摘要：針對攻擊行為預(yù)警的發(fā)展要求，特別是對未知攻擊行為的預(yù)警，提出了基于狀態(tài)的預(yù)警模型。模型根據(jù)攻擊工具的分類詳細(xì)定義了狀態(tài)項，并以網(wǎng)絡(luò)熵為基礎(chǔ)，建立了狀態(tài)、系統(tǒng)狀態(tài)和系統(tǒng)狀態(tài)集以及狀態(tài)之間的轉(zhuǎn)移關(guān)系。應(yīng)用該模型，實現(xiàn)了存在攻擊情形下的預(yù)警：狀態(tài)項預(yù)警、系統(tǒng)狀態(tài)預(yù)警、網(wǎng)絡(luò)系統(tǒng)預(yù)警和受損度預(yù)警。

關(guān)鍵詞：狀態(tài)項；狀態(tài)；網(wǎng)絡(luò)熵；系統(tǒng)狀態(tài)；網(wǎng)絡(luò)系統(tǒng)；受損度

0引言

目前對網(wǎng)絡(luò)攻擊行為的描述有多種模型和分析方法，主要包括：攻擊樹和攻擊圖、特權(quán)圖、模型檢測、基于狀態(tài)的隨機(jī)模型。攻擊樹和攻擊圖是目前最常用的描述攻擊的方法。攻擊樹(圖)模型重點描述了可導(dǎo)致系統(tǒng)安全故障的事件的集合，可以模擬一個系統(tǒng)可能受到的攻擊。特權(quán)圖更側(cè)重于描述利用脆弱性的攻擊過程，因此更宜用于網(wǎng)絡(luò)系統(tǒng)脆弱性分析。模型檢測常被用來分析安全協(xié)議和安全缺陷。不同于攻擊圖和特權(quán)圖，基于狀態(tài)的攻擊模型可以對網(wǎng)絡(luò)系統(tǒng)進(jìn)行更小細(xì)節(jié)上的描述，確定系統(tǒng)在受到攻擊威脅情況下的各種狀態(tài)分布和狀態(tài)之間的轉(zhuǎn)移關(guān)系。應(yīng)用基于狀態(tài)的攻擊模型，可以從攻擊對網(wǎng)絡(luò)系統(tǒng)造成的影響角度建立攻擊模型，從而既忽略一些未知的行為細(xì)節(jié)又不影響安全性評價指標(biāo)的計算。而且，可以從攻擊影響的角度描述和認(rèn)識未知的攻擊。實際上，未知的攻擊已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全面臨的最大威脅。

目前在網(wǎng)絡(luò)預(yù)警研究方面，對未知攻擊的預(yù)警還比較薄弱；風(fēng)險等級主要依賴經(jīng)驗劃分；還沒有將風(fēng)險等級與網(wǎng)絡(luò)的受損情況和可工作性能結(jié)合起來。為解決這些問題，我們提出一種新的基于狀態(tài)的預(yù)警模型，通過建立存在攻擊情形下系統(tǒng)的運(yùn)行狀態(tài)集及其之間的轉(zhuǎn)移關(guān)系，進(jìn)行網(wǎng)絡(luò)系統(tǒng)的安全性能分析和安全預(yù)警。由于攻擊工具的性能與被攻擊網(wǎng)絡(luò)的狀態(tài)存在緊密聯(lián)系，將攻擊工具按攻擊性能和特點分類，然后根據(jù)分類對狀態(tài)進(jìn)行詳細(xì)定義。本文采用網(wǎng)絡(luò)熵作為安全性能評估基礎(chǔ)，對風(fēng)險等級的劃分進(jìn)行了定量計算，風(fēng)險等級隨狀態(tài)改變而實時對應(yīng)變化。我們認(rèn)為僅提供受攻擊網(wǎng)絡(luò)的風(fēng)險等級不足以確切地描述網(wǎng)絡(luò)的風(fēng)險狀況，需要進(jìn)一步對達(dá)到某個風(fēng)險等級的具有相同狀態(tài)集的網(wǎng)絡(luò)系統(tǒng)進(jìn)行受損度分析。

