a34a式中bj(k)表示处于状态j(1≤j≤4)时产生观察符号vk(1≤k≤M)的概率。

初始状态分布定义为:

(3)Π={πN,πP,πA,πC}

该初始状态分布充分考虑了主机可能已经处于被攻破状态或其他非安全状态,因此Probed、Attacked及Comprised等状态的初始概率都可能不为零。3.2　网络风险指数计算

为了计算网络风险指数,首先必需得到被保护网络中所有主机的风险指数。在计算主机风险指数前,先定义权值向量C={c1,c2,c3,c4},该向量与主机状态向量S={N,P,A,C}相对应,ci为对应状态对主机安全的影响程度。

主机h在t时刻检测到一系列攻击,其观察符号序列为O={o1,o2,…,oT},Rh,t计算如下:

N

t=

γ(i)c∑

t

i1

i

(4)

N,cisi;γt(i)表示在

t时刻处于状态。定义前向变

量at(i)=p(o1o2…ot,qt=si|λ)和后项变量β=t(i)p(ot+1ot+2…oT,qt=si|λ),而γt(i)=at(i)βt(i)/p(O|λ),其中p(O|λ)=

前向2后向”算法来计算si,“

[5]

∑a(i)β(i)

t

t

i=1H

N

=

∑∑a(i)ab(o

t

ijj

i=1

j=1

NN

t+1

)βt+1(j)。

在得到t时刻网络中所有主机的风险指数后,即可计算该时刻整个网络的风险指数,具体如下:

Rnetwork,t=

h=1

∑R

h,t

(5)

式中,H表示网络中主机的数量。显然,网络风险指数是所有主机风险指数的叠加,计算方法简单,速度快。

4　实验与结果分析

4.1　LincolnLaboratoryDDoS1.0数据集

LincolnLaboratoryDDoS1.0数据集是从四个不同的C类

(1)

式中aij(1≤i,j≤4)表示由状态si转移到sj的概率,如a23

表示状态Probed转移到Attacked的概率。

假设,系统可能收到的报警事件按影响程度分为M类,即观察符号集为V={vkk∈[1,M]},则观察符号概率矩阵B可表示如下:

b1(1)

B=

b2(1)b3(1)b4(1)

b1(2)b2(2)b3(2)b4(2)

…………

b1(M)b2(M)b3(M)b4(M(2)

子网收集而来,即子网172.16.112.0/24、172.16.113.0/24、172.16.114.0/24和172.16.115.0/24。这些数据经过Snort及USTAT入侵检测系统处理后,生成了入侵检测消息交换格式(IntrusionDetectionMessageExchangeFormat,IDMEF)的报警数据。在实验环境下,网络的外部及DMZ区分别装有基于网络的入侵检测系统Snort;主机Mill及Pascal分别安装了基于主机的入侵检测系统USTAT。

网络中的主机Mill(172.16.115.20)、Pascal(172.16.112.50)及Locke(172.16.112.10)最终被攻破,之后这三台主机被用于对网络内部其他主机发动DDoS攻击。攻击被分为五个阶段:IP扫描阶段、Sadmind服务探测阶段、入侵阶段、安装DDoS

工具阶段和DDoS攻击阶段,各个阶段具体的实施过程请参考文献[6]。4.2　HMM参数的设置

在整个网络风险评估模型中,被保护网络中的每个主机都会建立一个HMM,以便跟踪主机安全状态的变化和计算单台主机的风险。为了便于模型的建立,根据Snort及USTAT对数据集的初步处理结果,将报警事件分为7类,即对应7个可见的观察符号:主机探测类报警,表示主机受到任何方式探测时产生的所有报警事件;端口探测类报警,表示主机的端口受到扫描时产生的所有报警事件;外出类报警,来源于网络内部且目标主机为外部网络的报警事件;未授权访问报警,当受

信息安全

第10期史志才:网络风险评估方法研究3742　　　　

到非法文件访问时产生的报警事件;非法写入报警,当受到非

法文件写入时产生的报警事件;可疑事件报警,所有未能明确划入其他类的报警事件,都将被分为该类型;无报警,指在一定时间间隔内主机没有收到任何报警。

其中未授权访问报警和非法写入报警事件由基于主机的入侵检测系统USTAT产生。实验中为了计算方便、简单起见,除了安装基于主机的入侵检测系统的Mill和Pascal外,其他主机的状态转移概率矩阵A、观察符号概率矩阵B、初始状分布向量Π及权值向量C都完全一样。主机Locke的状态转移概率矩阵A定义如下:

