基于時間窗口的蠕蟲事件量化技術(shù)研究

摘要:為了用數(shù)值來表示網(wǎng)絡(luò)中蠕蟲事件的破壞程度，分析了蠕蟲事件的特點(diǎn)，提出蠕蟲事件的量化框架，框架采用基于時間窗口的方法對蠕蟲事件進(jìn)行量化。實(shí)驗(yàn)結(jié)果表明本文方法的有效性和可行性。

關(guān)鍵詞:蠕蟲;網(wǎng)絡(luò)安全;漏洞

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)05-1067-03

Quantitative Method Reasearch of Worm Event Based on Time Window

LIU Zhen-yu， GAO Yi

(Institute of Communications Engineering， PLA Univ. of Sci. Tech.， Nanjing 210007， China)

Abstract: In order to use numerical value describe the damage of worm event to networt， Analyse the feature of worm event and suggest a quantitative framework using a method based on time window. The result of experiment shows the method is effective and feasible.

Key words: worm; netword security; vulnerability

計算機(jī)網(wǎng)絡(luò)是一個無形的戰(zhàn)場，它時刻上演著各式各樣的攻擊事件，其中蠕蟲事件是比較突出的一種。廣義上講，蠕蟲也是一種病毒，但是這種病毒能夠利用系統(tǒng)的漏洞自動傳播。2007年爆發(fā)的“熊貓燒香”病毒就具有蠕蟲的特征，網(wǎng)絡(luò)中只要有一臺主機(jī)感染，那么其它有漏洞的主機(jī)也會隨之被感染，完全不需要人工干預(yù)。

當(dāng)前，許多網(wǎng)絡(luò)安全系統(tǒng)都支持對蠕蟲事件的檢測和告警。它們一般是就單個蠕蟲事件從危害程度上進(jìn)行告警，并且安全系統(tǒng)各自為戰(zhàn)沒有形成合力，因此不能讓管理員準(zhǔn)確獲知整個網(wǎng)絡(luò)的安全狀況。本文分析了蠕蟲事件的特點(diǎn)，采用一種完全量化的方法對蠕蟲事件進(jìn)行研究，結(jié)果表明文中方法具有可行性和有效性。

1 蠕蟲事件分析

1.1 事件特點(diǎn)分析

通過對近幾年蠕蟲事件[1]的分析(如表1)，它們普遍具有以下三個特點(diǎn):

1)利用已公開的漏洞。大多數(shù)蠕蟲事件在爆發(fā)之前都已經(jīng)有對應(yīng)的安全公告了，如果防病毒、入侵檢測系統(tǒng)等更新及時就能檢測到蠕蟲事件。

2)具有連續(xù)攻擊特性。蠕蟲事件不是單個的攻擊事件，一旦爆發(fā)將會有數(shù)以千萬計得攻擊，并且它們發(fā)起的事件相對集中，具有連續(xù)性的特點(diǎn)。

3)破壞性。蠕蟲事件一般能破壞系統(tǒng)提供的服務(wù)、篡改系統(tǒng)文件、盜取用戶隱私等，會給網(wǎng)絡(luò)造成較大的破壞。

蠕蟲事件是由許多單個蠕蟲攻擊事件組成的，為了能夠描述蠕蟲事件，下面給出單個蠕蟲攻擊事件的定義:

定義1 單個蠕蟲攻擊事件。將e={src，dst，time，conf，int，avi}稱為單個蠕蟲攻擊事件，其中src是攻擊事件的發(fā)起主體，dst是攻擊事件的接受主體，src、dst都是攻擊事件的參與主體，參與主體可以是網(wǎng)絡(luò)中的主機(jī)或網(wǎng)絡(luò)設(shè)備，一般用主機(jī)或網(wǎng)絡(luò)設(shè)備的名字(IP地址)來標(biāo)識;time指攻擊事件發(fā)生的時間;conf是攻擊事件對網(wǎng)絡(luò)機(jī)密性的破壞值;int是攻擊事件對網(wǎng)絡(luò)完整性的破壞值;avi是攻擊事件對網(wǎng)絡(luò)可用性的破壞值。事件的前3個屬性唯一標(biāo)識了一個事件。一般認(rèn)為單個蠕蟲攻擊事件是發(fā)起主體對接受主體的破壞事件。蠕蟲事件是單個蠕蟲攻擊事件的集合。

