CN102394766A - 一种入侵进程的层次化在线风险评估方法 - Google Patents

Abstract

本发明公开了一种入侵进程层次化在线风险评估系统及方法，实时地评估一个正在发生的入侵进程在服务、主机、网络这三个层面所产生的风险情况。在服务层面，使用了证据理论来融合报警线程中多个能够反映风险变化情况的变量来计算风险指数，通过风险指数反映入侵风险的客观情况，同时结合主观安全意识所反映出的目标风险分布，综合评估目标的风险状态。在主机层面提出了基于木桶原理的风险评估方法，在网络层面提出了安全依赖网络概念，利用了改进的风险传播算法，完成了网络层面的风险评估。本发明将报警验证、聚合与关联，以及报警置信度学习这些报警处理过程与风险评估紧密结合起来，很好地处理了风险评估中主观性、模糊性和不确定性等问题。

Description

一种入侵进程的层次化在线风险评估方法

技术领域

本发明涉及一种入侵进程的在线风险评估方法，尤其是利用层次分析法来进行入侵进程的风险评估方法，尤其是在安全管理平台上利用对实时收集的多种安全设备的报警计算风险，在服务层、主机层、网络层对入侵进程进行风险评估，属于计算机信息安全领域。

背景技术

入侵检测系统IDS(intrusion detection system)作为一种重要的网络防御手段它可以识别入侵者和入侵行为，检测和监视已经成功的入侵，并进行入侵响应。但现有IDS普遍存在的误报率、漏报率偏高和大量重复报警问题，大部分IDS检测到的攻击都为入侵过程中的单一攻击行动其检测结果是孤立的报警，且往往过于细化和低层，所包含的信息质量较低，造成了“只见树木，不见森林”的负面效果。由于这些问题的存在，使得无论是安全管理人员还是各种自动报警处理系统都很难根据IDS的报警信息实时地对入侵所造成的风险大小和风险变化情况做出正确评估，从而无法做出正确的入侵响应决策。

无论是从目前国际上最流行的信息安全评估CC标准，还是众多信息安全评估模型来看，信息安全评估都是从安全需求出发，结合资产价值对系统的威胁、脆弱性进行全面的考察和评判。研究者们所提出的大量风险评估模型和方法大部分都是离线的，侧重于各个层次上的系统漏洞评估，而针对入侵的实时、在线风险评估方法和模型则很少。在借鉴这些模型的基础上，对我们原来建立的单层在线风险评估模型进行了拓展和改进，提出了从服务、主机到网络的多层在线风险评估模型，评估一个正在发生的报警线程在这三个层面的所产生的风险。

发明内容

本发明的目的就是设计一种和IDS协同工作的方法与系统，利用IDS的报警信息作为输入，在线的评估入侵进程对目标系统造成的风险，在提高IDS报警精准度的同时为入侵响应策略的制定提供客观依据，同时为网络管理员提供实时客观的网络风险状态信息。

为实验上述目的，本发明实现了一种网络入侵进程进行风险评估的计算方法与系统，在服务、主机、网络三个层面上分别对正在发生的入侵进程进行风险指数计算，得出网络整体的风险分布信息。

风险计算为本发明的核心内容，其步骤如下：

步骤1：获得底层报警模块提供的报警信息；

步骤2：根据源IP地址与目的IP地址将报警信息进行聚合关联等综合处理，得到报警线程的信息；

步骤3：计算并更新此报警线程中的报警数量，报警种类，最新报警所指示的攻击确信度，攻击严重程度，攻击同被攻击目标的相关度。并用D-S证据理论将上述五个参数融合为客观因素产生的风险指数。

