CN4321258/TP ISSN10072130X 计算机工程与科学
COMPU TER EN GIN EERIN G&SCIENCE
2008年第30卷第10期
Vol130,No110,2008
文章编号:10072130X(2008)1020001204
A Met ric System to Evaluate Network Attack
Effect s Based o n Ato mic Functio ns
胡 影1,2,郑康锋1,杨义先1
HU Ying1,2,ZHENG K ang2feng1,YANG Yi2xian1
(1.北京邮电大学网络与交换技术国家重点实验室信息安全中心,北京100876;2.武警北京指挥学院,北
京100012) (1.I nform ation Security C enter,State K ey Laboratory of N etw orking and Switching T echnology,B eijing U niversity of Post
and T elecommunications,B eijing100876;2.Armed Police B eijing Comm and Academy,B eijing100012,China)
摘 要:针对现有评估攻击效果的指标比较抽象、不够全面的缺点,本文研究了怎样构建网络攻击效果评估指标体系,定义了原子功能代表网络攻击效果的基本元素;通过分析攻击库挖掘原子功能,提出基于面向对象的目标实体建模方法,分析了原子功能和目标对象的关系;最后提出了以原子功能为基础的“属性2原子功能2评估指标2采集指标”四层指标体系。该体系具有属性分类互斥、代表大部分典型网络攻击效果、更易于效果评估操作等特点。
Abstract:Aiming at the abstract indexes proposed by the existing schemes,the paper studies how to construct a metric system to evaluate network attack effects.By defining atomic f unctions as the basic elements of network attack effects,and mining the atomic f unctions in three attack libraries,we propose an object2oriented method to model attack targets,analyze the relations between atomic f unctions and attack targets,and present a42level metric system based on atomic f unctions,in2 cluding the“attribute2atomic f unction2evaluation index2collection index”.The metric system can represent most typical net2 work attack effects and is conducive to evaluation.
关键词:原子功能;属性;评估指标;采集指标
K ey w ords:atomic f unction;attribute;evaluation index;collection index
中图分类号:T393.08文献标识码:A
1 引言
郭美美17.2g随着计算机网络的迅速发展,网络攻击手段层出不穷,从拒绝服务、缓冲区溢出、蠕虫,到僵尸网络、网络钓鱼、Web应用攻击等,信息系统面临的威胁越来越多。网络攻击效果是网络攻击实施后对目标和攻击者造成的直接影响和后果。网络攻击效果评估技术是信息安全评估领域一个年轻而有挑战性的课题,该技术旨在深入分析和提取典型网络攻击的效果,研究如何对网络攻击行为的效果进行定性和定量评价。
现有的信息安全评估方法中,风险评估是从风险角度评估信息系统可能面临的安全损失,其中也包括资产影响评价,它用于评估威胁可能对资产造成的损失。但是,现有的资产影响评估通常结合资产的价值级别和影响级别对威胁可能造成的影响进行定性评价,或者采用期望年损失(AL E)来衡量威胁后果可能带来的金额损失。这些研究不能很好地对威胁影响进行量化,没有体现信息系统的安全性准则,而且对具体威胁的不同后果区分不够。
与风险评估不同,网络攻击效果评估不仅包括评估信息系统可能遭受的安全损失,也包括评价一个攻击方案可能造成的安全效果,以及评测一次具体攻击行为的效果。总体来说,网络攻击效果评估技术旨在深入分析网络攻击的典型效果,研究不同效果的量化评估方法,是从攻击效果角度评估信息系统安全性和网络攻击能力。该技术的研究有利于检验信息系统的安全性,帮助网络攻击方案辅助决策,提高网络攻防设备的对抗能力。
在网络攻击效果评估研究中,为了对网络攻击效果进
3收稿日期:2008204213;修订日期:2008205210
作者简介:胡影(19802),女,江西九江人,博士生,研究方向为安全评估和网络攻防对抗技术;郑康锋,博士,讲师,研究方向为信息与网络安全;杨义先,教授,博士生导师,研究方向为密码学、信息与网络安全。
通讯地址:100876北京市海淀区西土城路10号北京邮电大学126信箱;Tel:(010)62283644;E2mail:Y ing.Hu56@gmail Address:Mail Box126,Beijing University of Post and Telecommunications,10Tucheng Rd West,Haidian District,Beijing100876.
