2. 北京航空航天大学 软件学院, 北京 100191;
3. 科学技术部 信息中心, 北京 100862
2. School of Software, Beihang University, Beijing 100191, China;
3. Information Center of Ministry of Science and Technology, Beijing 100862, China
随着信息化对业务应用的支撑作用越来越明显,信息安全风险评估工作得到了政府机构及金融、电信、能源等大型企业的高度重视,已经成为信息安全的基础性工作[1]。提高信息系统风险评估结果的有效性、提升对业务应用系统安全评价的准确性,是风险评估研究的主要问题[2]。随着业务应用规模和复杂度的发展,服务价值不断得到提升,应用层成为近年来大多数入侵和网络攻击的目标,导致重要业务系统的安全受到严重威胁。据Gartner公司[3]研究报告分析,针对于Web应用的攻击行为中有75% 发生于应用层,而非网络层面。如何针对应用层攻击的特点和业务现状,提高危害评估的准确性是安全防御决策的基础。
本文提出了一种基于服务相关性的安全事件危害量化方法。将安全事件的危害分为直接危害和间接危害,根据服务的接口关联、应用关联和统计关联关系计算间接危害,进而得出整体危害,帮助管理员从全局了解安全危害,调整可 引起较大安全危害的服务的防御策略,优先处置安全危害值较高的安全事件,根据间接危害的扩散路径遏制危害进一步恶化。
1 相关工作风险评估是信息安全研究的主要内容之一。目前国内外已有多个针对信息安全评估的标准,包括美国的《可信计算机系统评估准则》(TCSEC)[4]、 欧洲国家提出的《信息技术安全评估准则》(ITSEC)[5]、 作为国际标准的《信息技术安全评估通用准则》(CC)[6]、 我国的《信息安全风险评估规范》(GB/T20984)[7]等。这些信息安全评估标准都是从安全需求出发,结合资产价值对系统所受威胁以及脆弱性进行全面的考察和评判,以查找目标系统的脆弱性为目标,是一种静态的评估方式。
Bass[8]提出应用多传感器数据融合建立网络空间态势意识的框架,通过推理识别攻击者身份、攻击速度、威胁性和攻击目标,进而评估网络空间的安全意识,但没有实现具体原型系统。Hariri等[9]提出了一个实时分析网络脆弱性的框架,量化地分析了网络攻击或故障对网络性能和服务的影响,但未考虑对链路的影响和网络节点的重要性等因素。何慧等人[10]考虑底层基础网络的构成情况,分析受影响的节点、链路和事件情况,根据网络事件发生后对链路带宽以及吞吐量等性能指标的影响,综合节点和链路的危害度及重要程度等参数,从底层指标向上逐层计算危害度的指数,最终计算出整个网络的危害度值,但只从网络性能角度考虑,未考虑安全事件在保密性、可靠性等方面的危害。吴华等人[11]将主动测量和异常检测相结合,自底向上地对异常事件、主机及路由器本身的重要性因子进行加权,计算出指定时间内发生的异常事件对整个网络造成的危害程度与影响,进而量化分析安全威胁指数,但未考虑服务层的危害。陈秀真等人[12]基于 IDS海量报警信息和网络性能指标,结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估模型及其相应的计算方法,但指标选择以网络情况为主,未考虑服务之间相互影响带来的危害。
在自然环境中,各要素相互联系、相互影响,构成了一个有机整体。自然灾害发生时伴随发生的次生灾害带来的损失有时要远大于灾害本身[13]。在网络环境中,随着应用的发展,业务系统的功能不断增加、规模不断增大,单个服务已无法满足业务系统的需求,业务系统由跨主机、跨网络的服务组成[14, 15],服务之间除了连通性外,还存在一定的相关性。攻击者利用这种相关性不仅可以对攻击节点造成损害,也通过对该节点的损害间接实现对其他节点的损害。以http服务为例(如图1所示),门户网站是信息发布、业务办理等功能的入口,其遭受网络攻击后,也对其链接的业务办理网站的用户访问造成影响。从实际统计的具体连接数可以看出,在网络攻击发生后,门户网站(记为web1)的网络连接数呈下降趋势,业务办理网站(记为web2)的网络连接数随之下降,而故障排查后web2的连接数也随web1的连接数恢复。
结合已有研究成果,本文分析了服务之间的相关性,并提出一种基于该相关性的安全事件危害评估方法,采用自底而上的评估策略,逐层计算直接危害和因服务相关性造成的间接危害,进而得出安全事件产生的整体危害,并采用真实网络的网络环境和数据进行实验测试。
2 服务关联度计算本节介绍服务相关性的定义及服务关联度的计算方法。
