CN101162993A - 一种网络风险分析方法 - Google Patents

Abstract

本发明提供的是一种网络风险分析方法。(1)收集当前网络的拓扑、弱点、服务等信息，构造网络攻击图。(2)根据网络攻击图，计算各个弱点被攻击者成功利用的概率。(3)将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合，计算各弱点对主机可用性、保密性和完整性的风险。(4)考虑各主机的安全需求，计算各主机的综合风险。(5)根据各主机的综合风险，计算网络综合风险。本发明的优点在于：(1)充分考虑了弱点间的关联性对主机和网络的安全造成的影响。(2)按照安全需求对主机的风险状况进行量化评估，使得评估结果更加真实、可靠。

Description

一种网络风险分析方法

(一)技术领域

本发明涉及一种网络安全评估技术，特别是一种针对网络风险的量化评估技术。

(二)背景技术

网络规模逐渐扩大，结构日趋复杂，特别是各种针对系统弱点的新型攻击手段的不断出现，使得网络所面临的风险日益严重。为了保证网络的正常运行，需要管理人员对网络进行安全性评估，主动发现系统安全隐患，以此为根据，制定有效的安全措施。

网络安全评估方法按照数据源可以分为：1)动态评估，根据攻击事件发生的频率及其对系统造成的威胁来评估网络的安全性。这类方法多为定量分析，但是由于入侵检测工具的误报率和漏报率较高，降低了评估结果的准确性。2)静态评估，通过分析目标网络存在的系统弱点来对网络的安全性进行评估。目前，针对静态评估的相关研究工作较多。例如Xinming Ou，Wayne F.Boyer，Miles A.McQueen，”A Scalable Approach to Attack Graph Generation”，CCS’06，Alexandria，Virginia，USA，October 30-November 3，2006：336-345中公开的，使用prolog系统关联网络弱点，根据弱点间的依赖关系评估网络的安全性，再例如Shahriari HR，Jalili R.Modeling and analyzing network vulnerabilities via a logic-based approach.In：Proceedings of second international symposium of telecommunications(IST2005)，September 10-12；2005：13-21.中公开的，在分析网络主机间的访问控制关系的基础上，提出的一种网络弱点分析方法VTG等。这些都属于定性的安全评估。与本发明同属于定量评估的研究主要有：肖道举，杨素娟，周开锋，陈晓苏.网络安全评估模型研究[J].华中科技大学学报(自然科学版)，2002，30(4)：37-39.中公开的根据服务重要度和漏洞威胁度提出的量化安全评估模型；Roland Rieke，Modelling andAnalysing Network Security Policies in a Given Vulnerability Setting，CRITIS 2006，LNCS 4347，Springer Verlag，2006：67-78.中公开的一种量化评估网络安全策略的模型；Andy Ju An Wang，Information Security Models and Metrics，43rd ACMSoutheast Conference，Kennesaw，GA，March 18-20，2005：178-184.中公开的一种层次化的安全模型和针对此模型的量化评估方法等。

目前，未见国内外有关基于弱点关联和安全需求的网络风险量化评估方法的专利申请报导。

概括而言，已有的网络安全量化评估方法普遍存在以下缺点：1)缺乏对弱点间关联性的分析。由于网络中主机的高度互联及渗透式攻击手段的存在，使得一些原本受防火墙保护的主机同样存在被攻击的风险，已有的量化评估方法往往忽略了这类风险，导致评估结果不够准确。2)没有考虑安全需求。各个网络甚至同一网络下的各个主机对于保密性、完整性和可用性的安全需求是不同的，如果在安全评估时不考虑安全需求，得到的评估结果必定是不准确的。

(三)发明内容

本发明的目的在于提供一种在充分考虑弱点间的关联性对主机和网络的安全造成的影响的基础上，按照安全需求对主机的风险状况进行量化评估，使得评估结果更加真实、可靠的一种网络风险分析方法。

本发明的目的是这样实现的：

(1)收集当前网络的拓扑、弱点、服务信息，构造网络攻击图；

(2)根据网络攻击图，计算各个弱点被攻击者成功利用的概率；

(3)将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合，计算各弱点对主机可用性、保密性和完整性的风险；