1狀態(tài)描述

1．1攻擊工具分類

攻擊工具分為七類：搜索類、破解類、控制類、傳染類、拒絕服務(wù)與網(wǎng)絡(luò)監(jiān)聽類、安全“后門”與堆棧溢出類、毀滅性類。 傳染類主要包括病毒和蠕蟲；控制類主要指特洛伊木馬；搜索類包含如掃描器和嗅探器等信息搜索工具；破解類主要指用于密碼破解的工具；拒絕服務(wù)與網(wǎng)絡(luò)監(jiān)聽類主要包含拒絕服務(wù)攻擊類工具和網(wǎng)絡(luò)監(jiān)聽與信息截獲工具；安全“后門”與堆棧溢出類主要包含給計算機(jī)安裝后門和使堆棧溢出的攻擊工具；毀滅性類主要指對計算機(jī)軟件和硬件造成毀滅性打擊的攻擊工具，如Email炸彈，ICQ炸彈等。

1．2狀態(tài)定義

狀態(tài)定義為主機(jī)所具有的文件、用戶，密碼、進(jìn)程、服務(wù)、輸入，輸出、網(wǎng)絡(luò)連接、軟硬件環(huán)境、流量和時間延時等特性的總和。狀態(tài)由若干“項”構(gòu)成，每一個項稱為“狀態(tài)項”或“狀態(tài)特征”。根據(jù)定義，可以得到一個9元組的狀態(tài)T=。所有的狀態(tài)項構(gòu)成一個狀態(tài)空間，攻擊方法描述了一次狀態(tài)的變遷映射f：T₁——T₂。以圓圈代表狀態(tài)，以箭頭代表狀態(tài)變化，狀態(tài)變遷可表示為。

用表格和文字表示則如圖1所示：

下面，分別闡述狀態(tài)的9個參量：

文件參量F文件分為文檔文件、系統(tǒng)文件和執(zhí)行文件。文檔文件是信自獲取類攻擊方法的主要目標(biāo)；系統(tǒng)文件是系統(tǒng)控制類攻擊方法的主要目標(biāo)；執(zhí)行文件多用于木馬程序的上傳，屬于系統(tǒng)破壞的層次。對文件的改變包括查看、下載、上傳、刪除、修改等。以符號△表示狀態(tài)的改變，則△F=<△文檔文件，△系統(tǒng)文件，△執(zhí)行文件>。

用戶／密碼參量U用戶名，密碼分為本地USER、遠(yuǎn)程USER、本地ROOT和遠(yuǎn)程ROOT。每一個用戶名／密碼包含用戶名、密碼、權(quán)限、隸屬關(guān)系、有效時間5個屬性，參量u的改變是這5項屬性變化的總和。

進(jìn)程參量P 進(jìn)程分為系統(tǒng)進(jìn)程和一般進(jìn)程兩類，△P=<△系統(tǒng)進(jìn)程，△一般進(jìn)程>。進(jìn)程和執(zhí)行程序密切相關(guān)，信息獲取類攻擊的主要目的是查看進(jìn)程狀態(tài)，而系統(tǒng)破壞類攻擊則可能增加或者終止進(jìn)程。

服務(wù)參童S服務(wù)參量與進(jìn)程參量相似，不同之處在于服務(wù)破壞方面增加了拒絕服務(wù)攻擊。服務(wù)主要利用系統(tǒng)進(jìn)程，考慮到拒絕服務(wù)攻擊特殊性，服務(wù)和進(jìn)程應(yīng)該分別考慮。

輸入／輸出參量I系統(tǒng)的輸入輸出一般包括鍵盤、屏幕和鼠標(biāo)?？梢杂萌齻€BOOL變量，分別表示能否進(jìn)行鍵盤記錄、屏幕控制和鼠標(biāo)控制。