P.R.China
行科学评价,首先需要提出一套评估指标体系。目前,关于这方面的研究还比较少,主要包括:CIA[1]安全模型,提出攻击影响包括数据秘密性、信息完整性、系统可用性,较好地解决了分类的互斥性,不过由于提出得较早,已不能满足新型攻击的要求;张义荣等[2~4]提出“机制2准则2指标”的评估框架,其中安全机制包括防篡改性、防绕过性、可验证性等,安全准则包括隔离性、多样性、可审计性等,安全指标有中断性、数据复用、环境隔离、信道总吞吐率等,但该框架中有些准则和指标比较抽象,不易操作;卓继亮[5]提出将攻击后果和攻击能力综合成二维的评价框架,可该框架只能对安全协议攻击进行粗略的定性评价;刘进等[6,7]提出“目标2准则2指标”三层指标体系,准则层包括可用性、完整性、保密性和可靠性,安全指标包括阻塞的带宽、窃取内容通信连接、伪造内容通信连接、恶意代码运行程度等,但该体系下准则对应的指标不够全面;李雄伟[8,9]也是按照“目标2准则2指标”来建立效果评估指标,其中准则层包括假冒攻击、授权侵犯、保密性攻击、完整性侵犯、业务否认,可该文献并没有提出具体的指标;汪生[10]从攻击前提条件、攻击消耗资源、攻击技术水平、攻击产生后果、攻击目标等级和多模型联合使用六方面提出了59个指标。该文献提出的指标考虑了很多攻击的静态特征,更侧重于评估攻击的能力,而不是攻击效果。
总体来说,目前关于网络攻击效果评估指标体系的研究主要有以下缺点:
(1)有些准则和指标较抽象,没有很好的评估可操作性;
牛年祝福语2021最火朋友圈(2)指标不够全面,不能满足现有网络攻击的需要;
(3)指标体系的层次划分标准不一致,从安全准则到安全指标的跨度较大。
针对以上考虑,本文定义了网络攻击效果的基本元素———“原子功能”,并采用层次分析的思想对攻击效果评估的指标体系进行研究,提出了以原子功能为核心的“属性2原子功能2评估指标2采集指标”四层指标体系。
在构建指标体系的过程中,本文首先对三个较主流的攻击库进行分析,挖掘出能代表大部分典型网络攻击的原子功能,并在CIA安全模型的基础上将这些原子功能进行分类;然后,总结了网络攻击的主要目标对象,并提出采用面向对象的方法对攻击目标建模;最后,分析了原子功能与目标对象之间的关系,为提取原子功能的指标提供指导。
该指标体系可用于采用实验模拟的方法进行网络攻击效果评估,即对给定的网络攻击方案搭建目标环境,根据攻击前后攻击者和目标环境状态变化的数据来评价网络攻击方案在目标环境下实际攻击的效果。而且,该指标体系具有如下特点:
(1)属性分类延续了CIA安全模型的互斥性,并体现了效果评估的基本标准和需求;
(2)原子功能的通用性、典型性和发展性使指标体系能够反映大部分典型且有发展趋势的网络攻击的效果;
范逸臣
(3)原子功能的独立性和明确性,便于将攻击方案转化成原子功能的组合;
(4)评估指标的提取尽量直接体现原子功能的特点,并考虑了评估的可操作性;
(5)提出的采集指标覆盖了主机类、网络类和服务器类的基本数据,较好地体现了网络攻击对目标网络环境的状态变化。
2 网络攻击效果评估指标提取
2.1 原子功能提取和分类
原子功能定义为网络攻击效果集合中原子的、独立的、具有明确含义的攻击效果。最理想的原子功能是只有一个目标状态参量发生改变的情况。但是,这种情况很少出现,因为状态参量之间往往具有很强的关联性。根据网络攻击效果评估研究的需要,原子功能提取的原则可包括:
(1)通用性:能够反映大多数网络攻击效果;
(2)典型性:代表典型的网络攻击效果;
(3)发展性:反映网络攻击的发展趋势;
(4)独立性:攻击效果含义相互独立;
(5)明确性:攻击效果内涵明确,不模糊。
