基于全信息熵的安全态势评估方法.pdf

下载

下载

4积分

5积分

下载

5积分

VIP价：4积分

- 1 - 中国科技论文在线 基于全信息熵的安全态势评估方法 刘青芳，武斌** 作者简介：刘青芳，（1988-），女，硕士研究生，主要研究方向：网络安全。 通信联系人：武斌，（1981-），男，讲师，主要研究方向：网络安全。 （北京邮电大学信息安全中心，北京 100876） 摘要：本文简述了网络安全态势评估的基本概念，构建了“属性—原子态势—评估指标—采5 集指标”的多维、深层次网络安全评估指标集；提出了基于全信息熵的网络安全态势评估算 法，用语法信息解释原子态势发生的概率，语义信息代表原子态势的类型，语用信息是某个 原子态势的威胁程度，并建立了从原子态势、属性态势、主机态势及网络态势的层次化评估 流程；采用自信息熵的理论去计算原子态势发生的概率，利用加权求和的方法对各层态势值 进行计算；最后，利用真实的网络环境数据对提出的评估算法和流程进行了验证。 10 关键词：安全评估；指标；全信息；原子态势 中图分类号： The security situation assessment method based on comprehensive information entropy 15 LIU Qingfang, WU Bing (Information Security Center, Beijing University of Posts and Telecommunication, Beijing 100876) Abstract: First，this paper introduced the basic concept of network security situation assessment, a multilayer and dimensionality network situation evaluation index set was constructed which 20 includes attribute layer, atomic situation layer, evaluation index layer and index collection layer from top to bottom. Second，the network security situation assessment algorithm based on comprehensive information theory is proposed. Here syntactic information will be used to explain the occurring probability of atomic situation, semantic information is to express the implication of atomic situation and pragmatic information is to represent the threat level of atomic situation. A 25 hierarchical assessment process which is made up of atomic situation, attribute situation, host situation and network situation is established. Then the theory of self-information entropy is adopted to compute the occurring probability of atomic situation. At last, on the basis of the proposed assessment method and process, the real network environment data is being tested. Keywords: security situation assessment; index; comprehensive information; atomic situation 30 0 引言 网络环境日益复杂，攻击用户及攻击手段的增加，使来自网络的威胁不断增长，网络安 全遭受重大挑战，为了进一步加强网络安全的保障力度，人们从各方面寻求解决方案，出现 很多安全相关的名词，如“安全态势”、“态势评估”等。 35 网 络 安 全 专 家 Bass[1] 提 出 了 网 络 安 全 态 势 感 知 (Network Security Situation Awareness,NSSA)研究，它借鉴了空中交通监管(Air Traffic Control，ATC )态势感知的成熟 技术和理论。网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成 的整个网络当前状态和变化趋势[2]。