专利名称:一种网络风险分析方法
技术领域:
本发明涉及一种网络安全评估技术,特别是一种针对网络风险的量化评估技术。(二) 背景技术网络规模逐渐扩大,结构日趋复杂,特别是各种针对系统弱点的新型攻击手 段的不断出现,使得网络所面临的风险日益严重。为了保证网络的正常运行,需 要管理人员对网络进行安全性评估,主动发现系统安全隐患,以此为根据,制定 有效的安全措施。网络安全评估方法按照数据源可以分为1)动态评估,根据攻击事件发生 的频率及其对系统造成的威胁来评估网络的安全性。这类方法多为定量分析,但 是由于入侵检测工具的误报率和漏报率较高,降低了评估结果的准确性。2)静 态评估,通过分析目标网络存在的系统弱点来对网络的安全性进行评估。目前, 针对静态评估的相关研究工作较多。例如Xinming Ou, Wayne F. Boyer, Miles A. McQueen," A Scalable Approach to Attack Graph Generation", CCS,06, Alexandria, Virginia, USA ,October 30_November 3, 2006:336-345中公开的,使用prolog系统 关联网络弱点,根据弱点间的依赖关系评估网络的安全性,再例如Shahriari HR, Jalili R. Modeling and analyzing network vulnerabilities via a logic-based approach. In: Proceedings of second international symposium of telecommunications (IST2005), September 10-12; 2005:13-21.中公开的,在分析网络主机间的访问控制关系的基 础上,提出的一种网络弱点分析方法VTG等。这些都属于定性的安全评估。与 本发明同属于定量评估的研究主要有肖道举,杨素娟,周开锋,陈晓苏.网络安全评 估模型研究[J].华中科技大学学报(自然科学版),2002,30(4):37-39.中公开的根据 服务重要度和漏洞威胁度提出的量化安全评估模型;Roland Rieke, Modelling and Analysing Network Security Policies in a Given Vulnerability Setting, CRITIS 2006, LNCS 4347, Springer Verlag, 2006:67-78.中公开的一种量化评估网络安全策略的 模型;Andy Ju An Wang, Information Security Models and Metrics, 43W爿CM SowAeos, Co"/ew"ce, Kennesaw, GA, March 18-20, 2005:178-184.中公开的一种层 次化的安全模型和针对此模型的量化评估方法等。目前,未见国内外有关基于弱点关联和安全需求的网络风险量化评估方法的 专利申请报导。概括而言,已有的网络安全量化评估方法普遍存在以下缺点l)缺乏对弱 点间关联性的分析。由于网络中主机的高度互联及渗透式攻击手段的存在,使得 一些原本受防火墙保护的主机同样存在被攻击的风险,已有的量化评估方法往往 忽略了这类风险,导致评估结果不够准确。2)没有考虑安全需求。各个网络甚 至同一网络下的各个主机对于保密性、完整性和可用性的安全需求是不同的,如 果在安全评估时不考虑安全需求,得到的评估结果必定是不准确的。(三) 发明内容本发明的目的在于提供一种在充分考虑弱点间的关联性对主机和网络的安全 造成的影响的基础上,按照安全需求对主机的风险状况进行量化评估,使得评估 结果更加真实、可靠的一种网络风险分析方法。
本发明的目的是这样实现的(1) 收集当前网络的拓扑、弱点、服务信息,构造网络攻击图;(2) 根据网络攻击图,计算各个弱点被攻击者成功利用的概率;(3) 将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合, 计算各弱点对主机可用性、保密性和完整性的风险;(4) 考虑各主机的安全需求,计算各主机的综合风险;(5) 根据各主机的综合风险,计算网络综合风险。 本发明还可以包括1、 所述的收集网络安全信息是由Nessus和OVAL Scanner扫描器实现。