摘要
為了分析威脅傳播對網絡系統的影響,準確、全面地評估系統的安全性,并給出相應的加固方案,提出一種基于 Markov 博弈分析的網絡安全態勢感知方法。通過對多傳感器檢測到的安全數據進行融合,得到資產、威脅和脆弱性的規范化數據;
對每個威脅,分析其傳播規律,建立相應的威脅傳播網絡;通過對威脅、管理員和普通用戶的行為進行博弈分析,建立三方參與的 Markov博弈模型,并對相關算法進行優化分析,使得評估過程能夠實時運行。Markov博弈模型能夠動態評估系統安全態勢,并為管理員提供最佳的加固方案。通過對具體網絡的測評分析表明,基于 Markov 博弈分析的方法符合實際應用,評估結果準確、有效,提供的加固方案可有效抑制威脅的擴散。
介紹
網絡安全技術已經從關注單個安全問題的解決發展到研究網絡的整體安全狀況及變化趨勢,網絡安全態勢感知(network security situation awareness,簡稱 NSSA)成為下一代安全技術的焦點。
對于網絡安全態勢感知,主要從以下三個角度考慮:
- 從網絡連接可視化的角度
將網絡的安全狀態以可視化視圖的形式表現出來 - 從層次化分析的角度
對網絡進行分層計算,譬如將網絡分為服務、主機、系統進行分層計算,再進行綜合分析得到網絡安全態勢圖 - 從數據融合的角度
譬如將數據融合過程分為數據精煉、對象精煉、態勢精煉、影響評估和過程精煉
網絡安全態勢感知模型
網絡安全態勢感知系統框架
網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。NSSA 是在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
NSSA 需要考慮多方因素:首先,數據來源要全面和豐富,包括網絡結構、資產、脆弱性、 威脅等數據;其次,態勢感知過程要簡潔和客觀,盡可能地實現自動化和滿足實時性;最后,態勢感知結果要到深度廣度兼備,滿足多種用戶需求,提供加固方案給管理員以提高系統安全性.本文在態勢感知概念模型基礎上, 結合數據融合的思想,給出了如圖 1 所示的 NSSA 系統框架。
該框架通過多傳感器檢測網絡系統的各種安全信息,根據態勢感知模型評估系統的安全態勢及其變化趨勢,并給出安全加固方案,主要包括以下幾個模塊:
(1) 數據采集:通過多傳感器監測網絡系統的運行狀況,檢測大量的原始安全數據;
(2) 態勢理解:采用規范化分析、冗余檢測和沖突檢測等方法,分析原始數據,得到規范化的數據集;
(3) 態勢評估:采用態勢評估算法,分析態勢理解模塊的數據,定量描述系統的安全態勢;
(4) 態勢預測:采用態勢預測算法,分析態勢的變化規律,預測系統安全態勢變化趨勢;
(5) 加固方案生成:分析系統最薄弱的節點,給出加固方案,指導管理員提高系統安全性.。
威脅傳播分析
網絡系統的各個節點相互連接,當系統中某個節點被成功攻擊后,威脅可以傳播到與該節點相關聯的其他節點,從而使這些節點遭受安全威脅。
因此,在進行態勢感知時不能僅靜態考慮系統節點安全狀況,還需對威脅傳播及其影響進行動態分析。張永錚等人提出了用于風險評估的風險傳播模型,考慮了風險傳播帶來的潛在風險,實質是分析威脅的傳播對風險的影響.本文在針對不同威脅分析其傳播規律,并結合相關的脆弱性分析 對相關資產和相關傳播鏈路的影響,提出威脅傳播網絡的概念。
定義相關概念:
-
資產
定義1 -
威脅
定義2 -
脆弱性
定義3
- 威脅傳播節點
-
威脅傳播路徑
定義5 -
威脅傳播網絡
定義6
根據圖 1 給出的 NSSA 系統框架,給出如圖 2 所示的 NSSA 流程,態勢感知過程分為兩部分:基于 Markov 博弈分析的態勢量化評估和基于時間序列分析的態勢預測. 態勢量化評估部分是態勢感知的核心.首先,數據采集模塊檢測的安全數據被融合歸類到資產集合、威脅 集合、脆弱性集合和網絡結構信息,這些數據以規范化數據集的格式保存在數據庫中,可以被實時地存取和修 改;接著,對威脅集合中的每個威脅建立 TPN;然后,對威脅、管理員和普通用戶的行為進行 Markov 博弈分析,評 估單個威脅的保密性態勢,并給出最佳加固方案;最后,對威脅集合中的所有威脅的保密性態勢綜合分析評估出 系統保密性態勢;以同樣的方法評估系統完整性態勢和系統可用性態勢,根據不同的應用背景和需求,對保密 性、完整性、可用性態勢加權,評估整個系統當前狀態的安全態勢. 態勢預測部分以態勢評估結果為基礎.系統在不同時刻安全態勢彼此相關,可以利用這種相關性分析態勢 變化規律對系統安全態勢進行預測.有很多預測方法,比如神經網絡、模糊數學、灰色理論等等.在此,采用時間 序列分析方法[14]刻畫不同時刻安全態勢的前后依賴關系.
