CN104125217A - 一种基于主机日志分析的云数据中心实时风险评估方法 - Google Patents

Abstract

本发明属于云计算和网络安全技术领域，具体为一种基于主机日志分析的云数据中心实时风险评估方法。本发明基于主机日志的入侵检测系统和脆弱性扫描工具OSSEC，提出影响资产风险指数的四个风险因子：告警数量、告警类型、告警等级和告警威胁程度，并将它们作为评价资产风险情况的“证据”，将证据理论(D-S理论)和模糊数学的思想结合，设计出DSFM(D-SFuzzyMathematic)算法，将这些“证据”进行组合，得到资产的风险指数RI；风险指数和资产值的组合就是该资产的风险值R；一个数据中心所有的资产风险值的组合就是该数据中心的风险值。模拟攻击实验验证表明，本发明方法可以实时对整个云数据中心系统进行风险评估，得到的评估结果具有较高的准确性。

Description

一种基于主机日志分析的云数据中心实时风险评估方法

技术领域

本发明属于云计算和网络安全技术领域，具体涉及一种云数据中心实时风险评估方法。

背景技术

互联网和云计算的快速发展给人们的生活带来了巨大的变化。随着网络信息量指数级增长，越来越多的安全问题暴露在用户面前。现在大多服务都在云数据中心运营，数据中心信息量庞大，有限的管理人员难以对这些机器进行全面的监控，准确获知系统当前风险状况。作为一种积极的安全防护技术，风险评估可以帮助管理人员准确识别系统当前的安全威胁，进而采取相应的安全措施，达到确保系统安全，降低管理员工作强度的效果。但是现在的风险评估多为静态的，人为干预的形式，这种形式虽然评估结果比较全面深入，但是耗时耗力，对于管理人员，实时的风险评估会对日常工作带来极大的便利。而目前已有的一些实时风险评估模型的研究成果具有一定局限性，比如需要设定特定的场景、模型不便于扩展、评估环境不能过于复杂等等。当前风险评估模型及方法多集中在静态评估，需要大量的专家数据和评估时间，且不利于扩展至复杂的网络环境。

经对现有技术的文献检索发现，目前，无论是工业界还是学术界都在努力研究适用于特定场景的风险评估模型，这其中也包括云数据中心环境。Afnan Ullah Khan[AfnanUllah Khan,Manuel Oriol,et al.Security Risks and their Management in CloudComputing[A].Cloud Computing Technology and Science(CloudCom)[C].2012IEEE4th International Conference on,pp.121-128.]等人提出了一个类似于风险仓库的概念，里面详细地记录了在云基础构架下，根据可用性、完整性、机密性所识别的，可能造成安全风险的安全威胁有哪些。文献中呈现了一些对于云服务提供商在云部署环节上的一些初步的风险评估结果。但是和他们工作不同的是，我们关注的是在云搭建成功并开始投入使用期间，在运维过程中的风险状况。史简[史简，郭山清，谢立.一种实时的信息安全风险评估方法[A].计算机工程与应用.2006,1:109-111.]等人提出了一种实时的信息安全风险评估方法。文献的主要内容是利用层次分析法构建资产与威胁之间的递阶层次结构，之后利用层次分析法的数学模型来计算风险值。但是在构建资产与威胁之间的递阶层次结构时，有大量的主观因素以及工作量在其中，而且该结构不能很好的动态扩展，不适用于复杂的云环境，有一定的局限性。刘恒[刘恒，王红兵，王勇.云计算宏观安全风险的评估分析[A].第三届信息安全漏洞分析与风险评估大会(VARA2010)论文集[C].2010:75-87.]等人对云计算宏观安全风险进行了评估分析，提出了云计算宏观安全风险评估的计算模型和方法。该模型利用专家系统的思想将可能存在的威胁和脆弱性进行关联分析，最终得出风险值。但是该模型也是静态的评估，需要全面考虑潜在的各种威胁和脆弱性，工作量大且不一定全面，很难在复杂场景下进行应用推广。Jijun Zhang[Jijun Zhang,et al.A Research on The Indicator System of Cloud Computing Security RiskAssessment[A].Quality,Reliability,Risk,Maintenance,and Safety Engineering(ICQR2MSE)[C].2012International Conference on,pp.121-123.]等人分析了云计算安全风险评估的重要性，以及影响云安全的主要因素。但是这篇文献只停留在了理论的阶段，并未提出一些具体的评估模型和实例。Prasad Saripalli[Prasad Saripalli,and BenWalters.QUIRC:A Quantitative Impact and Risk Assessment Framework for CloudSecurity[A].Cloud Computing(CLOUD)[C].2010IEEE3rd InternationalConference on,pp.280-288.]等人提出了一个定量的风险和影响评估框架来评估与云计算平台有关的安全风险。文献认为大多数典型的攻击行为或事件都可以映射为六种安全事件之一，并且他们提出一种方法Wind-band Delphi来评估安全风险。他们认为风险是由安全威胁事件发生的可能性以及它带来的危害程度决定的。不过他们的评估方案并没有动态地实现或展示出来，这将是设计着眼完成的工作。文献[付沙，宋丹，黄会群.一种基于熵权和模糊集理论的信息系统风险评估方法[A].现代情报.2013,3:10-13；刘冰寒.信息系统风险评估及量化方法研究[D].山东:山东建筑大学.2008.]分别利用基于熵权的模糊集理论方法、层次分析法、威胁脆弱性关联分析法和多指标综合评价法描述了如何对系统进行风险评估。但是这些文献也都是静态的分析方法，需要专家数据，不宜用于复杂的评估环境。

本发明提出一种基于主机日志分析的云数据中心实时风险评估方法。将模糊集合和证据理论思想进行整合，设计了适合该模型的DSFM算法；将风险评估理论与证据理论相结合，将系统状态分为无风险、有风险和不确定，提取出影响系统风险的4个风险因子：告警数量、告警类型、告警等级和告警威胁程度，这种设计满足了证据理论可实行的条件。由风险因子作为DSFM算法的输入，最终的计算输出得到了云数据中心总体的风险状况。本发明设计了3个模拟攻击实验对本发明进行验证，实验结果表明本发明可以实时和准确地反映出云数据中心当前的风险状况，达到了预期的效果。

