评估网络安全姿态和具有图形用户界面的系统和方法

文档序号:7650156阅读:245来源:国知局
专利名称:评估网络安全姿态和具有图形用户界面的系统和方法
技术领域
本发明涉及网络领域,更确切地说,本发明涉及评估网络安全弱点的领域。
当前正在开发的信息系统和计算机网络基础设施,建设时考虑了是什么构成了可接受的风险(或者适当的保护)。系统资产,比如计算机网络的硬件、软件和系统节点,必须受到与其价值相应程度的保护。另外,这些资产在失去其价值之前,都必须受到保护。在所处理数据的整个使用期限中,任何安全特性和系统体系结构也应当提供充分的保护。为了评估与网络相关联的任何风险是否可接受,安全工程师通常收集所有有关的信息,然后分析与网络相关联的风险。
风险分析是复杂和耗时的过程,它需要确定在网络中的发生及其潜在的危害。例如,分析计算机网络中的安全风险时,安全工程通常遵循下列步骤1) 确认整个计算机系统的资产。
2) 确认资产的弱点。本步骤通常需要想象力,以预测对本资产会发生什么损害,来自何方。计算机安全的三个基本目标是确保保密、完整和可用。所谓弱点是可能导致失去这三种品质之一的任何情况。
3) 预测发生(利用)的可能性,也就是确定每次发生被利用有多么频繁。发生的可能性涉及现有控制的严格和某人或某物将会侵入现有控制的可能性。
4) 通过确定每次事故的预期成本,计算每年中任何显现的成本(预期年损失)。
5) 测定可应用的控制及其成本。
6) 计划控制的年节省额。
分析的最后一个步骤是一种成本-效益分析,也就是,是实行一种控制的成本更低,还是接受损失的预期成本的成本更低?风险分析得出安全计划,它确定特定措施的责任以改善安全性。
今天,技术的飞速发展和功能日益增强的计算机的普及,为了得到低成本高效率的解决方案,必须使用现成商品(COTScommercial-off-the-shelf)硬件和软件组件。对COTS的这种强烈的依赖性意味着,对大多数应用程序来说,商业等级的安全机制是充分的。所以,对于COTS组件相对较弱的组件,必须构筑安全体系结构,以建立有效的、任务关键的计算机系统。保险度较高的组件可以置于公共区或者说信息边界,形成基于飞地的安全体系结构,对信息保险实行彻底防御的措施。
系统建筑师可以利用某些设计工具,也就是软件程序,以协助使可用的保护机制最大化,同时保持不超出开发预算。当前一代的风险分析工具通常是单一卖主的解决方案,它只涉及风险的某个特定方面或者某些方面。这些工具往往属于以下三个范畴之一1) 根据数据库中明确指出的弱点进行工作并可能修复已知弱点的工具。对于数据库更新,这种类型的工具是卖主决定的,或者通过新的产品版本,或者通过预约服务。这个范畴中的实例包括ISS的因特网扫描器、Network Associates,Inc.的CyberCop和Harris的STAT。
2) 使用多种参数来计算风险指示器的单片工具。这些工具难以维护并很难与快速发展的威胁和技术环境保持最新。这个工具范畴的实例是Los Alamos Vulnerability Assessment(LAVA)工具。
3) 考察系统某个特定方面的工具,比如操作系统或数据库管理系统,而忽略其它系统部件。例如,SATAN分析操作系统弱点,但是忽略基础设施部件比如路由器。
为了单一的计算机网络分析而使用不同卖主的多种工具,是一项劳动密集型的任务。通常,安全工程师将不得不以多种格式多次输入系统(网络)的描述或者说表达。接着,对这些多种工具的结果输出,安全工程师必须手工分析、整理并汇总成网络安全姿态的单一报告。然后,安全工程师可以完成风险分析(计算预期年损失、测定控制等等),并且接着重复该过程,分析另外的安全风险、系统性能、任务功能和开发预算。
同样,这些工具中,没有一种对系统使用“钻下”的集合“快照”方式或者说分层方式,以便于应付系统中多个层次(网络、平台、数据库等等)上的风险。在分析另外的安全风险、系统性能和任务功能时,这些工具对系统设计者没有提供多少帮助。却是提供了某个“风险解决方案”,它涉及给定工具设计来计算的风险的某个特定方面。为了开发综合的风险评估,安全工程师将不得不变得精通若干工具的使用并手动关联最终的输出。
成功的风险分析的一个方面是完全和准确的数据累加,以产生分析工具所用的系统模型。许多目前的风险分析工具依赖用户、系统操作人员和分析师填写的测定结果,以采集数据,用于分析中所用系统模型的开发。另外,某个工具能够主动地扫描计算机网络,以测试系统组件的多种弱点。
然而,这些方法有缺点。文本的或者说基于测定结果的知识引导技术是劳动密集型的,对于分析师可能是繁重乏味的。许多现有的工具重复使用相同的信息来分析系统安全的不同方面。使用模型数据的集中知识库会更加有利,它能够提供一个基础,为现有工具共享输入。这个知识库可以用于产生风险分析工具所用的数据集,使多个工具能够对同一个系统运行而不必分别进行输入,从而降低了操作员错误的可能性。使用多个风险分析推理引擎,或者说向后曲身,会使该系统的多个方面受到分析,而不必花费成本来开发一个工具进行所有类型的分析。通过使用多个工具,集成已有的信息和已知的评估结果,将对系统的安全姿态产生更加稳健和准确的描述。这些结果能够便利更多的已知系统设计中的决定,为其它的评价和比较提供框架。
