专利名称:基于报警信息的安全评估方法
技术领域:
本发明涉及基于报警信息的安全评估方法。
背景技术:
随着网络时代的来临,互联网络的规模和应用领域不断发展,已经渗透到人们日常生活、经济、军事、科技与教育等各个领域,其基础性、全局性的地位和作用日益增强.作为重要基础技术与设施的网络安全问题已经成为影响社会经济发展和国家发展战略的重要因素,是当前世界各国共同关注的焦点.然而面对网络日趋复杂的结构和庞大的规模, 特别是随着网络攻击和破坏行为的日益普遍和攻击工具的逐渐多样化,传统的网络安全防护及其研究已经不能满足网络发展的实际需求,迫切需要新的基础理论和研究方法.网络安全的研究工作的发展主要经历了三个阶段.在第一阶段,人们试图构建绝对安全的系统,主要研究如何保护网络系统防止恶意入侵,普遍认为网络安全事件发生是由于系统设计上存在漏洞,可以通过改进系统细节和复杂协议的设计来阻止攻击和安全破坏事件的出现.在第二阶段,人们逐渐认识到存在一部分恶意入侵,很难阻止其发生, 因此将注意力转移到研究如何及时检测入侵发生,并提醒管理员采取补救措施,如打补丁等.事实表明,要保证网络的绝对安全是非常困难的,特别是随着网络攻击的日益普遍和加剧,网络攻击和入侵不可避免且很难及时检测和报警.在第三阶段,现在人们更多地考虑网络的容侵容错,即研究如何使网络在受到攻击和破坏后仍能恢复继续实现预定功能.鉴于当前网络安全领域存在的严峻问题,面向用户提供系统级的安全服务已经逐渐成为网络安全领域发展的新趋势;如何基于可信性构建支持安全服务的网络是国内外研究的
执占基于可信性构建支持安全服务的一个重要理论基础是安全评价,特别是定量刻画网络系统的安全性,评价容侵容错机制保证的安全程度,并从理论上指导构建网络安全机制和措施.例如,入侵检测机制的参数获取、网络流量的设定等都需要基础理论与分析方法.目前,大部分的网络安全性评价工作针对网络安全属性进行定性分析,验证系统是否满足某些安全特征.这种情况下往往得到安全性指标偏差很大,对具体网络系统的安全性判断不够准确,很难指导构建新的网络安全措施.因此,网络安全的量化分析,尤其是对网络系统中细节上的量化分析是目前的网络安全领域中一个重要的研究方向。一般来说,在一系列的攻击步骤中,入侵事件不是互相独立的,先进行的攻击步骤总是为后续攻击步骤做准备。假设每一次入侵检测系统的报警对应于一个攻击步骤,每一个攻击步骤有其前提条件和后果。攻击的前提条件是这个攻击成功的必要条件,攻击的后果是攻击成功后可能产生的结果。那么当先发生的攻击a的后果满足了后继攻击b的前提条件,就可以说a为b作了准备,可以将ab归入一个攻击场景。由于目前入侵检测系统的具有较高的误报率,直接依靠入侵检测系统报警信息进行攻击场景重构的准确率不高,会造成攻击场景重构的混乱。报警可信度指的是报警信息所报攻击真实发生的可能性。
发明内容
本发明目的是提出一种从报警可信度的出发对报警关联进行的方法,此方法大大减少了较高的报警误报率对报警关联的影响。基于报警信息的安全评估方法,采用关联报警信息重构攻击场景的方法,使用谓词来表示攻击的前提条件和后果;具体步骤如下(1)采用无环有向图来表示重构后的攻击场景,攻击场景图的生成分为三步;1)根据超报警类型的前提集和后果集生成初始攻击场景图集合;2)对于初始攻击场景图集合中的每一个攻击场景图,计算其中各个节点(攻击步骤)的证据支持度,消去可能的误报;攻击场景图G中误报结点的消去;1)对攻击场景图G中每个节点计算其报警可信度(;,考虑所有C; < ε ( ε是管理员设定的一极小值,表示当报警可信度小于等于ε的报警可视为误报,(下同)的节点;2)消去没有前向节点且报警可信度C;彡ε的节点;3)消去没有后向节点且报警可信度C;彡ε的节点;4)对于剩下的C; ( ε的节点,分情况讨论a)若删去该节点导致攻击场景图分裂,则保留该节点;b)若删去该节点攻击场景图仍然连通,则删去该节点;(2)从报警可信度的基础上对报警关联算法进行改进,并从可信性、危险性及对系统造成的风险上,对报警关联后的攻击序列进行了评估,攻击序列的危险性分析的步骤如下设攻击序列S = Ia1A2,…,an}由η个报警知 ,…, 组成,报警屮的自身危险度、节点价值、服务价值分别为^、n” Si,其定义及取值如下报警的攻击类型等因素的实际匹配度取值,定义如下攻击类型可信度的状态分为高、中、低三种,取值分别为1、0.6、0. 