何 旭

（達(dá)州職業(yè)技術(shù)學(xué)院 四川 635001）

0 引言

主動(dòng)安全防御是對(duì)正常的網(wǎng)絡(luò)行為建立模型，將所有的網(wǎng)絡(luò)形為數(shù)據(jù)與保存在模型內(nèi)正常模式匹配比較，如果不在正常范圍以內(nèi)就認(rèn)為是攻擊行為。從而就可以檢測任何未知入侵。被動(dòng)安全防御是對(duì)已經(jīng)發(fā)現(xiàn)的入侵方式，經(jīng)過分析后給出其特征進(jìn)而來構(gòu)建攻擊特征集，然后在網(wǎng)絡(luò)中尋找與之匹配的行為，從而起到檢測作用。

網(wǎng)絡(luò)運(yùn)行的實(shí)時(shí)信息最能夠反映網(wǎng)絡(luò)安全狀態(tài)的指標(biāo)，實(shí)時(shí)安全性主要是指對(duì)事件告警、流量監(jiān)測方面的數(shù)據(jù)分析，網(wǎng)絡(luò)攻擊、系統(tǒng)自身的脆弱性和服務(wù)等信息都是實(shí)時(shí)安全性的重要量度指標(biāo)[1][2]。信息安全管理人員對(duì)所管理單位的信息安全通過風(fēng)險(xiǎn)效益分析，以確定存在哪些風(fēng)險(xiǎn)需要立即解決，通常采用“前瞻性”方法檢查網(wǎng)絡(luò)可能在將來被利用的漏洞來降低安全風(fēng)險(xiǎn)[3]。

分析認(rèn)為入侵不是按固定概率分布攻擊入侵行為，相反可以考慮一種博弈論安全策略并假設(shè)最壞情況入侵，這樣定義的模型可以用兩個(gè)屬性足夠反應(yīng)安全策略[4]。首先沒有一個(gè)單一的攻擊是災(zāi)難性的，也就是說防御能夠經(jīng)受得起大量的攻擊。其次，防御策略是可變的，也就是說信息安全管理人員根據(jù)需要可以隨時(shí)重新布置防御策略，例如可以重新配置防火墻規(guī)則從而提高數(shù)據(jù)訪問規(guī)則[5]。

1 形式化被動(dòng)安全模型

通過形式化方法建立一個(gè)入侵與防御的理論模型，模型能夠表示網(wǎng)絡(luò)、復(fù)雜→軟→件系統(tǒng)的組件，因特網(wǎng)等[6]。

用有向圖（V,E）定義入侵者與防御者之間的系統(tǒng)關(guān)系，如圖1所示。每個(gè)頂點(diǎn)v（∈）表示系統(tǒng)的一個(gè)狀態(tài)，每條邊e（∈）表示入侵者能夠誘發(fā)的狀態(tài)轉(zhuǎn)換[7]。如，一個(gè)頂點(diǎn)表示網(wǎng)絡(luò)中的計(jì)算機(jī)已經(jīng)受到入侵威脅，網(wǎng)絡(luò)將兩臺(tái)計(jì)算機(jī)連接起來用一條邊表示，這樣一條邊就表示已經(jīng)危害了第一臺(tái)計(jì)算機(jī)的入侵者可能危害到第二臺(tái)計(jì)算機(jī)[8]。

在該模型中，入侵者可以選擇其中任何一個(gè)頂點(diǎn)開始的一條路徑，這樣就可以將入侵視作通過一系列使用包括路徑的邊來標(biāo)明狀態(tài)轉(zhuǎn)換的驅(qū)動(dòng)系統(tǒng)。

1.1 入侵激勵(lì)

在每個(gè)頂點(diǎn)通過附加一個(gè)非負(fù)的rwd值來建立表示入侵誘因的激勵(lì)機(jī)制，rwd對(duì)于入侵者來講表示通過頂點(diǎn)系統(tǒng)的狀態(tài)。一般地，設(shè)開始頂點(diǎn)有0個(gè)rwd值，要求入侵者在獲得好處前承擔(dān)一些行動(dòng)，不管什么時(shí)候入侵者進(jìn)行入侵，入侵者都獲得等于在入侵路徑已經(jīng)訪問頂點(diǎn)的rwd之和額度的pay值。即，pay（a）=∑∈avarwd)(。如圖1中，如果入侵者既危害了節(jié)點(diǎn)v0又危害節(jié)點(diǎn)v1，則入侵者獲得2個(gè)rwd[9]。