所以,本发明的一个目的是提供一种数据处理系统和方法,用于评估网络的安全弱点,而不必多次分析该网络。
某个图形用户界面包含在计算机屏幕上,并用于确定网络的弱点姿态。某个系统设计窗口显示某个网络图的网络图标,它们代表网络中包含的不同网络单元。对应于网络中网络单元相互连接的方式,把各个网络图标连接起来。网络的弱点姿态已经确定之后,该网络图中选定的部分变为不同的颜色,以表明该部分已经确定的弱点。
在本发明的又一方面,对应的网络单元确定不同的颜色,表明某个脆弱的网络单元。图形用户界面也可以包括某个管理器窗口,以便显示网络单元的性质。某个数据敏感度框能够具有用户选定的项目,以选择网络单元的敏感度。图形用户界面也可以包括一个选择节点配置编辑框,它含有用户可选择的弱点特征,以便选择网络节点的一种弱点特征。可以用变为某个不同颜色的箭头把图标连接在一起,以表明在这些网络单元之间存在着脆弱的连接。
在本发明的又一方面,某个图形用户界面包含在计算机屏幕上,并用于确定网络的弱点姿态。它包括某个系统设计窗口,以显示某个网络图的图标,它们代表网络中包含的不同网络节点。对应于网络中网络节点相互连接的方式,把各个网络图标连接起来。可以包括某个管理器窗口,可以显示和编辑网络节点的对应性质。网络的弱点姿态已经确定之后,选定的图标变为红色表明较高风险的节点,选定的图标变为黄色表明风险不太严重的节点。
管理器窗口进一步包括一个节点性质对话框,以便在网络设计选择时编辑网络节点的性质。图形用户界面也可以包括一个数据敏感度框,它具有用户选定的项目,以选择网络节点的敏感度。一个选择节点配置编辑框可以含有用户可选择的弱点特征,以便选择对应节点的一种弱点。
在本发明的又一方面,弱点姿态窗口可以显示用户可读的项目,表明脆弱的网络单元。这些用户可读的项目可以包括一张图,表明脆弱的网络单元,还可以包括电子表格,表明脆弱的网络单元。
现在,以举例说明的方式,参考下列附图来介绍本发明

图1是网络的一个示意框图,显示网络中常常发现问题的部位。
图2是网络的另一个示意框图,显示一个确定的弱点,由本发明的系统和方法定位。
图3是另一个框图,显示本发明之系统和方法的整个体系结构,并显示与网络某些数据库联用的滤波器。
图4是本发明之体系结构的另一个示意框图,显示模糊逻辑分析。
图5是另一个示意框图,显示本发明之数据处理系统和方法的高级别体系结构组件。
图6是本发明之数据处理系统的另一个高级别示意框图。
图7是图形用户界面的一个实例,它模拟网络为一幅图。
图8A和图8B显示打开的窗口,它们提供系统对象模型数据库建立时的数据设定。
图9是图形用户界面的一个实例,显示网络模型。
图10是一个图形用户界面,显示对网络安全姿态的多种报告选件。
图11是一个框图,显示本发明之数据处理系统和方法中所用的、面向目标的模糊逻辑处理的基本处理组件。
图12是本发明之数据处理系统和方法中所用的数据汇合的一个示意框图。
图13是另一个示意框图,显示本发明之数据处理系统和方法中所用的、基于目标的汇合规则。
图14是另一个框图,显示本发明之数据处理系统和方法的模糊逻辑处理中所用的基本处理步骤和组件。
图15是一个框图,显示缺陷树分析(DPL-f)的基本组件,用于证据累加和模糊证据推理的规则。
图16是一个框图,显示目标/类层次。
图17是一个框图,显示本发明的系统类图。
图1展示了一个实例,常规网络100具有内部服务器102,它们连接到外部路由器104、通讯网络105和防火墙106。内部路由器108连接到防火墙106、分支部门107,并连接到内部LAN网络组件110和远程访问服务器112和远程用户114。
使用图1的实例,网络中经常发现的问题包括宿主,比如内部服务器102,它运行不必要的服务,例如拒绝服务和匿名FTP,或者误配置的网络服务器,可能是某个内部服务器,例如CGI脚本、匿名FTP和SMTP。内部LAN 110可能包括未打补丁的、过期的、脆弱的或者默认配置的软件和固件和薄弱的密码。LAN也可能包括不适当输出的文件共享服务,比如NetWare文件服务和NetBIOS。内部LAN 110也可能包括误配置的或者未打补丁的Windows NT服务器,以及缺少综合的策略、步骤、标准和方针而导致的问题。远程访问服务器112可能含有不安全的远程访问点,外部路由器104可能含有通过服务的信息泄漏,比如SNMP、SMIP、指针、roosers、SYSTAT、NETSTAT、TELNET标题、Windows NT TCP 139 SMB(服务器消息块)和向未命名服务器主机的区域传递。它也可能含有不适当的日志记录、监视和探测能力。分支部门107可能含有盗用的信任关系,比如RLOGIN、RSH或者REXEC。防火墙106可能被误配置或者含有误配置的路由器访问控制列表。
