黃 海，劉林東

（廣東第二師范學(xué)院計(jì)算機(jī)學(xué)院，廣州 510303）

0 引言

實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估對(duì)網(wǎng)絡(luò)防御技術(shù)具有重要意義，作為下一代網(wǎng)絡(luò)的關(guān)鍵技術(shù)，已經(jīng)得到了專家學(xué)者們的廣泛關(guān)注［1］。風(fēng)險(xiǎn)評(píng)估方法包括人工評(píng)估和自動(dòng)評(píng)估［2］。人工評(píng)估通常是通過問卷調(diào)查的方法，這依賴于專家經(jīng)驗(yàn)。雖然這種評(píng)估方法比較全面，但是它容易導(dǎo)致主觀化以及評(píng)估過程的復(fù)雜性，往往會(huì)帶來巨大成本。自動(dòng)評(píng)估通常是自動(dòng)識(shí)別漏洞或攻擊。由于自動(dòng)評(píng)估方法自動(dòng)、高效且易于管理，風(fēng)險(xiǎn)評(píng)估相關(guān)研究集中在自動(dòng)評(píng)估方面。

為了從cops 中獲取信息，Ortalo 等［3］引入加權(quán)圖理論來為系統(tǒng)漏洞建模。他們使用馬爾可夫模型來計(jì)算攻擊者可能會(huì)滲透到安全定量測量系統(tǒng)安全性的成本，這是一種靜態(tài)方法。龔文濤等［4］提出了網(wǎng)絡(luò)漏洞檢測方法。Jajodia 等［5］基于攻擊圖模型對(duì)攻擊行為進(jìn)行建模和分析。李世斌等［6］提出了一個(gè)以免疫為基礎(chǔ)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測模型，這種模型強(qiáng)調(diào)評(píng)估網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)風(fēng)險(xiǎn)。張永錚等［7］提出了一個(gè)風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)信息傳播模型系統(tǒng)。但是，最后兩種方法針對(duì)已知的網(wǎng)絡(luò)攻擊檢測已不能滿足當(dāng)前的網(wǎng)絡(luò)安全環(huán)境精準(zhǔn)度的需要。

因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全的問題與生物免疫系統(tǒng)（BIS）在變化環(huán)境中都要保持穩(wěn)定狀態(tài)，所以它們呈現(xiàn)出極好的導(dǎo)向和相似度。Burnet等［8］在1957 年提出了著名的克隆理論，并建立“非我模式”模型。該模型認(rèn)為各種淋巴細(xì)胞受體有其特異性。基于“非我模式”， Forrest 等［9］在1994年提出了否定性選擇算法（NS）。NS算法極大地促進(jìn)了免疫原理在計(jì)算機(jī)安全方面的應(yīng)用，這對(duì)幾乎所有計(jì)算機(jī)免疫系統(tǒng)（cis）方面的研究是鼓舞人心的?；谌斯っ庖呦到y(tǒng)的網(wǎng)絡(luò)安全技術(shù)被認(rèn)為是非常有前途的研究方向。Matzinger［10］提出的風(fēng)險(xiǎn)理論指出，免疫系統(tǒng)不僅能夠識(shí)別“非我模式”，而且當(dāng)入侵的“風(fēng)險(xiǎn)”積累到一定的程度還會(huì)散發(fā)出風(fēng)險(xiǎn)的信號(hào)。這意味著免疫系統(tǒng)可發(fā)現(xiàn)外部抗原入侵。

為了有效地評(píng)估實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)，本文提出了一種基于Reapai 的實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模式。它先給出了自我、非自我和檢測器的定義， 然后介紹了入侵檢測器子模型定義，最后建立了基于免疫風(fēng)險(xiǎn)理論的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估子模型。在該模型中，包括主機(jī)和網(wǎng)絡(luò)的所有帶有風(fēng)險(xiǎn)程度的各類攻擊，都可以被實(shí)時(shí)和定量地計(jì)算。理論分析和實(shí)驗(yàn)結(jié)果都表明，Reapai提供了一個(gè)有效的、新穎的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法。

1 提出理論模型

Reapai 由兩個(gè)子模型組成，一個(gè)是入侵檢測子模型，負(fù)責(zé)入侵檢測；另一個(gè)是風(fēng)險(xiǎn)評(píng)估子模型，負(fù)責(zé)入侵評(píng)估，最后計(jì)算網(wǎng)絡(luò)系統(tǒng)各種攻擊類型的風(fēng)險(xiǎn)。