发明内容

本发明的目的在于提出一种可以实时和准确地反映出云数据中心当前的风险状况的，基于主机日志分析的云数据中心实时风险评估方法。

本发明提出一种基于主机日志分析的云数据中心实时风险评估方法。将模糊集合和证据理论思想进行整合，设计了适合该模型的DSFM(D-S Fuzzy Mathematic)算法；将风险评估理论与证据理论相结合，将系统状态分为无风险、有风险和不确定，提取出影响系统风险的4个风险因子：告警数量、告警类型、告警等级和告警威胁程度，这种设计满足了证据理论可实行的条件。由风险因子作为DSFM算法的输入，最终的计算输出得到了云数据中心总体的风险状况。本发明设计了3个模拟攻击实验对本发明进行验证，实验结果表明本发明可以实时和准确地反映出云数据中心当前的风险状况，达到了预期的效果。

本发明提出基于主机日志分析的云数据中心实时风险评估方法，具体步骤为：

第一步:确定风险评估因子

通过对入侵检测数据样本的分析和研究，从这些数据中，我们归纳出影响云数据中心系统资产风险状况的因子。通过对这些因子进行分析处理，组成判断资产是否有风险的“证据”，从而利用DSFM算法得到系统资产的风险值。图1列出了影响系统风险的因子组成。在这里引入了风险指数(Risk Index)的概念，风险指数RI是指当入侵检测系统或工具检测到异常行为时，资产所处的风险状况。

风险指数隐含了两个方面的内容：

1)IDS检测到一个威胁事件时，该事件为真的可能性；

2)威胁事件执行成功后对资产造成损失的大小。

只有当一个攻击事件成功执行后才能对资产造成损失。不同破坏力的攻击事件对资产所造成的威胁和损害也是不同的。风险指数RI，能够客观的反映出资产风险状况，避免了IDS的误报情况。

由图1可以看出，系统资产的风险值由两部分构成：资产价值(Asset，下文将用A表示)、风险指数(Risk Index，下文将用RI表示)。影响风险指数的有四个因子：告警数量(Number，下文将用Num表示)、告警类型(Category，下文将用Cate表示)、告警级别(Level，下文将用Levl表示)、告警威胁程度(Severity，下文将用Seve表示)。下面分别介绍各个因子的含义。

告警数量

在一个时间段内，如果云数据中心某个主机上检测到的告警数量过多，超过一个预想的阀值，这个时候可以认为该主机遭受攻击的可能性比较大，存在一定的风险。因此，一个时间段内的告警数量可以反映出资产当前的风险状况，它可以作为风险因子之一。

告警类型

通常攻击者在攻击一个系统时，可能会采取不同的攻击手段，利用不同的漏洞，这就造成了某个时间段内，主机检测到的告警类型较多。如果当有数据显示当前某个主机有不同的告警信息发生，那么该主机很有可能在遭受一些攻击，存在一定的风险。因此，告警类型也应作为风险评价的因子之一。

告警级别

现在常见的入侵检测系统或工具，在对潜在的安全事件进行报警时，都会对报警事件赋予一个等级，来告诉用户该事件对主机可能造成的威胁的大小。如果一台主机在某一时间段内，被检测出来的告警事件都具有比较高的等级，那说明该主机遭受严重攻击的可能性非常大，风险指数非常高。显而易见，告警级别也是反映资产当前风险状况的重要组成之一。

告警威胁程度

我们知道，IDS的准确度与它对系统正常行为(或入侵行为)的描述方式、选用的检测模型以及检测算法有关。有时，虽然IDS对一些异常行为进行报警，可是由于系统自身不具备攻击成功的可能性，该告警就成了无关告警。而且不同的攻击行为可能造成的后果也是不一样的。在对系统风险评估过程中，每一条告警信息到底能产生多大的危害也需要考虑在内。

第二步:风险组成因子的获取及量化

在清楚有哪些因子会对云数据中心资产的风险造成影响之后，下一步工作就是对这些因子的量化分析。下文的4个小节分别介绍了对告警数量、告警类型、告警级别、告警威胁程度这4个风险因子的获取及量化过程。为了符合证据理论的思想，我们将一个资产的状态设定为无风险(S₁)、有风险(S₂)和不确定(ε)。

因为本发明最后在实验环境中用到OSSEC，OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows，Linux，OpenBSD/FreeBSD，以及MacOS等操作系统中。OSSEC的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。OSSEC的数据都可以导出到MySQL数据库中，数据操作十分方便，所以这里都以OSSEC作为基础平台来介绍数据的获取和量化方法。

(1)告警数量(Num)的获取及量化

在入侵检测系统中，会有自己特定的数据库或文件用来存储各个时间段内发生的告警信息。因此，要获取某个时间段内的告警数量并不困难。OSSEC发出的告警信息格式如下：

告警信息＝(id,server_id,rule_id,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alertid)

它对应的含义是：

告警信息＝(id标识，服务器的id，对应的规则id，时间戳，安全事件位置id，源ip地址，目的ip地址，源端口，目的端口，报警id)

根据告警信息的格式，想要获取某个agent的一段时间内的告警数量，可以以目的ip地址(dst_ip)和时间戳(timestamp)为判断依据来设定区间。比如，我们希望获取目的ip地址为DIP₀在T₀之前n分钟如(5分钟)之内的告警数量，可以通过以下两步完成：

1)取最新的告警信息的时间戳为T₀，获取之前n分钟如(5分钟)的所有agent端的告警信息，那么需要从后往前遍历，满足T₀-T_i≤300的数据都统计在内。

2)将获取的这些数据以dst_ip进行分组，获取dst_ip值为DIP₀的一组数据，数据的总量就是我们希望获取的Num值。

这两步利用SQL语句很容易实现(OSSEC将告警信息的主要数据存储在alert表中)：

SELECT COUNT(^*)