定义1 网络系统中运行多个服务,记为sij,其中i表示其所在主机的编号,j表示主机i内服务的编号。若服务sij和服务skl同时为同一个用户提供服务,并作为组合服务工作,则称服务sij和服务skl之间存在相关性。
依据应用情况,相关性包括接口关联、应用关联和统计关联[16]。结合危害评估的范围,本文对以 上3种关联关系限定如下。
1) 接口关联: 若服务sij为了满足用户需求调用服务skl,则称skl对sij接口关联。
2) 应用关联: 服务sij和服务skl建立合作关系,用户可以通过访问skl来获取sij的访问入口,则称skl对sij应用关联。
3) 统计关联: 用户经常选择在选择访问服务sij时,将服务skl作为sij组合服务绑定执行,则称skl对sij统计关联。
以上3种关联关系的访问请求和数据返回如图2所示。
定义2 服务之间的关联程度用关联度d表示,接口关联度dint=m/E,其中E表示Δt时间内用户对服务sij的访问数,m表示Δt时间内sij对skl调用数。应用关联度dapp=n/E,其中n表示Δt时间内用户通过skl到sij的访问数。统计关联度dsta=k/E,其中k表示Δt时间内用户同时访问服务sij和skl的次数。
3 基于服务关联度的危害评估方法 3.1 模型描述本文结合网络的组织架构和服务的相关性,提出一个如图3所示的层次化网络安全事件危害评估模型,将网络系统划分为网络、主机和服务3个层次,自底而上来计算安全事件对受保护网络造成的安全危害。
危害评估以安全事件为原始数据。首先,计算服务层次的安全危害,根据事件的危害值和服务的重要性计算其造成的直接服务危害,根据目标服务与其他服务之间的关联度计算其造成的间接服务危害。其次,计算主机层次的安全危害,根据事件的服务层的直接危害、间接危害以及服务权重,得出其造成的主机直接危害和主机间接危害。最后,计算网络层次的安全危害,根据主机层的直接危害、主机间接危害以及主机权重,得出其造成的网络直接危害和网络间接危害,综合得出安全事件给网络造成的整体危害。
3.2 相关定义为叙述方便,本文给出以下定义。
定义3 本文的安全事件为应用层安全事件,记为e。事件e主要字段包括{ ID,sip,sport,dip,dport,name,l},其中 ID为事件标识,sip表示攻击者发起攻击的源地址,sport表示攻击者发起攻击的源端口,dip表示事件 e的作用目标的IP地址,dport表示事件e的作用端口,l(
定义4 安全事件给目标网络造成的危险称为危害。从网络层次结构划分,危害分为服务危害、主机危害和网络危害。
根据作用对象的不同,危害分为直接危害和间接危害。事件e通过利用服务sij的缺陷对服务sij造成的危险称为直接危害。因服务sij和服务skl的关联关系,事件在对sij造成直接危害的同时也对skl造成危害,这种危害称为间接危害。根据相关性的不同,间接危害包括因接口关联造成的间接危害、因应用关联造成的间接危害和因统计关联造成的间接危害。
定义5 安全事件e对网络中具有一定重要程度的服务sij造成的损害,称为服务危害DS(e),服务直接危害记为DSdirect(e),服务间接危害记为DSindirect(e)。 在服务层,因接口关联造成的间接危害记为DSint(e),因应用关联造成的间接危害记为DSapp(e),因统计关联造成的间接危害为DSsta(e)。
定义6 安全事件e对具有一定重要程度服务的主机造成的损害成为主机危害DH(e),主机直接危害记为DHdirect(e),主机间接危害记为DHindirect(e)。在主机层,因接口关联造成的间接危害记为DHint(e),因应用关联造成的间接危害记为DHapp(e),因统计关联造成的间接危害为DHsta(e)。
定义7 安全事件e对具有一定重要程度主机的网络造成的损害成为网络危害DL(e),网络直接危害记为DLdirect(e),网络间接危害记为DLindirect(e)。 在网络层,因接口关联造成的间接危害记为DLint(e),因应用关联造成的间接危害记为DLapp(e),因统计关联造成的间接危害为DLsta(e)。
定义8 网络中服务和主机具有一定的重要性,相对重要程度用权重表示。服务sij的重要性记为siij,权重记为wsij,主机hi的重要性记为hii,权重记为whi。主机hi的属性包括机密性、完整性和可用性,分别记为confi、 inti和avai。
3.3 模型的量化方法事件e的攻击目标记为服务sij,其所在主机记为hi; 与sij有接口关联的服务记为skl,其所在主机记为hk; 与sij有应用关联的服务记为smn,其所在主机记为hm; 与sij有接口关联的服务记为spq,其所在主机记为hp。本小节给出安全事件的危害包括服务安全危害DS(e)、 主机危害DH(e)和网络危害DL(e)的量化计算方法。
3.3.1 服务危害的量化计算