1.2 事件量化框架

蠕蟲的破壞性體現(xiàn)在對網(wǎng)絡(luò)安全屬性的破壞。網(wǎng)絡(luò)有6個基本屬性[2-3]:可靠性(reliability)、可用性(availability)、保險性(safety)、可行性(performability)、完整性(integrity)、機(jī)密性(confidentiality)。這六個基本屬性中最核心的屬性有三個:可用性、機(jī)密性和完整性，因此通過蠕蟲對網(wǎng)絡(luò)這三個屬性的破壞來量化蠕蟲事件。

圖1是蠕蟲事件的量化框架。框架分四層:底層是事件收集層，事件主要來自網(wǎng)絡(luò)中的防病毒和入侵檢測系統(tǒng)的告警、日志等;第三層是信息融合層，它對底層收集的蠕蟲事件進(jìn)行關(guān)聯(lián)分析，并計算蠕蟲事件對網(wǎng)絡(luò)屬性的破壞值;第二層是由網(wǎng)絡(luò)安全屬性構(gòu)成的一級指標(biāo)層，蠕蟲攻擊會破壞網(wǎng)絡(luò)的各個屬性，各個屬性破壞值的加權(quán)平均就是蠕蟲事件的量化值，也是對整個網(wǎng)絡(luò)的破壞值;頂層是被評估網(wǎng)絡(luò)，也是蠕蟲事件發(fā)生的場所。

2 蠕蟲事件量化技術(shù)

蠕蟲事件量化技術(shù)是用數(shù)值來表示事件對網(wǎng)絡(luò)的破壞程度的技術(shù)。蠕蟲事件的量化需要滿足以下幾點(diǎn)要求:1)能反映網(wǎng)絡(luò)的安全態(tài)勢的變化情況，比如隨著蠕蟲事件規(guī)模的擴(kuò)大，事件的量化值就應(yīng)當(dāng)越大，反之越小;2)量化值要有一定的靈敏度和突出度，靈敏度指的是當(dāng)事件發(fā)生時，量化值要能及時的上升進(jìn)行告警，當(dāng)事件結(jié)束時也要能及時的恢復(fù)成初始值以反映事件的消除，突出度指的是事件的量化值要比一般事件的量化值大，以便能引起管理員注意。

蠕蟲事件對網(wǎng)絡(luò)的破壞性需要結(jié)合當(dāng)前和過去一段時間事件的發(fā)生情況綜合量化。這個時間將其定義為時間窗口:

定義2 時間窗口(time window，TW)。它是指截至到當(dāng)前時間的一段時間。時間窗口用于確定進(jìn)行量化的單個蠕蟲攻擊事件的集合。時間窗口窗口越大，事件收集的越完全，評估越切合實(shí)際，但是計算量也越大。時間窗口內(nèi)單個蠕蟲攻擊事件的集合記為E。

采用基于時間窗口的量化方法比只是基于當(dāng)前時間的更具有優(yōu)勢，因?yàn)楫?dāng)前時間事件的發(fā)生具有偶然性，不能很好的反應(yīng)網(wǎng)絡(luò)的實(shí)際安全狀況，采用時間窗口的方法能較好的綜合各種偶然的事件，反應(yīng)出內(nèi)在的必然性，并且采用事件窗口的量化方法能反映事件的變化趨勢，具有一定的預(yù)測能力。