圖1 數(shù)據(jù)中心形式化模型示意圖

1.2 防御成本

防御者有一個(gè)固定的防御預(yù)算B>0和防御分配b，防御者能夠在有向圖的邊界之間分配B。對(duì)于b而言，所有e∈滿足d（e）≥0且∑e∈E→d(e)≤B。這樣，防御者通過邊的預(yù)算調(diào)配制定在什么地方部署企業(yè)安全資源的決策，從而通過DB，E的邊集E表示可用預(yù)算B的分配集。該模型的防御邊界，防御者使得入侵者在入侵中使用邊界更加困難，防御者的每個(gè)防御預(yù)算單元分配值 cst給一條邊，該值對(duì)于入侵者在入侵過程中必須使用邊去給付，每條邊用w表示防御狀態(tài)轉(zhuǎn)換程度。例如，同時(shí)運(yùn)行FTP與SMTP的服務(wù)器與僅運(yùn)行一個(gè)FTP服務(wù)的服務(wù)器相比有更多w。這樣入侵者必須給付cst以通過邊，即：cst（a，d）=∑e∈ad(e)/w(e)。分配防御預(yù)算給邊不是減少邊的入侵值w，防御面越大，就需要更多的預(yù)算分配建立入侵成本值。

1.3 入侵收益

為了評(píng)價(jià)本模型的防御策略，使用入侵收益（Inc）進(jìn)行評(píng)價(jià)。

如果防御者降低Inc，用該度量去評(píng)估防御策略，入侵者將被阻止入侵系統(tǒng)。一個(gè)純粹理性的入侵者將登錄入侵使 Inc最大化。

2 模型算法

便于分析該安全模型，使用入侵者與防御者作為自學(xué)習(xí)被動(dòng)防御策略，防御者選擇一個(gè)防御，然后入侵者選擇一個(gè)入侵，被動(dòng)防御事先并不知道系統(tǒng)存在的所有脆弱性。

2.1 算法描述

按如下形式化算法描述防御者與入侵者循環(huán)迭代，在每一次循環(huán)t從1到T：首先，防御者選擇邊界e（∈）的防御分配dt（e）；其次，入侵者選擇一個(gè)入侵路徑at；再次，路徑at與入侵值 w（e）（e∈at）由防御者泄漏；最后，入侵者成本cst（at，dt）并獲得 pay（at）。隱藏邊界的被動(dòng)防御策略算法描述如下：

2.2 算法分析

上述算法是一個(gè)基于倍增量更新自學(xué)習(xí)的被動(dòng)防御策略算法。在入侵路徑中算法倍速地增量邊界，通過分配更多預(yù)算給容易防御的邊界將入侵值給用戶。當(dāng)新邊界暴露的時(shí)候，算法從已經(jīng)暴露的邊界重新分配相同預(yù)算給新暴露的邊界。使用形式化防御分配pt（e）描述算法，其中pt（e）=dt（e）/B。對(duì)于非入侵邊界和正在訪問每個(gè)頂點(diǎn)的入侵者rwd來講，該算法是強(qiáng)健的。

算法描述在第tth次入侵中，算法更新暴露給該點(diǎn)的邊界集Et，同時(shí)也更新到現(xiàn)在為止使用入侵的次數(shù)e的權(quán)重計(jì)數(shù)s（te）。對(duì)于已經(jīng)暴露的每一條邊，防御分配pt+1（e）被選擇作為使標(biāo)準(zhǔn)化所有邊e（∈Et）之和。這樣，在t循環(huán)的任何邊界入侵將有其防御配額加強(qiáng)。參數(shù)β控制防御者如何主動(dòng)地分配防御預(yù)算給最近入侵的邊界。如果β無限小，防御者將移動(dòng)整個(gè)防御預(yù)算給具有最小入侵表面的最近入侵路徑的邊。如果β無限大，防御者將不是非常敏捷的，相反將防御預(yù)算給初始分配。對(duì)于β的適當(dāng)值，算法收斂于最優(yōu)防御策略。

2.3 算法收斂性

算法的平均入侵者收益收斂于→最佳主動(dòng)防御的平均入侵者收益。一般地，在任何系統(tǒng)（,，w，rwd，s）和任何入侵序列，如果防御分配由具有序列βs=1/的參數(shù)得出。對(duì)于所有的主動(dòng)防御策略d*∈DB，E，都有，即入侵值的倒數(shù)。