網(wǎng)絡(luò)連接參量N網(wǎng)絡(luò)連接參量包含了當(dāng)前TCP／IP連接的數(shù)量和它們的生存狀態(tài)(ESTABLISHED、LISTENING等)。

軟硬件環(huán)境參量H該參量包含軟件和硬件，相應(yīng)地AH=<△軟件，△硬件>。參量H的改變包括軟硬件信息的獲得、軟件的安裝／卸載、硬件的破壞等。

網(wǎng)絡(luò)流量參量L網(wǎng)絡(luò)流量異常通常會向周圍傳播，或者產(chǎn)生其他異常。因此流量異常是網(wǎng)絡(luò)報警中的重要因素，△L=攻擊后流量一攻擊前流量。

網(wǎng)絡(luò)延時參量D使目標(biāo)網(wǎng)絡(luò)所傳送的各個報文或分組產(chǎn)生最大的延時，是對信息網(wǎng)絡(luò)攻擊的直接戰(zhàn)術(shù)目的之一。延時主要分為全網(wǎng)傳送總延時和重要節(jié)點傳信延時。

(1)全網(wǎng)傳迭延時

設(shè)全網(wǎng)傳送總延時為Td，則其計算公式為：式中j為全網(wǎng)的N個節(jié)點中第j個節(jié)點；T_jk為第j個節(jié)點到第k個相鄰節(jié)點的傳送延時，M(M是j的函數(shù))為與j節(jié)點相鄰的節(jié)點的總數(shù)。

(2)重要節(jié)點傳信延時

重要節(jié)點傳信延時對網(wǎng)絡(luò)性能的降低要高于普通節(jié)點。設(shè)其為T_hd，計算公式為式中j=1，……，N₁為重要節(jié)點序號。

1．3狀態(tài)項變化描述

為了定量體現(xiàn)攻擊前后狀態(tài)項的變化，提出“網(wǎng)絡(luò)熵”來對網(wǎng)絡(luò)的安全性能進(jìn)行描述。網(wǎng)絡(luò)熵值越小(但不能為負(fù)數(shù))，表明攻擊者對該網(wǎng)絡(luò)系統(tǒng)的了解越少，網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性越好。對于狀態(tài)的某一項指標(biāo)來說，其熵值可以定義為：V；為此狀態(tài)項指標(biāo)的歸一化的性能參數(shù)。因此，可采用“熵差”對攻擊效果進(jìn)行描述。式中，V₁為網(wǎng)絡(luò)系統(tǒng)原來的歸一化性能參數(shù)(可以取為傳輸速率，進(jìn)程系數(shù)等)，V₂為網(wǎng)絡(luò)受攻擊后的歸一化性能參數(shù)。

設(shè)測得網(wǎng)絡(luò)受攻擊前的數(shù)據(jù)流量為V₁，受攻擊后的數(shù)據(jù)流量為V。把它們進(jìn)行歸一化，得歸一化的數(shù)據(jù)流量分別為：V₁／v_g，V₂/v_g，其中V_g為網(wǎng)絡(luò)的峰值數(shù)據(jù)流量，可以保證0≤v₂≤V₁g。則在網(wǎng)絡(luò)數(shù)據(jù)流量這項指標(biāo)上的攻擊效果為：

顯然，若V₂=V₁，則△H=O，表明攻擊未取得任何效果；V₂下降得越厲害，表明攻擊的效果越明顯，AH也越大?？梢姟鱄確實可以作為攻擊效果的一種描述。

2系統(tǒng)狀態(tài)預(yù)警

為了便于預(yù)警研究，現(xiàn)只考慮同安全相關(guān)的因素，將系統(tǒng)狀態(tài)定義為系統(tǒng)狀態(tài)涉及的主機(jī)集合、狀態(tài)和風(fēng)險等級的三元組：

HS=其中，Host為系統(tǒng)狀態(tài)涉及的主機(jī)，T為系統(tǒng)的狀態(tài)，Risk為系統(tǒng)狀態(tài)風(fēng)險等級。

