何麗

摘要：在目前實(shí)時(shí)風(fēng)險(xiǎn)管理整體現(xiàn)狀的研究基礎(chǔ)上，該文獨(dú)立設(shè)計(jì)出了一種實(shí)時(shí)風(fēng)險(xiǎn)管理的框架。理論分析表明，與傳統(tǒng)做法相比較，改進(jìn)后的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估子模塊不僅節(jié)省存儲(chǔ)空間而且在與其它子模塊進(jìn)行交互時(shí)更具有實(shí)時(shí)性，得到的風(fēng)險(xiǎn)值也更加合理。

關(guān)鍵詞：實(shí)時(shí)風(fēng)險(xiǎn)管理；實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估；隱馬爾科夫模型

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）08-1711-02

由于傳統(tǒng)風(fēng)險(xiǎn)管理不能及時(shí)采集到系統(tǒng)當(dāng)前數(shù)據(jù)，導(dǎo)致評(píng)估結(jié)果滯后，以致采取控制措施也難以達(dá)到安全需求。目前在國內(nèi)外，由于實(shí)時(shí)量化風(fēng)險(xiǎn)評(píng)估具有直觀和動(dòng)態(tài)的優(yōu)點(diǎn)，但是相對(duì)也復(fù)雜得多，很多方法尚處于探索階段。所以在2004年，Ashish[1]等人首次提出了實(shí)時(shí)風(fēng)險(xiǎn)管理的概念，并給出了基于Java Runtime的演示平臺(tái)；所謂實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估就是指在約定響應(yīng)時(shí)間內(nèi)獲取到資產(chǎn)、威脅和漏洞的信息，計(jì)算出風(fēng)險(xiǎn)的變化。隨后的2005—2006年Andre等人先后提出了基于隱式Markov模型（HMM） 的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模型[1]—[3]，在文獻(xiàn)[2]所提出的基于連續(xù)時(shí)間隱式Markov的多傳感器實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模型主要是基于Rabiner對(duì)HMM的研究工作，作者不僅提出了使用狀態(tài)遷移率而不是狀態(tài)遷移概率作為度量連續(xù)時(shí)間的方法，而且提出了將傳感器輸出的加權(quán)和作為計(jì)算風(fēng)險(xiǎn)的方法；

客觀地講，目前實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究雖取得了一些成果，但尚處于起步階段，一些非常有意義的問題還有待被探討和解決，這些問題包括：1）如何更好的確保實(shí)時(shí)性；2）預(yù)言機(jī)制的應(yīng)用；3）實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估在不同網(wǎng)絡(luò)間的適應(yīng)性問題。該文主要關(guān)注實(shí)時(shí)性這一方面，從整體上考察實(shí)時(shí)風(fēng)險(xiǎn)管理，提出實(shí)施實(shí)時(shí)風(fēng)險(xiǎn)管理的總體流程，通過各模塊之間的交互實(shí)現(xiàn)實(shí)時(shí)風(fēng)險(xiǎn)管理。目前已完成了實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估子模塊的詳細(xì)設(shè)計(jì)以及與其他模塊之間的交互設(shè)計(jì)。

1 實(shí)施風(fēng)險(xiǎn)管理整體框架

本文在Ashish[2]等人提出的實(shí)時(shí)風(fēng)險(xiǎn)管理的形式化模型基礎(chǔ)上，設(shè)計(jì)出了一個(gè)實(shí)時(shí)風(fēng)險(xiǎn)管理框架。此框架包括監(jiān)測模塊、數(shù)據(jù)標(biāo)準(zhǔn)化模塊、數(shù)據(jù)庫模塊、實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模塊、風(fēng)險(xiǎn)處理模塊、規(guī)則庫模塊以及掃描模塊共七個(gè)子模塊，而其中實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模塊又由兩個(gè)子模塊組成，分別為預(yù)處理模塊以及HMM隱馬爾科夫模塊，各模塊之間的交互關(guān)系如圖1所示。