为了提取具有上述特点的原子功能,本文收集了较主流的三个攻击库,综合挖掘原子功能,使其符合通用性要求;针对典型性和发展性原则,在攻击库挖掘中,选择近年出现频率较高且在这两年也有一定出现概率的原子功能;为了满足独立性,采取方差分析和关联规则挖掘等方法,研究原子功能之间的相关性;最后,在综合几个攻击库的原子功能时,确定具有清晰含义的原子功能,以求满足明确性要求。
通过对美国国家漏洞数据库NVD(National Vulnera2 bility Database,简称NVD)[11]、Snort规则库[12]、Lincoln实验室为评估IDS所设计的攻击库[13]三个攻击库的攻击进行分析,挖掘得到122个原子功能[14]。考虑到CIA安全模型的互斥性,本文进行了一些扩展,将这些原子功能分成五类,如表1所示。
表1 攻击库挖掘得到的原子功能
类别原子功能
信息探测
读取文件/目录、读取注册表、读取进程、探测IP、探
测端口、探测漏洞、探测操作系统帐户等45个原子
功能
拒绝服务
应用或进程出错、CPU消耗、内存消耗、系统或设
备出错、网络带宽资源消耗、合法连接被拒绝等28
个原子功能
数据破坏
与欺骗
篡改文件系统、篡改内存数据、篡改操作系统帐户、
篡改口令或密钥、端口重定向、篡改系统内核等30
个原子功能
入侵控制
非法执行程序、非法提升操作系统权限、非法提升
数据库权限、非法利用资源、非法开启后门等11个
原子功能
对抗能力
绕过病毒检测、穿透防火墙、绕过垃圾邮件检测、躲
避IDS/IPS、静态隐藏功能、运行隐藏功能等八个
原子功能
其中,信息泄露主要表示非法获得目标信息,破坏目标的机密性,包括破坏目标信息的保密性、破坏信息是否存在的保密性和破坏资源的保密性。数据破坏与欺骗主要体现在非法修改目标资源和数据,包括破坏数据和资源的完整性、破坏数据来源的完整性(认证性)。拒绝服务主要体现在破坏目标
数据或资源的可用性。入侵控制主要体现在攻击者对目标的权限和控制上。对抗能力主要表现攻击行为对抗目标防御措施的能力。
2.2 基于面向对象的目标建模
从表1可以看出,原子功能主要是效果动词和目标对象的组合。例如,“篡改文件系统”是由“篡改”效果动词和“文件系统”目标构成;又如,“CPU 消耗”由“消耗”效果动词和“CPU ”目标组成。实际上,如果从遭受攻击的目标系统角度来分析,经常被攻击的目标实体是有限的。在原子功能挖掘过程中,本文综合
了网络攻击的目标对象,主要包括文件、进程、模块、服务、端口、帐户、漏洞、Windows 注册表、CPU 、内存、存储、邮箱、网页/网站、通信数据、网络资源、网络协议、路由、防火墙、IDS 、审计日志、病毒检测、网络浏览器、IM 工具等
。
图1 文件类描述本文拟采用面向对象的方法对这些目标进行建模,对象的属性包括基本特征和动态特征。基本特征描述对象的基本信息和性质;动态特征描述对象运行或被操作过程的特征,用于衡量目标的运行状态和性能。而对象的方法则包括了操作目标对象属性的方法。以文件类为例,如图1所示,基本特征包括文件名、路径、大小、时间、内容、权限等;动态特征包括文件的使
用状态等;对文件的操作包括新建、拷贝/粘贴、删除、运行、编辑等。又如操作系统类,静态特征包括OS 指纹、当前的进程列表、当前的网络连接、当前的服务列表、当前开放的端口、环境变量等;动态特征包括进程空间使用率等。
网络攻击的目标对象可以分为三类:主机系统类、网络类和应用/防御类,相互之间有关联关系。主机系统类描述了一个典型的计算机系统的基本组成,包含操作系统类和硬件设备类,其中文件、进程、服务等对象构成操作系统类,
CPU 、内存、存储等构成硬件设备类。网络类描述了与网络
通信有关的资源,包含网络资源、网络协议、通信数据、路由等。应用/防御类描述了应用和安全防御方面的资源,包含邮箱、网页/网站、防火墙、IDS 等。这些目标对象之间的关系图如图2所示。
图2 目标对象的关系图
2.3 原子功能与目标对象的关系
虽然原子功能主要关注目标实体中重要或易受攻击的
