一種優(yōu)化的實時網(wǎng)絡(luò)風(fēng)險評估方法

黃 海，劉林東

（廣東第二師范學(xué)院計算機(jī)學(xué)院，廣州 510303）

0 引言

實時網(wǎng)絡(luò)風(fēng)險評估對網(wǎng)絡(luò)防御技術(shù)具有重要意義，作為下一代網(wǎng)絡(luò)的關(guān)鍵技術(shù)，已經(jīng)得到了專家學(xué)者們的廣泛關(guān)注［1］。風(fēng)險評估方法包括人工評估和自動評估［2］。人工評估通常是通過問卷調(diào)查的方法，這依賴于專家經(jīng)驗。雖然這種評估方法比較全面，但是它容易導(dǎo)致主觀化以及評估過程的復(fù)雜性，往往會帶來巨大成本。自動評估通常是自動識別漏洞或攻擊。由于自動評估方法自動、高效且易于管理，風(fēng)險評估相關(guān)研究集中在自動評估方面。

為了從cops 中獲取信息，Ortalo 等［3］引入加權(quán)圖理論來為系統(tǒng)漏洞建模。他們使用馬爾可夫模型來計算攻擊者可能會滲透到安全定量測量系統(tǒng)安全性的成本，這是一種靜態(tài)方法。龔文濤等［4］提出了網(wǎng)絡(luò)漏洞檢測方法。Jajodia 等［5］基于攻擊圖模型對攻擊行為進(jìn)行建模和分析。李世斌等［6］提出了一個以免疫為基礎(chǔ)的網(wǎng)絡(luò)安全風(fēng)險檢測模型，這種模型強(qiáng)調(diào)評估網(wǎng)絡(luò)系統(tǒng)的實時風(fēng)險。張永錚等［7］提出了一個風(fēng)險評估網(wǎng)絡(luò)信息傳播模型系統(tǒng)。但是，最后兩種方法針對已知的網(wǎng)絡(luò)攻擊檢測已不能滿足當(dāng)前的網(wǎng)絡(luò)安全環(huán)境精準(zhǔn)度的需要。

因為計算機(jī)網(wǎng)絡(luò)安全的問題與生物免疫系統(tǒng)（BIS）在變化環(huán)境中都要保持穩(wěn)定狀態(tài)，所以它們呈現(xiàn)出極好的導(dǎo)向和相似度。Burnet等［8］在1957 年提出了著名的克隆理論，并建立“非我模式”模型。該模型認(rèn)為各種淋巴細(xì)胞受體有其特異性。基于“非我模式”， Forrest 等［9］在1994年提出了否定性選擇算法（NS）。NS算法極大地促進(jìn)了免疫原理在計算機(jī)安全方面的應(yīng)用，這對幾乎所有計算機(jī)免疫系統(tǒng)（cis）方面的研究是鼓舞人心的。基于人工免疫系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)被認(rèn)為是非常有前途的研究方向。Matzinger［10］提出的風(fēng)險理論指出，免疫系統(tǒng)不僅能夠識別“非我模式”，而且當(dāng)入侵的“風(fēng)險”積累到一定的程度還會散發(fā)出風(fēng)險的信號。這意味著免疫系統(tǒng)可發(fā)現(xiàn)外部抗原入侵。

為了有效地評估實時網(wǎng)絡(luò)風(fēng)險，本文提出了一種基于Reapai 的實時網(wǎng)絡(luò)風(fēng)險評估模式。它先給出了自我、非自我和檢測器的定義， 然后介紹了入侵檢測器子模型定義，最后建立了基于免疫風(fēng)險理論的網(wǎng)絡(luò)風(fēng)險評估子模型。在該模型中，包括主機(jī)和網(wǎng)絡(luò)的所有帶有風(fēng)險程度的各類攻擊，都可以被實時和定量地計算。理論分析和實驗結(jié)果都表明，Reapai提供了一個有效的、新穎的網(wǎng)絡(luò)風(fēng)險評估方法。