直接服务危害DSdirect(e)、 间接服务危害DSindirect(e)和服务危害DS(e)的计算方法如下式所示,其中危害值计算方法采用《信息安全技术信息安全风险评估规范》[4]中相乘法。
\[D{{S}_{\text{direct}}}\left( e \right)=\sqrt{s{{i}_{ij}}\times v\left( e \right)},\]
(1)
\[\begin{align}
& D{{S}_{\text{indirect}}}\left( e \right)=D{{S}_{\text{int}}}\left( e \right)+D{{S}_{\text{app}}}\left( e \right)+D{{S}_{\text{sta}}}\left( e \right)= \\
& \sum\limits_{k,l}{\sqrt{s{{i}_{ij}}\times v\left( e \right)}\times {{d}_{\operatorname{int}}}}+ \\
& \sum\limits_{m,n}{\sqrt{s{{i}_{mn}}\times v\left( e \right)}\times {{d}_{\text{app}}}}+ \\
& \sum\limits_{p,q}{\sqrt{s{{i}_{pq}}\times v\left( e \right)}\times {{d}_{\text{sta}}},} \\
\end{align}\]
(2)
DS(e)=DSdirect(e)+DSindirect(e).
(3)
主机危害根据安全事件的服务危害以及服务权重计算,直接主机危害DHdirect(e)、 间接主机危害DHindirect(e)和主机危害DH(e)的计算方法如下。
DHdirect(e)=DSdirect(e)×wsij,
(4)
\[\begin{align}
& D{{\text{H}}_{\text{indirect}}}\left( e \right)=D{{\text{H}}_{\text{int}}}\left( e \right)+D{{\text{H}}_{\text{app}}}\left( e \right)+ \\
& D{{\text{H}}_{\text{sta}}}\left( e \right)=\sum\limits_{k,l}{D{{\text{S}}_{\text{int}}}\left( e \right)\times \text{w}{{\text{s}}_{kl}}}+ \\
& \sum\limits_{m,n}{D{{\text{S}}_{\text{app}}}\left( e \right)\times \text{w}{{\text{s}}_{kl}}}+ \\
& \sum\limits_{p,q}{D{{\text{S}}_{\text{int}}}\left( e \right)\times \text{w}{{\text{s}}_{pq}},} \\
\end{align}\]
(5)
DH(e)=DHdirect(e)+DHindirect(e).
(6)
网络危害根据安全事件的主机危害以及主机权重计算,直接网络危害DLdirect(e)、 间接网络危害DLindirect(e)和网络危害DL(e)的计算方法如下。
DLdirect(e)=DHdirect(e)×whi,
(7)
\[\begin{align}
& D{{\text{L}}_{\text{indirect}}}\left( e \right)=D{{\text{L}}_{\text{int}}}\left( e \right)+D{{\text{L}}_{\text{app}}}\left( e \right)+D{{\text{L}}_{\text{sta}}}\left( e \right)= \\
& \sum\limits_{k}{D{{\text{H}}_{\text{int}}}\left( e \right)\times \text{w}{{\text{h}}_{k}}}+ \\
& \sum\limits_{m}{D{{\text{S}}_{\text{app}}}\left( e \right)\times \text{w}{{\text{h}}_{m}}}+ \\
& \sum\limits_{p}{D{{\text{S}}_{\text{int}}}\left( e \right)\times \text{w}{{\text{h}}_{p}},} \\
\end{align}\]
(8)
DL(e)=DLdirect(e)+DLindirect(e).