FROM alert

WHERE(T₀-timestamp)<＝300

AND dst_ip＝DIP₀

在后面会提到OSSEC的告警信息由等级定义，在OSSEC中，等级为0、1、2、3的告警信息是与系统安全无关的，因此我们在计算告警数量的时候应该把这些对应的信息去除。OSSEC有一张表signature(id,rule_id,level,description)是描述各个规则的详细信息的，里面就有等级定义。我们可以把alert表和signature表进行关联，就可以去除等级较低的告警信息。新的SQL语句如下：

SELECT COUNT(*)

FROM signature s LEFT JOIN alert a

ON a.rule_id＝s.rule_id AND s.level>3

WHERE(T₀-timestamp)<＝300

AND dst_ip＝DIP₀

在获取Num值后，需要判断，它对于资产的风险是怎样的。在上文中已分析，若在某个时间段内，告警数量相对较多，那么该资产遭受攻击的可能性较大，风险较高。因此，告警数量和资产风险有一定的线性关系存在。在这里，我们需要设定不同的区间，用函数来表示告警数量Num对S₁、S₂的支持情况。定义r_ij表示第i个风险因子对状态S_j的隶属度，则有：

$r_{11}=\begin{array}{c}(\mathrm{Num}<=n_1)\\ (\mathrm{Num}>n_1)\end{array}$

$r_{12}=\begin{array}{c}(\mathrm{Num}<=n_1)\\ (n_1<\mathrm{Num}<=n_2)\\ (\mathrm{Num}>n_2)\end{array}---\left(1\right)$

公式1的含义表示当告警数量小于或等于n₁时，认为资产当前无风险的可能性为有风险的可能性为0。之所以这样设定，而不是直接为是考虑除了有风险、无风险这两种状态之外，还有不确定状态的存在，这样的设定可以在证据出现矛盾时尽量避免过多的误差。在(n₁,n₂]这个区间内，有风险的可能性就用简单的线性关系表示为超过最大阀值n₂就直接设定为1。两个阀值n₁、n₂的设定需要专家或管理员根据历史数据或经验进行设定，在不同的阶段两个值可以发生变化。

(2)告警类型(Cate)的获取及量化

OSSEC已经将能识别出的异常行为进行了分类，储存在category(cat_id,cat_name)表中，共包含139种。在signature_category_mapping(id,rule_id,cat_id)表中，OSSEC对rule_id和category_id进行了映射，因此将alert表与signature_category_mapping进行连接操作，就可以得到告警类型的数量，即Cate值。比如，我们希望获取目的ip地址为DIP₀在T₀之前n分钟(如5分钟)之内的告警类型，我们可以通过以下SQL语句实现：

SELECT COUNT(distinct sc.cat_id)

FROM signature s LEFT JOIN signature_category_mapping sc

ON s.rule_id＝sc.rule_id AND s.level>3LEFT JOIN alert a

ON sc.rule_id＝a.rule_id

WHERE(T₀-timestamp)<＝300AND dst_ip＝DIP₀

告警类型的多少与资产风险程度也存在一定的线性关系，因此，与告警数量Num的表示方式类似，这里直接写出隶属函数如下：

$r_{21}=\left\{\begin{array}{c}(\mathrm{Cate}<={\mathrm{ca}}_1)\\ (\mathrm{Cate}>{\mathrm{ca}}_1)\end{array}\right.$

$r_{22}=\left\{\begin{array}{c}(\mathrm{Cate}<={\mathrm{ca}}_1)\\ ({\mathrm{ca}}_1<\mathrm{Cate}<={\mathrm{ca}}_2)\\ (\mathrm{Cate}>{\mathrm{ca}}_2)\end{array}\right.---\left(2\right)$

这里同样考虑了除无风险(S₁)、有风险(S₂)两种状态外的不确定状态(ε)。两个阀值ca₁、ca₂的设定需要专家或管理员根据历史数据或经验进行设定，在不同的阶段两个值可以发生变化。

(3)告警级别(Levl)的获取及量化

OSSEC中，有一张表是专门记录对Rule的描述。在Signature(id,rule_id,level,description)表中，详细记录了每条规则的告警级别和描述。OSSEC的规则是存储在不同的xml文件中，可以由用户自定义的。

OSSEC将告警级别分为从0到15共16级，如表1所示。

表1 OSSEC告警级别描述

可以根据表1中的定义来设定告警等级的量化函数。首先将等级进行分类，同样的，这里不考虑等级4以下的告警信息；将4-15分为4个部分，分别是[4,6]，[7,11]，[12,14]，[15]。这样分类的依据是根据各个等级不同定义的描述，严重程度由小到大。由于等级15表示威胁一定发生，因此，如果遇到等级为15的告警信息，不需要考虑其他信息，直接将资产存在风险的可能性定为1。剩下3个部分在量化处理上需要设定权值来表示它们的严重程度，分别用w₁，w₂，w₃来表示，它们满足w₁<w₂<w₃。

获取某个资产某个时间段内的等级信息，同样可以利用表的连接来实现。假设，希望获取目的ip地址为DIP₀在T₀之前n分钟(如5分钟)之内的告警等级信息，可以通过以下SQL语句实现：

SELECT s.level

FROM signature s LEFT JOIN alert a

ON a.rule_id＝s.rule_id AND s.level>3

WHERE(T₀-timestamp)<＝300

AND dst_ip＝DIP₀

ORDER BY s.level DESC

该SQL语句执行完的结果是这个时间段内，该主机的告警信息等级降序排列情况，我们需要对这个结果进行进一步处理。将该结果从上往下遍历，依次统计各个区间的信息数量，伪代码如下：

A[Num]->存储SQL语句执行结果

r₃₁,r₃₂->表示告警等级对资产有无风险的支持度

isDanger->标识是否存在等级为15的告警信息

C₁,C₂,C₃->表示不同等级区间的告警信息数量，等级从低到高

r₃₁＝1；return；->此时表示没有严重告警

For1<＝i<＝Num

If A[i]＝15

isDanger＝true；r₃₁＝0；r₃₂＝1；return；

if12<＝A[i]<＝14:C₁++；Continue；

if7<＝A[i]<＝11:C₂++；Continue；

C₃++；Continue；

告警等级Levl与资产风险状态的函数定义如下：

(isDanger＝true||C₁≠0||C₂≠0)