尽管这些网络问题仅仅是网络100中发现的常见问题的一个实例,还有许多其它问题可能发生,正如本领域的技术人员所周知。
本发明是有益的,因为本发明的系统和方法使网络系统中的弱点能够得到确认。数据处理系统和方法的软件可以放置在某个用户终端120上,如图2所示,显示出内部LAN 110连接的节点122的某个确认的弱点。鉴于介绍的目的,本发明的数据处理系统和方法可以称为网络弱点工具(NVT),也就是,用户用来确定网络弱点和风险的工具。
形成本发明的NVT的数据处理系统可以加载到运行着WindowsNT的奔腾PC平台上。这种类型的平台可以提供低成本的解决方案,并且支持很多种评估工具,在本说明书中也通常称为网络弱点评估或风险分析程序。这些网络弱点分析程序往往是安全工程师熟知的标准COTS/GOTS程序,并且包括HP Open View,它能够实现网络自动探索或者手工网络模拟;Mitre公司制作的ANSSR(Analysis of NetworkSystem Security Risks网络系统安全风险的分析)——一种GOTS网络系统分析工具,能够进行被动数据采集和单次损失评估。NSA的风险评估方法通称为RAM(risk assessment model风险评估模型),也可以用于DPL-f判断支持编程语言中,并且已经实现。RAM也能够为事件树逻辑进行被动数据采集,对任务列表分配优先级,并且能够建立多重风险/服务的数学模型。
DPL(decision programming language判断编程语言)是一种判断支持软件包,它便利复杂判断的模拟。它允许用户在判断过程中加入不确定性和灵活性。DPL为建立模型提供了图形界面,并且执行对该模型的多种分析。DPL-f包含DPL内建的功能,并且为构建缺陷树提供图形界面。这个特性允许模拟者产生缺陷树并把它们加入DPL模型中。DPL-f也包含独特的分析工具。这些工具的能力包括明确地计算该树中任何事件的概率以及执行缺陷树特定类型的敏感度分析。DPL-f为模型中加入时间序列提供了界面。这就允许模拟者解释贬值、资本增长或者其它时变量而不必改变模型的结构。DPL-f提供带有附加功能的RAM,便于快速缺陷树构建、嵌入式缺陷树的库、专家判断生成系统、割集的枚举和排序以及不同时间风险的图形描绘。
因特网安全系统公司(ISS)开发的ISS因特网扫描器能够进行主动数据采集,扫描网络中的主机、服务器防火墙和路由器,评估网络、操作系统和软件应用程序的安全性和策略一致性。它能够进行随时快照和计算机网络一致性报告。这些程序是完全不同的网络弱点分析程序,本发明的NVT能够进行集成。
本发明的NVT是基于一种知识引导框架,它加入了网络布局的图形描述。这种布局用于获取网络属性,随后受到分析以确定安全弱点。
依据本发明NVT的系统和方法自动映射已有的网络,并且能够在图形用户界面上把已有的网络显示为一个模型,比如图7中所示的。例如,HP Open View能够以图形方式描绘网络布局。一旦该软件获得了该网络的默认路由器的IP地址,本发明的NVT就能够使用OpenView并搜索该网络附属的计算机和其它设备。NVT在网络上ping可能的IP地址,并且向其网络图加入它收到的不论什么响应信息,从而执行主动搜索。NVT也提供了手工的方法,利用图形用户界面来画出提议的网络。如图所示,该图形用户界面支持拖放。可以定义系统的体系结构,包括对于其它设计或者节点编辑是决定性的安全信息,以提供完整逻辑网络规划所需的附加细节。用户也可以在图上使用某个子网图标来表示整个网络。
网络系统的描述完成之后,本发明的NVT在目标/类层次中表示和存放该描述,如图16和图17中的实例所示,下面将要解释。单个的拓扑系统对象模型支持完全不同的网络弱点分析程序(工具)的信息数据需求。结果的模糊逻辑处理使这些程序的结果能够进行相关处理,成为内聚的弱点/风险评估结果,以获得该网络的弱点姿态,如图10的图形用户界面中所示。该系统的这种单一表达简化了多种工具的使用,消除了重复的数据输入。它也提供了一种基础,使给定的弱点评估工具能够应付数据不完全的问题,同时也可以用于将来的知识交流。
图3在130中展示了本发明的整个网络弱点工具(NVT)和数据处理系统的一个实例,其中三个网络弱点分析程序(工具)展示为ANSSR 132、ISS网络扫描器134和RAM 136。本发明的系统和方法产生了一个系统对象模型数据库(网络模型DB)138,它表示一个网络并且支持网络弱点分析程序的信息数据需求。系统对象模型数据库138表示受评估系统或设计的单一表达,并应付一个网络的单一内部表达的需要,为网络弱点分析程序提供数据。
这个模型138使用面向目标(OO)的方法在类层次中提供可扩充的组件集,其组合可以表示一个网络。类层次提供一种方法来定义共享公共特性的组件,同时保留它有别于其它组件的特点。除了隐含的层次关系之外,面向目标的技术提供了一种包含机制,其中一个目标能够包含对任何目标的引用,包括它自己。这就提供了一种灵活的机制来表示任何实质的或者逻辑的实体。同时,面向目标的表达使它自己便于修改和扩充,对于每天都有变化和新技术的信息保险领域是非常理想的。