2、 在生成网络攻击图后,考虑攻击者的行为特征,采取广度优先的方法计 算网络攻击图中各状态结点的可达概率,将各状态结点与弱点对应起来,计算弱 点的被成功利用的概率。3、 所述的根据主机的对可用性、保密性和完整性的需求,赋给三种安全需 求重要度权值,然后根据权值,计算主机保密性、完整性和可用性的风险。本发明的优点在于(1)充分考虑了弱点间的关联性对主机和网络的安全造 成的影响。(2)按照安全需求对主机的风险状况进行量化评估,使得评估结果更 加真实、可靠。为了验证本发明在网络风险评估方面的有效性,我们构造了一个实验网络环 境,其拓扑结构如图3所示。实验环境为交换网络,共有4台主机。IPl为Web 服务器,IP2为FTP服务器,IP3是SMTP服务器,IP4保存着一些涉密资料。 防火墙只允许外部主机访问主机IP1运行的服务,其他的外部访问均被阻止,内 部主机之间的访问没有限制。为了不失一般性,除了特权提升类弱点,我们还在 实验网络中加入了数据类弱点、拒绝服务类弱点。实验网络内各主机及其弱点的 信息如图4、图5所示。将主机信息和弱点信息输入QAA算法中,利用攻击图生成子算法得到的攻 击图如图6所示。图中的有向边代表攻击者的一次原子攻击,节点代表被攻击后 的网络状态。攻击者成功利用特权提升类弱点后会以此为跳板,继续利用其它弱 点,而与数据类和拒绝服务类弱点对应的状态节点为攻击图的叶节点,表示无法 进行下一步攻击。风险评估结果如图7、图8所示。图7给出了各弱点给主机服 务、主机数据的保密性和完整性带来的风险。图8给出了主机三种安全属性的风 险、主机综合风险和网络综合风险。以上述实验为例,将我们提出的量化评估方法与传统的评估方法进行比较和 分析。(1) 传统的评估方法孤立地评估各台主机的风险,由于主机IP2、 IP3和IP4 受防火墙的保护,即使主机存在弱点,攻击者也不可能直接利用这些弱点,因此, 主机IP2、 IP3和IP4的风险为0。而本文提出的量化评估方法对弱点进行了关 联分析,分析后可知,攻击者可以利用主机IP1为跳板攻击网络内的其他主机, 此时,IP2、 IP3和IP4是存在风险的。(2) 传统的评估方法只是简单的将各弱点给主机带来的风险进行累加,作为 主机的综合风险,本文在此基础上考虑了各主机的安全需求,两种方法的评估结 果如图9所示。以主机IP4为例,使用传统方法评估得到的综合风险为0. 156, 而使用本文提出的方法评估得到的综合风险仅为0.047。作为存储涉密资料的主 机,主机IP4对保密性和完整性方面的需求较多,对可用性方面的需求较少,而 IP4存在的弱点8826不会对主机的保密性和完整性造成威胁,因此IP4的综合
风险较低。而传统方法忽略了主机的安全需求,造成评估结果不够准确。(四)
图1主机重要度的量化标准;图2典型的攻击图;图3实验网络拓扑;图4主机信息;图5弱点信息;图6实验网络攻击图;图7各弱点给主机带来的风险;图8主机综合风险和网络综合风险;图9与传统方法评估结果对比。
具体实施方式
下面结合附图举例对本发明做更详细地描述 为了实现本发明的目的本发明首先给出一系列定义定义1 (攻击复杂度).攻击复杂度是用来衡量攻击者成功利用某一弱点的难易 程度的一种度量。定义2 (弱点).弱点用如下五元组表示(/尸,WA『,£, P)。其中,ZP为弱点 所在的主机名;WZ)为弱点在Bugtraq漏洞库中的号码;弱点对主机安全的影响 程度是一个三元组『=(『c,『/,『》,『c、『/和^4分别为弱点对主机保密性、 完整性和服务可用性的影响系数;五为弱点的攻击复杂度;尸用于存储网络外部 攻击者成功利用此弱点的概率。基于特权提升的多维量化属性弱点分类法的研究[J].通信学报,2004, 25(7).pp. 107- 114.中给出了弱点的攻击复杂度及其对主机保密性、完整性和可用 性影响的量化标准,本发明不作详细地阐述。定义3 (服务).主机服务表示为一个六元组(/尸,iV"me,ra,57,SM,M)。其中, /尸为运行该服务的主机名;iVame为服务名称;FS为主机上存在的能够影响该服 务运行的弱点集合;S/为服务的重要程度;SM为该服务在主机开通的所有服务 中所占的重要性权重,即对S/归一化后所得到的结果;Si 用于存储该服务的风险 值。服务重要程度需要结合客观统计信息和主观经验知识来确定, 一般来说,用 户数目越多、访问频率越大,服务的重要程度就越高。定义4 (数据).数据用如下四元组表示(/P,FC, WC及,/及)。其中,/P为数据所 在的主机名;FC为对主机数据的保密性产生威胁的弱点集合;P7为对主机数据 的完整性产生威胁的弱点集合;C/ 用于存储主机数据的保密性风险;/i 用于存 储主机数据的完整性风险。定义5 (主机).主机用如下六元组表示(/尸,&Z),A7仏^凡/汉)。其中,/尸为主 机名;S为主机上运行服务的集合;D代表主机上的数据;主机的安全需^4 =(a。a,,c^), ^的三个元素分别为主机在保密性、完整性和可用性上的安全需 求系数,它们的和为h报为主机的重要程度;(i c,i ,,及A),分别为主机保 密性、完整性和可用性的风险,/仪用于存储主机的综合风险。