(isDanger＝false&&Num≠0)

(Num＝0)

公式3中的三个权值w₁，w₂，w₃的设定需要专家或管理员设定，需表现出相对重要性。

(4)告警威胁程度(Seve)的获取及量化

告警威胁程度(Seve)描述的是IDS发出的告警事件能成功执行的概率。因为IDS是依靠自己定义的规则就分析各种日志信息或数据报信息，所以可能存在虚警或无关告警的情况。即使有一条告警信息显示主机当前遭受某种很严重的攻击，主机未必就一定很危险，因为这条信息可能是错误的，或者主机有很强的防御机制，该攻击成功的可能性很小或没有。那么这条信息就会对主机风险值的评价形成误导，告警威胁程度(Seve)就是用来减小这类信息所造成的误差。

对于同一主机的告警威胁程度(Seve)的量化过程如下：

对特定时间段内全部alert信息进行遍历，查看每一条信息的dst_port值，这里定义为P_dst。如果P_dst＝0，说明这条信息不是从外部引发的，无法辨别它是否是安全相关的事件，考虑到这类信息的安全等级较低，不会对主机风险造成很大的影响，因此，对这类信息，人为设定为可信的，Seve＝1；

如果P_dst≠0，就将该端口和Nessus扫描出来的结果进行对比。Nessus对每台主机的扫描结果都会存储在以该主机命名的CSV文件当中。Nessus扫描出的结果分为critical，high，medium，low和information五个等级，每个有对应的CVSS(Common VulnerabilityScoring System)值，范围是0-10，它描述了脆弱性的程度，我们可以直接将该值作为可信度的基准值。如果将端口信息就行比对，Nessus中对应的结果为critical，说明该端口运行的服务存在很严重的漏洞，告警信息成功的可能性很大。因此，每一条告警信息的Seve＝CVSS/10；最终这组数据的Seve值我们取各条记录的平均值。

告警威胁程度(Seve)对于资产风险状态的支持度可表示为：

R₄₁＝1-Seve R₄₂＝Seve   (4)

第三步:基于DSFM的风险值计算

(1)DSFM算法设计

基于风险评估设计目标，实现动态的风险评估方案需要最小化人为干预的情况。本发明将模糊评价法中模糊集合理论和证据理论(证据理论也称为D-S理论)的思想结合作为实现动态评估方案的算法，将该算法命名为DSFM(D-S Fuzzy Mathematic)。它的主要思想是利用模糊集合理论来计算证据的Mass函数，因为在实际评价系统风险时，有很多因素的影响都不是可以直接量化进行表达的，需要做一些模糊处理，然后再通过相近的公式代替。证据理论中对证据可信度具有影响的因素可以看作是一个模糊集，利用相应的评判集进行评判，这个过程可以用隶属度函数来表示；使用隶属度函数来构成Mass函数，然后将证据合成，得到整个系统的风险状况。

在证据理论中，对于辨别框架中的某个假设A，根据基本概率分配BPA分别计算出关于该假设的信任函数(Belief function)Bel(A)和似然函数(Plausibility function)Pl(A)组成信任区间[Bel(A),Pl(A)]，用以表示对某个假设的确认程度。这里，在辨别框架Θ上基于BPA，m的信任函数和似然函数的定义分别为：

$\mathrm{Bel}\left(A\right)=\underset{B\&SubsetEqual;A}{\mathrm{\&Sigma;}}m\left(B\right)$

对于某一假设问题，证实它是否真实可能有来自多方不同的证据，如何对这些证据进行合成得到最接近真实的答案呢？在证据理论中定义了多个证据组合的Dempster合成规则(Dempster’s combinational rule)，也称证据合成公式。其定义如下：

对于Θ上的两个mass函数m₁，m₂的Dempster合成规则为：

$m_1\&CirclePlus;m_2\left(A\right)=\frac{1}{K}{\mathrm{\&Sigma;}}_{B\&cap;C=A}{m}_1\left(B\right)\&CenterDot;m_2\left(C\right)---\left(6\right)$

其中，K为归一化常数

对于n个mass函数的Dempster合成规则定义如下：

对于Θ上的有限个mass函数m₁，m₂，…m_n的Dempster合成规则为：

$m_1\&CirclePlus;m_2\&CirclePlus;...\&CirclePlus;m_n\left(A\right)=\frac{1}{K}{\mathrm{\&Sigma;}}_{A_1\&cap;A_2\&cap;...\&cap;A_n=A}{m}_1\left(A_1\right)\&CenterDot;m_2\left(A_2\right)\&CenterDot;\&CenterDot;\&CenterDot;m_n\left(A_n\right)---\left(7\right)$

其中，K为归一化常数

由上面的公式可以看出，多个证据的组合与先后次序无关，最终的组合结果可以由任意两个证据相结合，再依次与其它证据递归结合得到，如图2所示。

DSFM的算法过程如图3所示，它可以分为以下几步：

(1)利用证据理论的思想将影响系统风险情况的因素提取出来，得到评价风险的“证据”；

(2)这些证据构成了因素集U，本发明利用评价集V对U进行评判得到评价矩阵。为了与证据理论结合，需要对评价集进行特殊处理，评价集中的元素必须是相互独立的，可以单独认定的。可以利用系统不同的风险状态来定义评价集V，而U与V之间的关系需要利用隶属度函数表示；

(3)通过一定的数学分析创建出适合的隶属度函数r，其中r_ij表示u_i关于v_j的隶属程度；

(4)根据隶属函数r的含义，因素U_i对评价因素V_j的隶属程度，即为证据U_i对状态V_j的支持度，即证据U_i的可信度，这满足证据理论中对mass函数的定义。因此，该隶属函数r可以与mass函数m进行转换；