(9)
本文的危害评估方法需要确定的参数主要有服务重要性siij、 主机的重要性hii、 服务权重wsij、 主机权重whi和安全事件危害值v(e)。
在文中siij与hii相同,hii依据机密性、 完整性和可用性赋值计算,计算方法如下:
\[\text{s}{{\text{i}}_{ij}}=\text{h}{{\text{i}}_{i}}=\sqrt[3]{\text{con}{{\text{f}}_{i}}\times {{\operatorname{int}}_{i}}\times \text{av}{{\text{a}}_{i}}}.\]
(10)
wsij和业务应用结合紧密,本文中由管理员确定。whi根据主机的重要性hii计算。 计算方法为: 首先,利用德尔菲法[17]确定相对度; 其次,根据AHP层次分析法[18, 19]的计算方法,构建 服务重要性 的判断矩阵 A=(aij)n×n,计算服务的权重值whi,
\[\text{w}{{\text{h}}_{i}}=\frac{1}{n}\sum\limits_{j=1}^{n}{\frac{{{a}_{ij}}}{\sum\limits_{k=1}^{n}{{{a}_{kj}}}}.}\]
(11)
最后,判断矩阵的最大特征根λmax,并计算C.R.进行一致性检验。
v(e)可以根据经验、统计数据或标准判断。本文中,v(e)按照RFC3164[20]所列类别标识(如表1)。
l(e) | 描述 | v(e) |
0 | Emergency: system is unusable | 100 |
1 | Alert: action must be taken immediately | 50 |
2 | Critical: critical conditions | 20 |
3 | Error: error conditions | 10 |
4 | Warning: warning conditions | 5 |
5 | Notice: normal but significant condition | 3 |
6 | Informational: informational messages | 2 |
7 | Debug: debug-level messages | 1 |
实验环境选取某部门的DMZ区(网络结构见图4),共6台主机,运行有http、 https、 pop3、 db等服务。
图4中,host1、 host2、 host6对外服务,分别为信息发布系统,host2为审批管理系统和政策发布系统。信息发布系统为审批管理系统提供登录接口,用户可以通过信息发布系统登录审批管理系统,也可以直接登录审批管理系统。host3为邮件服务器,host4、 host5为数据库服务器,为host1和host2提供数据库服务。
4.2 参数计算为了获得实验网络中的服务之间存在的接口关联、应用关联和统计关联,实验中对该部门近3个月的页面访问数据、数据调用、网络流量等数据予以采样,按照本文第2小节所列方法计算,得出s11与其他服务之间的关联度数值(见表2)。
关联度 | s11 | s12 | s21 | s22 | s23 | s31 | s32 | s33 | s34 | s41 | s51 | s61 |
dint | — | — | — | — | — | — | — | — | — | — | — | — |
dapp | — | 0.435 6 | — | 0.147 8 | 0.232 1 | — | — | — | — | — | — | — |
dsta | — | — | 0.102 6 | — | — | — | — | — | — | — | — | 0.032 5 |
根据网络中主机的保密性、完整性、可用性赋值,按照式(10)计算得出的主机重要性取值hi(见表3)。
服务权重由管理员设置,如表4所示。
根据表3中主机重要性数值,按照德尔菲法和层次分析方法得出主机重要性判断矩阵及权重(见表5)。C.R.=0.0<0.1,判断矩阵满足一致性。
host1 | host2 | host3 | host4 | host5 | host6 | 权重 | |
host1 | 1 | 1 | 1/3 | 1/3 | 1/3 | 1 | 0.083 3(近似值) |
host2 | 1 | 1 | 1/3 | 1/3 | 1/3 | 1 | 0.083 3(近似值) |
host3 | 3 | 3 | 1 | 1 | 1 | 3 | 0.250 0 |
host4 | 3 | 3 | 1 | 1 | 1 | 3 | 0.250 0 |
host5 | 3 | 3 | 1 | 1 | 1 | 3 | 0.250 0 |
host6 | 1 | 1 | 1/3 | 1/3 | 1/3 | 1 | 0.083 3(近似值) |
在实验网络安全中心所警告的安全事件中,本文主要针对服务s11的事件e1危害值计算和分析。事件e1表示为
{7583,222.131.113.247,3526,*.*.110.67,80,web: Apache2DoS,2}。
根据本文3.3小节给出的危害评估评估方法,按照式(1—9)得出的事件e1的危害值如表6所示。
直接危害 | 间接危害 | 整体危害 | ||||
基于接口的危害 | 基于应用关联的危害 | 基于统计关联的危害 | 总和 | |||
服务层 | 6.324 6 | — | 5.156 7 | 0.854 4 | 6.012 0 | 12.336 6 |