按照主机的类型,我们给出主机重要度的量化标准,见图l。 定义6 (网络).目标网络用如下三元组表示(//,MiVi )。其中,//为网络中存 在弱点的主机集合;iV为不存在弱点的主机集合;iV及为主机的综合风险。定义6 (攻击图).攻击图是一个状态转换系统r^os,r, )。其中,S是状态节 点的集合,r £ S x S是状态转换关系的集合,* s。 e S是初始状态节点。定义7 (状态节点).攻击图中的状态节点是一个七元组(S/ARS尸,P,FS,SS)。 其中,5/£>是状态节点号,F为该状态节点对应的弱点,S户是攻击者到达其父节 点后选择该节点作为下一步攻击目标的可能性,P用于存储攻击者成功到达该状 态的概率,FS和SS分别为该节点的父节点和儿子节点集合。一般来说,攻击者为了达到其攻击目的需要实施多个攻击动作。这些攻击动 作所涉及的弱点可能不同,但彼此之间存在因果关系,并且按照一定的逻辑顺序 发生。攻击动作间的这种因果关系,使得构建攻击图成为可能。文献[9]给出了 一种攻击图生成方法,并提出了单调性假设,即攻击者不会为了已经获得的权限 发动攻击,也不会重复利用同一个弱点。图2是攻击图的一个实例,图中的有向 边代表攻击行动,节点代表攻击行动成功后的主机状态。攻击者在利用主机IP1 的弱点12815后获得了权限提升,以此为跳板,继续攻击受防火墙保护的主机IP2 和IP3。量化评估算法QAA的具体实现如下 输入网络主机、服务、弱点和访问权限等信息;输出主机保密性、完整性和可用性风险,主机综合风险和网络综合风险; 算法1. 调用攻击图生成函数生成网络攻击图r2. 调用弱点利用成功概率子算法QAAK7);3. while(7/^0) {4. 取出一个主机//, e/Z;5. 调用主机风险计算子算法QAA2 (//,);}6. 计算网络综合风险= J];7. 返回各主机风险和网络综合风险;QAA算法的第1行根据网络弱点、拓扑和开放服务等信息生成攻击图,之 后,利用生成的攻击图计算各网络弱点被攻击者成功利用的概率,第4-5行计算 主机保密性、完整性、可用性的风险并结合主机的安全需求计算主机的综合风险, 第6行根据各主机的风险值,计算网络的综合风险。如何生成攻击图不是本文讨论的重点,但需要指出的是,在利用文献[9]给出 的方法生成的攻击图中,状态节点可能存在多个父节点(如图1中的5号节点), 为了计算各状态节点的可达概率的方便,我们需要对这些有多个父节点的状态节点及其子孙节点进行复制,将攻击图转换成树状结构,使得图中除根节点外的任 意一个状态节点只有一个父节点。在给li弱点ii!用成功概率^算法QAAi前,本文根据攻击者的行为特征,提 出如下假设假设1.攻击者作为智能主体对系统弱点有着深刻的理解,在不考虑网络内资产对
其产生的吸引力的情况下,他总是依据各个弱点的攻击复杂度选择下一步攻击目 标。一般情况下,攻击者在发动攻击前不清楚网络的拓扑结构和全部的弱点信息, 他们并不知道哪些路径能够到达攻击目标,在这种情况下,攻击者往往会优先利 用那些攻击复杂度低的弱点,因此,攻击者的行为特征是满足上述假设的。根据假设1,弱点利用成功概率子算法QAA!的具体实现如下 输入网络攻击图r;输出各弱点被攻击者成功利用的概率;算法-1. 对于初始状态s。 eS, s。.尸=1 ,其他所有状态s, eS , =0 , =0 ;2. while("0) {3. 从初始状态开始,正向、广度优先的从S中取一个状态节点s,;4. <formula>formula see original document page 7</formula>5. 从5,.5^中取一个状态节点~;6. 计算z7. 计算<formula>formula see original document page 7</formula>;8. 