1 提出理論模型

Reapai 由兩個子模型組成，一個是入侵檢測子模型，負(fù)責(zé)入侵檢測；另一個是風(fēng)險評估子模型，負(fù)責(zé)入侵評估，最后計算網(wǎng)絡(luò)系統(tǒng)各種攻擊類型的風(fēng)險。

1.1 入侵檢測子模型

子模型含三個模塊，內(nèi)存檢測器檢測模塊、成熟檢測器檢測模塊和未成熟檢測器容忍模塊。與之相關(guān)的定義如下。在我們的模型中，抗原（Ag，Ag?D，D={0，1}∫）是從網(wǎng)絡(luò)傳輸中的互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)包中抽取的固定長度為1位二進(jìn)制字符串。異己模式代表來自計算機(jī)網(wǎng)絡(luò)攻擊的IP數(shù)據(jù)包，而自我模式是正常的網(wǎng)絡(luò)服務(wù)事務(wù)，因此

sAg是從Ag中以η的概率隨機(jī)選擇（檢測系數(shù)，0＜η≤1）。

假設(shè)B代表公式（1）給出的入侵檢測器，其中d代表抗體，年齡是抗體d的年齡，s是檢測器的損傷程度，計數(shù)是與抗體d相匹配的抗原的數(shù)量，N是自然數(shù)集合。

B包含兩個子集：成熟檢測器（Tb）和記憶檢測器（Mb），因此

成熟檢測器是一種能容忍自我但不能被抗原激活的檢測器。記憶檢測器是從在其生命周期中能與足夠多的抗原相匹配的成熟檢測器演繹而來，因此

其中β（＞0）代表激活閾值，

fmatch(x,y)代表一個r個連續(xù)比特的匹配函數(shù)，即

假設(shè)Ib代表未成熟檢測器集合，其中

它將用于生成成熟檢測器。Ib可以有兩種方法生成，一種來自抗原存托，另外一種是隨機(jī)生成。Ib的隨機(jī)性使得新的成熟檢測器有更多的多樣性。

對于每一個輸入集合Ag，它被分成δ（δ是不變的）個時代。對于每個抗原時代，大量的抗原被選擇組成集合sAg。而sAg通過B檢測器設(shè)置的檢測又被分成自我和異己兩類。每個時代的迭代過程如圖1所示。整個過程是由三個階段組成的。第一階段是從0時刻到容忍終止α?xí)r刻。在這個階段我們定義了最初的自我集合Self（0）和未成熟檢測器集合Ib（0）。其中集合Ib（0）將成長為成熟檢測集合。第二階段是自主學(xué)習(xí)階段，它從α+1 時刻到記憶檢測器出生時刻。通過克隆擴(kuò)張， 成熟檢測器將產(chǎn)生足夠多的具有相同特異性抗原。未成熟檢測器對自我抗原給出其容忍性。最后一個階段是從記憶檢測器的出生到系統(tǒng)的結(jié)束。在實際檢測環(huán)境中，免疫系統(tǒng)的所有部分分成三種類型：基因檢測器檢測抗原；成熟檢測器檢測剩余部分； 免疫檢測器用剩下的抗原再來實驗其容忍性。整個過程如圖1所示。

圖1 入侵檢測子模型

在運行過程中，外部系統(tǒng)也能添加合法的自我抗原到Self（t）中。雖然新添加的自我抗原會產(chǎn)生自身具有耐受性的檢測器，但隨著抗原的更新，未出現(xiàn)一些給定的時間，那么新的檢測器就不能容忍抗原。因此，系統(tǒng)具有良好的自適應(yīng)性。在系統(tǒng)中，如果對抗原有容忍和非容忍兩種類型的檢測器， 它們的競爭將由外部系統(tǒng)來評價（即共刺激）。

