CN100373865C - 计算机攻击的威胁评估方法 - Google Patents

Abstract

本发明公开了一种计算机攻击的威胁评估方法，包括：第一步、建立初始威胁数据库，对于各种攻击类型赋予初使威胁值；第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；第三步、根据入侵事件集的差异性，分类计算入侵事件集的威胁值。本发明的优点在于：(1)数据源丰富，可利用于自各种入侵检测系统的报警数据，作为入侵事件的数据源。(2)适应性好，不仅可用于计算单个入侵事件威胁值，还可用于计算协同攻击入侵事件集合的威胁值。(3)执行效率高，该方法具有一阶线性计算复杂性。使用本发明提出的方法可以使入侵事件的威胁值成为一个可量化的指标。

Description

计算机攻击的威胁评估方法

技术领域

本发明涉及信息安全领域，尤其涉及威胁评估技术和威胁评估方法。

背景技术

系统漏洞的存在和攻击工具的广泛传播使得网络攻击更为频繁。其中，协同攻击是威胁较大的一类。协同攻击是精心策划和实施的一组攻击，它通过各个部分的分工协作来达到一个共同的攻击目的。随着攻击工具更加自动化和智能化，协同攻击日益盛行，但它难于检测和有效防御。目前出现了一些协同攻击的入侵检测系统，如UC-Davis DIDS(参见S.R.Snapp，J.Brentano，et al，DIDS(Distributed Intrusion Detection System)-Motivation，Architecture，and An EarlyPrototype，Proc.14th NCSC：167-176，Washington，DC，Oct.1991)和GrIDS(参见S.Staniford-Chen et al，GrIDS-A Graph Based Intrusion detection System forLarge Networks，Proc.19th National Information Systems Security Conf.Vol.1：361-370，Oct.1996)，SRI EMERALD(参见P A.Porras and P G.Neumann，EMERALD：Event Monitoring Enabling Response to Anomalous Live Disturbances，Proc.20th National Information Systems Security Conf.，Baltimore，MD，Oct.1997)，和CARDS(参见Jiahai Yang，Peng Ning，X.Sean Wang，and Sushil Jajodia.CARDS：A distributed system for detecting coordinated attacks.In Proceedings of IFIP TC11Sixteenth Annual Working Conference on Information Security：171-180，Aug2000.)。这些系统集中于协同入侵的攻击建模和检测。但是对于协同入侵的威胁评估则少有关注。而威胁评估技术是入侵防御和响应的前提和基础，是构成网络安全主动防御体系的重要组成部分。

威胁评估是应用系统安全周期中风险管理的一部分，它提供对入侵事件的威胁程度的量化方法，为安全监管系统采取相应的防御措施提供依据。对计算机攻击的威胁评估是对一组相关的攻击事件(目标相关，源相关，方法相关，时间相关)进行整体的评估，从而得出攻击事件集对于特定目标的威胁程度，为监管系统提供安全防御参考。

发明内容

本发明的目的就是提出一种基于入侵事件的计算机攻击的威胁评估方法。

本发明的核心思想是：每一个攻击或协同攻击都对应着一定规模或个数的入侵事件，通过对入侵事件集合的评估就可得到对攻击/协同攻击的评估。通过属性聚类分析，得到相关的入侵事件集合，综合入侵事件集的攻击次数、攻击源、攻击初始威胁度、被保护目标的重要级别等因素，评价事件集的威胁程度。针对入侵事件集合评估是本发明进行威胁评估的核心。

计算机攻击的威胁评估方法，其特征在于包括下列步骤：

第一步、建立初始威胁数据库，对于各种攻击类型赋予初使威胁值；

第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；

第三步、根据入侵事件集的差异性，分类计算入侵事件集的威胁值。

本发明的特点是采用聚类方法计算入侵事件在属性视图下的发生频数，通过计算初始威胁值、攻击源分布、攻击频次、攻击目标的重要程度等因素，对攻击威胁度加以评估。本发明的优点在于：(1)数据源丰富，可利用于自各种入侵检测系统的报警数据，作为入侵事件的数据源。(2)适应性好，不仅可用于计算单个入侵事件威胁值，还可用于计算协同攻击入侵事件集合的威胁值。(3)执行效率高，该方法具有一阶线性计算复杂性。该方法的提出使得入侵事件的威胁值成为一个可量化的指标，从而能够为其它的安全系统及时有效地提供攻击/入侵的威胁信息，使之采取有效的防御措施。这为网络综合防御系统的实施奠定了基础，使得各网络安全组件的联动成为可能。

