何麗

摘要：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法主要分為兩類：靜態(tài)風(fēng)險(xiǎn)評(píng)估和實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估。由于靜態(tài)風(fēng)險(xiǎn)評(píng)估問(wèn)題重重，使得實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估越來(lái)越受到關(guān)注。該文針對(duì)目前國(guó)內(nèi)外實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估研究現(xiàn)狀做了比較詳細(xì)深入地介紹，對(duì)所提出的具有代表性的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估方法的設(shè)計(jì)原理做了詳細(xì)的說(shuō)明，并經(jīng)深入地分析給出了其各自客觀存在的現(xiàn)實(shí)問(wèn)題。最后預(yù)測(cè)和分析了未來(lái)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估研究的可能方向。

關(guān)鍵詞： 實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估；隱馬爾科夫模型；非負(fù)矩陣分解；人工免疫

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）06-1176-02

A Survey On Real-Time Risk Assessment

HE Li

（Department of Computer， Guangdong AIB Polytechnic College，Guangzhou 510507， China）

Abstract： The risk assessment methods for network security are classified into two categories in this paper： the static risk assessment and the real-time risk assessment. Because of lots of problems about the static risk assessment， the real-time risk assessment is becoming more and more concerned about. Current status of the Study on real-time risk assessment are described in detail in this paper， and the design principles and existing problems of it are systematically discussed. Besides， some open problems in the development of real-time risk assessment are presented and analyzed in the end.

Key words： real-time risk assessment； hidden Markov models； Non-Negative Matrix Factorization； artificial immune

目前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法有兩類：傳統(tǒng)風(fēng)險(xiǎn)評(píng)估和實(shí)時(shí)評(píng)估，傳統(tǒng)風(fēng)險(xiǎn)評(píng)估主要是基于一些國(guó)際標(biāo)準(zhǔn)來(lái)進(jìn)行的，有代表性的是ISO/IEC27002（即ISO/IEC17799）[1]、CC[2]（即ISO/IEC15408）、SSE-CMM[3]、ISO/IEC13335，國(guó)內(nèi)也制定了以《信息安全風(fēng)險(xiǎn)評(píng)估指南》為基礎(chǔ)的一系列標(biāo)準(zhǔn)，比如2006年3月14日正式頒布了GB/T20261-2006的國(guó)家標(biāo)準(zhǔn)，于2008年11月1日開(kāi)始實(shí)施的國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008和國(guó)家標(biāo)準(zhǔn)GB/T 22081-2008（分別等同于國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001：2005和ISO/IEC 27002：2005）。這些標(biāo)準(zhǔn)和規(guī)范提出了風(fēng)險(xiǎn)評(píng)估的詳細(xì)評(píng)估模型和評(píng)估流程（即所謂的傳統(tǒng)風(fēng)險(xiǎn)評(píng)估）。對(duì)標(biāo)準(zhǔn)的研究也逐漸從單一化的技術(shù)方面向兼容管理方面轉(zhuǎn)變。同時(shí)，應(yīng)用網(wǎng)絡(luò)安全專家（例如TigerTeam[4]）對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估，也會(huì)帶來(lái)很多潛在的風(fēng)險(xiǎn)?；诖?，導(dǎo)致傳統(tǒng)風(fēng)險(xiǎn)評(píng)估存在下面幾個(gè)問(wèn)題：

1） 評(píng)估估過(guò)程繁瑣，主觀因素多，很難使評(píng)估自動(dòng)化；

2） 需要較多人為參與，評(píng)估周期較長(zhǎng)；

3） 評(píng)估結(jié)果是靜態(tài)的，不能實(shí)時(shí)反映信息系統(tǒng)安全態(tài)勢(shì)的變化，對(duì)一些突發(fā)事件很難迅速地作出響應(yīng)。