如图3所示,滤波器140与网络弱点分析程序132、134、136中的每一个相关联,只允许对应的网络弱点程序需要的数据输出到该工具(程序)。这些滤波器是一个C++的基类,它提供了一组虚方法,允许数据在NVT系统和一个程序之间移动。该滤波器也提供了一种方法,使NVT控制工具的执行以及完成工具需要的数据。NVT把每个工具看作一个滤波器,调用滤波器内部适当的方法来执行所需的任务,包括初始化、运行、输入数据和输出数据。每个工具可以有具体的滤波器子类,为该工具提供具体定义每种方法的方式,同时仍然提供对NVT的通用的和明确定义的编程接口(API)。这就允许在NVT之内对所有工具同样对待,使工具的增加和去除不影响任何已有的NVT节点。
使用滤波器技术在DPL-f和NVT之间建立通讯是直接了当的。分配给一个DPL-f滤波器的任务是建立和填充缺陷树的具体任务。作为分析工具,缺陷树能够把网络中的一个节点表示为显现的,并对某些事件提供一个概率值,比如拒绝服务、数据损失和数据损害。实际上,DPL-f能够用作最终结果工具。
然后,用每个网络弱点分析程序来分析网络,以产生每个程序的数据结果。这些数据结果进行相关,以确定该网络的安全姿态。通过本发明的模糊逻辑处理能够进行网络确认,如下所述,系统GUI可以输入到用户显示器中。
通过自动网络探索或者手工输入144,比如通过HP Oper View,把网络概述为模型142,适当的滤波器146允许系统GUI 148通过适当的数据输入在用户显示器上显示该网络模型,如图7所示。也可以使风险GUI 154直观地评估风险弱点、风险/弱点报告的日志记录156、风险评估158,作为GUI 148的部分,所有这些全都通过网络确认160,使用接入或者模糊规则集,见下文更为详细的介绍。任何数据不完全的决定161都可以应付。
图4展示了与图3类似的一个高级别框图,显示系统对象模型数据库138,它建立后可以与集成的应用程序编程接口162协同工作,允许把数据输入到多个工具164中,它们被展示为一个模型工具、探索工具和若干信息分析工具,形成整个系统结果数据库166。应用程序编程接口168和图形用户界面170与模型数据库138协同工作。评价/评估管理器172(管理者)与应用程序编程接口(API)174和图形用户界面(GUI)176协同工作,利用模糊逻辑处理对数据结果进行相关,模糊逻辑处理以虚线178标出,包括专家相关180和模糊推论和证据推理182,以产生弱点结果184和图形用户界面(GUI)186作为相关结果。尽管图4表示了显示不同组件实例的、高级别的模型,它仅仅是本发明的NVT系统和方法可以使用的高级别组件的一个类型的一个实例。
图5和图6展示了高级别模型的其它实例,显示了数据源200(图5)的基本成分和处理步骤,以及系统描述202、单工具分析204、多工具分析206、工具至专家分析208和报告介质210。工具至专家分析208可能包括DPL-f 208a作为数据事实库中模糊逻辑处理的一部分,以及使用CERT记号208b和专家系统208c作为专家相关。产生的报告输出可以包括图形用户界面上的图标、文本、EXCEL电子表格、Access文件和配置,如本领域的技术人员所周知。图6也展示了与图5类似的另一个高级别的模型,其中形成完整的系统对象模型和模糊逻辑处理所用的工具可能包括单工具处理和多工具相关。
图7至图10以更为详细的程度展示了图形用户界面220,它能够包含在计算机屏幕上,并用于交互操作NVT和确定网络的弱点姿态。如图所示,图形用户界面220是一个标准型的WindowsTM界面。系统设计窗口222容许网络图标224的显示,以形成一个网络图,该图表示了网络中包含的不同网络单元和节点之间的关系。对应于网络中网络单元节点相互连接的方式,把各个网络图标224连接起来。如图7所示,网络单元可以通过连接线226连接起来,该连接线表示实际网络单元和节点之间存在的相互连接。系统设计窗口222在左边显示了网络之间的一张图230,有两个节点,在窗口的右边显示了一张网络图232,展示了该网络模型的一张图。管理器窗口234是打开的,并且显示了网络单元的性质。
对于选定的网络单元,选择数据敏感度弹出窗口(框)240是用户通过菜单选件可选择的(图8A),并且具有用户选定的项目,以选择网络单元的敏感度。任何节点(图8A所示的实例中为节点1)上数据的敏感度都可以利用适当的确认、随机和默认按钮选定为不分类、敏感、秘密、机密、绝密或者最高机密。
选定节点配置编辑弹出窗口(框)250显示在图8B中,可以含有用户可选择的弱点特征,以便选择网络单元或节点的一种弱点特征。图9也显示了带有中心集线器和相互连接节点的网络模型图。用户可以编辑管理器窗口234中的条目,它也允许通过适当的按钮选择,实现网络探索。自然,可以根据需要选择和移动网络图标,以编辑和设计可选项。