(4)考虑各主机的安全需求，计算各主机的综合风险；

(5)根据各主机的综合风险，计算网络综合风险。

本发明还可以包括：

1、所述的收集网络安全信息是由Nessus和OVAL Scanner扫描器实现。

2、在生成网络攻击图后，考虑攻击者的行为特征，采取广度优先的方法计算网络攻击图中各状态结点的可达概率，将各状态结点与弱点对应起来，计算弱点的被成功利用的概率。

3、所述的根据主机的对可用性、保密性和完整性的需求，赋给三种安全需求重要度权值，然后根据权值，计算主机保密性、完整性和可用性的风险。

本发明的优点在于：(1)充分考虑了弱点间的关联性对主机和网络的安全造成的影响。(2)按照安全需求对主机的风险状况进行量化评估，使得评估结果更加真实、可靠。

为了验证本发明在网络风险评估方面的有效性，我们构造了一个实验网络环境，其拓扑结构如图3所示。实验环境为交换网络，共有4台主机。IP1为Web服务器，IP2为FTP服务器，IP3是SMTP服务器，IP4保存着一些涉密资料。防火墙只允许外部主机访问主机IP1运行的服务，其他的外部访问均被阻止，内部主机之间的访问没有限制。为了不失一般性，除了特权提升类弱点，我们还在实验网络中加入了数据类弱点、拒绝服务类弱点。实验网络内各主机及其弱点的信息如图4、图5所示。

将主机信息和弱点信息输入QAA算法中，利用攻击图生成子算法得到的攻击图如图6所示。图中的有向边代表攻击者的一次原子攻击，节点代表被攻击后的网络状态。攻击者成功利用特权提升类弱点后会以此为跳板，继续利用其它弱点，而与数据类和拒绝服务类弱点对应的状态节点为攻击图的叶节点，表示无法进行下一步攻击。风险评估结果如图7、图8所示。图7给出了各弱点给主机服务、主机数据的保密性和完整性带来的风险。图8给出了主机三种安全属性的风险、主机综合风险和网络综合风险。

以上述实验为例，将我们提出的量化评估方法与传统的评估方法进行比较和分析。

(1)传统的评估方法孤立地评估各台主机的风险，由于主机IP2、IP3和IP4受防火墙的保护，即使主机存在弱点，攻击者也不可能直接利用这些弱点，因此，主机IP2、IP3和IP4的风险为0。而本文提出的量化评估方法对弱点进行了关联分析，分析后可知，攻击者可以利用主机IP1为跳板攻击网络内的其他主机，此时，IP2、IP3和IP4是存在风险的。

(2)传统的评估方法只是简单的将各弱点给主机带来的风险进行累加，作为主机的综合风险，本文在此基础上考虑了各主机的安全需求，两种方法的评估结果如图9所示。以主机IP4为例，使用传统方法评估得到的综合风险为0.156，而使用本文提出的方法评估得到的综合风险仅为0.047。作为存储涉密资料的主机，主机IP4对保密性和完整性方面的需求较多，对可用性方面的需求较少，而IP4存在的弱点8826不会对主机的保密性和完整性造成威胁，因此IP4的综合风险较低。而传统方法忽略了主机的安全需求，造成评估结果不够准确。

(四)附图说明

图1主机重要度的量化标准；

图2典型的攻击图；

图3实验网络拓扑；

图4主机信息；

图5弱点信息；

图6实验网络攻击图；

图7各弱点给主机带来的风险；

图8主机综合风险和网络综合风险；

图9与传统方法评估结果对比。

(五)具体实施方式

下面结合附图举例对本发明做更详细地描述：

为了实现本发明的目的本发明首先给出一系列定义：

定义1(攻击复杂度).攻击复杂度是用来衡量攻击者成功利用某一弱点的难易程度的一种度量。

定义2(弱点).弱点用如下五元组表示(IP，VID，W，E，P)。其中，IP为弱点所在的主机名；VID为弱点在Bugtraq漏洞库中的号码；弱点对主机安全的影响程度是一个三元组W＝(W_C，W_I，W_A)，W_C、W_I和W_A分别为弱点对主机保密性、完整性和服务可用性的影响系数；E为弱点的攻击复杂度；P用于存储网络外部攻击者成功利用此弱点的概率。

基于特权提升的多维量化属性弱点分类法的研究[J].通信学报，2004，25(7).pp.107-114.中给出了弱点的攻击复杂度及其对主机保密性、完整性和可用性影响的量化标准，本发明不作详细地阐述。

定义3(服务).主机服务表示为一个六元组(IP，Name，VS，SI，SM，SR)。其中，IP为运行该服务的主机名；Name为服务名称；VS为主机上存在的能够影响该服务运行的弱点集合；SI为服务的重要程度；SM为该服务在主机开通的所有服务中所占的重要性权重，即对SI归一化后所得到的结果；SR用于存储该服务的风险值。

服务重要程度需要结合客观统计信息和主观经验知识来确定，一般来说，用户数目越多、访问频率越大，服务的重要程度就越高。

定义4(数据).数据用如下四元组表示(IP，VC，VICR，IR)。其中，IP为数据所在的主机名；VC为对主机数据的保密性产生威胁的弱点集合；VI为对主机数据的完整性产生威胁的弱点集合；CR用于存储主机数据的保密性风险；IR用于存储主机数据的完整性风险。