0.930.040.020.010.010.870.110.01

(5)ALocke=

0.0010.0090.880.110.0010.0030.0040.矩阵A显示出该主机进入Comprised

状态的概率较低,可一旦进入该状态则离开的概率也很低。

主机Locke的观察符号概率矩阵B为:

b1(1)b1(2)b1(3)b1(6)b1(7)

BLocke=

b2(1)3b2(2)b(4(2)

b(4((6b3b4(6)

b2(7)3(7)b4(7=

0.000030.400.010.01

0000.340.010.01

0.000010.050.710.55

0.000040.200.250.42

0.9990.010.020.01

主机处于正常状态时,不产生任何报警事件的概率最大。

实验中使用的模型参数都是根据数据集的特征来设定的

。除了装有USTAT系统的Mill和Pascal主机的符号概率矩阵有所不同外,其他所有HMM参数都完全相同,这样在各主机之间才有可比性

。在实际的风险评估过程中,主机的HMM参数会根据安全配置而变化,而观察符号概率参数将根据使用的数据采集器不同而变化。4.3　实验结果分析

整个LincolnLaboratoryDDoS1.0数据集持续时间长达11838s,共有36635个报警事件,其中84个USTAT报警事件,余下的全为Snort报警事件。数据集中包含的攻击由五个阶段组成:1500～1920s为IP扫描阶段,2880～3480s为sadmindping阶段,4380～4420s为入侵Mill、Pascal及Locke阶段,5400s为安装DDoS工具阶段

,7620s为DDoS攻击阶段。图1给出了整个数据集上的风险评定情况,,4s,;,、及。此外,,这是由于成功入侵主机后攻击。

需要注意的是峰值过后整个网络风险始终维持在1200上下浮动,这主要是由于网络中的网关及路由器有大量外出型的Internet控制消息协议(InternetControlMessageProtocol,ICMP)报文,从而引起外出型报警事件。

通过矩阵BLocke,可以看到主机只生产1、2、3、6及7等类

型的报警事件,而并不产生4、5类别的报警事件,这是因为Locke并没有安装基于主机的入侵检测系统。当主机处于Probed状态时,产生主机探测类及端口探测类的报警事件非常多,这从矩阵第二行可以清楚地看到。

主机Locke的初始状态分布及权值向量如下:

ΠLocke={πN,πP,πA,πC}={0.85,0.10,0.04,0.01}

CLocke={cN,cP,cA,cC}={0,15,25,60}

(7)

图1　网络系统风险的变化情况

初始状态时,考虑到了有可能主机已经处于被刺探、攻击

的状态,但是这种可能性非常小。通常,对于正常状态的权值设置为0,而攻破状态的权值为60。

对于安装了基于主机入侵检测系统的Mill和Pascal,状态转移概率矩阵A、初始状态分布向量Π及权值向量C与其他机器一样,唯一不同的是观察符号概率矩阵B,因为Mill和Pascal主机包括了由USTAT产生的观察符号。Mill和Pascal的观察符号概率矩阵B如下:

BMill=b1(1)b2(1)b3(1)b4(1)

b1(2)b2(2)

b3(2)b4(2)

b1(3)b2(3)b3(3)b4(3)

b1(4)b2(4)b3(4)b4(4)

b1(5)b2(5)b3(5)b4(5)

b1(6)b2(6)b3(6)b4(6)

b1(7)b2(7)b3(7)b4(7=

图2～图4显示了随着时间的变化Mill、Pascal和Locke三台主机风险的变化情况。

图2　主机Mill的风险变化情况

0.00020.00030.00010.00010.00010.00010.0.400.010.05

0.300.010.04

0.010.450.10

0.0010.140.43

0.0010.160.23

0.270.150.14

0.0180.080.(8)

从矩阵BMill最后一行可以看出,当主机处于状态被攻破

后,产生未授权访问及非法写入类的报警事件概率比较高;而

从这3幅图中看出,Locke的风险指数变化不及主机Mill和Pascal频繁;对于这三台主机,攻击阶段3、5明显地达到最大风险度;攻击阶段2、4也出现了峰值,而阶段1很难与其他活动分辨开来(图4最明显);由于主机Pascal产生了70条USTAT报警事件,而Mill仅产生了14条USTAT报警事件,可以看出图3中出现的峰值明显多于图2。

(下转第2477页)　