1.1 入侵檢測子模型

子模型含三個(gè)模塊，內(nèi)存檢測器檢測模塊、成熟檢測器檢測模塊和未成熟檢測器容忍模塊。與之相關(guān)的定義如下。在我們的模型中，抗原（Ag，Ag?D，D={0，1}∫）是從網(wǎng)絡(luò)傳輸中的互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)包中抽取的固定長度為1位二進(jìn)制字符串。異己模式代表來自計(jì)算機(jī)網(wǎng)絡(luò)攻擊的IP數(shù)據(jù)包，而自我模式是正常的網(wǎng)絡(luò)服務(wù)事務(wù)，因此

sAg是從Ag中以η的概率隨機(jī)選擇（檢測系數(shù)，0＜η≤1）。

假設(shè)B代表公式（1）給出的入侵檢測器，其中d代表抗體，年齡是抗體d的年齡，s是檢測器的損傷程度，計(jì)數(shù)是與抗體d相匹配的抗原的數(shù)量，N是自然數(shù)集合。

B包含兩個(gè)子集：成熟檢測器（Tb）和記憶檢測器（Mb），因此

成熟檢測器是一種能容忍自我但不能被抗原激活的檢測器。記憶檢測器是從在其生命周期中能與足夠多的抗原相匹配的成熟檢測器演繹而來，因此

其中β（＞0）代表激活閾值，

fmatch(x,y)代表一個(gè)r個(gè)連續(xù)比特的匹配函數(shù)，即

假設(shè)Ib代表未成熟檢測器集合，其中

它將用于生成成熟檢測器。Ib可以有兩種方法生成，一種來自抗原存托，另外一種是隨機(jī)生成。Ib的隨機(jī)性使得新的成熟檢測器有更多的多樣性。

對(duì)于每一個(gè)輸入集合Ag，它被分成δ（δ是不變的）個(gè)時(shí)代。對(duì)于每個(gè)抗原時(shí)代，大量的抗原被選擇組成集合sAg。而sAg通過B檢測器設(shè)置的檢測又被分成自我和異己兩類。每個(gè)時(shí)代的迭代過程如圖1所示。整個(gè)過程是由三個(gè)階段組成的。第一階段是從0時(shí)刻到容忍終止α?xí)r刻。在這個(gè)階段我們定義了最初的自我集合Self（0）和未成熟檢測器集合Ib（0）。其中集合Ib（0）將成長為成熟檢測集合。第二階段是自主學(xué)習(xí)階段，它從α+1 時(shí)刻到記憶檢測器出生時(shí)刻。通過克隆擴(kuò)張， 成熟檢測器將產(chǎn)生足夠多的具有相同特異性抗原。未成熟檢測器對(duì)自我抗原給出其容忍性。最后一個(gè)階段是從記憶檢測器的出生到系統(tǒng)的結(jié)束。在實(shí)際檢測環(huán)境中，免疫系統(tǒng)的所有部分分成三種類型：基因檢測器檢測抗原；成熟檢測器檢測剩余部分； 免疫檢測器用剩下的抗原再來實(shí)驗(yàn)其容忍性。整個(gè)過程如圖1所示。

圖1 入侵檢測子模型

在運(yùn)行過程中，外部系統(tǒng)也能添加合法的自我抗原到Self（t）中。雖然新添加的自我抗原會(huì)產(chǎn)生自身具有耐受性的檢測器，但隨著抗原的更新，未出現(xiàn)一些給定的時(shí)間，那么新的檢測器就不能容忍抗原。因此，系統(tǒng)具有良好的自適應(yīng)性。在系統(tǒng)中，如果對(duì)抗原有容忍和非容忍兩種類型的檢測器， 它們的競爭將由外部系統(tǒng)來評(píng)價(jià)（即共刺激）。

系統(tǒng)收到來自記憶檢測器和成熟探測器匹配成功的抗原，立即檢查當(dāng)前抗原是否屬于集合Self（t）。如果抗原屬于集合，那么共同刺激將產(chǎn)生。如果抗原是自我，則與抗原相匹配的檢測器將被刪除；否則，抗原將被刪除，并且刪除的自我元素將不再屬于自我；如果抗原不是自我，那么它會(huì)被當(dāng)成異己分子。