步骤4：然后根据主机上运行服务的性质，赋予服务相应的重要度。接着根据服务重要度，确定的目标风险分布，继而根据风险指数在风险区间上的位置最终决定服务的风险状态。

步骤5：根据主机上的服务和有关性质，设置主机的重要度根据重要度，可以确定其风险分布情况，然后按照主机风险指数在风险分布区间中位置确定主机的风险情况。

步骤6：根据本子网重要性，设置相应的重要度，并以此决定其网络层次的风险分布，然后根据风险指数在网络层次风险分布中的位置，确定网络的风险状况。

本发明的特点是：层次化的风险评估为层次化的入侵响应决策提供了依据，可以将响应的影响范围限制在合适的范围内；通过响应风险阈值的设定，可以增加系统对各种网络异常活动的耐受性，降低误报引发误响应的风险；通过风险情况还可以进行响应方案的调整，增加了响应的自适应性。此评估方法可以作为入侵检测的高层模型，并可为有针对性的实时入侵取证工作提供支持。

附图说明

图1：风险评估树形图。

图2：服务层次上的风险评估模型图。

图3：评估因素隶属函数图。

图4：主机全面扫描在服务、主机层次上的风险变化情况图。

图5：DOS攻击在服务、主机层次上的风险变化情况图。

图6：FTP溢出入侵进程在服务、主机层次上的风险变化情况图。

图7：FTP主机的SDN图。

图8：FTP MDTM溢出入侵在网络层次上的风险变化情况图。

图9：误报线程和入侵报警线程风险变化情况图。

具体实施方式

以下结合附图和具体实例对本发明做进一步说明：

被保护的网络系统由各种主机组成，主机上运行着操作系统与各种应用网络服务程序：第1层次的风险评估是在各主机的应用服务层次上进行；第2层是在各个主机层次上进行；最后是在网络层次上进行，形成了如图1所示的风险评估树。

定义1.风险指数RI(risk index)是入侵进程对特定目标所造成的危险程度。

定义2.目标风险区间分布(risk distribution).风险分布是指目标系统可承受的高、中、低风险区间的分布情况。

步骤A：服务层次上的风险评估

设被保护网络上有m台主机H_i(i＝1，2，…，m)，每一台操作系统为OS_i，主机H_i上运行n_i个网络服务为S_ij(j＝1，2，…，n_i)。被评估的对象是指由报警关联模块形成的一个报警线程k(代表一个入侵进程)。有些入侵活动并不针对服务的某种漏洞，但仍构成对服务的威胁。这里，对于无法区分是针对哪一种服务的入侵活动，一律归入到针对操作系统的攻击中。为表达方便，将针对操作系统的评估也视为一种对服务的评估。根据风险指数和风险区间分布的定义，选择的服务层次的评估因素如图2所示。在这6个因素中，前5个因素充分利用了系统报警处理过程(包括报警验证、报警聚合、报警关联和报警置信度的学习)中所产生的各种参数，从客观角度上反映出系统的安全状态和攻击威胁情况；第6个参数由管理员根据情况进行指定，为主观因素，代表了被保护系统的资源情况和管理员的意向。

在服务层次的风险评估中，首先使用D-S证据理论来融合前5个和攻击方相关性较大的因素对入侵所造成的风险进行客观上的评估，也就是在不考虑目标系统重要性情况下，计算出特定入侵进程k在服务层次上的风险指数

以下为五个客观因素的评估过程，其评估因素隶属函数如图3。

(1)此报警线程中的报警数量(Amount of alerts)A_k，此参数既代表了入侵的强度，也从另一方面反映了入侵的确信情况。

${\mathrm{\&mu;}}_{11}=\left\{\begin{array}{cc}\frac{{\mathrm{\&alpha;}}_2-A_k}{{\mathrm{\&alpha;}}_2}& A_k\&le;{\mathrm{\&alpha;}}_2\\ 0& A_k>{\mathrm{\&alpha;}}_2\end{array}\right.,$ ${\mathrm{\&mu;}}_{12}=\left\{\begin{array}{cc}0& {\mathrm{\&alpha;}}_1\&GreaterEqual;A_k\\ \frac{A_k-{\mathrm{\&alpha;}}_1}{{\mathrm{\&alpha;}}_3-{\mathrm{\&alpha;}}_1}& {\mathrm{\&alpha;}}_1<A_k\&le;{\mathrm{\&alpha;}}_3\\ 1& {\mathrm{\&alpha;}}_3<A_k\end{array}\right.$

