基于报警信息的安全评估方法

摘要

基于报警信息的安全评估方法，采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；采用无环有向图来表示重构后的攻击场景：1)根据超报警类型的前提集和后果集生成初始攻击场景图集合；2)对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点证据支持度，消去可能的误报；攻击场景图G中误报结点的消去；从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对系统造成的风险上，对报警关联后的攻击序列进行了评估；并进行攻击序列的危险性分析和网络系统的损失分析。本发明通过对报警信息与目的地系统的环境匹配度、攻击类型、相关攻击信息以及目的地系统节点安全度的计算得出报警信息。

主权项

基于报警信息的安全评估方法，其特征是采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；具体步骤如下：（1）采用无环有向图来表示重构后的攻击场景，攻击场景图的生成分为三步；1）根据超报警类型的前提集和后果集生成初始攻击场景图集合；2）对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点即攻击步骤的证据支持度，消去可能的误报；攻击场景图G中误报结点的消去；3）对攻击场景图G中每个节点计算其报警可信度Cr，考虑所有Cr≤ε，ε是管理员设定的一极小值，表示当报警可信度小于等于ε的报警视为误报的节点；4）消去没有前向节点且报警可信度Cr≤ε的节点；5）消去没有后向节点且报警可信度Cr≤ε的节点；6）对于剩下的Cr≤ε的节点，分情况讨论：a)若删去该节点导致攻击场景图分裂，则保留该节点；b)若删去该节点攻击场景图仍然连通，则删去该节点；（2）从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对系统造成的风险上，对报警关联后的攻击序列进行了评估，攻击序列的危险性分析的步骤如下：设攻击序列S＝{a1,a2,…，an)由n个报警a1,a2,…，an组成报警ai的自身危险度、节点价值、服务价值分别为ri、ni、si，其定义及取值如下：报警的攻击类型因素的实际匹配度取值，定义如下：攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种，取值分别为1，0.7和0.4，自身危险度按通常IDS的风险等级设为高、中、低三种状态，取值分别为1、0.6和0.2；节点安全度、节点价值、服务价值的状态见下段，计算时的取值要乘上0.1；节点价值是一个用来表示节点重要性的量化的一个值；设节点价值度量的范围从1到N，其中1表示的是最低的重要性，而N表示最高的重要性，N设为10；节点价值、 服务价值的度量范围和取值是根据整个系统的具体情况由系统管理员指定的；节点的安全度标示的是节点的安全性；节点的安全度也是一个量化的值，它由节点安装的操作系统及版本，应用程序，开放的服务、端口，使用的安全措施以及它在网络中的位置等来确定，它的值在一个范围之间，同节点价值一样，设为1到P，其中1表示最低的安全度，P表示最高安全度，设P为10；节点安全度是由安全管理系统或系统管理员针对每一个节点的情况进行评估得到的；则攻击序列S的危险度 r S = Σ i = 1 n r i · n i · s i - - - ( 2 ) 表示攻击序列S如果成功的话，造成系统的危险程度；（3）网络系统的损失分析；网络系统的损失，归结到攻击关联图上各攻击序列的综合评估值上，定义为该攻击序列总的损失期望；设攻击序列S＝{a1,a2,…，an)由n个报警a1,a2,…，an组成，第i个报警ai的损失评估分为θi，第i+1个报警的可信度为pi+1，则从初始报警a1到第i个报警ai可信度为 p 1 , i = 1 - Π k = 1 i ( 1 - p i ) - - - ( 3 ) 则该攻击序列给系统造成的总的损失为 θ S = E ( θ i ) = Σ i = 1 n ( θ i p 1 , i ) - - - ( 4 ) 取报警ai的危险度为其损失评分，即θi＝ri·ni·si    (5)则 θ S = Σ i = 1 n ( θ i p 1 , i ) - - - ( 6 ) 根据系统损失排名，优先处理危险系数大系统损失高的攻击序列，从而提高系统安全管理员的工作效率和效果。