(5)利用公式(6)或(7)对转换后的Mass函数进行合成，得到最终的结果。

将模糊集合和证据理论的思想结合，既可以发挥它们各自的优势，又可以弥补它们的不足。首先，利用证据理论的思想，归纳影响系统风险的“证据”，这些证据组成一个模糊集合，将归纳的证据放入模糊集合会大大降低集合的维度，减小数据处理的复杂度；另外，利用模糊数学的思想，便于建立数学模型对mass函数进行表达，而且处理过程也更科学和易被认可。

(2)基于DSFM的风险指数计算

在上一步中，通过相应的计算得到了4个风险因子，告警数量(Num)、告警类型(Cate)、告警等级(Levl)、告警威胁程度(Seve)对于资产是否存在风险的支持度。在函数的设定过程中，可能存在一些数据区间使得无法判断这些数据是对S₁的支持还是对S₂的支持，我们把这类数据归纳到不确定的状态ε中，它们满足关系S₂∩ε＝S₂。

证据理论中的Mass函数表示的是这些证据的信度大小，因此，基于DSFM算法的设计思想，将量化后的数据转换为对于不同状态的mass函数的值，需要得到的值m(S₂)，即有风险的情况，公式如下：

m_i(S₂)＝r_i2    (8)

m_i(ε)＝1-r_i1-r_i2    (9)

其中i表示第i个风险因子。最后，将这些证据进行合成，就可以得到资产当前的风险指数RI，利用Dempster证据合成规则，可以得到将两个证据合成的公式为：

$\begin{array}{c}{m}_1\&CirclePlus;m_2\left(S_2\right)=m_1\left(S_2\right)\&times;m_2\left(S_2\right)+m_1\left(\mathrm{\&epsiv;}\right)\&times;m_2\left(S_2\right)\\ +m_1\left(S_2\right)\&times;m_1\left(\mathrm{\&epsiv;}\right)+m_1\left(\mathrm{\&epsiv;}\right)\&times;m_2\left(\mathrm{\&epsiv;}\right)\end{array}---\left(10\right)$

将公式(10)中获得的结果再与m₃和m₄合成，就可以得到最终的结果：

$\mathrm{RI}=m_1\&CirclePlus;m_2\&CirclePlus;m_3\&CirclePlus;m_4\left(S_2\right)---\left(11\right)$

(3)基于DSFM的资产风险值的计算

在得到风险指数RI之后，若已知资产的价值(A)，那么风险值(R)就可以计算出来：

R_i＝RI_i×A_i   (12)

这里i表示第i个资产。那么整个数据中心或信息系统假设有N个资产，它的风险值(R_Total)可以表示为：

$R_{\mathrm{Total}}={\mathrm{\&Sigma;}}_{i=1}^N{R}_i/N={\mathrm{\&Sigma;}}_{i=1}^N{\mathrm{RI}}_i\&times;A_i/N---\left(13\right)$

公式(13)是整个风险值的表示形式。

由于整个数据中心的组成是十分复杂的，因此对整体风险的评估可能需要根据具体情况通过不同的方式来表示。

附图说明

图1系统风险因子。

图2多个证据递归组合。

图3DSFM算法过程。

图4实验环境拓扑图。

图5资产A5DoS攻击风险指数评估结果。

图6资产A2、A5风险指数对比图。

图7资产A2、A5风险值对比图。

图8资产A5ARP攻击风险指数评估结果。

图9系统风险值趋势图。

图10同一时间段内A1-A7风险指数趋势图。

图11同一时间段内A1-A7风险值趋势图。

图12本发明总体框架图示。

具体实施方式

(1)实验环境

实验环境如图4所示。该套环境中总共有3台主机、4台虚拟机，其中有作为特殊用途的服务器端，也有执行一般业务的PC端。在需要评估的7个资产中分别部署了OSSECagent程序，并于OSSEC server进行了配置，所有的agent都是alive的。将资产划分为5个等级，用1-5表示，数值越大，说明资产越重要。要求银联技术人员按照资产的机密性、完整性和可用性三个方面分别打分，得到最终资产的价值；通过对历史数据的分析，确定了相关变量的值。表2、3列出了实验环境中的资产值和相关系数的确定。

表2 云数据中心资产列表

编号	名称	描述	资产值
				A1	MySQL服务器	存储OSSEC数据及其他重要的数据信息	5
A2	Syslog server	收集各个agent端的syslog信息供分析	4.3
				A3	Samba服务器	提供文件共享服务	3.7
A4-7	PC端	执行普通业务	2

表3 算法中个变量的赋值

在模拟攻击实验前，先用Nessus v6.2工具对这7个IP地址进行扫描，获得的结果分别存储在以IP地址命名的csv文件中，便于数据的获取和处理。OSSEC v2.7的数据是直接存储在数据库中的，可以直接读取数据库获取数据。本实验的代码都是用python v2.7实现的，因为该语言对于数据的处理十分方便简洁。将代码计算得到的风险值存储在自己建的表risk_index(id,asset_id,risk_index,timestamp)当中，这里存储的是所有资产计算出来的风险指数。还有一张对应的表asset(id,name,ip,value,description)，这里的id对应risk_index表中的asset_id，两个表的连接就可以知道每一个资产的风险值以及系统整体的风险值，该风险值存储在risk(id,timestamp,value)表中。在实现过程中，发现OSSEC的agent表无法获取agent信息，这是OSSEC自身的bug，我们用OSSEC的agent_control-als命令来获取每个agent的信息。

为了验证该评估模型是否有效，实验中模拟了几种比较具代表性的攻击实验，包括拒绝服务(DoS)攻击、向主机植入窃取信息的木马(Trojan Horse)程序和ARP攻击。DoS攻击的目的是让目标机器停止提供网络服务，它利用TCP协议的缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)。木马程序可以不经过计算机用户准许就获得使用权，一旦获得了相应的权限，就可以盗取用户信息，甚至远程控制用户机器盗取各种数据资料。ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络堵塞。