定义5(主机).主机用如下六元组表示(IP，S，D，A，HI，AR，HR)。其中，IP为主机名；S为主机上运行服务的集合；D代表主机上的数据；主机的安全需求A＝(α_C，α_I，α_A)，A的三个元素分别为主机在保密性、完整性和可用性上的安全需求系数，它们的和为1；HI为主机的重要程度；AR＝(R_C，R_I，R_A)，分别为主机保密性、完整性和可用性的风险，HR用于存储主机的综合风险。

按照主机的类型，我们给出主机重要度的量化标准，见图1。定义6(网络).目标网络用如下三元组表示(H，N，NR)。其中，H为网络中存在弱点的主机集合；N为不存在弱点的主机集合；NR为主机的综合风险。定义6(攻击图).攻击图是一个状态转换系统T＝(S，τ，s₀)。其中，S是状态节点的集合，τS×S是状态转换关系的集合，s₀∈S是初始状态节点。定义7(状态节点).攻击图中的状态节点是一个七元组(SID，V，SP，P，FS，SS)。其中，SID是状态节点号，V为该状态节点对应的弱点，SP是攻击者到达其父节点后选择该节点作为下一步攻击目标的可能性，P用于存储攻击者成功到达该状态的概率，FS和SS分别为该节点的父节点和儿子节点集合。

一般来说，攻击者为了达到其攻击目的需要实施多个攻击动作。这些攻击动作所涉及的弱点可能不同，但彼此之间存在因果关系，并且按照一定的逻辑顺序发生。攻击动作间的这种因果关系，使得构建攻击图成为可能。文献[9]给出了一种攻击图生成方法，并提出了单调性假设，即攻击者不会为了已经获得的权限发动攻击，也不会重复利用同一个弱点。图2是攻击图的一个实例，图中的有向边代表攻击行动，节点代表攻击行动成功后的主机状态。攻击者在利用主机IP1的弱点12815后获得了权限提升，以此为跳板，继续攻击受防火墙保护的主机IP2和IP3。

量化评估算法QAA的具体实现如下：

输入：网络主机、服务、弱点和访问权限等信息；

输出：主机保密性、完整性和可用性风险，主机综合风险和网络综合风险；

算法：

1.调用攻击图生成函数生成网络攻击图T；

2.调用弱点利用成功概率子算法QAA₁(T)；

3.while(H≠)

{

4.取出一个主机H_i∈H；

5.调用主机风险计算子算法QAA₂(Hi)；

}

6.计算网络综合风险 $\mathrm{NR}=\underset{H_i\∈H}{\mathrm{\Σ}}{H}_i.\mathrm{HR};$

7.返回各主机风险和网络综合风险；

QAA算法的第1行根据网络弱点、拓扑和开放服务等信息生成攻击图，之后，利用生成的攻击图计算各网络弱点被攻击者成功利用的概率，第4-5行计算主机保密性、完整性、可用性的风险并结合主机的安全需求计算主机的综合风险，第6行根据各主机的风险值，计算网络的综合风险。

如何生成攻击图不是本文讨论的重点，但需要指出的是，在利用文献[9]给出的方法生成的攻击图中，状态节点可能存在多个父节点(如图1中的5号节点)，为了计算各状态节点的可达概率的方便，我们需要对这些有多个父节点的状态节点及其子孙节点进行复制，将攻击图转换成树状结构，使得图中除根节点外的任意一个状态节点只有一个父节点。

在给出弱点利用成功概率子算法QAA₁前，本文根据攻击者的行为特征，提出如下假设：

假设1.攻击者作为智能主体对系统弱点有着深刻的理解，在不考虑网络内资产对其产生的吸引力的情况下，他总是依据各个弱点的攻击复杂度选择下一步攻击目标。

一般情况下，攻击者在发动攻击前不清楚网络的拓扑结构和全部的弱点信息，他们并不知道哪些路径能够到达攻击目标，在这种情况下，攻击者往往会优先利用那些攻击复杂度低的弱点，因此，攻击者的行为特征是满足上述假设的。

根据假设1，弱点利用成功概率子算法QAA₁的具体实现如下：

输入：网络攻击图T；

输出：各弱点被攻击者成功利用的概率；

算法：

1.对于初始状态s₀∈S，s₀.P＝1，其他所有状态s_i∈S，s_i.P＝0，s_i.SP＝0；

2.while(S≠)

{

3.从初始状态开始，正向、广度优先的从S中取一个状态节点s_i；

4.while(s_i.SS≠)