附图说明

图1是本发明提出的方法的流程图；

图2是图1中建立初始威胁数据库的方法的流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。

图1是本发明提出的方法的流程图，其中，建立威胁数据库只需要在首次运行，而聚类分析入侵事件是在有入侵事件到来时触发运行。如图1所示，本发明提出的方法的主要流程包括：

第一步、建立初始威胁数据库，对于各种攻击类型赋予初使威胁值；

第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；

第三步、根据入侵事件集的差异性，分类计算入侵事件集的威胁值。

其中，图2表示了建立初始威胁数据库的方法的流程，如图2所示，建立初始威胁数据库的方法为：

1.1攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生的次数，攻击频次对威胁值的贡献记为x(f)；

1.2攻击源个数威胁分析：攻击同一目标的攻击源个数对威胁值的贡献记为x(m)；

1.3确定主要攻击类型，将其按威胁度分类；

1.4估计各攻击类型下攻击源的威胁大小：攻击源在第n类攻击类型下的威胁程度，记为x(n)，存入威胁数据库。

下面结合具体的实施例进一步说明本发明的实施步骤。

在本发明的第一步建立的威胁数据库是将各种单一类型的攻击，赋予一个初使的威胁值，以作为后续步骤中查询参考。人们对各种单一攻击类型的威胁程度已经形成一定的经验认识，例如初使值的给定可参照入侵检测系统中对攻击类型的等级描述。威胁数据库用于查找特定攻击在发生特定次数时的威胁值，建立方法是：

1)攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生的次数，归约到[0.0，1.0]的值域范围内，即可得到攻击源威胁值x与f的函数关系，记为x(f)＝f/(1+f)；

2)攻击源个数威胁分析：考虑到协同攻击时，攻击源的个数同样影响到威胁的程度，攻击源的个数越多，可能发生的协同攻击的威胁程度越大，用同样的方法将攻击源的个数归约成威胁值，记为x(m)＝m/(1+m)；

3)确定主要属性(攻击类型)，将其按威胁度分类；

4)估计各属性下攻击源的威胁大小：攻击源在第n类攻击类型下的威胁程度，记为x(n)，存入威胁数据库。

本发明所提出的基于入侵事件的威胁评估方法，根据入侵事件的时空(源、目标、服务类型、攻击类型、时间)分布规律进行威胁评估。首先需要建立入侵事件的表示模型，通过入侵事件集对攻击/协同攻击进行表征。

入侵事件，由以下五元组表示：E＝{D，S，R，C，T}。每个入侵事件具有五个属性。其中，D为目标地址集合，S为源地址集合，R为请求服务类型集合，C为攻击类型集合(文中以Snort定义的攻击类型为例)，T为时间标记集合；入侵事件集，是入侵事件的集合，集合中的每一项是一个入侵事件；视图V是一组聚类条件，V＝orExpr|andExpr|groupExpr，其中，orExpr＝OR((D|S|R|C|T)＝val)，andExpr＝AND((D|S|R|C|T)＝val)。条件表达式由项属性、属性值表达式和关系符OR、AND的组合构成。视图可以产生具有相同属性值的一组入侵事件集，用于表示一组有相互关联的协同攻击。

本发明的第二步中对入侵事件进行聚类分析，聚类结果是将相似的记录分成若干组，得到相关目标聚类的入侵事件频次集。可利用各种聚类分析方法，例如采用基于统计信息网格(STING：STatistical INNformation Grid)的多分辨率聚类方法，计算特定视图下的入侵事件的发生频次。入侵事件的属性(目标地址，源地址，请求服务类型，攻击类型，时间)看作n维空间S的维，分别有一个有界定义域。输入的入侵事件为n维空间中的点集。具体操作如下：

利用单调性引理(基于关联规则挖掘的先验性质apriory property)：频繁项集的所有非空子集也是频繁的。设k＝1，遍历报警数据库，找出所有的一维密集单元格(攻击)