网络安全态势感知是在大规模网络环境中，对影响网络 安全的诸多要素进行获取、理解、评估以及未来发展趋势的预测[3]。态势评估是整个态势感40 知技术的关键点，是通过整合觉察到的数据和信息，分析其相关性并从威胁中获得安全态势 图来得到整个网络的安全状态。现在有许多网络方面的专家已经在网络安全态势感知评估模 型等技术方面稍有成效，但对态势评估算法等的研究仍处于初步阶段。本文立足于网络安全 - 2 - 中国科技论文在线 态势评估方法的研究，将全信息的理论及熵的概念引入到网络安全态势评估技术中。 1 全信息理论 45 北京邮电大学钟义信教授提出了全信息（Comprehensive Information）理论，在《信息 科学原理》中定义“信息是事物运动的状态和方式，也就是事物内部结构和外部联系的状态 和方式。” “全信息理论”的精髓在于强调语法、语义、语用三要素为一体，语法是形式， 语义是内容，而语用则是目的和效用[4]。 语法信息很直观，可从信息的本身入手进行理解，是事物本身特性的反映。香农信息论50 中的信息就属于该层次的定义，它从概率统计的角度研究事物本身可能出现的各种状态及其 状态之间的关系，属于概率性的语法信息。 语义信息是语法信息中更深层次因素的提取，是解决事物运动状态逻辑真实程度问题。 一般设定一个逻辑真实度参量去度量语义信息，记为参数 v，当 v=1 时，状态逻辑度是真， 当 v=0 时，状态逻辑度是假，当 v=1/2 时，状态逻辑度则不定，当 v 处于 0 和 1 之间时，状55 态逻辑度表现为模糊。 语用信息是语法信息另一个层次因素的提取，是利用效用度处理事物运动状态价值表征 问题。一般设置效用度参量去度量语用信息，记为参数 u，当 u=1 时，状态效用度是最大的， 当 u=0 时，状态效用度是最小的，当 u 处于 0 和 1 之间时，状态效用度表现为模糊。 2 安全态势评估指标 60 安全态势评估指标，是系统安全模型的重要组成部分，可将网络安全态势逐步细化成容 易评价的要素。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势，本课题以 原子态势为基础，构建了基于原子态势的多维、深层次评估指标集，即“属性—原子态势— 评估指标—采集指标”分层指标集，具体如图 1 所示。  65 图 1基于原子态势的主机安全态势评估指标集 Host Security Situation Assessment Index Set Based On Atomic Situation (1) 属性 属性，是态势效果评估指标集的第一层次，对 CIA 模型[5]进行扩展得机密性、完整性、70 可用性、可控性、不可否认性及权限六大属性，体现了攻击效果评估的出发点和准则。属性 与原子态势的关联，既表示原子态势对属性有影响，也表示属性可由这些原子态势进行计算。 (2) 原子态势 整个态势效果评估指标集的核心层次，由上可用于计算属性，向下可选定相关评估指标。 (3) 评估指标 75 - 3 - 中国科技论文在线 分析原子态势的评价指标，其中包含信息泄露类原子态势的评估指标、拒绝服务类原子 态势的评估指标、数据篡改类原子态势的评估指标、入侵控制类原子态势的评估指标、网络 欺骗类原子态势的评估指标及安全规避类原子态势的评估指标。 (4) 原子态势的评估指标 由于网络安全态势是动态的，它随着当前的网络运行状况的特性及网络安全事件发生的80 频率、数量和网络所受的威胁程度等因素发生变化。原子态势是影响网络安全状况的基础态 势，故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。 图 1 的指标集一般只用于评价一个主机的安全性，如果要评价一个网络的安全性，需要 对网络中各主机的安全性进行综合。 3 基于全信息熵的安全态势评估方法 85 本文将全信息熵理论引入到网络安全态势感知评估中，全信息的三要素分别代表的含义 如下：语法信息是指从网络安全设备中得到某一类威胁事件，并转换为概率信息；语义信息 是指该类威胁事件具体属于什么类型；语用信息是某一类威胁事件对网络造成的威胁程度。 计算过程 根据第 2 节建立的安全态势评估指标集，进行网络安全态势评估时会涉及到评估指标量90 化、评估指标计算原子态势、原子态势计算属性等一系列的过程，具体如图 2 所示。 图 2 基于全信息熵的安全态势评估流程 Security Situation Assessment Process Based On Comprehensive Information Entropy 95 评估流程如下所示： （1）从网络安全设备中提取各种原子态势，对原子态势进行分类后提取原子态势频率 和原子态势威胁程度两个评估指标。针对原子态势类型不同，提取相应不同的原子态势指标。 （2）将原子态势指标利用加权信息熵的相关理论计算原子态势值； （3）根据每一个属性下原子态势的个数直接累加计算属性态势值； 100 （4）根据主机的属性，利用加权求和法计算主机态势值； （5）根据网络中主机的情况，利用加权求和法计算网络态势值。 