计算<formula>formula see original document page 7</formula>;子算法QAA,中,初始状态节点代表攻击者发动攻击前的网络状态,因此将 其被攻击者成功利用的概率赋值为1;第3行采用正向、广度优先的方法遍历攻 击图中的全部节点;第5-6行根据当前状态节点^的各孩子节点所对应弱点的攻击复杂度,计算攻击者选择各孩子节点作为下一步攻击目标的概率,并用临时变 量SP保存这个概率;第7行求得攻击者从初始状态出发,成功到达s,的各孩子节点的概率;第8行计算弱点被成功利用的概率,由于主机上存在的一个弱点可 能对应攻击图中的多个状态节点,因此该弱点被成功利用的概率应为所有与该弱 点对应的状态节点中的户值之和。计算主机三种安全属性风险的QAA2子算法的具体实现如下输入主机A;输出主机各安全属性风险和综合风险; 算法1. io始化根据服务的重要程度S/,计算SM,根据弱点对主机服务和数据的影 响,将各弱点加入到各服务的弱点集合7&主机数据的弱点集合FC和W中;2. while(//,.S*0)3. 取一个服务 e/Z,.S;4. 计算该服务的风险<formula>formula see original document page 7</formula>
5. 计算主机可用性风险/Z,Ji J^+^,.Si ;6. 计算主机保密性风险《.^ .^= J](7. 计算主机完整性风险//一兄及/= S (y尸巧歴》;8. 计算主机的综合风险//,^ = /^//"(QAA2子算法的第1行是对服务重要程度进行归一化处理和对主机存在的i, 点进行分类;第5行将主机各服务的风险累加,得到主机的可用性风险;第6行 和第7行计算得到主机的保密性和完整性风险;第8行根据主机的安全需求和主 机重要度计算主机的综合风险。
权利要求
1、一种网络风险分析方法,其特征是(1)收集当前网络的拓扑、弱点、服务信息,构造网络攻击图;(2)根据网络攻击图,计算各个弱点被攻击者成功利用的概率;(3)将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合,计算各弱点对主机可用性、保密性和完整性的风险;(4)考虑各主机的安全需求,计算各主机的综合风险;(5)根据各主机的综合风险,计算网络综合风险。
2、 根据权利要求l所述的网络风险分析方法,其特征是所述的收集网络信息是由Nessus和OVAL Scanner扫描器实现,并用基于图论的方法生成网络 攻击图。
3、 根据权利要求2所述的网络风险分析方法,其特征是所述的根据网络 攻击图,计算各个弱点被攻击者成功利用的概率,是考虑攻击者的行为特征, 采取广度优先的方法计算网络攻击图中各状态结点的可达概率,将各状态结点 与弱点对应起来,计算弱点的被成功利用的概率。
4、 根据权利要求3所述的网络风险分析方法,其特征是所述的计算各弱 点对主机可用性、保密性和完整性的风险是,在给出各弱点对服务及数据的影 响的量化标准的前提下,结合弱点被成功利用的概率,计算各弱点给主机服务、 数据带来的风险,最后,求得主机可用性、保密性和完整性的风险。
5、 根据权利要求4所述的网络风险分析方法,其特征是所述的计算各主 机的综合风险是,根据主机的对可用性、保密性和完整性的需求,赋给三种安 全需求重要度权值,然后根据权值,计算主机保密性、完整性和可用性的风险。
6、 根据权利要求5所述的网络风险分析方法,其特征是所述的计算网络综合风险是,对各主机的风险值进行累加,求得网络的综合风险。
全文摘要
本发明提供的是一种网络风险分析方法。(1)收集当前网络的拓扑、弱点、服务等信息,构造网络攻击图。(2)根据网络攻击图,计算各个弱点被攻击者成功利用的概率。(3)将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合,计算各弱点对主机可用性、保密性和完整性的风险。(4)考虑各主机的安全需求,计算各主机的综合风险。(5)根据各主机的综合风险,计算网络综合风险。本发明的优点在于(1)充分考虑了弱点间的关联性对主机和网络的安全造成的影响。(2)按照安全需求对主机的风险状况进行量化评估,使得评估结果更加真实、可靠。
文档编号H04L9/00GK101162993SQ20071014469
公开日2008年4月16日 申请日期2007年11月29日 优先权日2007年11月29日
发明者武 杨, 苘大鹏 申请人:哈尔滨工程大学