系統(tǒng)收到來自記憶檢測器和成熟探測器匹配成功的抗原，立即檢查當(dāng)前抗原是否屬于集合Self（t）。如果抗原屬于集合，那么共同刺激將產(chǎn)生。如果抗原是自我，則與抗原相匹配的檢測器將被刪除；否則，抗原將被刪除，并且刪除的自我元素將不再屬于自我；如果抗原不是自我，那么它會被當(dāng)成異己分子。

1.2 風(fēng)險評估子模型

用入侵檢測子模型檢測入侵或攻擊抗原，記憶檢測器對檢測到的入侵或攻擊抗原進(jìn)行風(fēng)險評估。從時刻t-1 到時刻t，如果主機(jī)的第i（0≤i≤1）個記憶檢測器發(fā)現(xiàn)入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣增加。同時，相應(yīng)的記憶檢測器的年齡設(shè)置為0。如果記憶檢測器檢測到多個相同的入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣累計計算，表明攻擊威脅在持續(xù)增加。假設(shè)η1（η1＞0）代表初始損傷程度，η2（η2＞0）代表鼓勵基因，用于監(jiān)控連續(xù)類似的網(wǎng)絡(luò)攻擊。

但是，如果記憶檢測器無法檢測到入侵或攻擊抗原，那么根據(jù)公式（5），它的損傷程度將降為1/λ，并且它的記憶檢測器的年齡增加1。

定理1：如果記憶檢測器沒有檢測到入侵抗原，探測器的風(fēng)險性會衰變?yōu)?，或者記憶檢測器將死亡和被刪除。

證明：根據(jù)上面的公式，成熟探測器在捕獲入侵抗原β后會進(jìn)化成記憶檢測器， 或者記憶檢測器在生命周期捕獲到抗原。可以看出當(dāng)記憶檢測器的年齡增加λ，記憶檢測器的損傷程度下降為0，這幾乎是符合實際的入侵情況。當(dāng)沒有同樣攻擊會話的新入侵事務(wù)時，會話就被認(rèn)為是相應(yīng)的入侵。

假設(shè)rk(t)（0≤rk(t)≤1，1≤k≤K）代表k主機(jī)在時間t的風(fēng)險：如果rk(t)=1， 表明風(fēng)險極高；如果rk(t)=0，表明沒有風(fēng)險。系統(tǒng)存在的風(fēng)險與rk(t)值成正比。考慮到主機(jī)的各種配置和不同類型攻擊風(fēng)險，用μi代表各種攻擊的風(fēng)險程度，ωk代表主機(jī)k的配置。

對于主機(jī)k， 在t時刻的第i種攻擊的安全風(fēng)險，記為rk,i(t)，其定義為公式（6）。

對于主機(jī)k，在t時刻的整體安全風(fēng)險定義為公式（7）：

對于整個網(wǎng)絡(luò)系統(tǒng)，在t時刻的第i種攻擊的安全風(fēng)險程度，記為Ri（t），其定義為公式（8）：

最后，在t時刻的整體網(wǎng)絡(luò)安全風(fēng)險程度定義為公式（9）：

2 仿真和實驗結(jié)果

實驗在廣東第二師范學(xué)院信息安全實驗室完成。環(huán)境是100 兆局域網(wǎng)， 它是通過一個C類IP 地址10.0.209.*.連到互聯(lián)網(wǎng)。服務(wù)器的操作系統(tǒng)是Red Hat Linux 9.0。抗原被定義為一個固定長度二進(jìn)制字符串（l=128），它是由源主機(jī)/目的主機(jī)的IP 地址（64 bits），端口數(shù)（16 bits），協(xié)議標(biāo)志（16 bits）和數(shù)據(jù)包內(nèi)容（32 bits）組成。任務(wù)目標(biāo)是檢測網(wǎng)絡(luò)攻擊和評估主機(jī)的風(fēng)險程度。漢明匹配規(guī)則用于計算抗原和抗體之間（距離=80）的親和力。一般情況下， 由于正常處理網(wǎng)絡(luò)改變不大，所以成熟細(xì)胞的容忍性參數(shù)α，設(shè)置為1。和成熟細(xì)胞的生命周期一樣，激活閾值β 確保模型來實現(xiàn)更高的TP 入侵檢測價值（真陽性）和較低的FP 值（假陽性）。為了看到實時風(fēng)險評估的影響，記憶檢測器的風(fēng)險下降步驟λ 設(shè)置為1。為了演示Reapai 的網(wǎng)絡(luò)攻擊評估模型，我們做了不同的網(wǎng)絡(luò)攻擊實驗，結(jié)果如圖2和圖3所示。