属性或方法,但原子功能仍然可以归结为效果动词作用在上述某个目标对象上。例如探测IP 地址,“IP 地址”就是“主机系统”对象的基本特征。通过进一步分析原子功能和目标对象的关系,提取评估原子功能的指标。
经过研究发现,原子功能与目标对象的基本特征、动态特征和操作方法有一些对应关系,如图3所示
。
图3 原子功能和目标对象的关系
(1)信息探测类原子功能,主要获取目标对象的基本特
征和动态特征。要衡量效果,需要比较目标的真实信息和
攻击探测到的信息,可以用信息探测率、信息正确率等来衡量。
(2)拒绝服务类原子功能,可消耗或阻塞目标对象资源,效果主要体现在动态特征的变化。可通过观察
目标对象的动态特征数据,来衡量攻击前后目标的状态/性能变化。
(3)数据破坏与欺骗类原子功能,主要采用目标对象的操作方法,非法修改对象的基本特征,可通过监控对象重要特征的修改来衡量篡改的程度。
(4)入侵控制类的原子功能,主要利用漏洞等获得或提升对目标对象的操作权限。而权限可以体现在两个方面:一是可对目标进行什么操作,如读、写、修改、运行等;二是对什么目标进行操作,如User 空间的数据、Administrator 空间的数据等。因此,可通过观察攻击前后目标对象的基本特征和操作的情况来衡量操作前后权限的提升。
3 网络攻击效果评估指标体系
在原子功能的基础上,本文提出“属性2原子功能2评估
指标2采集指标”四层指标体系,如图4所示。其中,属性是攻击效果评估的出发点,也是对攻击效果的基本分类;原子功能是基本的网络攻击效果;评估指标用来评估原子功能;采集指标用来衡量评估指标,而且体现了要从目标环境和攻击者采集的数据。
3.1 属性
由于网络攻击的过程是攻击者对目标的权限不断提升,对目标的机密性、完整性和可用性不断破坏,以及与目标的防御手段不断博弈的过程,所以在上文原子功能分类的基础上,属性可包括机密性、完整性、可用性、权限和对抗性。机密性反映攻击效果对目标信息和系统机密性的破坏;完整性反映了对目标数据和系统完整性的破坏;可用性反映了对目标对象可用性的破坏;对抗性则反映了网络攻击对目标防御手段的对抗能力。这些属性不仅体现了对原
子功能的分类,也是攻击效果量化评估的依据和出发点
。
图4 四层指标体系
3.2 评估指标
在原子功能和目标对象关系分析的基础上,分析评价
原子功能的评估指标,共提出268个评估指标。例如,信息探测类原子功能下的IP 探测率、IP 正确率、IP 信息量、读取文件信息量等共135个评估指标;对应拒绝服务类原子功能的最大CPU 消耗率、平均CPU 消耗率、最大CPU 消耗所用时间、最差系统状态等共65个评估指标;评价数据破坏类原子功能的文件篡改量、内存数据篡改量等共35个评估指标;入侵控制类原子功能的权限提升程度、最大传播速度、平均传播速度等共20个评估指标;对抗类原子功能的静态隐藏级别、运行隐藏级别、防火墙穿透率等共13个评估指标。
指标的数据类型包括数值型、字串型、比率型、等级型和组合型。数值型表示该指标取数值类型,例如IP 信息量;字串型表示该指标用文字描述,例如感染方式;比率型是数值型中取值在0和1之间的指标,例如最大CPU 消耗率;等级型表示指标从一个等级列表中取值,而且只取一个值,例如最差系统状态;组合型表示指标从一个等级列表取值,而且取多个值,例如注册表篡改程度。
3.3 采集指标
采用实验模拟的方法评估网络攻击效果,评估者是站
在不同于攻击者和目标的第三者位置,所以可对攻击者和目标的数据都进行采集。采集指标主要包括主机类、网络类和服务类共85个指标。主机类指标主要包括监控注册表变化、监控系统文件夹变化、当前进程列表、当前开放端口、系统日志、CPU 占用率、内存占用率、磁盘占用率等。网络类指标主要包括端到端的连通性、链路层交换机的帧吞吐量、IP/TCP/UDP/ICMP 吞吐量、IP 包丢包率、IP 包传输时延、服务响应时间等。服务器类指标主要包括平均每秒响应次数、成功的请求、失败的请求、每秒点击次数、用户连接数、最大并发连接数等。可见,由于从目标环境和攻击者可采集的数据有限,所以评估指标体系是一个两头收缩的指标体系。