1.2 風(fēng)險(xiǎn)評(píng)估子模型

用入侵檢測子模型檢測入侵或攻擊抗原，記憶檢測器對(duì)檢測到的入侵或攻擊抗原進(jìn)行風(fēng)險(xiǎn)評(píng)估。從時(shí)刻t-1 到時(shí)刻t，如果主機(jī)的第i（0≤i≤1）個(gè)記憶檢測器發(fā)現(xiàn)入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣增加。同時(shí)，相應(yīng)的記憶檢測器的年齡設(shè)置為0。如果記憶檢測器檢測到多個(gè)相同的入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣累計(jì)計(jì)算，表明攻擊威脅在持續(xù)增加。假設(shè)η1（η1＞0）代表初始損傷程度，η2（η2＞0）代表鼓勵(lì)基因，用于監(jiān)控連續(xù)類似的網(wǎng)絡(luò)攻擊。

但是，如果記憶檢測器無法檢測到入侵或攻擊抗原，那么根據(jù)公式（5），它的損傷程度將降為1/λ，并且它的記憶檢測器的年齡增加1。

定理1：如果記憶檢測器沒有檢測到入侵抗原，探測器的風(fēng)險(xiǎn)性會(huì)衰變?yōu)?，或者記憶檢測器將死亡和被刪除。

證明：根據(jù)上面的公式，成熟探測器在捕獲入侵抗原β后會(huì)進(jìn)化成記憶檢測器， 或者記憶檢測器在生命周期捕獲到抗原?？梢钥闯霎?dāng)記憶檢測器的年齡增加λ，記憶檢測器的損傷程度下降為0，這幾乎是符合實(shí)際的入侵情況。當(dāng)沒有同樣攻擊會(huì)話的新入侵事務(wù)時(shí)，會(huì)話就被認(rèn)為是相應(yīng)的入侵。

假設(shè)rk(t)（0≤rk(t)≤1，1≤k≤K）代表k主機(jī)在時(shí)間t的風(fēng)險(xiǎn)：如果rk(t)=1， 表明風(fēng)險(xiǎn)極高；如果rk(t)=0，表明沒有風(fēng)險(xiǎn)。系統(tǒng)存在的風(fēng)險(xiǎn)與rk(t)值成正比?？紤]到主機(jī)的各種配置和不同類型攻擊風(fēng)險(xiǎn)，用μi代表各種攻擊的風(fēng)險(xiǎn)程度，ωk代表主機(jī)k的配置。

對(duì)于主機(jī)k， 在t時(shí)刻的第i種攻擊的安全風(fēng)險(xiǎn)，記為rk,i(t)，其定義為公式（6）。

對(duì)于主機(jī)k，在t時(shí)刻的整體安全風(fēng)險(xiǎn)定義為公式（7）：

對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)，在t時(shí)刻的第i種攻擊的安全風(fēng)險(xiǎn)程度，記為Ri（t），其定義為公式（8）：

最后，在t時(shí)刻的整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度定義為公式（9）：

2 仿真和實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)在廣東第二師范學(xué)院信息安全實(shí)驗(yàn)室完成。環(huán)境是100 兆局域網(wǎng)， 它是通過一個(gè)C類IP 地址10.0.209.*.連到互聯(lián)網(wǎng)。服務(wù)器的操作系統(tǒng)是Red Hat Linux 9.0。抗原被定義為一個(gè)固定長度二進(jìn)制字符串（l=128），它是由源主機(jī)/目的主機(jī)的IP 地址（64 bits），端口數(shù)（16 bits），協(xié)議標(biāo)志（16 bits）和數(shù)據(jù)包內(nèi)容（32 bits）組成。任務(wù)目標(biāo)是檢測網(wǎng)絡(luò)攻擊和評(píng)估主機(jī)的風(fēng)險(xiǎn)程度。漢明匹配規(guī)則用于計(jì)算抗原和抗體之間（距離=80）的親和力。一般情況下， 由于正常處理網(wǎng)絡(luò)改變不大，所以成熟細(xì)胞的容忍性參數(shù)α，設(shè)置為1。和成熟細(xì)胞的生命周期一樣，激活閾值β 確保模型來實(shí)現(xiàn)更高的TP 入侵檢測價(jià)值（真陽性）和較低的FP 值（假陽性）。為了看到實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的影響，記憶檢測器的風(fēng)險(xiǎn)下降步驟λ 設(shè)置為1。為了演示Reapai 的網(wǎng)絡(luò)攻擊評(píng)估模型，我們做了不同的網(wǎng)絡(luò)攻擊實(shí)驗(yàn)，結(jié)果如圖2和圖3所示。