评估指标量化 为了综合评价原子态势给网络带来的损失，将原子态势评估指标按照某种效用函数归一 化到一个特定的无量纲区间。常用的方法是根据指标的实际数据将指标归一化到[0,1]之间。 105 - 4 - 中国科技论文在线 第 2 节中指出原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁 程度。语法信息指某一个原子态势的集合，用原子态势发生概率表示，设第 i 个原子态势发 生概率为 ip ，且 1 1 m i i p = =∑ (m 为网络系统中原子态势的总数)；语义信息决定原子态势包含 的态势内涵；语用信息是某一个原子态势的威胁程度，记为 w，当 w 等于 1 时，威胁程度 最大，w 等于 0 时威胁程度最小，在描述威胁程度时，因为威胁程度表示单一态势对网络造110 成的危害，故类型的威胁程度之和可不为 1。第 i 个原子态势发生的概率为 i i Np N = 其中 表示在收集到的 m 类原子态势集合中第 i 个原子态势发生的个数，N 表示收集到的 m 类原子态势集合中所包含原子态势的总个数。 参照中国国家信息安全漏洞库将漏洞威胁程度分为危急、高危、中危及低危四个程度[6]，115 本文将原子态势威胁分为很高、高、中等、低、极低五个等级，并转换为[0,1]区间的量化值。 以最大威胁赋值 1 为标准，得五个威胁等级 0 与 1 之间的赋值为 1、、、、。若 设原子态势 i 的威胁程度（即语法信息）为 iw ，则 { }1,,,, ∈ 。 评估指标计算原子态势值 原子态势的态势值由原子态势发生的个数（归一化后为概率）及威胁程度权重共同决定。120 若信息发生 ia 的概率为 p ,按照香农信息熵的定义， ia 的自信息可通过 1lnS p = 来表示[7]。 从网络安全态势评估的角度来看，网络安全事件发生的概率越大时，对应的信息熵值应该是 越大，可以用香农信息论中的自信息的倒数来表示。 故在基于原子态势的网络安全态势评估系统中，设原子态势 i 发生频率为 ip ，则对应的 自信息熵值为 1lni i S p = ，则原子态势 i 的态势值 iE 可表示为 125 1 1* * lni i ii i E w w S p = = − 其中 iw 是原子态势 i 所对应的威胁程度值。 原子态势计算网络态势值 因不同的原子态势类型对应不同的属性，对机密性、可用性、完整性、权限、不可否认 性及可控性六个属性进行计算，用 jp T 表示第 j 个属性态势值，则 1 j a p i i T E = = ∑ ，a 为属于某130 一属性的原子态势个数。每个属性对应不同的权值，设第 j 个属性的权重定义为 js ，计算单 位时间内主机的安全态势值，可将各个属性的安全态势值加权求和得到，即 6 1 k jh p j j T T s = =∑ 其中1 6j≤ ≤ ， js 为第 j 个属性在主机 kh 所占的权重，属性的权重归一化之和为 1。 135 - 5 - 中国科技论文在线 网络安全态势值是网络系统中主机态势值和主机权重的函数，即 1 t k g L k h k T Z T = = ∑ （其中， k 为主机在网络中的编号 ( )1 k g≤ ≤ ，g 为整个网络中主机的数目， kZ 为对应主机在网络 中所占的重要性归一化权重，网络系统中所有主机的重要性权重之和 1 1 g k k Z = =∑ 。 4 评估实例验证 本节通过评估实例来验证态势评估模型的可行性。评估局域网如图 3 下所示。 140   图 3局域网结构图 Local Area Network Structure 该局域网中的硬件环境中含 web 服务器、数据库服务器及交换机各一台，若干主机。 145 态势评估数据源 图 3 中，数据库服务器不存在异常，Web 服务器的 Apache 日志是本次事件分析的主要 数据源。安全日志分析得到 Web 服务器在 2012 年 3 月至 2012 年 4 月时间里，主要遭受 6 种 Web 安全威胁，统计结果如表 1 所示。 150 表 1各类威胁发生次数 Tab. 1 Threat Frequency of All Kinds 威胁类型 注入攻击 目录遍历 远程程序执行 信息泄露 跨站脚本 拒绝服务 上述六类威胁 发生次数 1460 1370 680 555 240 152 4305 安全态势评估计算 安全态势评估计算是利用第三节的网络安全态势评估流程对上述分析得到的数据处理。 155 1.实际评估指标量化 根据上文统计得到的 2012 年 3月和 2012 年 4 月的威胁事件类型及次数，对其对应的原 子态势类型及频率等进行计算，并对各类原子态势的威胁程度进行赋值，具体如表 2所示。 