信息安全

第10期熊鹏等:传感网单跳链路的可信性研究

7742　　　　

10/s,20/s,50/s,100/s,200/s,500/s和1000/s的速率发送

分组时,分组传递率的情况。为了促使更多的节点发起路由

请求,我们把节点的暂停时间设置为0s。

图5展现的是具备SNR的网络和不具备SNR的网络在遇到针对路由发现的拒绝服务攻击时的性能方面的比较,横轴是恶意节点每秒发送的RREP分组的速率,纵轴是网络中数据分组的传递率。由图中可以看出本文的SNR算法在遇到RREP泛洪式攻击时仍然保持了较稳定的数据分组的传递率,即使恶意节点的发送虚假RREP分组的速率达到1000分组/s,本文的SRPP算法的数据分组传递率一直维持在65%～70%。而在普通传感网络中恶意节点发送的恶意RREP分组达到50分组/s时,它的分组传递率开始急剧下降,已经呈现出遭到拒绝服务攻击的现象。在恶意节点10分组/s时传递率为73%,而到了200分组/s时传递率仅为40%,性能下降了接近一半

。

3　结语

本文提出了一种新的为传感网节点获得相互信任的解决方案。此方案提供了路由发现时规避非信任节点的能力。同时,因为邻节点的相互约束作用,使得网络具备了抵御泛洪攻击的能力。此外,在相互通信的过程中,节点的身份是保密的,从而使得此方案能够轻易地和网络路由协议相协调,为网络提供一个综合的安全考虑。实验验证,方案完全可行,且由此带来的额外的资源负担也处于一个合理的范围之内。参考文献:

[1]　WOODAD,STANKOVICJA.Denialofserviceinsensornetworks

[J].Computer,2002,35(10):54-62.

[2]　KARLOFC,WAGNERD.Secureroutinginwirelesssensornet2

works:Attacksandcountermeasures[J].’sAdHocNet2worksJournal,SpecialIssueonSensorApplicationsandocols,1(2/3)293[3]IJD,etal.TESLAbroadcast

onpocol[JRS5(2):2-13.[4]JOHNSONDB,etal.Jetcheva:Aper2

onofmulti2hopwirelessadhocnetworkroutingprotocols[C]//ProceedingsoftheACM/IEEEMOBICOM’98.NewYork:ACM,1998:85-97.

[5]　PERKINSCE,ROYEREM.Ad2hocon2demanddistancevector

routing[C]//IEEEWMCSA’99.Washington,DC:IEEEComput2erSociety,1999:90-100.

[6]　HOFFLEINJ,PIPHERJ,SILVERMANJ.Ntru:Aring2based

publickeycryptosystem[C]//AlgorithmicNumberTheory(ANTS

图5　存在拒绝服务攻击时传感网的路由性能Ⅲ),LNCS1423.Berlin:Springer,1998:267-288.

(上接第2473页

)

于HMM的网络风险评估模型;该模型通过关联分析入侵检测系统产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单,速度快。而且模型中处理的报警事件序列采用入侵检测交换协议的IDMEF标准格式,为模型与其他安全系统的联动奠定了基础。实验结果表明,该模型能够有效、准确地对网络系统的安全状态进行定量评估。

由于网络风险评估的复杂性,本文基于对有限规模数据的分析给出了HMM的参数,具有一定的局限性,还需要使用大量的数据对HMM进行训练,以提高模型的泛化能力和计算精度。另一方面实验中没有考虑主机间的依赖关系,若能够考虑到这种关系,不但可以更加清晰地掌握网络风险,而且容易建立相关报警事件之间的影响度。参考文献:

[1]　冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,

2004,25(7):10-18.[2]　司马建平,余祥宣,洪帆.基于角色的安全策略[J].计算机研究

与发展,1998,135(5):447-460.[3]　RABINERLR.AtutorialonhiddenMarkovmodelsandselectedapplicationsinspeechrecognition[J].ProceedingsoftheIEEE,

1989,77(2):257-286.

[4]　CHOSB,PARKHJ.Efficientanomalydetectionbymodelingpriv2

ilegeflowsusinghiddenMarkovmodel[J].Computers&Security,2003,22(1):44-55.

5　结语

本文将网络或者主机系统的安全状态、入侵报警事件分别与HMM的状态和观察符号相对应,给出了一种新颖的基

[5]　张响亮,王伟,管晓宏.基于隐马尔可夫模型的程序行为异常检

测[J].西安交通大学学报,2005,39(10):1056-1059.[6]　LincolnLaboratory.Lincolnlaboratoryscenario(DDoS)1.0[DB/

OL].[2008-04-01].http://www.ll.mit.edu/SST/ideval/da2ta/2000/LLS_DDOS_1.0.html.