主机层 | 3.794 7 | — | 1.769 5 | 0.465 1 | 2.234 6 | 3.029 3 |
网络层 | 0.316 2 | — | 0.083 3 | 0.038 7 | 0.186 1 | 0.502 2 |
按照本文给出的安全事件危害量化评估方法,可以得出事件对目标网络造成的直接危害以及因接口关联、应用关联和统计关联关系造成的间接危害,能够帮助管理员找出无法人为判断的间接危害,识别出一些从主观感受危害较小,但因业务相关性实际危害较大的安全事件。这种方法充分考虑了实际业务之间的相关性,更加符合实际应用系统的使用情况。在本实验中,事件e1是针对信息发布网站实施攻击,从攻击对象考虑,该事件对网络系统整体危害不大,危害量化结果为0.316 2。但是在实际业务应用中,信息发布网站作为审批管理系统的重要入口,其安全性在一定程度上影响了审批管理系统的安全性,一旦信息发布网站不可访问或者页面内容被破坏,部分用户也无法正常登录审批管理系统,影响审批管理系统的服务能力。实验结果根据信息发布服务和其他服务之间的相关性得出:事件e1会因业务相关性对 host1的https服务和host2的https、 ftp服务造成危害,会因统计相关性对host2的https服务、 host6的http服务造成危害,危害扩散路径为
{〈s11,s12〉,〈s11,s22〉,〈s11,s23〉,〈s11,s21〉,〈s11,s61〉}.
事件e1对网络造成的整体危害值是0.502 2,大于事件e1产生的直接危害,符合业务逻辑。
基于以上分析,本文给出的危害量化评估方法在实际安全管理中有以下应用价值。
1) 可以根据安全事件对服务的危害值及危害扩散情况形成安全危害全盘视图,预先调整安全防御策略,提高安全事件的应对能力。针对发生安全事件会造成较大危害的服务,调整防护策略,加强其访问控制、防病毒等措施,必要时放入沙箱运行,特别是会造成较大间接影响的服务,应加强其备份和应急恢复措施。
2) 可以加强安全事件处置的针对性,帮助管理员根据危害值优先补救服务; 根据危害扩散路径,及时切断危害扩散途径,达到风险遏制目标。
5 结 论随着业务应用系统功能和规模的扩大,服务的数量和规模也随之扩大,服务之间的关系变得多样化,为网络攻击者以较小的成本获得较强的攻击效果提供了条件。攻击者只需破坏网络中的关键服务,即可利用服务相关性对网络内大部分服务造成影响,产生巨大的间接危害。本文的危害评估算法,针对服务之间的相关性,给出了间接危害的计算方法,可以帮助管理员形成危害全景视图和安全事件处理优先级别,及时调整安全防御策略。
[1] | 冯登国, 张阳, 张玉清. 信息安全风险评估综述 [J]. 通信学报, 2004, 25(7): 10-18.FENG Dengguo, ZHANG Yang, ZHANG Yuqing. Survey of information security risk assessment [J]. Journal of China Institute of Communications, 2004, 25(7): 10-18. (in Chinese) |
[2] | 张利, 彭建芬, 杜宇鸽, 等. 信息安全风险评估的综合评估方法综述 [J]. 清华大学学报: 自然科学版, 2012, 52(10): 1364-1369.ZHANG Li, PENG Jianfen, DU Yuge, et al. Information security risk assessment survey [J]. J Tsinghua Univ: Sci & Technol, 2012, 52(10): 1364-1369. (in Chinese) |
[3] | Gartner. Gartner[EB/OL]. (2014-10-10). http://www.gartner.com/technology/home.jsp. |
[4] | DoD 5200.28-STD. Trusted Computer System Evaluation Criteria (TCSEC) [S]. 1985. |
[5] | Commission of the European Communities. Information Technology Security Evaluation Criteria (ITSEC) [S]. 1991. |
[6] | National Security Agency. Common Criteria for Information Technology Security Evaluation (CC) [S]. 2002. |
[7] | GB/T 20984. 信息安全技术信息安全风险评估规范 [S]. 2007. |
[8] | Bass T. Multisensor data fusion for next generation distributed intrusion detection systems [C]//IRIS National Symp on Sensor and Data Fusion. 1999: 24-27. |
[9] | Hariri S, Qu G Z, Dharmagadda T, et al. Impact analysis of faults and attacks in large-scale networks [J]. IEEE Security & Privacy, 2003, 1(5): 49-54. |