系統(tǒng)狀態(tài)的風(fēng)險等級定義。設(shè)H為狀態(tài)所涉及主機(jī)；T是主機(jī)的狀態(tài)項集合。T集合一共包含n個狀態(tài)項，每個狀態(tài)項又包含m個影響元素。A是第i種狀態(tài)項Ti在該系統(tǒng)中所占權(quán)重p；的集合(1≤i≤n)，p；用百分比表示，且有β₁+β₂+…+β_n=1；B是狀態(tài)項T；的第j個元素所占權(quán)重a_ij的集合(1≤j≤m)，a_ij用百分比表示，且有a_il+a_i21+…+a_im=l；B_i，a_ij可由用戶來控制。定義函數(shù)由上式可以得出：T中每個狀態(tài)項T_i的風(fēng)險等級為當(dāng)計算機(jī)系統(tǒng)受到一次攻擊時，通過系統(tǒng)狀態(tài)的定義，可以將狀態(tài)轉(zhuǎn)移轉(zhuǎn)化為系統(tǒng)狀態(tài)的轉(zhuǎn)移；用攻擊方法描述一次系統(tǒng)狀態(tài)的變遷映射為：f：HS₁——HS₂，圖形表示為。

3網(wǎng)絡(luò)系統(tǒng)預(yù)警

3．1網(wǎng)絡(luò)系統(tǒng)描述

網(wǎng)絡(luò)內(nèi)部各計算機(jī)和網(wǎng)絡(luò)設(shè)備之間存在緊密聯(lián)系，因此，黑客對某種服務(wù)或某些主機(jī)實施一次有效攻擊后，會對整個網(wǎng)絡(luò)的安全狀態(tài)造成影響。為了提供更加準(zhǔn)確的安全預(yù)警，在得到系統(tǒng)狀態(tài)集風(fēng)險等級情況下，應(yīng)進(jìn)一步考慮網(wǎng)絡(luò)在該攻擊下的受損度。為此，我們將網(wǎng)絡(luò)系統(tǒng)抽象為系統(tǒng)狀態(tài)集合和網(wǎng)絡(luò)系統(tǒng)危險等級和服務(wù)受損度的三元組：

NS=其中，s為系統(tǒng)狀態(tài)的集合，Risk為網(wǎng)絡(luò)系統(tǒng)的風(fēng)險等級，SURV網(wǎng)絡(luò)系統(tǒng)服務(wù)受損度。下面主要來計算這三個參數(shù)。

3．2系統(tǒng)狀態(tài)集的轉(zhuǎn)移

攻擊行為能否有效實施取決于以下兩方面的因素：一是系統(tǒng)的靜態(tài)配置。因為攻擊行為是對系統(tǒng)漏洞或者弱點的利用，所以攻擊行為一般只會對特定產(chǎn)品的特定版本起作用。二是系統(tǒng)當(dāng)前所處的狀態(tài)，如果系統(tǒng)所處狀態(tài)不滿足攻擊行為的要求，攻擊行為也不可能發(fā)生。將攻擊行為定義如下：

Attack=oS>

這里PRE是攻擊行為的前提條件，是三元組PRE=的集合，其中company代表公司，production代表產(chǎn)品，version代表版本。s。為受攻擊系統(tǒng)的初始狀態(tài)的集合。設(shè)當(dāng)前的網(wǎng)絡(luò)系統(tǒng)為NS，則只有attack．SOCNS．S，攻擊行為才可能發(fā)生。s為攻擊行為完成后系統(tǒng)的狀態(tài)集合。設(shè)攻擊行為完成后的網(wǎng)絡(luò)系統(tǒng)為NS'，要求SoCS并且NS．Risk，對系統(tǒng)狀態(tài)集合影響相同的攻擊行為被描述為同一種攻擊行為，因為它們具有相同的初始狀態(tài)和完成狀態(tài)。因此可以推出，攻擊行為和系統(tǒng)狀態(tài)集合之間存在如下關(guān)系：式中NS_i-1s是第i次攻擊attack_i前的系統(tǒng)狀態(tài)集合，NS_i．S是第i次攻擊后的系統(tǒng)狀態(tài)集合。這樣攻擊行為就與系統(tǒng)狀態(tài)集的轉(zhuǎn)移建立了緊密的聯(lián)系。