監(jiān)測模塊：主要是由傳感器如IDS入侵檢測系統(tǒng)等構(gòu)成，負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)上的攻擊，然后將收集到的信息交由數(shù)據(jù)標(biāo)準(zhǔn)化模塊；數(shù)據(jù)標(biāo)準(zhǔn)化模塊：負(fù)責(zé)將監(jiān)測模塊傳來的報(bào)警信息驚醒格式化處理，形成具有統(tǒng)一結(jié)構(gòu)的記錄，然后交由預(yù)處理模塊進(jìn)行分類處理；預(yù)處理模塊：接收從數(shù)據(jù)標(biāo)準(zhǔn)化模塊發(fā)來的具有統(tǒng)一結(jié)構(gòu)的記錄，然后提取Name字段的值，并通過nmap、Nessus工具掃描當(dāng)前系統(tǒng)，然后查找知識(shí)庫是否有匹配的記錄存在，如果有則直接讀取Alert_level字段的值并交給HMM模塊，如果不匹配則通過Time字段的值以及其它相關(guān)信息計(jì)算出Alert_level的值并交給HMM模塊，同時(shí)更新知識(shí)庫。HMM模塊：負(fù)責(zé)接收從預(yù)處理模塊傳來的信息實(shí)時(shí)計(jì)算出系統(tǒng)當(dāng)前的風(fēng)險(xiǎn)值。規(guī)則庫模塊：儲(chǔ)存有風(fēng)險(xiǎn)的閥值，及根據(jù)HMM模塊計(jì)算出來的風(fēng)險(xiǎn)值來判定風(fēng)險(xiǎn)處理的方式：不處理、轉(zhuǎn)移、采取控制措施規(guī)避等。掃描模塊：利用nmap以及Nessus工具實(shí)現(xiàn)對(duì)主機(jī)的掃描，結(jié)果提供給預(yù)測模塊以及數(shù)據(jù)庫模塊使用。風(fēng)險(xiǎn)處理模塊：選擇合適的控制措施來處理風(fēng)險(xiǎn)。將其降低到可接受的范圍。數(shù)據(jù)庫模塊：包含知識(shí)庫和以及標(biāo)準(zhǔn)模塊，知識(shí)庫主要是供數(shù)據(jù)標(biāo)準(zhǔn)化模塊的調(diào)用，標(biāo)準(zhǔn)模塊主要是供風(fēng)險(xiǎn)處理模塊的調(diào)用。這里用到的標(biāo)準(zhǔn)主要是參考CC標(biāo)準(zhǔn)[4]、ISO/17799 [5]標(biāo)準(zhǔn)。當(dāng)然這個(gè)模塊也可以擴(kuò)展。

2 整體框架分析

2.1 技術(shù)方面

1）監(jiān)測模塊：此模塊采用的是傳感器技術(shù)（如入侵檢測系統(tǒng)IDS等技術(shù)），發(fā)展比較成熟，在技術(shù)上能得到相應(yīng)的保障。

2）實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模塊：此模塊中又由兩個(gè)子模塊構(gòu)成，分別為預(yù)處理模塊以及HMM模塊，預(yù)處理模塊中提出的算法主要是通過目前已有的自動(dòng)掃描工具來完成的。在技術(shù)上能夠得到保障。HMM模塊，主要是完成風(fēng)險(xiǎn)值的計(jì)算，先初始化各基礎(chǔ)數(shù)據(jù)之后再借助程序來實(shí)現(xiàn)，即保證了實(shí)時(shí)又在技術(shù)上可行。

3）規(guī)則庫模塊：主要是通過設(shè)定好的風(fēng)險(xiǎn)閥值來控制是否調(diào)用風(fēng)險(xiǎn)處理模塊，通過門電路就可以實(shí)現(xiàn)。關(guān)鍵是風(fēng)險(xiǎn)閥值的確定，這個(gè)是由環(huán)境因素確定的，不存在一個(gè)普適的風(fēng)險(xiǎn)閥值。

4）數(shù)據(jù)庫模塊：此模塊主要是完成知識(shí)庫的構(gòu)造以及標(biāo)準(zhǔn)中控制措施的存儲(chǔ)，而存儲(chǔ)的大致結(jié)構(gòu)已有定義，借助SQL SERVER可以完成定義并存儲(chǔ)各記錄，下一步工作主要是如何優(yōu)化數(shù)據(jù)庫，因此在技術(shù)上也是能得到保障的。

5）掃描模塊：該文利用nmap以及Nessue兩種掃描工具來實(shí)現(xiàn)，所以在技術(shù)上是可行的。

3.2 實(shí)時(shí)性方面

本模型時(shí)間上的開銷為：T總=[i=0...6Ti]，其中i=0……6分別代表監(jiān)測模塊、數(shù)據(jù)標(biāo)準(zhǔn)化模塊、實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模塊、規(guī)則庫模塊、掃描模塊以及風(fēng)險(xiǎn)處理模塊。

