网络风险评估方法研究

信息安全

第28卷第10期

2008年10月

文章编号:1001-9081(2008)10-2471-03

计算机应用

ComputerApplications

Vol.28No.10

Oct.

2008

网络风险评估方法研究

史志才

(上海工程技术大学电子电气工程学院,上海201620)

(szc1964@http://)

摘　要:为了进行网络风险评估,采用隐马尔可夫随机过程作为分析手段,以入侵检测系统的输出(报警事件)为

处理对象,建立了描述主机系统受到攻击后状态转化的隐马尔可夫模型(HMM),给出了主机系统风险指数的计算方法,并经过简单叠加得到整个网络风险的定量评价。最后通过实验证实了所提出方法的有效性。

关键词:网络安全;隐马尔可夫模型;风险评估中图分类号:TP309;TP393.08　　文献标志码:A

Researchonmethodsofnetworkriskevaluation

SHIZhi2cai

(ElectronicandElectricEngineeringInstitute,ShanghaiUniversityof,)

Abstract:InordertoevaluatethenetwHtedasanalysismeans.Theoutputofintrusiondetectim)pobjects.TheHiddenMarkovModel(HMM)tsystemwasconstructed.Thecalculationmethodoftheriskcoefficientfms.riskcoefficientsforhostsystemsweresimplyaddedtoobtainthequantitiveevaluationofriskforwholenetwork.Theexperimentsjustifythattheproposedmethodiseffective.

Keywords:networksecurity;HiddenMarkovModel(HMM);riskevaluation

　　随着计算机网络及通信技术的发展以及社会信息化进程的推进,信息安全问题得到了社会各界的普遍关注。网络风险评估是信息安全的重要内容,它能够提供网络系统所存在的漏洞、脆弱性等方面的信息,评估并识别系统面临的安全风险,指出网络当前的安全状态,为网络系统安全体系的构建提供依据,进而提升网络系统的生存能力。目前,已有概率统计、信息熵等方法对网络的风险进行评估,但这些方法往往缺乏及时性、动态性且计算复杂。为了评估网络系统受到攻击后的风险状态,本文采用隐马尔可夫随机过程来描述计算机或者网络系统的状态转换,建立了评估网络风险状态的隐马

尔可夫模型(HiddenMarkovModel,HMM),将入侵检测系统产生的报警序列作为该模型的输入,采用层次的计算方法通过对各个主机的风险评估来得到整个网络系统被攻击后的风险指数,最后给出了网络风险状态的定量描述。

数,通过这些参数的测定就可以评价网络系统的安全状态。

2　HMM与系统状态描述

HMM是一个双重随机过程,其中一个是不可见的(隐含

的)随机过程,即有限状态马尔可夫链,它描述状态的转移;另一个随机过程描述状态与观测值之间的统计对应关系,通过观察值可以观察到状态的变化情况[3]。

HMM描述的随机过程要满足三个假设

[4]

:当前状态只

与上一状态相关;状态之间的转移概率与状态所处的具体时间无关;观测值只与当前状态有关。设观察值序列为O=

(O1,O2,……,OT),其中Oi∈V=(v1,v2,……,vM),V为观

察符号集;相应的状态序列为q=(q1,q2,……,qT),其中

qi∈S=(s1,s2,……,sN),S为系统状态集。HMM通常用五

元组λ=(S,V,A,B,Π)来表示;A为状态转移概率矩阵,

A=(aij)N×N,其中aij=P(qt+1=sjqt=si),1≤i,j≤N;B为观察符号概率矩阵,B=(bjk)N×M,其中bjk=P(Ot=

1　网络风险评估

所谓网络系统风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价[1-2]。

网络的安全风险状态由系统的资产价值、外部威胁以及系统的脆弱性等三种因素构成。其中,资产指对组织有价值的任何东西;威胁指对组织或系统可能产生危害的潜在因素;脆弱性又称漏洞,是指一个资产或资产组能够被威胁所利用的弱点。系统自身的脆弱性是造成系统被攻破的根本原因,外部威胁是造成系统被攻破的必要因素,系统资产价值的重要程度则是确定系统出现安全事故后可能造成的影响大小的必要指标。所以,网络风险是脆弱性、威胁以及资产价值的函

Π为初始状态概率矢量,vkqt=sj),1≤k≤M,1≤j≤N。

Π=(π1,π2,……,πN),其中πi=P(q1=si)。

一般情况下,网络攻击通常由多个步骤组成,而且下一个攻击步骤的实施仅依赖于前一个攻击步骤的结果,这与HMM中的状态转移特性相对应。当攻击者进行某步攻击时,必会产生相应的报警事件,不同的攻击步骤产生的报警事件之间是相互独立的,这与HMM中状态所产生的观察符号相对应,HMM中不同状态产生的观察符号是相互独立的。

由上面的分析可知,网络攻击可以采用HMM进行刻画。每个攻击步骤对应于HMM的状态,攻击步骤的转移对应于状态的转换;而攻击的检测结果即报警事件则对应于HMM中的可观察符号。由此可见,可以采用HMM来描述网络系

　　收稿日期:2008-04-25;修回日期:2008-06-18。　　基金项目:上海工程技术大学科研基金项目(07222)。　　作者简介:史志才(1964-),男,吉林磐石人,教授,博士,CCF高级会员,主要研究方向:计算机网络与信息安全。

信息安全

2742　　　　计算机应用第28卷

统受到攻击后的状态转换过程,并通过可观察的参量(观察符号)对其安全状态进行评价。

3　基于HMM的网络风险评估模型

显然,网络系统是由各种计算机组成的集合体,计算机是网络系统中最重要的资产。下面首先建立各个计算机 …… 此处隐藏：7569字，全部文档内容请下载后查看。喜欢就下载吧 ……