NSSA流程
基于 Markov 博弈分析的態勢評估
Markov博弈模型的建立
博弈論是研究決策者在決策主體各方相互作用下如何進行決策的理論,每個決策主體在考慮其他參與者的反應后選擇行動方案.
Markov決策過程(MDP)是指決策者根據每個時刻觀察到的狀態,從可用的行為集合中選用行為的過程。系統下一步的狀態是隨機的,狀態轉移概率具有 Markov 性,即下一時刻的狀態只與當前時刻相關。
Markov 博弈是由博弈論和 MDP 綜合而來,綜合考慮多個參加者的決策。博弈分析方法被廣泛用于網絡安全性分析。本文對威脅集合中每個威脅t建立如下的 Markov 博弈模型:
博弈過程###
將博弈過程近似認為是三角色非零完全信息靜態非合作博弈.下面以一個簡單網絡為例說明博弈過 程,該網絡具有 4 個節點和 5 條有向邊.對該網絡威脅集合的某個威脅 t,建立 t 的 TPN.博弈三方是威脅 t、管理 員和普通用戶,攻擊方的行為是按照 TPN 向未感染的節點傳播 t,防守方的行為是管理員修補系統節點上t 利用 的脆弱性,中立方的行為是普通用戶增加或減少對該網絡的訪問率,系統狀態是 t 對應 TPN 的所有可能的狀態. 博弈各方根據系統的狀態和己方的報酬函數動態地選擇己方行為,系統根據各方行為的影響以一定的概率跳 轉到下一狀態,博弈過程如圖所示
網絡安全態勢量化評估算法###
輸入:數據采集模塊檢測到的各類安全數據;
輸出:網絡安全態勢。
- 對檢測模塊測得得安全數據進行融合,得到資產集合、威脅集合、脆弱性集合和網絡結構信息;
- 根據檢測模塊得到的網絡信息,綜合資產集合、威脅集合和脆弱性集合,對威脅集合中每個威脅 t 建 立該威脅的威脅傳播網絡 TPN(t);
- 根據 TPN(t),對 t 建立 Markov 博弈模型,計算 t 的保密性損害,評估 t 的保密性態勢;
- 根據 TPN(t),對 t 建立 Markov 博弈模型,分析管理員應對 t 保密性損害的最佳加固方案;
- 按照步驟(3)、步驟(4)類似的方法,評估 t 的完整性態勢和可用性態勢,并分析相應的最佳加固方案;
- 將威脅集合中所有威脅的保密性損害求和,評估網絡保密性態勢;
- 按照步驟(6)同樣的計算方法,評估系統的完整性態勢和可用性態勢;
- 根據不同應用需求,采用加權模型評估網絡的整體安全態勢.
子算法 2.
單個威脅保密性態勢評估算法.
輸入:威脅集合中某個威脅的 TPN(t);
輸出:該威脅保密性態勢.
A. 令 k=K,取 R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0, 0 t ku = ;
B. 如果 k=0,則跳轉到步驟 E;否則,令 k=k?1 后進入下一步;
C. 對每個 TPN 狀態和每個歷史依次計算公式(4);
D. 返回步驟 B;
E. 該威脅保密性態勢按照公式(6a)計算輸出.
子算法 3.
單個威脅的保密性最佳加固方案生成算法.
輸入:威脅集合中某個威脅的 TPN(t);
輸出:防守方對最大損害的最佳加固方案.