4 结束语
本文以原子功能为核心,提出了“属性2原子功能2评估
指标2采集指标”四层网络攻击效果评估指标体系。该指标体系可用于采用实验模拟的方法进行网络攻击的效果评估。在构建指标体系的过程中,本文首先对三个较主流的攻击库进行分析,挖掘出能代表大部分典型网络攻击的原子功能;其次,在CIA 安全模型的基础上,将这些原子功能进行分类;然后,综合了网络攻击的主要目标实体,并提出采用面向对象的方法对目标对象建模;最后,分析了原子功能与目标对象之间的关系,以便提取原子功能的指标。该指标体系具有属性分类互斥、代表大部
分典型网络攻击效果、更适于效果评估操作等特点。
但是,在实际评估中,由于从目标环境和攻击者采集的数据格式多样,数据量大,所以由采集指标评价评估指标时,还需要进行采集指标预处理,过滤出需要的数据。这样,为了自动评估,就需要在评估指标和采集指标之间加上一层表示采集指标预处理之后的指标数据。而如何对采集数据进行处理,得到评估需要的数据,也是个难点。
江苏省监理工程师报考条件参考文献:
[1] Russell D ,Gangemig G T.Computer Security Basics [M ].
O ’Reilly &Associates ,1991.
[2] 张义荣,鲜明,赵志超,等.计算机网络攻击效果评估技术研
究[J ].国防科技大学学报,2002,24(5):24228.
[3] 张义荣,鲜明,王国玉.一种基于网络熵的计算机网络攻击效
果定量评估方法[J ].通信学报,2004,25(11):1582165.
[4] 王会梅,王永杰,张义荣,等.粗糙集理论在网络攻击效果评
估中的应用研究[J ].计算应用研究,2007,24(6):1182120.
[5] 卓继亮,李先贤,李建欣,等.安全协议的攻击分类及其安全
评估[J ].计算机研究与发展,2005,42(7):110021107.
[6] 刘进,王永杰,张义荣,等.层次分析法在网络攻击效果评估
中的应用[J ].计算机应用研究,2004,21(3):1132115.
好看的穿越火线名字[7] 王永杰,江亮,鲜明,等.网络攻击效果在线评估模型与算法
研究[J ].计算机科学,2007,34(5):72274.
[8] 李雄伟,周希元,杨义先.基于层次分析法的网络攻击效果评
估方法研究[J ].计算机工程与应用,2005,41(24):1572159.
[9] 李雄伟,于明,杨义先,等.Fuzzy 2A HP 法在网络攻击效果评
估中的应用[J ].北京邮电大学学报,2006,29(1):1242127.
[10] 汪生,孙乐昌.网络攻击效果评估系统的研究与实现———基
于指标体系[J ].计算机工程与应用,2005,41(34):1492153.
[11] National Vulnerability Database [CP/OL ].[2008201203].
http ://v.李湘的前夫
[12] Snort [CP/OL ].[2008201203].http ://[13] Haines J ,Lippmann R ,Fried D ,et al.1999DARPA Intru 2
sion Detection Evaluation :Design and Procedures[R ].Lin 2coln Laboratory ,Massachusett s Institute of Technology ,2001.
[14] 胡影,郑康锋,杨义先.利用NVD 漏洞数据库挖掘网络攻击
效果[J ].计算机科学,2008,35(3):55257.
发布评论