從而導(dǎo)致現(xiàn)階段網(wǎng)絡(luò)安全處于被動(dòng)防御的局面[5]。雖然，實(shí)時(shí)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估能動(dòng)態(tài)反應(yīng)網(wǎng)絡(luò)安全的客觀狀態(tài)，但是相比傳統(tǒng)風(fēng)險(xiǎn)來(lái)說(shuō)，其評(píng)估過(guò)程也是相對(duì)復(fù)雜得多；同時(shí)，國(guó)內(nèi)外對(duì)于實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究還處于初步探索階段。該文將按檢測(cè)攻擊方法的不同分別詳細(xì)介紹目前國(guó)內(nèi)外實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀。

1 基于網(wǎng)絡(luò)傳感器以及IDE（入侵檢測(cè)系統(tǒng)）的網(wǎng)絡(luò)安全實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究

2005年，Arnes等人[5]提出了基于HMM（隱馬爾科夫模型）的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估方法。該方法是這樣定義的：首先假定網(wǎng)絡(luò)中的每臺(tái)主機(jī)具有N個(gè)狀態(tài)，我們分別用S={s1，…，sN}描述這N個(gè)狀態(tài)，我們用X={x1，…，xT}來(lái)描述網(wǎng)絡(luò)中某一臺(tái)主機(jī)在某一時(shí)刻的狀態(tài)序列，其中xt∈S。為了研究的方便，通常我們只考慮3種狀態(tài)：Good（G），Attacked（A），Compromised （C）。同時(shí)再假定主機(jī)可能會(huì)受到的攻擊有M種，我們用V={v1，…，vM}表示，這樣，攻擊序列可表示為Y=y1，…，yT，其中yt∈V。HMM還包含一個(gè)三元組λ=（P，Q，π），其中P = {pij}表示狀態(tài)遷移矩陣，pij表示主機(jī)從t時(shí)刻狀態(tài)si遷移到t+1時(shí)刻狀態(tài)sj的概率，即條件概率pij =P（xt+1=sj|xt=si），1≤I，j ≤N。觀察矩陣Q = {qj（l）}表示在時(shí)刻t，主機(jī)處于sn狀態(tài)觀察到某種攻擊vm的概率，qj（l） = P（yt = vl|xt = sj），1 ≤ j ≤N，1 ≤ l ≤ M。M。初始狀態(tài)π是一個(gè)向量，表示計(jì)算開(kāi)始主機(jī)處于各個(gè)狀態(tài)的概率π = {πi}。t時(shí)刻主機(jī)的總風(fēng)險(xiǎn)為Rt=[i=1NRt（i）]=[i=1Nγt（i）C（i）]，其中γt（i）、C（i）分別表示t時(shí)刻主機(jī)處于si狀態(tài)的概率以及每個(gè)狀態(tài)下的風(fēng)險(xiǎn)代價(jià)。為了體現(xiàn)風(fēng)險(xiǎn)評(píng)估的實(shí)時(shí)性，風(fēng)險(xiǎn)代理需要?jiǎng)討B(tài)地更新γt=﹛γt（i）﹜。給定觀察到的攻擊yt以及三元組λ，風(fēng)險(xiǎn)代理只需要通過(guò)文獻(xiàn)[5]中給出的算法1即可計(jì)算出相應(yīng)γt（i）。

利用HMM來(lái)量化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，具有以下4個(gè)優(yōu)點(diǎn)：

1） 動(dòng)態(tài)性，由于風(fēng)險(xiǎn)評(píng)估的輸入是通過(guò)網(wǎng)絡(luò)傳感器實(shí)時(shí)采集的，具有動(dòng)態(tài)性，這也使得輸出呈現(xiàn)動(dòng)態(tài)的變化。

2） 易于量化，該模型下主機(jī)的風(fēng)險(xiǎn)值是由兩部分的乘積構(gòu)成的：每個(gè)狀態(tài)發(fā)生的概率以及此狀態(tài)下的風(fēng)險(xiǎn)代價(jià)。