这里α₁、α₂、α₃为常数，由专家经验确定，一般可取α₁∈[5，15]、α₂∈[10，20]、α₃∈[15，30]。μ_ij是根据第i个影响因素所确定目标状态属于V_j的隶属度。

(2)报警线程k中最新报警所指示的攻击确信度(Alert confidence)C_k0∈[0，1]，它表示了报警所指示的异常活动是真正攻击的可能性，可由本系统的报警置信度学习模块获得。

μ₂₁＝1-C_k0，μ₂₂＝C_k0

(3)此报警线程中的报警种类数(Number of alert types)B_k，此参数部分地反映了入侵的进行情况，随着入侵的进展，引发更多报警种类，入侵对目标服务的威胁就越来越严重，同时，它也反映了入侵者的技术水平，其值可由报警关联模块获得。

${\mathrm{\&mu;}}_{31}=\left\{\begin{array}{cc}\frac{{\mathrm{\&lambda;}}_1-B_k}{{\mathrm{\&lambda;}}_2}& B_k\&le;{\mathrm{\&lambda;}}_2\\ 0& B_k>{\mathrm{\&lambda;}}_2\end{array}\right.,$ ${\mathrm{\&mu;}}_{32}=\left\{\begin{array}{cc}0& {\mathrm{\&lambda;}}_1\&GreaterEqual;B_k\\ \frac{B_k-{\mathrm{\&lambda;}}_1}{{\mathrm{\&lambda;}}_3-{\mathrm{\&lambda;}}_1}& {\mathrm{\&lambda;}}_1<B_k\&le;{\mathrm{\&lambda;}}_3\\ 1& {\mathrm{\&lambda;}}_3<B_k\end{array}\right.$

这里λ₁、λ₂、λ₃为常数，由专家经验确定，一般取λ₁∈[1，5]、λ₂∈[5，9]、λ₃∈[6，10]。

(4)攻击严重程度(Rank of alert severity)P_r0，是报警线程k中最新报警所指示的攻击严重程度，显然攻击越严重，对服务所造成的风险越大。严重程度的值由报警直接得到，大部分IDS对攻击严重程度都以类似报警级别这样的参数在报警中体现出来，并具体规定了哪些级别报警是较严重的、哪些是严重的和很严重的。

${\mathrm{\&mu;}}_{41}=\left\{\begin{array}{cc}\frac{\mathrm{\&phi;}-P_{r0}}{\mathrm{\&phi;}}& P_{r0}\&le;\mathrm{\&phi;}\\ 0& P_{r0}>\mathrm{\&phi;}\end{array}\right.,$ ${\mathrm{\&mu;}}_{42}=\left\{\begin{array}{cc}\frac{P_{r0}}{\mathrm{\&phi;}}& P_{r0}\&le;\mathrm{\&phi;}\\ 1& P_{r0}>\mathrm{\&phi;}\end{array}\right.$

这里的常数φ根据IDS的具体规定设定。例如，Snort入侵检测系统的报警信息中使用Priority来表明事件的严重程度，它一共分为3级，1级为很严重的事件，2级为严重的事件，3级为较严重事件，这样令：P_r0＝4-Priority._Snort，φ＝3即可。

(5)攻击同被攻击目标的相关度(Alert relevance score)R_s0∈[0，1]，是报警线程中最新攻击所针对的目标情况同实际目标情况的匹配程度。其值可由报警验证模块获得。

μ₅₁＝1-R_s0，μ₅₂＝R_s0

有了各评估因素的隶属度分布情况，就可以计算焦元的基本概率数。对于报警线程k，第q个评估因素所确定的目标状态V_j的概率分配函数

为：

$m_q^k\left(V_j\right)=\frac{{\mathrm{\&mu;}}_{\mathrm{qj}}}{\underset{i=1}{\overset{2}{\mathrm{\&Sigma;}}}{\mathrm{\&mu;}}_{\mathrm{qi}}+1-w_q\&times;P_{\mathrm{IDSi}}}---\left(1\right)$