在系统中的安全姿态建立之后,表示高风险网络单元的图标可以改变颜色,比如红色,集线器252。其它选定的图标可以变为黄色,指明风险不太严重的节点,比如图7和图9中所示的HP4节点254。围绕着网络的这些节点或部位的共享区域,颜色可以设定为红色或者黄色,以指明风险较高的弱点。连接线也可以变为红色或者黄色以指明单元之间的不良连接。
图10展示了弱点姿态窗口270,以显示用户可读的图标,这些图标指明脆弱的网络单元和图标。整个系统模型显示为打开的系统设计窗口的一部分。另外,还展示了电子表格272和NVT风险评估图274,后者有用于风险评估的滑动杆。还展示了风险分析窗口276,显示了五个风险分析最高的单元。
图16以更为详细的程度显示了类层次,其中有类名280(带有若干公有属性和若干私有属性)、聚合282和利用推广290的、源286和目标288的关联。图17展示了系统类示意图的一个实例,在框中标识了多种组件。自然,图17仅仅是本领域的技术人员熟知的系统类示意图,仅仅是本发明的系统和方法能够使用的一个实例。
现在以更为详细的程度参考图11至图15,其中展示了面向目标的模糊逻辑判断的过程。如图11所示,使用某个应用程序编程接口和专家相关,把系统模型数据库138和各个网络弱点分析程序的结果300结合起来,通过数据模糊化,形成数据事实库302。通过模糊推论网络规则304和模糊证据推理规则306执行面向目标的逻辑判断规则,根据预定的目标308确定网络的安全姿态。
本发明的模糊逻辑处理使用数据汇合、证据推理和推论网络技术。正如本领域的技术人员所熟知,证据推理是一种技术,其中收集支持和反驳给定假设的若干事实。结果就是以一定的可信度证明或者拒绝该假设。本发明的模糊逻辑处理从系统和工具对于每个标准的发现,使用证据推理来累加证据,从而把系统评估数据合并成单一的参考点,系统对特定标准的适应性。通过提供汇合所用的一套标准,系统约束汇合问题,缩小搜索范围。前面已经使用证据推理来执行第一级别的多探测器数据汇合,证据推理是模糊专家系统中普通的全局推理技术,比如本领域的技术人员所熟知的系统类型,如NASA开发的fuzzyCLIPS。结果是一套模糊证据规则,其目的是为了给定的一组需求累加证据。这就由专家相关解决了可能是冲突的、含糊的和多余的数据,利用可用的数据得出结论,即使它是不完全的。
结果的准确性取决于可用数据的量和质,在应用模糊逻辑处理之前,可能需要对可用的数据进行附加的净化,同时也要维持数据的随机自然性质。这种净化使用推论网络,并且使用试探法提供一种有关概率的推理方法,从而消除对大范围先验知识的需要。目标和潜在安全的度量之间的关系促进了相互结合。正如本领域的技术人员所熟知,fuzzyCLIPS使用模糊事实,它能够假设0和1之间的任何值。结果可视为以0和1为垂直边界的一个连续函数的二维图。
数据汇合用于系统目标数据库、数据结果数据事实库。智能数据汇合是一种多级别、基于多学科的信息处理,从多个智能源(以及可能的多种智能学科)产生有关某个实体的具体的和全面的、统一的数据(它的状况、功能和它受到的威胁),从而产生信息集成。数据汇合提供了基于可用输入的信息。智能数据汇合处理通常分为四个级别,见下面表1中的介绍。
表1智能数据汇合处理的级别和目的
如上所述,NVT把来自多个源的多种数据类型与其它环境的信息相结合,以形成网络化系统的安全姿态的综合描述。NVT为用户提供给定系统或系统设计之弱点姿态的简单表达,并且使他们对于功能、性能和对策措施能够进行“如果……如何”的分析,以达到净化和改善系统或系统设计的目的。
在计算机安全工程中,探测器是多种弱点评估和风险分析的估计,与GUI一起采集用户需要的信息。这些工具的结果输出采用的形式既有定性的数据,也有定量的数据,不同的厂商使用的格式也不同。对于计算机安全工程,所关注的目标是网络(计算机系统)中的节点,也就是资产,包括硬件、软件和数据。所关注的状况是对计算机网络区段的安全系统中的弱点的评估,这些弱点可能会被利用来对保密性、完整性或可用性造成损害或损失。
评估计算机系统面对的风险包括评估面对的威胁、其发生(被利用)的可能性和损失(或损害)的预期成本。最后,根据成本效益分析的结果,可以净化网络(计算机系统)。这就需要对于特定的弱点及其成本为适当的保护措施(控制或对策)的信息。成本效益分析力图确定使用某种控制或对策是否降低成本,或者接受该损失的预期成本。这就导致改善计算机网络系统安全的安全计划的制定。
对于本发明可以使用的计算机安全工程,表2包含了这种数据汇合处理的第一种划分的一个实例,具有四个处理级别,对应于表1中的四个级别。如图12所示,这项处理的输入包括对象模型数据库138、各个工具132、134、136的结果以及其它环境信息。不同的数据汇合级别1-4通常在320、322、324和326处表示。
表2计算机安全分析中数据汇合的内部处理级别