3） 參數(shù)可調(diào)節(jié)性，給不同網(wǎng)絡(luò)確定不同的λ以及代價(jià)向量C（i），會(huì)得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，這樣更能適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。

4） 計(jì)算過(guò)程耗時(shí)短，隱馬爾可夫模型的計(jì)算量相對(duì)來(lái)說(shuō)是比較小的，一方面，內(nèi)網(wǎng)主機(jī)數(shù)量有限，另一方面，風(fēng)險(xiǎn)值的計(jì)算很簡(jiǎn)單。因此整個(gè)計(jì)算過(guò)程消耗的時(shí)間非常短。

但是利用HMM進(jìn)行安全風(fēng)險(xiǎn)量化的方法也存在兩個(gè)明顯問(wèn)題：

1） P、Q矩陣的確定，Arnes等人提出對(duì)于P矩陣的構(gòu)造可以基于現(xiàn)實(shí)或?qū)嶒?yàn)統(tǒng)計(jì)攻擊數(shù)據(jù)，也可以來(lái)自于專家的主觀經(jīng)驗(yàn)，對(duì)于Q矩陣的構(gòu)造文中沒(méi)有給出詳盡的闡釋。馬煜等人[6]將各階段攻擊時(shí)間、難度系數(shù)以及狀態(tài)轉(zhuǎn)移概率三者之間建立起聯(lián)系，從而確定出P矩陣。而對(duì)于Q矩陣的構(gòu)造，則較為主觀的將所有攻擊歸為三類，對(duì)于安全要求較高的現(xiàn)實(shí)環(huán)境不太適用。

2） Q矩陣規(guī)模的控制，首先對(duì)IDS告警的攻擊方式非常多，Snort基本告警就多達(dá)8000多個(gè)，如果將每一個(gè)IDS告警直接與Q矩陣關(guān)聯(lián)，那么Q矩陣的規(guī)模將相當(dāng)龐大，使得風(fēng)險(xiǎn)值的運(yùn)算效率會(huì)非常低。所以李偉明等人[7]提出了一種針對(duì)告警的威脅程度的算法，該算法綜合考慮漏洞、資產(chǎn)、環(huán)境等各個(gè)方面因素，將告警威脅度預(yù)設(shè)為10級(jí)，將所有IDE告警根據(jù)影響程度歸入這10類，從而使Q矩陣的規(guī)?？刂茷?×10。但文中對(duì)于風(fēng)險(xiǎn)的計(jì)算過(guò)于簡(jiǎn)單化，沒(méi)有考慮到多網(wǎng)絡(luò)中不同主機(jī)對(duì)于風(fēng)險(xiǎn)敏感程度的不一致性，所以最終確定的風(fēng)險(xiǎn)值過(guò)于粗糙。其次文中提到風(fēng)險(xiǎn)規(guī)則庫(kù)的構(gòu)造也缺乏通用性，不具備不同網(wǎng)絡(luò)間的普適性。另外，這篇文章中首次采用了遺傳算法對(duì)γt=﹛γt（i）﹜進(jìn)行實(shí)時(shí)更新。

2 基于非負(fù)矩陣分解在實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

目前入侵檢測(cè)系統(tǒng)越來(lái)越受到廣泛關(guān)注，同時(shí)所出現(xiàn)的問(wèn)題也越來(lái)越多。一方面入侵檢測(cè)系統(tǒng)在處理海量數(shù)據(jù)的能力不夠強(qiáng)，另一方面入侵檢測(cè)系統(tǒng)很難平衡檢測(cè)率和誤報(bào)率這兩個(gè)指標(biāo)。文獻(xiàn)[8][9]都假設(shè)數(shù)據(jù)量非常小或者維數(shù)很低，這樣的簡(jiǎn)化使得得出來(lái)的結(jié)論與實(shí)際環(huán)境并不相符，根本達(dá)不到我們所需要的實(shí)時(shí)效果，例如Warrend等人基于HMM，使用大量的數(shù)據(jù)在正常模型的訓(xùn)練中需要約2個(gè)月[10]，王偉在其博士論文中使用改進(jìn)后的HMM方法，在其模型中僅使用近6萬(wàn)條的數(shù)據(jù)就耗時(shí)約50分鐘 [11]，這顯然不能滿足我們對(duì)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的需要。所以，文獻(xiàn)[11]提出運(yùn)用NMF（非負(fù)矩陣分解）的思想將實(shí)時(shí)入侵檢測(cè)分為三個(gè)階段：數(shù)據(jù)預(yù)處理、NMF數(shù)據(jù)降維與特征提取以及分類決策。張鳳斌、楊輝繼[12]文獻(xiàn)[11]之后做了進(jìn)一步發(fā)展。