3．3網(wǎng)絡(luò)系統(tǒng)風(fēng)險等級

網(wǎng)絡(luò)系統(tǒng)風(fēng)險等級的定義為：式中，w_i為第i個主機(jī)在網(wǎng)絡(luò)系統(tǒng)中的權(quán)重，HS_i．Risk是第i個主機(jī)當(dāng)前的風(fēng)險等級。

3．4受損度分析

網(wǎng)絡(luò)系統(tǒng)的生存性用于衡量系統(tǒng)承受攻擊的能力，即在遭受攻擊后網(wǎng)絡(luò)系統(tǒng)到達(dá)另一個狀態(tài)時，還能夠提供服務(wù)(或功能)的能力。生存性主要牽涉到兩方面內(nèi)容，攻擊對網(wǎng)絡(luò)的損壞程度和網(wǎng)絡(luò)自身的修復(fù)程度。本文主要關(guān)注攻擊對網(wǎng)絡(luò)系統(tǒng)的影響，即受損度。因為網(wǎng)絡(luò)系統(tǒng)可能提供多種服務(wù)，受損度分析也要針對不同的服務(wù)考慮。網(wǎng)絡(luò)系統(tǒng)的受損度定義為：式中，a(s，k)表示網(wǎng)絡(luò)系統(tǒng)中服務(wù)k在新網(wǎng)絡(luò)狀態(tài)s下的受損程度，w(k)是該服務(wù)重要程度的權(quán)值。a(s，k)可以通過給定的s和k來計算。這里設(shè)服務(wù)(或功能)集合為{K}，集合{K}中的元素k要視具體網(wǎng)絡(luò)系統(tǒng)而定。

下面來計算a(s，k)，即在特定的系統(tǒng)狀態(tài)集s下，服務(wù)k的損壞程度。根據(jù)系統(tǒng)受傷害的程度來排序，即從系統(tǒng)正常(s=1)到無功能(s=S)排序。定義每種攻擊事件對系統(tǒng)狀態(tài)影響的矩陣E_s。其中P_s(i，j)指當(dāng)攻擊事件發(fā)生時，系統(tǒng)由i狀態(tài)轉(zhuǎn)移到j(luò)狀態(tài)的概率；顯然，當(dāng)攻擊事件發(fā)生時，系統(tǒng)不可能轉(zhuǎn)移到更好一點的狀態(tài)，所以E_s是一個上三角矩陣；我們使用一種模型來生成P_s(i，j)，認(rèn)為P_s(i，j)與系統(tǒng)當(dāng)前的狀態(tài)i、當(dāng)前的防御策略l以及攻擊事件的嚴(yán)重性程度m有關(guān)。定義Ps(i，j)的計算公式為：

這里有兩種情況：j=i和j>i

(1)當(dāng)j=i，有該式表示在給定防御機(jī)制l下，系統(tǒng)保持正常狀態(tài)下的概率，即反映了系統(tǒng)的抵抗力。

(2)當(dāng)j>i，有該式表示在給定防御機(jī)制l下，系統(tǒng)變換到已泄密狀態(tài)(包含無功能狀態(tài))的概率，即攻擊的危害性。

上面兩式中：COST(c1)為防御機(jī)制l的費(fèi)用。其中，

在以上公式(1)中，參數(shù)m。和x。用來指定在防御機(jī)制l的費(fèi)用為COST(C)情況下，轉(zhuǎn)換概率之間的關(guān)系；而參數(shù)和x3用來指定轉(zhuǎn)換概率大小的合理性。其中，決定轉(zhuǎn)換概率P(i，j11)隨費(fèi)用變化的程度，的值越高，系統(tǒng)保持正常狀態(tài)的機(jī)會越高，因此，可生存性就會越高。x。決定轉(zhuǎn)換概率P(i，j11)◇i)隨費(fèi)用變化的程度。