为了应付多个弱点评估和风险分析工具结果的合并问题,虽然本发明中使用的数据汇合提供了概念性的框架,还是要使用专家系统、推论网络和证据推理来实现汇合的概念及合并各工具的结果。模糊判断技术尤其是模糊专家系统的灵活性,提供了应付这些问题的方法。模糊专家系统的主要好处是它能够使用和吸收多个来源的知识。
模糊逻辑提供了由不精确、不确定或不可靠的知识进行表示和推理的技术。与传统的专家系统类似,模糊专家系统也能够以如果/那么规则之体制的形式来表示知识,其中前项、后项或者二者兼而有之,是模糊的而不是明晰的。模糊逻辑用于确定模糊事实与规则匹配得如何,这种匹配在多大程度上影响该规则的结论。依据本发明,推论网络是试探规则的一种层次,它在无需先验概率的广泛知识的情况下能够传播概率(例如贝叶斯网络)。使用概率如何传播的专家知识,能够建立试探规则,在先验概率的知识有限时也可以得出结论。这就使得低级别的离散概率在较高级别的结论中准确地反映出来。低级别事件的概率(比如基于使用期限的密码损坏的概率)必须是对较高级别事件(密码的弱点)得出的任何结论的一部分。
最初的NVT研究使用证据的累加来修改模糊事实以及表示当前系统所需的状态变化。这种状态变化的模糊事实然后用于修改系统,新状态以不断循环的方式反馈到状态规则的变化中,以使用全局的贡献。FuzzyCLIPS允许定义模糊事实类型,但是每种类型只能有一个事实存在。所以,每一个操控事实类型的规则实际上仅仅修改单一的事实,导致证据的累加。
全局贡献和证据累加导致FuzzyCLIPS的方法,它定义模糊事实来表示不同的弱点状态。这些事实将使用全局贡献和证据累加来获取反映受测试系统之弱点的最终数值,也就是证据推理。这种方法反映了模糊逻辑控制系统的明确定义的使用,把执行循环限制到有限的次数,而不是让它不断地运行。佛罗里达州Melbourne的Harris公司开发的FuzzyFusionTM将使用这种方法,按照网络安全专家的知识制定规则,并根据规则累加证据。确切地说,FuzzyFusionTM将采用证据推理技术,其中收集的事实支持和反驳某个给定假设。结果就是以一定的可信度证明或者拒绝该假设。
最初的知识提取致使采用安全需求来累加证据,也就是某个系统满足这些需求的程度。这表明了检验某个数据库(例如AFCERT)的方法和检验安全需求之间强有力的相关,导致使用数据库和需求作为全局贡献来累加证据,如图13所示。这也表明了改变目标的粒度如何直接冲击着评估的粒度,也就是评估只能细致到与目标相当。除了保持使用向前推论技术,证据累加也被视为面向目标的、获得结果的方法,现在将被措词为“基于目标的汇合”。
在计算机安全中,如何应用模糊逻辑来合并工具的结果,一个实例使用ANSSR和ISS因特网扫描器结果的结合,它们是NVT的一个方面中目前使用的工具中的两种。这些工具的输出既有定量的(ANSSR),也有定性的(因特网扫描器)。模糊逻辑允许系统在同一个系统中同时表示这两种数据类型。然后用格式表示一个初始假设,用模糊逻辑收集反驳或支持该假设的证据。
对于这个实例,初始假设可能是,在某个现有的网络系统中审核是无效的。该系统的用户然后运用ANSSR和ISS因特网扫描器工具。如果ANSSR供应了一个数字90(出自100),该审核是充分的。模糊逻辑允许NVT将此视为对于审核是无效的这一初始假设的强烈的反驳证据。如果因特网扫描器供应的定性数据为User Access没有受到审核,模糊逻辑将此视为支持证据,它与ANSSR的证据相结合。工具使用完成后,对于审核有贡献的证据表示为单一的模糊事实,它提供了审核执行情况的一种度量。
对于在NVT之内使用的弱点评估和风险分析工具,佛罗里达州Melbourne的Harris公司开发的FuzzyFusionTM是整理和合并其结果而得出一个统一报告的一种方法。确切地说,FuzzyFusionTM是用于执行第1和第2级别的汇合。FuzzyFusionTM的完成要靠使用FuzzyCLIPS的模糊专家系统(面向目标的模糊逻辑判断规则),它结合了多种工具的输出、用户对系统风险和弱点的关注以及专家怎样理解每种工具的结果和这些如何归纳到一个较大的信息系统安全的描述。因此,NVT用户获得给定计算机系统或者系统设计之安全姿态的简单表达,并且能够对于功能、性能和对策措施能够进行“如果……如何”的分析。
图14展示了NVT FuzzyFusionTM的组件体系结构,它用于执行计算机安全工程中最先的两个级别的数据汇合。如图所示,模拟安全专门技能的任务划分为分开的任务。专家相关的分离(数据框架合并规则)、模糊推论网络规则和模糊证据推理规则涉及脆弱的专家系统和计算量爆炸的问题。它也把两类操作分离开,一类是低级别的数据相关和汇合,另一类是分解不明确的/有抵触的数据以及合并结果得出一个描述。这样应当使模糊专家系统比一个大而全的系统更加容易维护。下面介绍这个体系结构的单元。
数据模糊化310把各个弱点评估和风险分析工具的结果132、134、136转换为模糊事实,并把它们与公共系统模型(CSM),也就是系统对象模型数据库138一起存入(FuzzyCLIPS的)事实库302。(模糊化之后)各个工具的结果和CSM 138输出到专家相关处理330(数据框架合并规则)以便根据安全专门技能分解系统信息和集成各工具的输出。专家意见可以用于确定由低级别事件引起的、具体的模糊数值。
