4 基于灰关联的入侵威胁评估方法
在第3章的自适应动态取证系统当中,威胁评估系统是系统的状态转换触发器,对系统能否迅速进行入侵响应,恰如其时地触发取证及入侵容忍机制起着至关重要的作用。由于整个系统涉及到的设备较多,而且对入侵进行威胁评估的影响因素很多,因此需要建立一个可信度比较高的威胁评估机制,智能化地判断入侵行为对系统的威胁程度。
本章首先介绍现有的威胁评估方法,然后分析在本文的自适应动态取证系统中衡量入侵威胁度所采用的因素,考虑到因素之间存在未确定的影响关系,提出一种基于灰关联的入侵威胁度评估方法,采用AHP方法确定各因素的权重,然后通过实际的入侵实验对该方法和己有方法进行评估效果的分析和对比。
4.1 现有的威胁度评估方法
入侵威胁评估的目标是度量入侵对目标系统的威胁程度。在ros中,通常在规则中定义了入侵的严重程度。例如Snort将告警的Priority分级,标准的有1、2、3三级,用户还可以自行扩充,其中Priority为1的告警具有最高的威胁程度。这种方法仅仅只考虑了攻击本身的性质,没有综合考虑环境状态等其他因素。
很多研究人员提出将攻击与对应漏洞的风险结合起来进行分析。C.K士uegel等研究了将Snort告警与漏洞扫描软件NessuS的报告进行关联分析的方法,将攻击所针对的漏洞与目标系统上的漏洞扫描结果进行比较分析:如果目标系统中存在攻击所利用的漏洞,则认为攻击能够成功的概率较大,因此威胁度也较大,反之则认为威胁度较小,有可能是误报。这种方法有助于识别真正的威胁,消除误报,但不能对那些并非针对具体漏洞的攻击进行威胁度评估。
斯坦福研究所的Porras等提出Mission一ImPact方法来实时评估安全事件的威胁程度,“Mission”指的是攻击针对的特定资产、服务和端口等,对应的关键程度由管理员来制定。这种方法的优点是充分考虑了攻击所在的网络环境因素,而且能方便管理员根据自定义的规则来评估安全事件的威胁程度。
评估方法方面,劫dreArnes等采用隐马尔科夫模型(HiddenMarkovModels)评估攻击的威胁度。他们认为攻击会使得目标主机和攻击主机的安全状态发生改变,因此用隐马尔科夫模型HMM来描述主机的各种安全状态和转换,通过各种状态之间转换的概率分布来计算主机的风险值,然后通过对目标主机风险值的影响进行考察来评估攻击的威胁度。陈秀真等提出了层次化安全威胁态势量化评估方法,按照服务、主机、网络系统的层次来计算威胁指数,并进一步评估安全威胁态势,给出一段时间内安全威胁态势演化状况分析。在传统的安全风险评估方法中,通常会给定一个网络安全事件对系统的机密性、完整性和可用性等安全属性造成的危害程度的权重,再根据加权平均(或用其他函数)方法得到安全事件的威胁度,这种方法的缺点是对评估人员的主观依赖性太强。
4.2 入侵威胁评估因素的选取和量化
本课题组的雷杰博士在其博士学位论文中对入侵威胁评估因素做了一个归纳,如表4一1所示。从表中可以看到,一次入侵行为的威胁程度与其采用的攻击类型、攻击频度、攻击效果、目标系统漏洞情况、资产重要性等因素综合相关。同一种类型的攻击对不同目标系统可能具有不同的威胁级别,因此我们对入侵进行威胁评估必须要采用综合评估的方法。
表4-1
通过对相关研究文献的分析,并结合本文所研究的动态取证系统的特点,本文采用的入侵威胁评估因素如表4一2所示。
4-2
4.2.1 攻击威胁级别的量化
IDS的告警是表达攻击行为最直接的信息,因此攻击行为的威胁级别可以通过告警中的有关信息反映出来。Snort是常用的一种网络入侵检测系统,其规则中有一个priority字段,描述了规则的优先级,实际上也就是对应攻击行为的威胁程度。该字段也出现在Snort的告警中。Priority字段为数值,从小到大分别对应了攻击的威胁程度从高到低,1表示威胁程度最高,如尝试获取用户权限(AnemPtedUserPrivilegeGain)、Shelleode检测(shelleode一detect)、木马(trojan一activity)等攻击的priority为1,尝试重复连接(attempted一reeon,AttemptedhiformationLeak)、成功Dos攻击(sueeessful一dos)等的priority为2,网络扫描(network一sean)、一般ICMP事件(GenerieIeMPevent)、协议命令解码(protocol一conunand一deeode)的priority为3,等等。
本文按照黑客入侵的步骤及其产生的后果把攻击行为的威胁程度划分为不同级别,则可以对攻击的威胁级别进行量化,如表4一3所示。
4-3
需要注意的是,即使是正常行为,其也有潜在的威胁需要考虑,因此威胁级别Level并不设置为O.
4.2.2 漏洞严重度的量化
漏洞风险级别一般由权威的漏洞评价机制给出。CVE(Common Vulnerability
Exposure)和Bugtraq是两种常用的漏洞风险评估机制,都是按风险级别高低将漏洞分为三级:high,medium和low.美国NIAC(National Infrastructure Advisory
Council)开发的CVSS(Common Vulnerability Scoring System)则给出了一套更完善的漏洞风险量化评估机制。CVSS(Common Vulnerability Scoring System)为漏洞评价提供了一个开放和通用的框架,成为事实上的漏洞风险评估标准,oracle等很多大型软件厂商都使用该评分系统来对软件漏洞进行评估。在其国家漏洞数据库NVD(National Vulnerability Database)提供了差不多所有已知漏洞的CVSS量化评分(seore)。
NVD还提供了一个CVSS评分的计算器,计算出的评分反映漏洞的严重级别。CVSS的评分包括三种类型分:基础评分、时效性评分以及环境评分。最终的评分结果是一个O一10.0之间的数字,分数越高表示漏洞的严重度越高,CVS把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。
CVSS的评分项目如表4一4(a),4一4(b),4一4(e)所示。
4-4
4-4 下
图4一1是按照CVSS评分机制对WindowS操作系统的ASN.1库整数操作的漏洞的评分情况,该漏洞的CVE编号为CVE一2003一0818.图中可以看到漏洞评分的计算公式。