2,相关攻击的状态分别设为强相关、弱相关和无相关三种,取值分别为1,0. 7和0. 4,自身危险度按通常IDS的风险等级设为高、中、低三种状态,取值分别为1、0. 6和0. 2。节点安全度、节点价值、服务价值的状态见下段,计算时的取值要乘上0. 1。节点价值是一个用来表示节点重要性的量化的一个值。我们设节点价值度量的范围从1到N,其中1表示的是最低的重要性,而N表示最高的重要性(本章中为了计算的简便N设为10)。节点价值、服务价值的度量范围和取值是根据整个系统的具体情况由系统管理员指定的。和节点价值与服务价值标示的是节点与服务的重要性相似,节点的安全度标示的是节点的安全性。节点的安全度也是一个量化的值,它由节点安装的操作系统及版本,应用程序,开放的服务、端口,使用的安全措施以及它在网络中的位置等来确定。它的值在一个范围之间,同节点价值一样,设为1到P,其中1表示最低的安全度,P表示最高安全度(本章中为了计算机的简便设P为10)。节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的。则攻击序列S的危险度
权利要求
1.基于报警信息的安全评估方法,其特征是采用关联报警信息重构攻击场景的方法, 使用谓词来表示攻击的前提条件和后果;具体步骤如下(1)采用无环有向图来表示重构后的攻击场景,攻击场景图的生成分为三步;1)根据超报警类型的前提集和后果集生成初始攻击场景图集合;2)对于初始攻击场景图集合中的每一个攻击场景图,计算其中各个节点(攻击步骤) 的证据支持度,消去可能的误报;攻击场景图G中误报结点的消去;3)对攻击场景图G中每个节点计算其报警可信度(;,考虑所有C;< ε (ε是管理员设定的一极小值,表示当报警可信度小于等于ε的报警可视为误报,(下同)的节点;4)消去没有前向节点且报警可信度C;< ε的节点;5)消去没有后向节点且报警可信度C;< ε的节点;6)对于剩下的C;< ε的节点,分情况讨论a)若删去该节点导致攻击场景图分裂,则保留该节点;b)若删去该节点攻击场景图仍然连通,则删去该节点;(2)从报警可信度的基础上对报警关联算法进行改进,并从可信性、危险性及对系统造成的风险上,对报警关联后的攻击序列进行了评估,攻击序列的危险性分析的步骤如下设攻击序列S= Ia1A2,···,%}由η个报警ai,a2,…, 组成,报警 的自身危险度、 节点价值、服务价值分别为r”!!” Si,其定义及取值见?,则攻击序列S的危险度
全文摘要
基于报警信息的安全评估方法,采用关联报警信息重构攻击场景的方法,使用谓词来表示攻击的前提条件和后果;采用无环有向图来表示重构后的攻击场景1)根据超报警类型的前提集和后果集生成初始攻击场景图集合;2)对于初始攻击场景图集合中的每一个攻击场景图,计算其中各个节点证据支持度,消去可能的误报;攻击场景图G中误报结点的消去;从报警可信度的基础上对报警关联算法进行改进,并从可信性、危险性及对系统造成的风险上,对报警关联后的攻击序列进行了评估;并进行攻击序列的危险性分析和网络系统的损失分析。本发明通过对报警信息与目的地系统的环境匹配度、攻击类型、相关攻击信息以及目的地系统节点安全度的计算得出报警信息。
文档编号H04L12/24GK102355361SQ201110182168
公开日2012年2月15日 申请日期2011年6月30日 优先权日2011年6月30日
发明者刘建邦, 张辰, 潘健翔, 石进, 高为 申请人:南京大学, 江苏南大苏富特科技股份有限公司