$m_q^k\left(\mathrm{\&theta;}\right)=1-\underset{j=1}{\overset{2}{\mathrm{\&Sigma;}}}{m}_q^k\left(V_j\right)---\left(2\right)$

这里q＝1，2，…，5，j＝1，2。P_IDSi为IDS总检测精度。入侵检测实质上是一个对网络数据包或各种日志数据样本进行分类的问题。在分类过程中会有如下四种情况发生：①攻击所产生的数据被正确地分类为异常数据；②攻击所产生的数据被错误地分类为正常数据；③正常数据被正确地分类为正常数据；④正常数据被错误地分类为异常数据。情况①和情况③所分类的数据样本数之和为正确分类样本数，情况②为所分类的样本数为漏报(false negative)的样本数，情况④所分类的样本数为误报(false positive)样本数。

在大部分入侵检测系统中，总的检测精度被定义为：

总的检测精度(PIDS，precision)＝正确分类的样本数/总样本数。

这样，1-PIDS就代表了不能正确分类的情况，也就是检测中误报与漏报的情况，而误报与漏报正是入侵检测系统产生不确定性的根源。另外，这里加入了修正系数wq∈[0，1]主要基于如下两个原因：①受复杂网络环境的影响，多数IDS在实际使用当中达不到理想的精度；②每个因素在目标风险评估过程中的不确定性是不同的，评估效果是不一样的，加入了修正系数，以使得每个因素在评估中发挥合适的作用。在设置wq时，使w5≥w4≥w3≥w2≥w1，原因如下：由于重复报警的存在，导致利用报警数量进行风险评估不确定性最大；目前相当一部分IDS所产生的报警(特别是基于特征的IDS)没有提供报警确信度这样的参数(本系统是通过学习而得)，所以这部分的不确定性也相对较大；大部分误报的报警类型相对单一，而一个真正的入侵过程所产生的报警类型则相对丰富，所以线程中报警类型的多少能够很好地反映入侵的威胁情况；报警的严重程度表示攻击有多严重，而相关度综合了被保护系统的信息(如漏洞)和攻击信息，代表了攻击成功的可能性，这两个因素同目标风险情况相关性最大。

通过公式(1)(2)得到各个风险因素的焦元概率分配后，再根据公式(3)就可以融合这5个不同评估因素对安全风险的评判，得到融合后的评判结果m^k(V₁)、m^k(V₂)和m^k(θ)。这里将特定入侵进程k所产生的风险量化为风险指数

可由下式得到：

${\mathrm{RI}}_s^k=m^k\left(V_2\right).$

步骤B：主机层次上的风险评估

主机的风险指数(risk index of host i)和服务风险指数具有相类似的意义。我们认为主机风险与运行其上各个服务风险的关系是遵循“木桶原理”。即一个木桶最大容量，不是由围成木桶的最长木板或平均长度决定的，而是由最短的那一块木板决定的。如果在一台主机运行着多个网络服务，当一种服务被攻破后(如缓存溢出)，攻击者都会取得系统权限，从而控制整个主机。所以从整个主机风险角度考虑，主机可承受风险程度不取决于主机上最能承受风险的服务或所有服务的平均可承受风险情况，而取决于最不能承受风险的服务，也就是最脆弱或最重要的服务。为此，考虑到主机与其上运行服务的紧密安全关系，针对报警线程点给主机所造成的风险，这里取主机的风险指数与服务的风险指数相同，即：

${\mathrm{RI}}_{H_i}^k={\mathrm{RI}}_n^k$

而确定风险分布的主机重要度不应低于本机所有服务中最重要的服务的重要度，主机的重要度

至少要为

${\mathrm{\&zeta;}}_{H_i}\&GreaterEqual;\underset{j=\mathrm{1,2},...,n_i}{\max }\left({\mathrm{\&zeta;}}_{S_{\mathrm{ij}}}\right)$