NMF是一種高效的數(shù)據(jù)降維的方法，最早由D.D.Lee和H.S.Seung在1999年的《Nature》雜志上提出[13]。此降維方法的特點(diǎn)是，所有的數(shù)據(jù)必須都是非負(fù)的。而對(duì)于數(shù)據(jù)的統(tǒng)計(jì)頻率，具備上述的非負(fù)特性。

在文獻(xiàn)[11]中，整個(gè)實(shí)時(shí)風(fēng)險(xiǎn)入侵檢測(cè)分成三個(gè)階段。數(shù)據(jù)預(yù)處理階段主要是統(tǒng)計(jì)每組數(shù)據(jù)中每個(gè)元素出現(xiàn)的頻率。假定初始數(shù)據(jù)被分為m組，數(shù)據(jù)中有n個(gè)不同類型的元素，這樣我們就可以構(gòu)造出初始矩陣Vnm。接下來(lái)，通過(guò)非負(fù)矩陣分解對(duì)正常行為建模，按文獻(xiàn)[13]所給出的迭代公式即可計(jì)算得到最優(yōu)的矩陣分解W與H，使得V≈WH。作為正常數(shù)據(jù)特征的H，它的每列元素之和恒等于1?；诖?，我們就可以建立起正常程序的行為模型。最后，在分類檢測(cè)階段，給定一組測(cè)試數(shù)據(jù)，首先經(jīng)過(guò)數(shù)據(jù)預(yù)處理方法統(tǒng)計(jì)該組數(shù)據(jù)中每個(gè)元素的頻率，從而形成一測(cè)試向量t，將t進(jìn)行矩陣分解從而可以得到新特征與訓(xùn)練數(shù)據(jù)所包含的特征之差的絕對(duì)值，再將這個(gè)絕對(duì)值作為入侵檢測(cè)的異常度ε。如果待測(cè)數(shù)據(jù)的異常度大于ε，則判斷該數(shù)據(jù)異常，否則為正常。

該方法只是從定性角度分析了系統(tǒng)所存在某種風(fēng)險(xiǎn)，并沒(méi)有對(duì)風(fēng)險(xiǎn)值進(jìn)行量化，這樣使得我們很難進(jìn)行風(fēng)險(xiǎn)決策。

3 結(jié)束語(yǔ)

本文綜述的文獻(xiàn)主要來(lái)自IEEE、SpringerLink和中國(guó)期刊網(wǎng)，也有部分來(lái)自如Nature以及Journal of Machine Learning Research等國(guó)際著名期刊。該文主要是對(duì)目前國(guó)內(nèi)外實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估研究的現(xiàn)狀以及及存在的問(wèn)題進(jìn)行了系統(tǒng)的分析，總結(jié)和比較。除此之外，很多專家學(xué)者對(duì)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估也作出了極大的貢獻(xiàn)，國(guó)外方面，Haslum[14]提出使用連續(xù)HMM，而非離散的HMM來(lái)對(duì)狀態(tài)轉(zhuǎn)換進(jìn)行計(jì)算；Gehani[15]提出基于主機(jī)的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估；Jonsson和Olovsson[16][17]利用入侵檢測(cè)系統(tǒng)中的實(shí)驗(yàn)數(shù)據(jù)來(lái)分析攻擊者的行為，通過(guò)觀測(cè)系統(tǒng)的實(shí)時(shí)輸入和輸出對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；國(guó)內(nèi)方面，陳秀真博士[18]也通過(guò)研究入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)，定量評(píng)估實(shí)時(shí)網(wǎng)絡(luò)安全威脅態(tài)勢(shì)。綜上所述，目前實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究雖取得了一定的研究成果，但其仍然處于摸索階段，還有很多現(xiàn)實(shí)的問(wèn)題有待進(jìn)一步的討論和研究，比如：（1）如何更好的確保實(shí)時(shí)性；（2）預(yù)言機(jī)制的應(yīng)用；（3）實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估在不同網(wǎng)絡(luò)間的適應(yīng)性問(wèn)題等。