1)频次大于minf(事件发生的最小频次)，其组成的集合记为E₁；

2)若k<n则由k维的密集单元格集合E_k生成k+1维的候选密集单元格，否则转4)；

3)若E_k+1不为空则，过滤掉非密集的单元格，k＝k+1，转2)；

4)得到最高维的密集单元格构成的子空间。

回答查询的方式(提取入侵事件历史规律，攻击频度信息)：

1)确定与查询相关的聚类子空间的维数k：

2)从k维聚类子空间集合中选择与查询最相关的聚类子空间；

3)只考虑第k层中满足查询条件的单元，k+1层的处理仅对这些单元进行；

4)重复3)直到满足查询要求；

5)对最终结果的处理，过滤掉非密集单元格。

以目标IP聚类为例，对应的查询方法如下：目标IP聚类(过去一段时间内各IP段内发生的攻击次数)：有确定值的参数只有一个(时间)，故聚类子空间的维数为1。

1)一维聚类子空间包括5个独立的空间(时间)，(攻击源)，(目标)，(请求服务类型)，(攻击类型)，只选择与查询相关的空间，即(时间)空间；

2)时间空间中与查询相关的单元为，时间轴的值在给定时间段内的单元，第二层的处理仅对这些单元进行；

3)在二维聚类空间中选择(时间)-(目标)空间，对c得到的单元进行目标IP段的划分，得到该时间段内攻击的目标网段分布；

4)过滤掉不满足最小频度值的单元格。

本发明的第三步是计算入侵事件集的威胁程度，具体操作如下：

1)识别攻击源，计算其攻击频次f，得到其威胁程度x(f)；

2)确定不同攻击源的个数m，得到攻击源个数的威胁值x(m)；

3)由威胁数据库得到攻击源在第n类攻击类型下的威胁程度x(n)；

4)确定影响威胁值的三个主要因素：攻击频次f、攻击源个数m以及攻击类型n(在本发明中还指明了其它因素，本实施例中只考虑三个主要因素)，并依据经验确定三者对攻击威胁值的影响程度μ₁、μ₂、μ₃，且μ₁+μ₂+μ₃＝1，将其分别作为攻击源和攻击类型威胁权值；计算目标的威胁程度：X＝λ[μ₁x(f)+μ₂x(m)+μ₃x(n)]。这里，对三种不同类型的入侵事件集分别处理如下：

a.对同一攻击源同种攻击类型的攻击集合：(m＝1)当f＝1时，即单个确定的攻击，

$X=\mathrm{\&lambda;}[{\mathrm{\&mu;}}_{1}x\left(1\right)+{\mathrm{\&mu;}}_{2}x\left(1\right)+{\mathrm{\&mu;}}_{3}x\left(n\right)]=\mathrm{\&lambda;}[\frac{1}{2}{\mathrm{\&mu;}}_1+\frac{1}{2}{\mathrm{\&mu;}}_2+{\mathrm{\&mu;}}_{3}x\left(n\right)]$

当f>1时，即同一攻击源多次相同的攻击，攻击频次越大威胁越大，

$X=\mathrm{\&lambda;}[{\mathrm{\&mu;}}_{1}x\left(f\right)+{\mathrm{\&mu;}}_{2}x\left(1\right)+{\mathrm{\&mu;}}_{3}x\left(n\right)]=\mathrm{\&lambda;}\&lsqb;\frac{f}{1+f}{\mathrm{\&mu;}}_1+\frac{1}{2}{\mathrm{\&mu;}}_2+{\mathrm{\&mu;}}_{3}x\left(n\right)]$

b.对不同攻击源、同种攻击类型的攻击集合：(m>1，f≥1)该条件下的攻击集合看作协同攻击：

当f＝1时，即不同攻击源单次确定的攻击，

X＝λ[μ₁x(1)+μ₂x(m)+μ₃x(n)]

当f>1时，即同一攻击源、多次、同种类型的攻击，划分成m个同源同种攻击的集合S₁，S₂，......，Sm，依照2.4.1计算各子集的威胁值X₁，X₂，...，X_m；计算X¹＝opr(X₁，X₂，...，X_m)，设取值策略为最大值策略(opr，opr1，opr2设都为最大值策略)，则X¹＝max(X₁，X₂，...，X_m)。

c.对不同攻击源不同攻击类型的攻击集合：该条件下的攻击集合由于其关联度无法确定，我们将其分别按同源同类型和异源同类型攻击集合对待，对其分别计算所有可能的威胁度，取最大值作为最终结果。方法如下：

同源同类型攻击划分：区分该集合中所有可能的同源同类型攻击子集。得到i个攻击子集，设为A₁，A₂，...，A_i；其次，利用a.的方法分别计算各子集的威胁值X₁，X₂，...，X_i；取最大值X¹＝opr1(X₁，X₂，...，X_i)。