3 應(yīng)用案例

在信息安全實(shí)際應(yīng)用策略布置中，策略配置可以利用該模型布置深度防御。這樣，嘗試防御就可以提升許多策略系統(tǒng)中作為優(yōu)化防御[10]。例如，考慮如圖2所表示的入侵圖是通用企業(yè)級(jí)數(shù)據(jù)中心簡化圖[11]。盡管防御者接收到最大rwd威脅到后臺(tái)數(shù)據(jù)庫服務(wù)器，但是同樣接收到許多rwd也威脅前端web服務(wù)器。然而，前端Web服務(wù)器與后臺(tái)數(shù)據(jù)庫服務(wù)器相比較有大量入侵額度pay，這是因?yàn)榍岸朔?wù)器暴露更多Web應(yīng)用的接口，數(shù)據(jù)庫服務(wù)器僅暴露簡單的SQL接口。分配防御策略給最外邊界表示使用復(fù)雜 Web應(yīng)用防火墻代替數(shù)據(jù)訪問控制列表的方法來保護(hù)敏感的數(shù)據(jù)信息[12]。

圖2 數(shù)據(jù)中心網(wǎng)絡(luò)圖簡化的入侵圖

如果優(yōu)化防御策略分配預(yù)算一半給最外邊界和一半給最內(nèi)邊界，限制入侵者的入侵收益。這樣，配置整個(gè)策略給最內(nèi)邊界（如，僅防御數(shù)據(jù)庫）則是災(zāi)難性，這是因?yàn)槿肭终呤褂昧愦鷥r(jià)就可能簡單地入侵前端，獲得無限制的入侵收益。配置整個(gè)策略給最外邊界具有脆弱性，因?yàn)槿肭终呖赡苋肭謹(jǐn)?shù)據(jù)庫同樣可以獲得多個(gè)入侵收益。

4 結(jié)論

自學(xué)習(xí)增量更新形式化安全模型體現(xiàn)入侵與防御之間復(fù)雜相互作用的一種抽象。研究結(jié)果能夠?yàn)樾畔踩芾砣藛T提供采用監(jiān)控，以提供檢測和分析入侵者工具，這些工具可以提升集中處理攻擊；能夠使安全管理人員對(duì)入侵檢測更加敏捷，一旦偵測到入侵者利用系統(tǒng)漏洞，就能讓安全管理人員快速地推出更新安全補(bǔ)丁。

在某些情況下，主動(dòng)安全在性能上更具有安全性，但是在“下一輪”入侵反應(yīng)上可能不適應(yīng)用于抵御災(zāi)難性攻擊，這是因?yàn)橹鲃?dòng)安全沒有“下一輪”攻擊的數(shù)據(jù)信息，研究結(jié)果對(duì)于“下一輪”入侵信息的有效性和局限性提供參考。

[1]席榮榮，云曉春，金舒原等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計(jì)算機(jī)應(yīng)用，2012，32（1）：1-4，59.

[2]何旭.一種可擴(kuò)展 Web模型安全機(jī)制[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2012，8：89-93.

[3]Kark，K.，Penn，J.，Dill，A.2008 CISO priorities：The right objectives but the wrong focus[J].Le Magazine de la Sécurité Informatique，April 2009.

[4]Friedberg，J.Internet fraud battlefield[Z].http：//www.ftc.gov/ bcp/ workshops/ proofpositive/ Battlefield_Overview.pdf.April 2007.

[5]季慶光，馮登國.對(duì)幾類重要網(wǎng)絡(luò)安全協(xié)議形式模型的分析[J].計(jì)算機(jī)學(xué)報(bào)，2005，28（07）：1071-1083.

[6]宗麗臻，謝圣獻(xiàn)，李俊青.P2P網(wǎng)絡(luò)中基于評(píng)價(jià)相似度的信任模型研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（1）：32-35.

[7]Barth，A.，Rubinstein，B.I.P.，Sundararajan，M.A learn ing-based approach to reactive security[Z].http：//arxiv.org/abs/0912.1155，2009.

[8]Cavusoglu，H.，Raghunathan，S.，Yue，W.Decision-th eoretic and game-theoretic approaches to IT security invest ment[J].Journal of Management Information Systems，2008，25（2）：281-304.

[9]Miura-Ko，R.，Bambos，N.：SecureRank.A risk-based vulnerability management scheme for computing infrastructur es[C].In：Proceedings of IEEE International Conference on Communications，2007：1455–1460.

[10]李慶朋，王布宏，王曉東等.基于最優(yōu)攻擊路徑的網(wǎng)絡(luò)安全增強(qiáng)策略研究[J].計(jì)算機(jī)科學(xué)，2013，40（4）：152-154

[11]Fultz，N.，Grossklags，J.Blue versus Red：Towards a model of distributed security attacks.Proceedings of the Thi rteenth International Conference Financial Cryptography and Data Security，F(xiàn)ebruary 2009.

[12]Beard，C.Introducing Test Pilot[Z].http：//labs.mozilla.com/2008/03/introducing-test-pilot/.March 2008.