{

5.从s_i.SS中取一个状态节点s_j；

6.计算 $\mathrm{SP}=s_j.V.E/\underset{s_k\∈s_i.\mathrm{SS}}{\mathrm{\Σ}}{s}_k.V.E;$

7.计算s_j.P＝s_i.P×SP×s_j.V.E；

8.计算s_j.V.P+＝s_j.P；

}

}

子算法QAA₁中，初始状态节点代表攻击者发动攻击前的网络状态，因此将其被攻击者成功利用的概率赋值为1；第3行采用正向、广度优先的方法遍历攻击图中的全部节点；第5-6行根据当前状态节点s_i的各孩子节点所对应弱点的攻击复杂度，计算攻击者选择各孩子节点作为下一步攻击目标的概率，并用临时变量SP保存这个概率；第7行求得攻击者从初始状态出发，成功到达s_i的各孩子节点的概率；第8行计算弱点被成功利用的概率，由于主机上存在的一个弱点可能对应攻击图中的多个状态节点，因此该弱点被成功利用的概率应为所有与该弱点对应的状态节点中的P值之和。

计算主机三种安全属性风险的QAA₂子算法的具体实现如下：

输入：主机H_i；

输出：主机各安全属性风险和综合风险；

算法：

1.初始化：根据服务的重要程度SI，计算SM，根据弱点对主机服务和数据的影响，将各弱点加入到各服务的弱点集合VS，主机数据的弱点集合VC和VI中；

2.while(H_i.S≠)

{

3.取一个服务s_j∈H_i.S；

4.计算该服务的风险 $s_j.\mathrm{SR}=\mathrm{SM}\×\underset{v_k\∈s_i.\mathrm{VS}}{\mathrm{\Σ}}(v_k.P\×v_k.W.W_A);$

5.计算主机可用性风险H_i.AR.R_A+＝s_i.SR；

}

6.计算主机保密性风险 $H_i.\mathrm{AR}.R_C=\underset{v_k\∈H_i.D.\mathrm{VC}}{\mathrm{\Σ}}($ $v_k.P\×v_k.W.W_C);$

7.计算主机完整性风险 $H_i.\mathrm{AR}.R_I=\underset{v_k\∈H_i.D.\mathrm{VI}}{\mathrm{\Σ}}($ $v_k.P\×v_k.W.W_I);$

8.计算主机的综合风险H_i.R＝H_i.HI×(H_i.AR.R_C×α_C+H_i.AR.R_I×α_I+H_i.AR.R_A×α_A)；

QAA2子算法的第1行是对服务重要程度进行归一化处理和对主机存在的弱点进行分类；第5行将主机各服务的风险累加，得到主机的可用性风险；第6行和第7行计算得到主机的保密性和完整性风险；第8行根据主机的安全需求和主机重要度计算主机的综合风险。

Claims (6)

1.一种网络风险分析方法，其特征是：

(1)收集当前网络的拓扑、弱点、服务信息，构造网络攻击图；

(2)根据网络攻击图，计算各个弱点被攻击者成功利用的概率；

(3)将各弱点被成功利用的概率与这些弱点对主机服务、数据的影响结合，计算各弱点对主机可用性、保密性和完整性的风险；

(4)考虑各主机的安全需求，计算各主机的综合风险；

(5)根据各主机的综合风险，计算网络综合风险。

2.根据权利要求1所述的网络风险分析方法，其特征是：所述的收集网络信息是由Nessus和OVAL Scanner扫描器实现，并用基于图论的方法生成网络攻击图。

3.根据权利要求2所述的网络风险分析方法，其特征是：所述的根据网络攻击图，计算各个弱点被攻击者成功利用的概率，是考虑攻击者的行为特征，采取广度优先的方法计算网络攻击图中各状态结点的可达概率，将各状态结点与弱点对应起来，计算弱点的被成功利用的概率。

4.根据权利要求3所述的网络风险分析方法，其特征是：所述的计算各弱点对主机可用性、保密性和完整性的风险是，在给出各弱点对服务及数据的影响的量化标准的前提下，结合弱点被成功利用的概率，计算各弱点给主机服务、数据带来的风险，最后，求得主机可用性、保密性和完整性的风险。

5.根据权利要求4所述的网络风险分析方法，其特征是：所述的计算各主机的综合风险是，根据主机的对可用性、保密性和完整性的需求，赋给三种安全需求重要度权值，然后根据权值，计算主机保密性、完整性和可用性的风险。

6.根据权利要求5所述的网络风险分析方法，其特征是：所述的计算网络综合风险是，对各主机的风险值进行累加，求得网络的综合风险。

Images