这三种模拟攻击都可以在网上找到相应的工具和资源，本实验分别用了NMap、LOIC和云崖居ARP欺骗工具v1这三种工具。其中NMap是流行的端口扫描工具，利用它可以知道目标机器哪些端口是开启的。LOIC(Low Orbit Ion Cannon)是由四位黑客设计的，用来实现分布式拒绝服务攻击的一款工具。利用该工具，我们只需要输入目标机器的ip地址和开启的端口号，就可以很容易实现DoS攻击。OSSEC对这三种攻击都做出了反应，下面我们对实验结果进行分析。

(2)实验结果和分析

(2.1)实验1:DoS攻击

首先，利用LOIC工具对A₃-A₇这5个机器分别发起的DoS攻击，其中A₃的系统是windows7，可以用资源管理器看到机器的CPU和内存的利用率异常提升了很多；A₄-A₇都是Linux机器，利用top命令也可以看到类似的现象，说明DoS攻击有了效果。将数据带入到风险评估模型中，可以看到每一个资产风险指数的变化，这里为了使效果更明显，将每分钟计算一次风险指数。图5描述了资产A₅，ip为10.10.82.125这台机器在受到DoS攻击前后的风险指数走势。

系统正常运行时的风险指数大概在0.2左右，可能因为是几台裸机，所有会有一些不严重的告警信息出现。攻击开始的时间大概是在接近6分钟的点，这个时候由于受到攻击，

告警信息的数量会提升，等级也会升高，所以风险指数明显升高。在4分钟时有一个凸起，这个时候应该是在用NMap进行扫描时，OSSEC检测到了扫描行为，也发出了相应的告警。在8分钟后，攻击结束，OSSEC不再告警，所以风险指数回归之前的状态。虽然机器遭受了严重的DoS攻击，但是风险指数没有突破0.7，不算是很高的点。经分析，由于是DoS发起的攻击，攻击模式单一，所以告警类型并没有很明显的增多，导致风险指数没有提升过高。

(2.2)实验2:木马植入

接下来，进行木马植入攻击实验。从网上下载了木马程序，它的作用是进入目标主机后，会不断的尝试破解root密码，一旦破解，会将机器中主要的文件发送到远程的机器上，对目标机器的安全造成危害。

图6描述了对资产A₂和A₅植入木马程序之后，两个主机的风险指数情况。A₂植入木马的时间比A₅要滞后一些，所有会有一些横向的落差。从图可以看出，资产A₂的风险指数比A₅要低一些，经过对数据的分析，在木马程序开始活动的前期，两台机器的告警信息比较类似，都有rootkit的相关告警信息。但是A₂的CPU和内存资源比A₅充足，所以少了一些资源不足的告警。经过一段时间，A₅的密码被成功破解之后，由于对关键文件的操作，OSSEC又报出了很多条告警信息，而且等级较高。但A₂的密码相对较复杂，木马程序一时半会未能破解，这就造成了一段时间内，A₅的风险指数高于A₂的情况。可以看出，风险指数还是比较能反映不同主机的风险状况的。

图7描述了资产A₂和A₅在这个时间段内的风险值对比，风险值就是将风险指数加入资产的价值。通过表5-1可以知道这两个资产的价值，A₂是高于A₅的，因此，即使A₂的风险指数虽然比A₅要低，但是它实际的风险值还是比A₅要高。这个很好理解，因为A₂包含了比A₅更加重要的信息，如果A₂遭受攻击威胁，它的状况对于整个系统的影响更大，它的风险值也更高。

(2.3)实验3:ARP攻击

最后一个模拟攻击实验，是利用工具对云数据中心几台主机发动ARP攻击。它的主要作用是造成目标机器网络拥堵，形成通信故障。OSSEC有专门的规则文件arpwatch_rules.xml来监视ARP攻击。

图8描述了资产A₅在遭受ARP攻击时的风险指数走向，通过对OSSEC数据的分析，在ARP攻击的不同阶段，它都有相应的告警信息发出，在开始初期，会是一些等级较低的告警信息，类似“Possible arpspoofing attempt”；到了后期，就会发出等级较高的信息，有类似“Arpwatch"flip flop"message.IP address/MAC relation changing too often”的信息。

可以看出，风险指数还是比较能反映出系统遭受攻击的真实情况。

我们取了同样时间段内，云数据中心各个资产的风险指数数据，然后组合计算得到这段时间内，系统风险值情况。取数据的这段时间，部分主机正遭受一些威胁攻击，所以有的主机风险会相对低一点，有的主机会高一点。图9和图10分别描述了系统中7个资产同一时间段内的风险指数趋势和风险值趋势。

(2.4)云数据中心系统总体风险值计算

图11描述了系统在这一时间段内的总体风险情况。图11中系统整体的风险值是稳定偏低的，这是因为实验数据是在不同的时间段内有波动，因此部分资产风险出现峰值时，系统风险值仍然偏低可能有两方面的原因：1)出现风险峰值的资产，其价值较低，并未对系统整体风险值带来太大影响；2)出现风险峰值的资产可能价值很高，但是系统其它资产在这一时间段内并未受波及，因此平均下来，系统风险值仍然不高。本实验通过3个模拟攻击，DoS攻击、木马植入、ARP攻击，对本发明的基于主机日志分析的云数据中心实时风险评估方法进行了验证和分析。通过基于主机日志分析的云数据中心实时风险评估方法计算得出的结果，总体上能比较准确和实时反映出每个资产以及整个云数据中心系统的风险状况。

Claims (1)

1.一种基于主机日志分析的云数据中心实时风险评估方法，其特征在于具体步骤为：

第一步:确定风险评估因子

通过对入侵检测数据样本的分析和研究，归纳出影响云数据中心系统资产风险状况的因子；系统资产的风险值由两部分构成：资产价值，用A表示；风险指数，用RI表示；影响风险指数的有四个因子：告警数量，用Num表示，告警类型，用Cate表示，告警级别，用Levl表示，告警威胁程度，用Seve表示；各个因子的含义如下：