异源同类型攻击划分：区分该集合中所有可能的异源同类型攻击子集(协同攻击)，将上面得到的i个子集A₁，A₂，...，A_i，按照攻击类型分组，如集合A_q的攻击为第t类攻击，则将A_q划分到第t组，得到j个组，设为B₁，B₂，...，B_j；其次，利用b.的方法分别计算各组的威胁值X′₁，X′₂，...，X′ _j；取最大值X²＝opr2(X′₁，X′₂，...，X′_j)。

最终的威胁值评估结果为：X＝opr(X¹，X²)。上述运算符号中，opr，opr1，opr2代表取值策略。可选取多种取值策略：最大值策略、最小值策略、最大最小策略、均值策略等以及各策略的组合。若取最大值策略，则：

X¹＝max(X₁，X₂，...，X_i)，X²＝max(X′₁，X′₂，...，X′_j)，X＝max(X¹，X²)。

在描述各种因素对威胁评估的影响时，使用了权值μ₁，μ₂，μ₃，它们反映了一组协同攻击中，攻击频次、攻击源个数、单一攻击的威胁程度等对整体攻击的重要程度。至于被保护主机的重要程度则由系统管理员根据经验赋值。下面讨论确定μ₁，μ₂，μ₃的方法。

取定a₁，a₂，a₃，三种已知威胁程度的协同攻击，它们对应的威胁评估值分别为X₁，X₂，X₃

由X(f，m，n)＝λ[μ₁x(f)+μ₂x(m)+μ₃x(n)]

$x\left(f\right)=\frac{f}{1+f},$ $x\left(m\right)=\frac{m}{1+m},$ $x\left(n\right)=x\left(n_{a_1}\right)$

令 ${\mathrm{\&alpha;}}_i=\frac{f_i}{1+f_i},$ ${\mathrm{\&beta;}}_i=\frac{m_i}{1+m_i},$ ${\mathrm{\&gamma;}}_i=x\left(m_{a_i}\right)$

得 $\left\{\begin{array}{c}{\mathrm{\&alpha;}}_i{\mathrm{\&mu;}}_1+{\mathrm{\&beta;}}_i{\mathrm{\&mu;}}_2+{\mathrm{\&gamma;}}_i{\mathrm{\&mu;}}_3=X_i/{\mathrm{\&lambda;}}_i,(i=1...3,j=1..3)......\left(1\right)\\ {\mathrm{\&mu;}}_1+{\mathrm{\&mu;}}_2+{\mathrm{\&mu;}}_3=1,{\mathrm{\&mu;}}_i\&GreaterEqual;0......\left(2\right)\end{array}\right.$

μ_i的取值由上述超定方程组确定，解的情况讨论如下。令 $A=\left[\begin{array}{ccc}{\mathrm{\&alpha;}}_1& {\mathrm{\&beta;}}_1& {\mathrm{\&gamma;}}_1\\ {\mathrm{\&alpha;}}_2& {\mathrm{\&beta;}}_2& {\mathrm{\&gamma;}}_2\\ {\mathrm{\&alpha;}}_3& {\mathrm{\&beta;}}_3& {\mathrm{\&gamma;}}_3\end{array}\right],$ 式(1)

的解可由克莱姆法则判断并求出。设解空间为U^*＝(μ₁ ^*，μ₂ ^*，μ₃ ^*)

a.若|A|≠0，即(1)式有唯一解，解由克莱姆法则直接给出U^*，且唯一解U^*若在平面(2)上，则超定方程组有唯一解。

b.若|A|＝0，即(1)式有无穷多解。同时，当Rank(A)＝1，则(1)式退化为一个平面，解空间U^*由该平面和平面(2)确定，若两平面相交，则解空间为一条直线(多穷多解)，若两平面平行，则解空间为空。

若|A|＝0，且Rank(A)＝2，则(1)式退化为一条直线，解空间U^*由该直线和平面(2)确定：若直线在平面上，则解空间U^*为该直线(无穷多解)；若直线与平面相交，则解空间U^*为唯一点；若直线与平面平行，则解空间U^*为空。

Claims (9)

1.计算机攻击的威胁评估方法，其特征在于包括下列步骤：

第一步、分析攻击次数威胁和攻击源个数威胁，确定主要攻击类型，将其按威胁度分类，并估计各攻击类型下攻击源的威胁，建立初始威胁数据库，对于各种攻击类型赋予初始威胁值；