1）監(jiān)測模塊通過IDS收集告警信息。現(xiàn)代的網(wǎng)絡(luò)傳感器技術(shù)在硬件實(shí)現(xiàn)方面使得網(wǎng)絡(luò)傳感器的處理能力達(dá)到10Gb/s，掃描模塊通過掃描工具nmap以及Nessus掃描系統(tǒng)狀態(tài)信息，時(shí)間上的開銷都非常小。

2）實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估模塊的運(yùn)行時(shí)間主要是由預(yù)處理模塊以及隱馬爾可夫HMM模塊的時(shí)間決定。就預(yù)處理模塊而言，時(shí)間主要由掃描模塊以查找知識(shí)庫、簡單的乘法以及加法運(yùn)算決定。經(jīng)前面分析得出，與預(yù)處理模塊的時(shí)間開銷很小，能滿足本文實(shí)時(shí)性的需要。隱馬爾科夫模型時(shí)間復(fù)雜度為O（N2T），標(biāo)準(zhǔn)IDS告警信息經(jīng)預(yù)處理模塊處理后，使得隱馬爾科夫模型中參數(shù)Q矩陣列規(guī)?？s小到10，從而大大縮短了計(jì)算風(fēng)險(xiǎn)值的時(shí)間。另外，預(yù)處理模塊運(yùn)行之前是首先匹配數(shù)據(jù)模塊中知識(shí)庫中的記錄信息，如果匹配，直接讀出Alert_level字段中的值即可帶入HMM模塊完成風(fēng)險(xiǎn)值的計(jì)算，進(jìn)一步縮短了運(yùn)行時(shí)間，實(shí)時(shí)性得到了更好的保障；

3）數(shù)據(jù)庫模塊中涉及到兩個(gè)子模塊，分別是知識(shí)庫模塊、以及控制措施模塊。其中知識(shí)庫模塊中只維護(hù)了一張表，該表單共11個(gè)字段，對(duì)Name字段、Config字段查詢的頻率較高，可在這兩個(gè)字段上建立索引來提高查找的效率，減少實(shí)時(shí)風(fēng)險(xiǎn)管理中時(shí)間上的開銷。

傳統(tǒng)風(fēng)險(xiǎn)管理所花的時(shí)間大約是6個(gè)月左右，通過分析本文所提到的實(shí)時(shí)風(fēng)險(xiǎn)管理整體框架比傳統(tǒng)風(fēng)險(xiǎn)管理相對(duì)縮短了很多，當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)，其風(fēng)險(xiǎn)值是可以得到實(shí)時(shí)更新。

4 結(jié)束語

最后對(duì)本文所提出的實(shí)時(shí)風(fēng)險(xiǎn)管理整體框架做了理論分析，結(jié)果表明本文所提出的框架在技術(shù)上和實(shí)時(shí)性上是合理的。由于本文目前只是完成了對(duì)實(shí)時(shí)風(fēng)險(xiǎn)管理整體框架的設(shè)計(jì)以及實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估子模塊的詳細(xì)設(shè)計(jì)，并模擬了現(xiàn)實(shí)環(huán)境的應(yīng)用。剩下的六個(gè)子模塊的設(shè)計(jì)及其與其它子模塊之間的交互設(shè)計(jì)將是下一步工作的重點(diǎn)，另外還涉及到實(shí)驗(yàn)的仿真，這些將在后續(xù)工作中繼續(xù)開展下去。

參考文獻(xiàn)：

[1] Ashish Gehani，Gershon Kedem.2004.Rheostat：Real-time risk management[C]//Recent Advances in Intrusion Detection：7th International Symposium，RAID 2004，Sophia Antipolis，F(xiàn)rance，296-314.Arnes A，Sallhammar K.Real-time risk assessment with network sensors and intrusion detection systems.Proceedings of the International Conference on Computational Intelligence and Security.Springer-Verlag，2005：388-397.

[2] Arnes A，Sallhammar K，Haslum K，et al.Real-time risk assessment with network sensors and intrusion detection systems.2005 International Conference on Computational Intelligence and Security （CIS 2005）， 2005： 388–397.

[3] Haslum K， Arnes A.Multisensor Real-time Risk Assessment using Continuous-time Hidden Markov Models[C]. International Conference on Computational Intelligence and Security （CIS 2006）， 2006：153-1540.

[4] CC v3.1. Common Criteria for Information Technology Security Evaluation[S].2006.

[5] ISO/IEC 17799. International Organization for Standardization， Code of Practice for Information Security Management[S].2005.