為了表示時間窗口內(nèi)單個蠕蟲攻擊事件的活躍程度，給它們設(shè)定一個生命值，當(dāng)超過這個生命值都沒再發(fā)生事件中發(fā)起主體對接受主體的攻擊，就認(rèn)為可能采取了打補(bǔ)丁等防護(hù)措施使該蠕蟲攻擊事件不再對網(wǎng)絡(luò)造成破壞，從而將其從E中剔除，否則該事件的生命值重新從0計算。

在明確了以上內(nèi)容之后，下面開始蠕蟲事件的量化計算。假設(shè)單個蠕蟲攻擊事件e∈E。

2.1 單個蠕蟲攻擊事件的破壞值計算

設(shè)e對其接受主體s機(jī)密性、完整性、可用性的破壞指數(shù)為de=(de c ，de i ，dea )，那么它對s各屬性的破壞值為。大多數(shù)安全研究人員普遍認(rèn)為[4] 100次嚴(yán)重度為1的事件與10次嚴(yán)重度為2的事件、1次嚴(yán)重度為3的事件對網(wǎng)絡(luò)造成的破壞性是等效的，因此在計算破壞值時采用10的指數(shù)方式。

同樣的事件發(fā)生在不同的主體間造成的破壞也不同，因此要考慮接受主體的不同處。每一個主體也有其自身的安全屬性，假設(shè)其機(jī)密性、完整性、可用性的值為(cs，is， as)，那么可以按如下方式計算事件e對s各安全屬性的破壞值:

ds c ，ds i ，dsa 分別為事件e對 s機(jī)密性、完整性、可用性的破壞值。最后事件e的破壞值記為

，其中ps=(cs，is，as。)

2.2 網(wǎng)絡(luò)安全屬性破壞值計算

網(wǎng)絡(luò)安全屬性的破壞值是時間窗口內(nèi)各個事件對網(wǎng)絡(luò)安全屬性破壞值之和。

D為網(wǎng)絡(luò)安全屬性的破壞值，s=e.dst表示s是e的接受主體。那么網(wǎng)絡(luò)各安全屬性(保密性、完整性、可用性)的破壞值為:

2.3 蠕蟲事件量化值計算

蠕蟲事件量化值用網(wǎng)絡(luò)安全屬性破壞值的加權(quán)平均來計算。假設(shè)網(wǎng)絡(luò)安全屬性的權(quán)重向量為w=(wc，wi，wa)，則蠕蟲事件量化值為:

2.4 破壞指數(shù)與主體安全屬性的確定

在蠕蟲事件量化處理中還需要解決兩個參數(shù)的取值問題:一是蠕蟲攻擊的破壞指數(shù)，二是主體的安全屬性。這兩個參數(shù)的取值都是三維向量，每一個維度對應(yīng)一個安全屬性。

破壞指數(shù)表征了事件對接受主體各安全屬性的破壞程度，破壞指數(shù)越高破壞性越大，根據(jù)破壞程度的不同將破壞指數(shù)分為三個等級，如表2。

主體安全屬性值是以主體該屬性被破壞后對網(wǎng)絡(luò)系統(tǒng)造成的影響來確定，影響又根據(jù)主體存放信息的重要性、主體的服務(wù)對象數(shù)和主體受到破壞后的恢復(fù)時間等來計算。這里將主體安全屬性值也分成三個等級，如表3。

3 實(shí)驗(yàn)及結(jié)果

圖2是一個典型的局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D，本實(shí)驗(yàn)以此網(wǎng)絡(luò)為基礎(chǔ)對蠕蟲事件的量化技術(shù)進(jìn)行評估測試。