第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；

第三步、识别攻击源，计算其攻击频次f，得到其威胁程度x(f)；确定不同攻击源的个数m，得到攻击源个数的威胁值x(m)；查询威胁数据库并计算得到攻击源在第n类攻击类型下的威胁程度x(n)，确定影响威胁值的主要因素包括攻击频次f、攻击源个数m以及攻击类型n，根据入侵事件集的差异性，对同一攻击源同种攻击类型的攻击集合，不同攻击源、同种攻击类型的攻击集合，不同攻击源不同攻击类型的攻击集合，分别计算入侵事件集的威胁值。

2.根据权利要求1所述的方法，其特征在于所述第一步中：分析攻击次数威胁和攻击源个数威胁，确定主要攻击类型，将其按威胁度分类，并估计各攻击类型下攻击源的威胁，建立初始威胁数据库的步骤具体为：

1.1攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生的次数，攻击频次对威胁值的贡献记为x(f)；

1.2攻击源个数威胁分析：攻击同一目标的攻击源个数对威胁值的贡献记为x(m)；

1.3确定主要攻击类型，将其按威胁度分类；

1.4估计各攻击类型下攻击源的威胁大小：攻击源在第n类攻击类型下的威胁程度，记为x(n)，存入威胁数据库。

3.根据权利要求2所述的方法，其特征在于所述步骤1.3中的攻击类型包括同源同种攻击、同源异种攻击和异源异种攻击。

4.根据权利要求1所述的方法，其特征在于所述第二步中入侵事件的表示模型包括源地址，目标地址，请求服务类型，攻击类型和时间。

5.根据权利要求1所述的方法，其特征在于所述第二步中使用的聚类分析方法为基于统计信息网格的多分辨率聚类方法。

6.根据权利要求1所述的方法，其特征在于所述第二步中的入侵事件来源于入侵检测系统的报警数据。

7.根据权利要求1所述的方法，其特征在于：所述第二步对入侵事件的聚类分析是由入侵事件到来触发运行的。

8.根据权利要求1所述的方法，其特征在于所述第三步中入侵事件集的差异性包括攻击源的差异性、攻击次数的差异性和攻击类型的差异性。

9.根据权利要求3所述的方法，其特征在于所述第三步中：根据入侵事件集的差异性，对同一攻击源同种攻击类型的攻击集合，不同攻击源、同种攻击类型的攻击集合，不同攻击源不同攻击类型的攻击集合，分别计算入侵事件集的威胁值的步骤具体为：

2.4.1对同一攻击源同种攻击类型的攻击集合：即m＝1；

当f＝1时，X＝λ[μ₁x(1)+μ₂x(1)+μ₃x(n)+μ_ox(o)]

当f＞1时，X＝λ[μ₁x(f)+μ₂x(1)+μ₃x(n)+μ_ox(o)]；

2.4.2对不同攻击源、同种攻击类型的攻击集合：即m＞1，f≥1；分为两种情况：

当f＝1时，X＝λ[μ₁x(1)+μ₂x(m)+μ₃x(n)+μ_ox(o)]

当f＞1时，划分成m个同源同种攻击的集合S₁，S₂，......，Sm，依照2.4.1计算各子集的威胁值X₁，X₂，...，X_m；计算X¹＝opr(X₁，X₂，...，X_m)；

2.4.3对不同攻击源不同攻击类型的攻击集合：分别按同源同类型和异源同类型攻击集合对待，对其分别计算所有可能的威胁度，取最大值作为最终结果。10、根据权利要求9所述的方法，其特征在于所述步骤2.4.3的具体实现方法为：

同源同类型攻击划分：区分该集合中所有可能的同源同类型攻击子集，得到i个攻击子集，设为A₁，A₂，...，4；其次，使用2.4.1的方法分别计算各子集的威胁值X₁，X₂，...，X_i；取最大值X¹＝max(X₁，X₂，...，X_i)；

异源同类型攻击划分：区分该集合中所有可能的异源同类型攻击子集，将上面得到的i个子集A₁，A₂，...，A_i，按照攻击类型分组，得到j个组，设为B₁，B₂，...，B_j；其次，使用2.4.2的方法分别计算各组的威胁值X′₁，X′₂，...，X′_j；取最大值X²＝max(X₁′，X₂′，...，X_j′)；

将所有可能的威胁值取最大值作为最终结果，即X＝max(X¹，X²)。

Images