专家相关330(数据框架合并规则)是模糊专家规则的集合,用于执行节点级别的数据净化(第1级别)或者网络区段的净化(第2级别)。这些规则使用安全工程师的专门技能,对弱点评估和风险分析工具的(模糊化了的)输出进行相关和整理。这些规则使安全评估中广泛的经验发挥了加倍的作用,以便分解低级别的系统数据和各工具的结果。这些规则分解系统信息和集成各工具的输出。专家相关规则处理330也可以把CSM的低级别数据和各工具的结果变换为高级别的结论。例如,如果根据这些旗标审核是在用,而且审核数据没有备份,那么审核是不可靠的。
一套第1级别的汇合规则通过作用于事实库302中的模糊事实,能够整理每个节点的弱点,得出网络中每个节点的弱点等级。这个等级能够输入回到NVT进行显示。同样,一套第2级别的汇合规则能够整理每个网络区段的弱点,得出每个网络区段的弱点等级。这又可以输入回去进行显示。
然后数据进行模糊推论网络规则处理304。在应用模糊证据推理规则304之前,可能需要对可用数据执行附加的净化,同时保持数据的随机自然性质。这种净化将使用推论网络,正如本领域的技术人员所熟知,它提供一种使用试探法推理概率的方法,从而消除对广泛的先验知识的需要。
模糊证据推理规则306是模糊专家规则的集合,用于从系统级别的观点,把各工具的结果合并成网络安全姿态较高级别的评估。这些规则提供了一种机制,把CSM、各工具的结果和专家相关(数据框架合并规则)330的结果合并成统一的报告。这也消除了由专家相关中使用的向前链接专家系统应付不完全和有抵触的数据的需要。
证据推理使用一种技术,其中收集事实来支持和反驳某个给定的假设。结果就是以一定的可信度证明或者拒绝该假设。对于每个标准,FuzzyFusionTM使用证据推理来累加来自公共系统模型和工具发现的证据,从而把计算机网络系统评估数据合并成单一的参考点,使系统适应特定的准则。通过供应一套汇合准则,NVT约束汇合问题并减小搜索空间,参见前文的基于目标的汇合。结果将是一套模糊证据规则,其惟一的目的是对于给定的一组需求累加证据。这就从专家相关(数据框架合并规则)330分解了可能有抵触的、不明确的和多余的数据,并利用可用数据得出结论,即使该数据是不完全的。显而易见,结果的准确性取决于可用数据的数量和质量。
如上所述,模糊逻辑处理是面向目标的。证据累加处理的目标350可能取自安全需求数据库352、计算机安全度量数据库354或者弱点数据库356,比如由AFCERT组成的数据库。使汇合不超出预定的目标限定了计算时间。FuzzyFusionTM的目标提供了获得IA度量的机制。
FuzzyFusionTM的处理具有许多超过传统方法的优点。明确的专家系统会需要极为庞大的知识库以包含必需的数据,即便如此,仍然有不完全数据和有抵触结果的问题。贝叶斯和概率网络需要广泛的和往往是不可得的先验概率知识。算法解决方案不适合安全问题的随机的和试探的自然性质。
基于神经网络的专家系统比如FuzzyCLIPS要忍受执行时间的几何增长,这是基于系统中存在的规则和事实的数目。这就导致把分析划分到子网络中进行。FuzzyFusionTM将增加子网络和按比例分配功能。每个子网络的节点将作为一组来评价,然后再评价含有多个子网络的组。每个分析类型的规则分组到不同的模块,减小了神经网络的尺寸。除了缩短执行时间,这也引入了一种可伸缩的分析网络方法,它映射到NVT使用的网络模型。
如图15所示,其它可能的数据空间可能包括一个威胁知识数据库360、成本数据库362作为第3级别汇合的一部分,以及对策知识库、组件数据库和成本数据库作为第4级别汇合的一部分。
本申请书与以下同时待审的专利申请书有关,其标题为“SYSTEM AND METHOD FOR ASSESSING THE SECURITYPOSTURE OF A NETWORK(评估网络安全姿态的系统和方法)”和“SYSTEM AND METHOD FOR ASSESSING THE SECURITYPOSTURE OF A NETWORK USING GOAL ORIENTED FUZZYLOGIC DECISION RULES(使用面向目标的模糊逻辑决策规则评估网络安全姿态的系统和方法)”,它们在同一日期由同样的代理人和发明者提交,其公开文件这里引用作为参考。
受益于前文的介绍和附图提供的教导,本领域的技术人员将会想到本发明的许多修改和其它实施例。所以,应当理解,本发明不限于公开的具体实施例,上述修改和实施例将试图包括在有关权利要求书的范围之内。
权利要求
1.一种图形用户界面,包含在计算机屏幕上并且用于确定网络安全姿态,包括某个系统设计窗口,用于显示某个网络图的网络图标,它们代表网络中包含的不同网络单元,其中,把各个网络图标连接起来的方式对应于网络中网络单元相互连接的方式;其中,网络的弱点姿态已经确定之后,该网络图中选定的部分变为不同的颜色,以表明该部分已经确定的弱点。