局域網(wǎng)中有三臺主機(jī)、兩臺服務(wù)器，它們的具體配置信息如表4。

A是一個經(jīng)過改造的高危蠕蟲，它能感染上述網(wǎng)絡(luò)系統(tǒng)中的所有主機(jī)。A會在每3分鐘隨機(jī)的選擇下一感染主機(jī)，其破壞指數(shù)為(3，3，1)。網(wǎng)絡(luò)系統(tǒng)的時間窗口設(shè)定為60分鐘，每分鐘進(jìn)行一次事件收集和分析計算。網(wǎng)絡(luò)系統(tǒng)在正常運(yùn)行了59分鐘后，在第60分鐘時主機(jī)H1首先感染蠕蟲A，A在爆發(fā)15分鐘后被清除。在實(shí)驗(yàn)中，15分鐘內(nèi)檢測到有關(guān)蠕蟲A的事件如下(省略了事件對安全屬性的破壞值):

{192.168.1.100，192.168.1.101，63，1000，1000，10}

{192.168.1.101，192.168.1.102，64，2000，2000，10}

{192.168.1.102，192.168.1.100，65，1000，1000，10}

{192.168.1.100，192.168.1.102，66，2000，2000，10}

{192.168.1.101，192.168.1.100，67，1000，1000，10}

{192.168.1.102，192.168.1.103，68，3000，3000，20}

{192.168.1.103，192.168.1.102，69，2000，2000，10}

{192.168.1.100，26.28.37.140，69，1000，3000，30}

{192.168.1.101，26.28.37.140，70，1000，3000，30}

{192.168.1.102，192.168.1.101，71，1000，1000，10}

{192.168.1.100，192.168.1.103，72，3000，3000，20}

{192.168.1.103，26.28.37.140，72，1000，3000，30}

{192.168.1.101，192.168.1.103，73，3000，3000，20}

{192.168.1.102，26.28.37.140，74，1000，3000，30}

{192.168.1.103，192.168.1.100，75，1000，3000，30}

{192.168.1.100，26.28.37.140，75，1000，3000，30}

每分鐘測量一次蠕蟲事件并對其量化得到圖4。圖中四條曲線分別代表了蠕蟲事件的四種不同的生命值(分別為1、3、5、10分鐘)，由圖可以看出，事件的生命值越大告警優(yōu)勢越明顯，但是對網(wǎng)絡(luò)安全狀態(tài)的背離越大，比如事件的生命值為10時，直到第87分鐘才顯示網(wǎng)絡(luò)中蠕蟲攻擊事件消失，與實(shí)際的75分鐘偏離較大。

圖5是對基于時間窗口(TW曲線)和當(dāng)前時間(ST曲線)蠕蟲攻擊效果的比較圖，該實(shí)驗(yàn)中設(shè)定單個蠕蟲攻擊事件的生命值為3，由圖可以看出基于時間窗口的量化方法對蠕蟲事件具有明顯的告警優(yōu)勢，并且還具有預(yù)測蠕蟲事件的發(fā)展趨勢的能力。

4 結(jié)束語

本文對蠕蟲事件的量化方法進(jìn)行了研究，提出蠕蟲事件的量化框架，并對時間窗口內(nèi)的蠕蟲事件進(jìn)行量化處理，實(shí)驗(yàn)表明該方法具有明顯的告警優(yōu)勢并能對蠕蟲的發(fā)展趨勢進(jìn)行預(yù)測。但是還存在一些需要進(jìn)一步完善的地方，比如對其它網(wǎng)絡(luò)安全事件的量化以及大規(guī)模網(wǎng)絡(luò)的應(yīng)用部署等。

參考文獻(xiàn):

[1] CNCERT/CC.反網(wǎng)絡(luò)病毒大事記[EB/OL].(2009-09-19).http://www.anva.org.cn/SAWV/jl.

[2] 林闖，汪洋，李泉林.網(wǎng)絡(luò)安全的隨機(jī)模型方法與評價技術(shù)[J].計算機(jī)學(xué)報，2005，28(12):1943-1956.

[3] 施峰.信息安全保密基礎(chǔ)教程[M]. 北京:北京理工大學(xué)出版社，2008.

[4] 陳秀真，鄭慶華，管曉宏，等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報，2006，17(4):885-897.