根据主机上的服务和有关性质，设置主机的重要度，在本模型中设定为：一般主机

重要主机

和很重要主机根据重要度

可以确定其风险分布情况，然后按照主机风险指数在风险分布区间中位置确定主机的风险情况。

步骤C网络层次上的风险评估

在网络层次上，入侵进程给网络造成的风险取决于入侵在网络上的传播。在入侵攻击中，攻击者经常利用网络中主机A来攻击主机B，当成功入侵主机B后，又会利用主机B来攻击其他主机。这种攻击的威胁在被保护的网络的主机之间借助于某种关系进行传播。按照水波效应(ripple effect)的原理，当有石子投入平静的水面，水波以石子投入点为中心向外传播，距离中心点越远，波的强度越弱，并且不进行反向传播。按照这一原理，评估从筛选出的被攻击主机节点开始，按照SDRs的方向向外传播，按照宽度优先的方法选取传播路径上的节点，并进行评估，已经评估过的节点不再进行评估。

具体的算法描述如下：

通过SDRs得到网络上各相关主机节点关联风险后，就可以计算此入侵进程在网络层次的风险指数。

${\mathrm{RI}}_{\mathrm{LAN}}^k=\frac{\underset{H_i\&Element;\mathrm{\&Gamma;}}{\mathrm{\&Sigma;}}{\mathrm{\&zeta;}}_{H_i}{\mathrm{RI}}_{H_i}^k}{\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}{\mathrm{\&zeta;}}_{H_i}}$

从上可以看出网络层次上的风险情况不但反映了入侵的威胁情况，还反映了这种威胁在网络上影响的范围。像服务层次和主机层次一样，根据本子网重要性，设置相应的重要度ζ_LAN，并以此决定其网络层次的风险分布，然后根据风险指数在网络层次风险分布中的位置，确定网络的风险状况。

针对实验子网上的数据库服务器(运行MS SQL Server)、Ftp服务器和Http Proxy服务器，分别进行了主机全面扫描、SYN flood DOS攻击和多步骤的Ftp入侵实验。图4——图6是这些攻击过程中在线风险评估情况，纵坐标为风险指数，横坐标所示的攻击步骤并非严格对应的实际攻击步骤，而是具有代表性的评估抽样点，主要是表示攻击过程的进展。

主机全面扫描会使用多种手法，遍历主机上的多个服务端口，全面探测主机上的各种信息，从而会引发的报警数量和类型不断增长。从图4可以看出，随着扫描的深入进行，风险指数不断增加，符合主机全面扫描的攻击特点；图5的风险曲线很好地表现了DOS攻击的风险特点，可以看出尽管风险指数较大，但很快趋于稳定；从图6可以看出Ftp 3个入侵阶段风险明显的变化过程，在扫描阶段风险较小，而弱口令攻击时，随着此攻击的进行，风险明显增加，而到了溢出攻击阶段，风险达到了最大。有了风险指数的情况，就可以根据目标风险分布情况来确定每一时刻目标的风险状态。此外，从这3个图可以看出，在大多数情况下，服务层次的风险指数变化与主机层次风险指数变化规律是相同的。

子网中有3台工作站没有合法的校园网IP，他们是由于FTP主机上同时运行着的HttpProxy服务来访问校园网的，当FTP服务被攻破，攻击者占领FTP主机后，必然会威胁到这3台主机的安全，因为这3台主机所有同校园网通信的数据流，都有可能被攻击者拦截形成了如图7所示的SDN。图8所示的评估结果表明网络层次的风险变化趋势同主机层次上风险变化趋势相同，由于网络层次的风险指数还代表了入侵所影响的范围，所以其风险分布特点同服务、主机层面的风险分布是不同的。

一般来说，尽管有时误报的数量很大，但其报警类型单一，相关度和报警严重度较低，产生的风险通常很小。对误报所形成的一个报警线程和真正攻击所形成的报警线程的评估结果进行比较，如图9所示。可以看出尽管误报线程有20个原始报警，其风险却很小(最大风险指数为0.28)；而攻击的报警线程只有3个原始报警，但其风险却很大(最大风险指数为0.96)。这说明在线风险评估方法可以较好地消除误报影响，及时、准确地发现最具威胁的入侵。