[10] | 何慧, 张宏莉, 王星, 等. 网络安全事件危害度的量化评估 [J]. 哈尔冰工业大学学报, 2012, 44(5): 66-70.HE Hui, ZHANG Hongli, WANG Xing, et al. Detriment quantitative assessment of the network security incidents [J]. Journal of Harbin Institute of Technology, 2012, 44(5): 66-70. (in Chinese) |
[11] | 吴华, 张宏莉, 何慧, 等. 大规模网络安全事件威胁量化分析 [J]. 微计算机信息, 2008, 24(3): 44-46.WU Hua, ZHANG Hongli, HE Hui, et al. Threaten quantitative and analyse of a large-scale network security events [J]. Microcomputer Information, 2008, 24(3): 44-46. (in Chinese) |
[12] | 陈秀真, 郑庆华, 管晓宏, 等. 层次化网络安全威胁态势量化评估方法 [J]. 软件学报, 2006, 17(4): 885-897.CHEN Xiuzhen, ZHENG Qinghua, GUAN Xiaohong, et al. Quantitative hierarchical threat evaluation model for network security [J]. Journal of Software, 2006, 17(4): 885-897. (in Chinese) |
[13] | 余世舟, 赵振东, 钟江荣. 基于GIS的地震次生灾害数值模拟[J]. 自然灾害学报, 2003,12(4): 100-105.YU Shizhou, ZHAO Zhendong, ZHONG Jiangrong. Numerical simulation of secondary disasters of earthquake based on GIS [J]. Journal of Natural Disasters, 2003, 12(4): 100-105. (in Chinese) |
[14] | Desai N, Mazzonleni P, Tai S. Service communities: A structuring mechanism for service-oriented business ecosystems [C]//Proc the 2007 IEEE International Conference on Digital Ecosystems and Technologies. Washington, D.C., USA: IEEE, 2007: 122-127. |
[15] | Kohlborn T, Korthaus A, Riedl C, et al. Service aggregators in business network [C]//Proc the 1st Workshop on Service-Oriented Business Networks and Ecosystems. Auckland, New Zealand: University of Auckland, 2009: 195-202. |
[16] | GUO Hua, TAO Fei, ZHANG Lin, et al. Correlation-aware web services composition and QoS computation model in virtual enterprise [J]. The International Journal of Advanced Manufacturing Technology, 2010, 51(5): 817-827. |
[17] | Linstone H A, Turoff M. Delphi Method: Techniques and Applications [M]. Boston: Addison-Wesley Publishing, 1975. |
[18] | Saaty T. Modeling unstructured decision problem: A theory of analytical hierarchies [C]//Proc the 1st International Conference on Mathematical Modeling. 1977: 69-77. |
[19] | Saaty T. The seven pillars of the analytic hierarchy process [C]//Proc the 5th International Symposium on the Analytic Hierarchy Process. 1999. |
[20] | Lonvick C. RFC 3164: The BSD syslog protocol [R]. Network Working Group, 2001. |