圖2 攻擊強(qiáng)度曲線和風(fēng)險程度曲線

圖3 阻斷攻擊強(qiáng)度曲線和風(fēng)險程度曲線

這兩個圖說明了Reapai 模型關(guān)于攻擊強(qiáng)度曲線和風(fēng)險程度曲線的評估結(jié)果。從結(jié)果可以看出，Reapai 模型能夠極好地評估網(wǎng)絡(luò)攻擊和顯示出相應(yīng)的風(fēng)險程度曲線。進(jìn)一步證明Reapai 模型在對風(fēng)險評估上的作用。我們分別在主機(jī)和整個網(wǎng)絡(luò)做了tcpreset 攻擊和udpstorm攻擊。圖4 和圖5 針對Reapai 模型與Insre 模型的風(fēng)險曲線進(jìn)行了比較。

圖4 阻斷攻擊強(qiáng)度曲線和風(fēng)險程度曲線

圖5 攻擊強(qiáng)度曲線和風(fēng)險程度曲線

在圖4 中，從0 s～7 s，隨攻擊力度減少，對應(yīng)的風(fēng)險指標(biāo)顯著下降。但從8 s～12 s， 攻擊力度降低，對應(yīng)的風(fēng)險指示出現(xiàn)上升。在圖5中，從0 s～10 s，網(wǎng)絡(luò)攻擊強(qiáng)度下降，相應(yīng)的風(fēng)險指標(biāo)顯示出上升趨勢。然而，從11 s～19 s，網(wǎng)絡(luò)攻擊強(qiáng)度增加，相應(yīng)的風(fēng)險指標(biāo)也迅速增長。

實驗表明Reapai 模型和Insre 模型都能反映出每臺主機(jī)和整個網(wǎng)絡(luò)的綜合風(fēng)險。然而，圖2和圖3 顯示出Reapai 模型比Insre 模型更符合攻擊強(qiáng)度。

3 相關(guān)工作

目前，網(wǎng)絡(luò)安全的風(fēng)險評估工作剛剛開始，且只有少數(shù)文獻(xiàn)可參考。在風(fēng)險評估上，我們用Reapai 模型和其它模型進(jìn)行了比較。表1 表明現(xiàn)有模型主要集中在靜態(tài)評估上，不能發(fā)現(xiàn)未知攻擊。然而，Reapai 模型能夠在進(jìn)行較低的計算下發(fā)現(xiàn)未知攻擊。

表1 Reapai和其他風(fēng)險評估模型的比較

4 結(jié)語

本文提出了一個基于Reapai 的網(wǎng)絡(luò)風(fēng)險評估模型。該模型有效地將人工免疫系統(tǒng)的相關(guān)理論應(yīng)用于網(wǎng)絡(luò)安全技術(shù)。與現(xiàn)有的風(fēng)險評估模型相比，本文提出的模型可以有效地檢測每臺主機(jī)和每種類型的網(wǎng)絡(luò)攻擊的實時總體風(fēng)險程度。

因此，Reapai 模型將幫助系統(tǒng)管理員了解系統(tǒng)安全的宏觀威脅情況，引導(dǎo)他們發(fā)現(xiàn)網(wǎng)絡(luò)安全的趨勢和行為規(guī)則，調(diào)整安全策略，提高網(wǎng)絡(luò)安全性能。