參考文獻(xiàn)：

[1] ISO/IEC 17799. International Organization for Standardization， Code of Practice for Information Security Management[S].2005.

[2] CC v3.1. Common Criteria for Information Technology Security Evaluation[S]. 2006.

[3] SSE-CMM v3.0. System Security Engineering Capability Maturity Model[S]. 2007.

[4] P D Goldis.Questions and answers about tiger teams[J].EDPACS，The EDP Audit，Control and Security Newsletter，1989，27（4）：1-10.

[5] Arnes A，Sallhammar K.Real-time risk assessment with network sensors and intrusion detection systems[C].Proceedings of the International Conference on Computational Intelligence and Security.Springer-Verlag，2005：388-397.

[6] 馬煜，劉建華，尚星，田東平.基于隱馬爾可夫的網(wǎng)絡(luò)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（11）：2656-2659.

[7] 李偉明，雷杰，董靜，李之棠.一種優(yōu)化的實(shí)時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化方法[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（4）：794-804.

[8] Hu W， Liao Y， Vemuri V R. Robust Support Vector Machines for Anomaly Detection in Computer Security. The 2003 International Conference on Machine Learning and Applications（ICMLA03）[C]. Los Angeles， California， 2003-3.

[9] Feng L， Guan X， Guo S， et al. Predicting the Intrusion Intentions by Observing System Call Sequences[J].Computer&Security，2004， vol. 23， No. 5：245-252.

[10] Warrender C， Forrest S， Pearlmutter B. Detecting Intrusions Using System Calls： Alternative Data Models[J].Preceedings of 1999 IEEE Sysposium on Privacy，1999.133-145.

[11] 王偉.多信息源的實(shí)時(shí)入侵檢測(cè)方法[D].西安：西安交通大學(xué)，2005.

[12] 張鳳斌，楊輝.非負(fù)矩陣分解在入侵檢測(cè)中的應(yīng)用[J].哈爾濱理工大學(xué)學(xué)報(bào)，2008，13（2）：20-22.

[13] Lee D D， Seung H S. Learning the Parts of Object with Nonnegative Matrix Factorization[J].Nature，1999（401）：788-791.

[14] Haslum Kjetil， rnes André. Multisensor real-time risk assessment using continuous-time hidden Markov models//Proceedings of the International Conference on Computational Intelligence and Security （CIS）. Guangzhou， China， 2006：694-703.

[15] Gehani A， Kedem G. Rheostat： Real-time risk management//Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection. French Riviera，F(xiàn)rance， 2004： 296-314.

[16] Jonsson E， Olovsson T. An empirical model of the security intrusion process//Proceedings of the 11th Annual Conference on Computer Assurance. Gaithersburg， 1996： 176-186.

[17] Jonsson E， Olovsson T. A quantitative model of the security intrusion process based on attacker behavior. IEEE Transactions on Software Engineering， 1997， 23（4）： 235-245.

[18] 張永錚，方濱興，遲悅，云曉春.網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)聯(lián)性的研究[J].計(jì)算機(jī)學(xué)報(bào)， 2007， 30（2）： 234-240.