通過計算Es，我們可以得出d(s，k)。接下來我們討論SURV(s)的幾種可能情況。所有的服務(wù)(或功能)都被破壞的情況時網(wǎng)絡(luò)系統(tǒng)的受損度為：

如果將系統(tǒng)的服務(wù)／功能集合{K}分為{K0，K1，K2l，K0表示相對“不重要”的服務(wù)，K1表示使用頻率較高但不是重要的服務(wù)，K2表示重要的服務(wù)，則有：或這里。

這樣就計算出了在風(fēng)險等級為NS．Risk的情況下的SURV(NS．S)。

4預(yù)警系統(tǒng)設(shè)計

以基于狀態(tài)的預(yù)警模型為基礎(chǔ)，開發(fā)出面向狀態(tài)的預(yù)警系統(tǒng)框架主要結(jié)構(gòu)如圖2所示。

預(yù)警系統(tǒng)包含以下模塊：狀態(tài)項變化計算模塊，用來計算狀態(tài)項的改變，計算狀態(tài)項的風(fēng)險等級，輸出狀態(tài)項風(fēng)險等級；狀態(tài)轉(zhuǎn)移模塊用來計算狀態(tài)的轉(zhuǎn)移；系統(tǒng)狀態(tài)轉(zhuǎn)移及系統(tǒng)狀態(tài)計算模塊，該模塊有兩個功能，一是要在新狀態(tài)到來時，計算出新的系統(tǒng)狀態(tài)，二是根據(jù)新的系統(tǒng)狀態(tài)，計算出系統(tǒng)狀態(tài)風(fēng)險等級；網(wǎng)絡(luò)系統(tǒng)轉(zhuǎn)移及網(wǎng)絡(luò)系統(tǒng)計算模塊功能為在得到新的網(wǎng)絡(luò)系統(tǒng)情況下，計算出網(wǎng)絡(luò)系統(tǒng)的風(fēng)險等級；網(wǎng)絡(luò)系統(tǒng)受損度計算模塊主要任務(wù)是生成影響矩陣的數(shù)據(jù)項，計算矩陣和根據(jù)具體情況輸出受損度。

該預(yù)警系統(tǒng)與目前其它預(yù)警系統(tǒng)相比，主要有以下優(yōu)勢：

(1)能夠?qū)ξ粗纛A(yù)警；

(2)以網(wǎng)絡(luò)熵為基礎(chǔ)，提供了精確風(fēng)險等級；

(3)能夠給出參數(shù)級的狀態(tài)項預(yù)警；

(4)將網(wǎng)絡(luò)風(fēng)險等級與網(wǎng)絡(luò)受損度對應(yīng)起來，使網(wǎng)絡(luò)預(yù)警更加準(zhǔn)確。

5結(jié)束語

本文提出一種基于狀態(tài)的預(yù)警模型，模型從忽略一些未知的行為細(xì)節(jié)計算和攻擊影響的角度描述了攻擊行為，建立了存在攻擊情形下的，系統(tǒng)狀態(tài)和系統(tǒng)狀態(tài)集以及它們之間的轉(zhuǎn)移關(guān)系；并從四個方面進(jìn)行預(yù)警：參數(shù)級的狀態(tài)項風(fēng)險等級預(yù)警Ti．Risk；系統(tǒng)狀態(tài)風(fēng)險預(yù)警HS．Risk；網(wǎng)絡(luò)系統(tǒng)風(fēng)險等級預(yù)警NS．Risk；狀態(tài)集為NS．S、風(fēng)險等級為NS．Risk情況下網(wǎng)絡(luò)的服務(wù)受損度SURV(NS．s)預(yù)警。最后以基于狀態(tài)的預(yù)警模型為基礎(chǔ)，開發(fā)出面向狀態(tài)的預(yù)警系統(tǒng)。

(注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。)