2.根据权利要求1的图形用户界面,其特征在于,对应的网络单元变为不同的颜色,表明某个脆弱的网络节点。
3.根据权利要求1的图形用户界面,其特征在于,某个管理器窗口用于显示网络单元的性质。
4.根据权利要求1的图形用户界面,其特征在于,某个数据敏感度框具有用户选定的项目,以选择网络单元的敏感度。
5.根据权利要求1的图形用户界面,其特征在于,某个选择节点配置编辑框含有用户可选择的弱点特征,以便选择网络节点的一种弱点特征。
6.根据权利要求1的图形用户界面,其特征在于,用变为某个不同颜色的箭头把图标连接在一起,以表明在网络单元之间存在着脆弱的连接。
7.一种图形用户界面,包含在计算机屏幕上并且用于确定网络安全姿态,包括某个系统设计窗口,用于显示某个网络图的网络图标,它们代表网络中包含的不同网络节点,其中,把各个图标连接起来的方式对应于网络中网络节点相互连接的方式;某个管理器窗口,在其中显示和编辑网络节点的对应性质;其中,网络的弱点姿态已经确定之后,选定的图标变为红色表明较高风险的节点,选定的图标变为黄色表明风险不太严重的节点。
8.根据权利要求7的图形用户界面,其特征在于,管理器窗口进一步包括一个节点性质显示框,以便在网络设计选择时编辑网络节点的性质。
9.根据权利要求7的图形用户界面,其特征在于,某个数据敏感度框,具有用户选定的项目,以选择网络节点的敏感度。
10.根据权利要求7的图形用户界面,其特征在于,某个选择节点配置编辑框含有用户可选择的弱点特征,以便选择对应节点的一种弱点。
11.一种图形用户界面,包含在计算机屏幕上并且用于确定网络安全姿态的,包括某个系统设计窗口,用于显示某个网络图的网络图标,它们代表网络中包含的不同网络单元,其中,把各个网络图标连接起来的方式对应于网络中网络单元相互连接的方式,其中,网络的弱点姿态已经确定之后,该网络图中选定的部分变为不同的颜色,以表明该部分已经确定的弱点;以及某个弱点姿态窗口,显示用户可读的项目,表明脆弱的网络单元。
12.根据权利要求11的图形用户界面,其特征在于,所述用户可读的项目包括一张图,表明脆弱的网络单元。
13.根据权利要求11的图形用户界面,其特征在于,所述用户可读的项目包括一个电子表格,表明脆弱的网络单元。
14.根据权利要求11的图形用户界面,其特征在于,由图标表示的对应网络单元变为不同的颜色,表明某个脆弱的网络节点。
15.根据权利要求11的图形用户界面,其特征在于,某个管理器窗口用于显示网络单元的性质。
16.根据权利要求11的图形用户界面,其特征在于,某个数据敏感度框具有用户选定的项目,以选择网络单元的敏感度。
17.根据权利要求11的图形用户界面,其特征在于,某个选择节点配置编辑框含有对于某个网络节点用户可选择的弱点特征。
18.根据权利要求11的图形用户界面,其特征在于,用变为某个不同颜色的箭头把图标连接在一起,以表明在网络单元之间存在着脆弱的连接。
19.一种图形用户界面,包含在计算机屏幕上并且用于确定网络安全姿态,包括某个系统设计窗口,用于显示某个网络图的网络图标,它们代表网络中包含的不同网络节点,其特征在于,把各个图标连接起来的方式对应于网络中网络节点相互连接的方式;某个管理器窗口,在其中显示和编辑网络节点的对应性质;其中,网络的弱点姿态已经确定之后,选定的图标变为红色表明较高风险的节点,选定的图标变为黄色表明风险不太严重的节点;以及某个弱点姿态窗口,显示用户可读的项目,表明脆弱的网络图标。
20.根据权利要求19的图形用户界面,其特征在于,所述用户可读的项目包括一张图,表明脆弱的网络节点。
21.根据权利要求19的图形用户界面,其特征在于,所述用户可读的项目包括一个电子表格,表明脆弱的网络节点。
22.根据权利要求19的图形用户界面,其特征在于,所述管理器窗口进一步包括一个节点性质显示框,以便在网络设计选择时编辑网络节点的性质。
23.根据权利要求19的图形用户界面,其特征在于,某个数据敏感度框,具有用户选定的项目,以选择数据对应节点的敏感度。
24.根据权利要求19的图形用户界面,其特征在于,某个选择节点配置编辑框对于对应节点含有用户可选择的弱点特征。
全文摘要
某个图形用户界面包含在计算机屏幕上,并用于确定网络的弱点姿态。某个系统设计窗口显示某个网络图的网络图标,它们代表网络中包含的不同网络单元。对应于网络中网络单元相互连接的方式,把各个网络图标连接起来。网络的弱点姿态已经确定之后,该网络图中选定的部分变为不同的颜色,以表明该部分已经确定的弱点。
文档编号H04L29/06GK1398470SQ01804602
公开日2003年2月19日 申请日期2001年2月2日 优先权日2000年2月8日
发明者凯文·弗克斯, 隆达·汉宁, 约翰·法莱尔, 克里弗德·米勒 申请人:哈里公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1