A. 令 k=K,取 R(TPN(t,K+1))=0,Rc(TPN(t,K+1))=0;
B. 如果 k=0,則跳轉到步驟 E;否則,令 k=k?1 后進入下一步;
C. 對每個 TPN 狀態和每個歷史依次計算公式(4);
D. 返回步驟 B;
E. 防守方最佳加固方案按照公式(7a)生成輸出.
實驗##
本文給出態勢感知系統在一個具體公司網絡測評中的應用,網絡主要結構如下圖所示。網絡中的FTP和HTTP兩個服務器通過交換機放置在DMZ區;內網辦公區主機由交換機劃分為2 個 VLAN,并與外界通過防火墻相隔離.遠程辦公室主機經交換機相連后遠程訪問公司絡,NetScreen204 是帶防火墻的路由器, Internet 用戶通過該路由器訪問公司網絡資源,整個公司部署一個硬件 IDS.。
態勢感知系統首先進行安全數據檢測,包括對每個網絡節點部署資產識別,對每個主機和兩個服務器部署惡意代碼檢測和脆弱性掃描,對 IDS、防火墻、路由器和交換機部署滲透測試和在線測試,同時收集 IDS報警日志數據;接著,根據檢測數據融合得到資產集合、威脅集合、脆弱性集合。然后,對威脅集合中的每個威脅建立 TPN,根據 TPN 建立 Markov 博弈模型,分析威脅的安全態勢;最后,由每個威脅的安全態勢評估網絡安全態勢。下面以威脅集合中的某個威脅 t 的保密性態勢評估過程為例進行描述。首先建立威脅 t 的 TPN,如圖 6 所示,傳播節點和傳播路徑由檢測模塊測得。
傳播路徑的狀態見表 2,路徑的價值以等級的形式表示切斷該條路徑后造成的損失;路徑性能利用率與資 產性能利用率也類似地分為5 個等級;威脅通過該傳播路徑成功傳播的概率也分5 個等級。例如,E8(N4,N5,5, 4,2) 路徑表示威脅t以20% ~ 40%的概率通過該路徑從節點4傳播到節點5,該路徑非常重要,如果切斷對網絡造成很大損害,該路徑目前處于10% ~ 30%的利用率。
接著建立威脅t 的 Markov博弈模型,攻擊方為威脅t,動作為通過TPN 進行傳播;防守方為系統管理員,動作為修復TPN中傳播節點上的脆弱性或切斷TPN中某條傳播路徑;中立方為所有普通用戶的統計特性,狀態轉移概率矩陣可以根據各方動作影響確定。
最后,利用Markov博弈模型評估威脅t的保密性態勢(子算法2)。以同樣的方法評估威脅集合中所有威脅的保密性態勢,得到網絡安全態勢。下圖為模型對系統保密性態勢評 估和預測,包括采用基于傳播分析的 Markov 博弈模型評估結果和未考慮威脅傳播的靜態評估結果。
同時,采用子算法 3 得到應對 t 保密性損害的最佳加固方案。以同樣的方法,威脅集合中的每個威脅找出應 對該威脅保密性損害的最佳加固方法。圖 8 為測評系統提供的針對保密性損害的加固方案。
優勢分析及性能優化
通過上述測評過程的分析可以發現,本文提出的網絡安全態勢感知模型具有下列優點:
(1) 評估數據來源豐富,采用的多種異構檢測模塊從多個側面檢測網絡的安全因素;
(2) 采用基于 Markov 博弈分析的態勢評估算法,增加了對威脅傳播分析和對普通用戶行為影響分析.比 起將各個網絡節點孤立的靜態分析,能發現系統的潛在危害,更貼近實際;
(3) 采用基于 Markov 博弈分析的安全加固方案生成算法,對威脅傳播和普通用戶行為動態分析,找到危 害程度最大的節點和路徑,給出最佳加固方案;
(4) 對不同類型的威脅區別對待,從保密性態勢、完整性態勢和可用性態勢 3 個方面評估系統的安全態 勢,評估結果細致全面,針對性強.
此外,本文提出的基于 Markov 博弈模型的分析方法考慮了攻擊方、防守方和中立方三方的博弈過程,在建 立 TPN 的時候考慮了傳播節點和傳播路徑的雙重影響,因此在做決策時狀態空間會很大.在執行子算法 2 和子 算法 3 的迭代時,將會耗費大量的資源.尤其在網絡的節點和路徑較多時,很難做到實時評估分析,需要考慮性能 優化,性能優化主要從以下兩個方面分析:
(1) 博弈模型的狀態空間隨著資產數量的增加而指數增加,當網絡的資產數量很多時,首先進行資產縮 減,合并一些連接緊密功能相似的節點,剔除一些影響不大的資產;
(2) 評估過程對每個威脅都要建立博弈模型,同一個威脅可能在多次評估時遇到.每一次的博弈模型是 相似的,可將每個威脅對目標網絡的每個可能狀態的一步損害靜態地存儲,在每次評估時通過查表 的方式取得;以類似的方式將管理員每個行為對目標網絡的每個可能狀態的一步報酬靜態地存儲, 在評估時通過查表方式獲取,雖然增加了存儲空間的損耗,但是提高了算法的執行速度,能夠做到實 時評估.