实验表明对各种入侵进程进行的层次化在线风险评估结果与实际情况和专家经验是相符的。所提出的风险评估模型，准确、客观、实时地量化了服务、主机和网络层次上的风险大小、风险变化等情况。评估算法综合利用了报警处理过程的多种变量，很好地处理了风险评估中主观性、模糊性和不确定性问题。

层次化的风险评估为层次化的入侵响应决策提供了依据，可以将响应的影响范围限制在合适的范围内；通过响应风险阈值的设定，可以增加系统对各种网络异常活动的耐受性，降低误报引发误响应的风险；通过风险情况还可以进行响应方案的调整，增加了响应的自适应性。此评估方法可以作为入侵检测的高层模型，并可为有针对性的实时入侵取证工作提供支持。

Claims (7)

1.一种入侵进程的层次化在线风险评估方法，其步骤包括：

(1)利用报警信息综合处理模块对报警进行报警验证、关联和过滤处理，形成针对同一攻击过程的报警线程，并完成报警相关度、报警严重程度、报警线程中报警数量、报警类型数量以及置信度的学习和计算。

(2)使用D-S证据理论来融合并计算服务层次的入侵风险指数。

(3)使用木桶原理对主机中服务进行比较计算，得出主机层的入侵风险指数。

(4)在网络层面提出了安全依赖网络概念，利用了改进的风险传播算法，完成了网络层面的风险评估。

2.如权利要求1所描述的方法，其特征在于通过对报警信息的综合处理，得到五个和攻击方相关性较大的因素信息。这五个因素为别为：

(1)报警线程中的报警数量(Amount of alerts)A_k，此参数既代表了入侵的强度，也从另一方面反映了入侵的确信情况。此参数值可由报警关联模块获得。

(2)报警线程k中最新报警所指示的攻击确信度(Alert confidence)C_k0∈[0，1]，它表示了报警所指示的异常活动是真正攻击的可能性，可由本系统的报警置信度学习模块获得。

(3)此报警线程中的报警种类数(Number of alert types)B_k，此参数部分地反映了入侵的进行情况，随着入侵的进展，引发更多报警种类，入侵对目标服务的威胁就越来越严重，同时，它也反映了入侵者的技术水平，其值可由报警关联模块获得。

(4)攻击严重程度(Rank of alert severity)P_r0，是报警线程k中最新报警所指示的攻击严重程度。严重程度的值由报警直接得到，大部分IDS对攻击严重程度都以类似报警级别这样的参数在报警中体现出来，并具体规定了哪些级别报警是较严重的、哪些是严重的和很严重的。

(5)攻击同被攻击目标的相关度(Alert relevance score)R_s0∈[0，1]，是报警线程中最新攻击所针对的目标情况同实际目标情况的匹配程度。其值可由报警验证模块获得。

3.如权利要求1所描述的方法，其特征在于使用D-S证据理论融合上述五个和攻击方相关性较大的因素，对入侵所造成的风险进行客观上的评估，然后结合目标资产重要度，进行服务层的入侵风险评估。

4.如权利要3所描述的方法，首先利用模糊隶属函数来获得各焦元的基本概率分配函数，接着融合这5个不同评估因素对安全风险的评判。再根据被保护网络中各个主机上运行的服务性质赋予各目标主机相应的重要度，并根据目标重要度，确定的目标风险分布。

5.如权利要求1所描述的方法，其特征在于，在得到单个主机中各个服务的入侵风险指数后，利用“木桶原理”，根据主机重要度，确定其风险分布情况，然后按照主机风险指数在风险分布区间中位置确定主机的风险情况。

6.如权利要求5所描述的方法，其特征在于，主机可承受风险程度取决于最不能承受风险的服务，也就是最脆弱或最重要的服务，而确定风险分布的主机重要度不应低于本机所有服务中最重要的服务的重要度。

7.如权利要求1所描述的方法，其特征在于，根据主机的分布情况建立安全依赖网SDN，通过计算主机之前的安全依赖关系SDR，结合水波效应原理，得到主机的重要度，并以此决定其网络层次的风险分布，然后根据风险指数在网络层次风险分布中的位置，确定网络的风险状况。

Images