表 2原子态势类型及频率 160 Tab. 2 The Type and Frequency of Atomic Situation 威胁类型 原子态势类型 发生频率 p 危害主机的属性 威胁程度 w 注入攻击 SQL 注入攻击态势 p1= 权限 w1= 目标遍历 Web 目录遍历态势 p2= 机密性 w2= 远程程序执行 Web 远程程序执行态势 p3= 权限 w3= 信息泄露 Web 敏感信息泄露态势 p4= 机密性 w4=1 跨站脚本攻击 跨站脚本攻击态势 p5= 完整性 w5= 拒绝服务攻击 Web 拒绝服务攻击态势 p6= 可用性 w6= 2.评估指标计算原子态势值 针对采集的六类原子态势，根据 节的计算公式计算各类原子态势值，具体如下： - 6 - 中国科技论文在线 表 3原子态势值计算结果 165 Tab. 3 The Calculation Results of Atomic Situation Value 原子态势类型 危害主机的属性 自信息熵 S=-lnp 态势值 E=w/S SQL 注入攻击态势 权限 S1=-lnp1= E1= Web 目录遍历态势 机密性 S2=-lnp2= E2= Web 远程程序执行态势 权限 S3=-lnp3= E3= Web 敏感信息泄露态势 机密性 S4=-lnp4= E4= 跨站脚本攻击态势 完整性 S5=-lnp5= E5= Web 拒绝服务攻击态势 可用性 S6=-lnp6= E6= 3.原子态势计算网络态势值 本课题日志分析得到的数据将对主机的机密性、权限、完整性及可用性四个属性产生影 响。按照属性的不同，分别计算各个属性的态势值，根据 节的公式，对表 3 的数据进170 行 统 计 可 得 ： 机 密 性 态 势 值 1 2 4 1 a p i i T E E E = = = + =∑ ； 权 限 态 势 值 4 1 3 E E= + = ；完整性态势值 3 5 E= = ；可用性态势值 2 6 E= = ； 不可否认性态势值 5 0pT = ；可控性态势值 6 0pT = 。 主机受到其各个属性的影响，包括机密性、完整性、可用性、权限、不可否认性及可控 性。利用层次分析法计算属性权重，以主机机密性为参照标准：机密性比完整性比较重要，175 机密性比可用性稍微重要，机密性比权限比较重要，机密性比不可否认性十分重要，机密性 比可控性比较重要。故经 matlab 计算可得机密性权重 1 = ，可用性权重 2 = ， 完整性权重 3 0. 0931s = ，权限权重 4 0. 0931s = ，不可否认性权重 5 = ，可控性权 重 5 0. 0931s = 。主机的态势值是将各个属性的态势值进行加权求和得到，故主机态势值 6 1 k jh p j j T T s = = =∑ 。 180 网络内主机主要分为服务器和客户端两种，服务器一般含重要的数据资源，在此定义服 务器重要性权重为 3，客户端重要性权重为 1，权重进行归一化后得服务器和客户端的权重 分别为 和 。本次实验对数据库服务器及 Web 服务器的日志进行了分析，数据库服 务器的日志不存在异常现象，即可认为数据库服务器的网络态势值为 0，故网络安全态势值 1 * 0* t k k g L k h h k T Z T T = = = + =∑ 。 185 结果分析 本实验只对两个月份的一台主机的日志数据进行了分析，考虑的时间点及得到的网络安 全态势值都较单一，故在态势评估过程中也可不考虑主机权重，直接用主机安全态势表示网 络安全态势。若数据量继续增大，可按照本节计算方法对其他时间点及其他主机态势值进行 计算。网络安全态势评估方法就是用来展现不同时间点不同主机的网络安全态势情况，故在190 考虑的时间点较多的情况下，可构建网络安全态势值与时间点形成的网络安全态势曲线。 5 结束语 本文提出了基于全信息熵的安全态势评估方法，建立了基于原子态势的安全态势评估流 程，并搭建了局域网的实验环境，利用网络环境中两台服务器中 2012 年 3 月至 2012 年 4 - 7 - 中国科技论文在线 月的日志数据对建立的安全态势评估流程进行了验证，得到了这两个月 Web 服务器的主机195 态势值及该局域网的网络态势值，最后对方法应用的扩展进行了一定的分析。 [参考文献] (References) [1] Bass T. Intrusion Detection System and MultisensorDat a Fusion[J]. Communications of the ACM，2000， 43(4) : 99-105 200 [2] 骆德文，秦志光.网络安全态势感知与趋势分析系统的研究与实现[D].成都:电子科技大学，2005. [3] 胡明明，王慧强．网络安全态势感知关键技术研究[D]．哈尔滨：哈尔滨工程大学，2008. [4] 百度百科.全信息.[OL].[2012-12-28]. [5] 胡影，郑康锋，杨义先.网络攻击效果提取和分类[J].计算机应用研究，2009(3)，26(3)： 1119-1122 [6] 郑善奇，李大兴．网络安全评价模型的研究[D]．济南：山东大学，2008 . 205 [7] 傅祖芸．信息论基础理论与应用[M]．北京：电子工业出版社，2011.