告警数量，是指在一个时间段内，云数据中心某个主机上检测到的告警数量；

告警类型，是指某个时间段内，主机检测到的告警类型；

告警级别，是指常见的入侵检测系统或工具，在对潜在的安全事件进行报警时，对报警事件赋予的等级，来告诉用户该事件对主机可能造成的威胁的大小；

告警威胁程度，是指告警信息对系统产生的危害程度；

第二步:风险组成因子的获取及量化

将一个资产的状态设定为无风险(S₁)、有风险(S₂)和不确定(ε)；

这里都以OSSEC作为基础平台来描述风险评估因子数据的获取和量化方法；

(1)告警数量(Num)的获取及量化

在入侵检测系统中，有自己特定的数据库或文件用来存储各个时间段内发生的告警信息；OSSEC发出的告警信息格式如下：

告警信息＝(id,server_id,rule_id,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alertid)

它对应的含义是：

告警信息＝(id标识，服务器的id，对应的规则id，时间戳，安全事件位置id，源ip地址，目的ip地址，源端口，目的端口，报警id)

根据告警信息的格式，想要获取某个agent的一段时间内的告警数量，可以以目的ip地址(dst_ip)和时间戳(timestamp)为判断依据来设定区间；假如，希望获取目的ip地址为DIP₀在T₀之前n分钟之内的告警数量，可以通过以下两步完成：

(1)取最新的告警信息的时间戳为T₀，获取之前n分钟的所有agent端的告警信息，那么需要从后往前遍历，满足T₀-T_i≤300的数据都统计在内；

(2)将获取的这些数据以dst_ip进行分组，获取dst_ip值为DIP₀的一组数据，数据的总量就是希望获取的Num值；

在获取Num值后，需要判断它对于资产的风险是怎样的；在这里，设定不同的区间，用函数来表示告警数量Num对S₁、S₂的支持情况；定义r_ij表示第i个风险因子对状态S_j的隶属度，则有：

$r_{11}=\begin{array}{c}(\mathrm{Num}<=n_1)\\ (\mathrm{Num}>n_1)\end{array}$

$r_{12}=\begin{array}{c}(\mathrm{Num}<=n_1)\\ (n_1<\mathrm{Num}<=n_2)\\ (\mathrm{Num}>n_2)\end{array}---\left(1\right)$

公式1的含义表示当告警数量小于或等于n₁时，认为资产当前无风险的可能性为有风险的可能性为0；在(n₁,n₂]这个区间内，有风险的可能性用简单的线性关系表示为超过最大阀值n₂就直接设定为1；两个阀值n₁、n₂的设定由专家或管理员根据历史数据或经验进行设定，在不同的阶段两个值可以发生变化；

(2)告警类型(Cate)的获取及量化

OSSEC已经将能识别出的异常行为进行了分类，储存在category(cat_id,cat_name)表中，共包含139种；在signature_category_mapping(id,rule_id,cat_id)表中，OSSEC对rule_id和category_id进行了映射，因此将alert表与signature_category_mapping进行连接操作，就可以得到告警类型的数量，即Cate值；

告警类型的多少与资产风险程度存在一定的线性关系，与告警数量Num的表示方式类似，这里直接写出隶属函数如下：

$r_{21}=\left\{\begin{array}{c}(\mathrm{Cate}<={\mathrm{ca}}_1)\\ (\mathrm{Cate}>{\mathrm{ca}}_1)\end{array}\right.$

$r_{22}=\left\{\begin{array}{c}(\mathrm{Cate}<={\mathrm{ca}}_1)\\ ({\mathrm{ca}}_1<\mathrm{Cate}<={\mathrm{ca}}_2)\\ (\mathrm{Cate}>{\mathrm{ca}}_2)\end{array}\right.$

$\left(2\right)$

这里同样考虑了除无风险(S₁)、有风险(S₂)两种状态外的不确定状态(ε)；两个阀值ca₁、ca₂的设定由专家或管理员根据历史数据或经验进行设定，在不同的阶段两个值可以发生变化；

(3)告警级别(Levl)的获取及量化

OSSEC中，有一张表是专门记录对Rule的描述；在Signature(id,rule_id,level,description)表中，详细记录了每条规则的告警级别和描述；OSSEC的规则是存储在不同的xml文件中，由用户自定义；

OSSEC将告警级别分为从0到15共16级，并列为一表，如表1所示：

表1 OSSEC告警级别描述

根据表1中的定义来设定告警等级的量化函数；首先将等级进行分类，这里不考虑等级4以下的告警信息；将4-15分为4个部分，分别是[4,6]，[7,11]，[12,14]，[15]；由于等级15表示威胁一定发生，因此，如果遇到等级为15的告警信息，不需要考虑其他信息，直接将资产存在风险的可能性定为1；剩下3个部分在量化处理上需要设定权值来表示它们的严重程度，分别用w₁，w₂，w₃来表示，它们满足w₁<w₂<w₃；

获取某个资产某个时间段内的等级信息，同样可以利用表的连接来实现；

告警等级Levl与资产风险状态的函数定义如下：

(isDanger＝true||C₁≠0||C₂≠0)

(isDanger＝false&&Num≠0)

(Num＝0)     (3)

公式3中的三个权值w₁，w₂，w₃的设定由专家或管理员设定，需表现出相对重要性；

(4)告警威胁程度(Seve)的获取及量化

对于同一主机的告警威胁程度(Seve)的量化过程如下：

对特定时间段内全部alert信息进行遍历，查看每一条信息的dst_port值，这里定义为P_dst；如果P_dst＝0，说明这条信息不是从外部引发的，无法辨别它是否是安全相关的事件，考虑到这类信息的安全等级较低，不会对主机风险造成很大的影响，因此，对这类信息，人为设定为可信的，Seve＝1；