圖2 攻擊強(qiáng)度曲線和風(fēng)險(xiǎn)程度曲線

圖3 阻斷攻擊強(qiáng)度曲線和風(fēng)險(xiǎn)程度曲線

這兩個(gè)圖說明了Reapai 模型關(guān)于攻擊強(qiáng)度曲線和風(fēng)險(xiǎn)程度曲線的評(píng)估結(jié)果。從結(jié)果可以看出，Reapai 模型能夠極好地評(píng)估網(wǎng)絡(luò)攻擊和顯示出相應(yīng)的風(fēng)險(xiǎn)程度曲線。進(jìn)一步證明Reapai 模型在對(duì)風(fēng)險(xiǎn)評(píng)估上的作用。我們分別在主機(jī)和整個(gè)網(wǎng)絡(luò)做了tcpreset 攻擊和udpstorm攻擊。圖4 和圖5 針對(duì)Reapai 模型與Insre 模型的風(fēng)險(xiǎn)曲線進(jìn)行了比較。

圖4 阻斷攻擊強(qiáng)度曲線和風(fēng)險(xiǎn)程度曲線

圖5 攻擊強(qiáng)度曲線和風(fēng)險(xiǎn)程度曲線

在圖4 中，從0 s～7 s，隨攻擊力度減少，對(duì)應(yīng)的風(fēng)險(xiǎn)指標(biāo)顯著下降。但從8 s～12 s， 攻擊力度降低，對(duì)應(yīng)的風(fēng)險(xiǎn)指示出現(xiàn)上升。在圖5中，從0 s～10 s，網(wǎng)絡(luò)攻擊強(qiáng)度下降，相應(yīng)的風(fēng)險(xiǎn)指標(biāo)顯示出上升趨勢。然而，從11 s～19 s，網(wǎng)絡(luò)攻擊強(qiáng)度增加，相應(yīng)的風(fēng)險(xiǎn)指標(biāo)也迅速增長。

實(shí)驗(yàn)表明Reapai 模型和Insre 模型都能反映出每臺(tái)主機(jī)和整個(gè)網(wǎng)絡(luò)的綜合風(fēng)險(xiǎn)。然而，圖2和圖3 顯示出Reapai 模型比Insre 模型更符合攻擊強(qiáng)度。

3 相關(guān)工作

目前，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估工作剛剛開始，且只有少數(shù)文獻(xiàn)可參考。在風(fēng)險(xiǎn)評(píng)估上，我們用Reapai 模型和其它模型進(jìn)行了比較。表1 表明現(xiàn)有模型主要集中在靜態(tài)評(píng)估上，不能發(fā)現(xiàn)未知攻擊。然而，Reapai 模型能夠在進(jìn)行較低的計(jì)算下發(fā)現(xiàn)未知攻擊。

表1 Reapai和其他風(fēng)險(xiǎn)評(píng)估模型的比較

4 結(jié)語

本文提出了一個(gè)基于Reapai 的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型。該模型有效地將人工免疫系統(tǒng)的相關(guān)理論應(yīng)用于網(wǎng)絡(luò)安全技術(shù)。與現(xiàn)有的風(fēng)險(xiǎn)評(píng)估模型相比，本文提出的模型可以有效地檢測每臺(tái)主機(jī)和每種類型的網(wǎng)絡(luò)攻擊的實(shí)時(shí)總體風(fēng)險(xiǎn)程度。

因此，Reapai 模型將幫助系統(tǒng)管理員了解系統(tǒng)安全的宏觀威脅情況，引導(dǎo)他們發(fā)現(xiàn)網(wǎng)絡(luò)安全的趨勢和行為規(guī)則，調(diào)整安全策略，提高網(wǎng)絡(luò)安全性能。