如果P_dst≠0，就将该端口和Nessus扫描出来的结果进行对比；Nessus对每台主机的扫描结果都会存储在以该主机命名的CSV文件当中；Nessus扫描出的结果分为critical，high，medium，low和information五个等级，每个有对应的CVSS(Common VulnerabilityScoring System)值，范围是0-10，它描述了脆弱性的程度，可以直接将该值作为可信度的基准值；如果将端口信息就行比对，Nessus中对应的结果为critical，说明该端口运行的服务存在很严重的漏洞，告警信息成功的可能性很大；因此，每一条告警信息的Seve＝CVSS/10；最终这组数据的Seve值，取各条记录的平均值；

告警威胁程度(Seve)对于资产风险状态的支持度表示为：

R₄₁＝1-Seve R₄₂＝Seve   (4)

第三步:基于DSFM的风险值计算

(1)DSFM算法设计

将模糊评价法中模糊集合理论和证据理论的思想结合作为实现动态评估方案的算法，将该算法命名为DSFM，它利用模糊集合理论来计算证据的Mass函数；证据理论中对证据可信度具有影响的因素看作是一个模糊集，利用相应的评判集进行评判，这个过程用隶属度函数来表示；使用隶属度函数来构成Mass函数，然后将证据合成，得到整个系统的风险状况；

在证据理论中，对于辨别框架中的某个假设A，根据基本概率分配BPA分别计算出关于该假设的信任函数Bel(A)和似然函数Pl(A)，组成信任区间[Bel(A),Pl(A)]，用以表示对某个假设的确认程度；这里，在辨别框架Θ上基于BPA，m的信任函数和似然函数的定义分别为：

$\mathrm{Bel}\left(A\right)=\underset{B\&SubsetEqual;A}{\mathrm{\&Sigma;}}m\left(B\right)$

对于某一假设问题，证实它是否真实可能有来自多方不同的证据，如何对这些证据进行合成得到最接近真实的答案呢？在证据理论中定义了多个证据组合的Dempster合成规则，也称证据合成公式，其定义如下：

对于Θ上的两个mass函数m₁，m₂的Dempster合成规则为：

$m_1\&CirclePlus;m_2\left(A\right)=\frac{1}{K}{\mathrm{\&Sigma;}}_{B\&cap;C=A}{m}_1\left(B\right)\&CenterDot;m_2\left(C\right)---\left(6\right)$

其中，K为归一化常数；

对于n个mass函数的Dempster合成规则定义如下：

对于Θ上的有限个mass函数m₁，m₂，…m_n的Dempster合成规则为：

$m_1\&CirclePlus;m_2\&CirclePlus;...\&CirclePlus;m_n\left(A\right)=\frac{1}{K}{\mathrm{\&Sigma;}}_{A_1\&cap;A_2\&cap;...\&cap;A_n=A}{m}_1\left(A_1\right)\&CenterDot;m_2\left(A_2\right)\&CenterDot;\&CenterDot;\&CenterDot;m_n\left(A_n\right)---\left(7\right)$

其中，K为归一化常数：

最终的组合结果由任意两个证据相结合，再依次与其它证据递归结合得到；

DSFM的算法过程分为以下几步：

(1)利用证据理论的思想将影响系统风险情况的因素提取出来，得到评价风险的“证据”；

(2)这些证据构成因素集U，利用评价集V对U进行评判得到评价矩阵；为了与证据理论结合，对评价集进行特殊处理，评价集中的元素必须是相互独立的，可以单独认定的；利用系统不同的风险状态来定义评价集V，而U与V之间的关系利用隶属度函数表示；

(3)通过一定的数学分析创建出适合的隶属度函数r，其中r_ij表示u_i关于v_j的隶属程度；

(4)根据隶属函数r的含义，因素U_i对评价因素V_j的隶属程度，即为证据U_i对状态V_j的支持度，即证据U_i的可信度，这满足证据理论中对mass函数的定义；因此，该隶属函数r可以与mass函数m进行转换；

(5)利用公式(6)或(7)对转换后的Mass函数进行合成，得到最终的结果；

(2)基于DSFM的风险指数计算

在上一步骤中，通过计算得到了4个风险因子，告警数量(Num)、告警类型(Cate)、告警等级(Levl)、告警威胁程度(Seve)对于资产是否存在风险的支持度；在函数的设定过程中，可能存在一些数据区间使得无法判断这些数据是对S₁的支持还是对S₂的支持，把这类数据归纳到不确定的状态ε中，它们满足关系S₂∩ε＝S₂；

将量化后的数据转换为对于不同状态的mass函数的值，需要得到的值m(S₂)，即有风险的情况，公式如下：

m_i(S₂)＝r_i2     (8)

m_i(ε)＝1-r_i1-r_i2   (9)

其中i表示第i个风险因子；最后，将这些证据进行合成，得到资产当前的风险指数RI，利用Dempster证据合成规则，得到将两个证据合成的公式为：

$\begin{array}{c}{m}_1\&CirclePlus;m_2\left(S_2\right)=m_1\left(S_2\right)\&times;m_2\left(S_2\right)+m_1\left(\mathrm{\&epsiv;}\right)\&times;m_2\left(S_2\right)\\ +m_1\left(S_2\right)\&times;m_1\left(\mathrm{\&epsiv;}\right)+m_1\left(\mathrm{\&epsiv;}\right)\&times;m_2\left(\mathrm{\&epsiv;}\right)\end{array}---\left(10\right)$

将公式(10)中获得的结果再与m₃和m₄合成，得到最终的结果：

$\mathrm{RI}=m_1\&CirclePlus;m_2\&CirclePlus;m_3\&CirclePlus;m_4\left(S_2\right)---\left(11\right)$

(3)基于DSFM的资产风险值的计算

在得到风险指数RI之后，若已知资产的价值(A)，那么风险值(R)就可以计算出来：

R_i＝RI_i×A_i    (12)

这里i表示第i个资产；那么整个数据中心或信息系统假设有N个资产，它的风险值(R_Total)表示为：

$R_{\mathrm{Total}}={\mathrm{\&Sigma;}}_{i=1}^N{R}_i/N={\mathrm{\&Sigma;}}_{i=1}^N{\mathrm{RI}}_i\&times;A_i/N---\left(13\right)$

公式(13)即是整个风险值的表示形式。