網(wǎng)絡(luò)安全多維動態(tài)風(fēng)險評估關(guān)鍵技術(shù)

文/趙祥

網(wǎng)絡(luò)安全風(fēng)險評估主要指的是對網(wǎng)絡(luò)系統(tǒng)中存在的資產(chǎn)、漏洞以及威脅進(jìn)行識別，準(zhǔn)確評估網(wǎng)絡(luò)系統(tǒng)受到成功利用威脅、漏洞之后的風(fēng)險大小，并針對風(fēng)險評估結(jié)果實施相關(guān)安全防護(hù)策略，進(jìn)而對威脅進(jìn)行抵御，讓威脅負(fù)面影響得到降低。

1　網(wǎng)絡(luò)安全風(fēng)險評估原理

在網(wǎng)絡(luò)安全風(fēng)險評估中，資產(chǎn)要素、漏洞要素和威脅要素是其主要組成部分，通過漏洞識別與威脅識別，可以得到網(wǎng)絡(luò)攻擊事件發(fā)生概率；通過漏洞識別與資產(chǎn)識別，可以得出網(wǎng)絡(luò)攻擊事件帶來的損失；結(jié)合事件發(fā)生概率和攻擊事件損失，可以得出網(wǎng)絡(luò)安全風(fēng)險值。其中資產(chǎn)識別主要指的是度量網(wǎng)絡(luò)系統(tǒng)安全的重要程度和資產(chǎn)成本價格；漏洞識別主要指的是對漏洞進(jìn)行識別，對漏洞危害性進(jìn)行量化評估；威脅識別主要指的是對各類威脅進(jìn)行識別，對各類威脅出現(xiàn)概率進(jìn)行計算。依照網(wǎng)絡(luò)攻擊成功可能和利用漏洞可能，可以量化網(wǎng)絡(luò)攻擊事件出現(xiàn)可能性；依照網(wǎng)絡(luò)攻擊成功的收益與漏洞危害性可以量化網(wǎng)絡(luò)攻擊事件產(chǎn)生損失指標(biāo)；依照此類指標(biāo)，可以對網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊行為發(fā)生時的負(fù)面影響進(jìn)行計算。

2　網(wǎng)絡(luò)安全多維動態(tài)風(fēng)險評估關(guān)鍵技術(shù)

2.1　基于深度學(xué)習(xí)的風(fēng)險識別

在CD算法、馬爾可夫鏈模型、RB網(wǎng)絡(luò)模型基礎(chǔ)上，考慮到高維非線性海量數(shù)據(jù)降維優(yōu)勢，可以提出兩種模型：

（1）在信念網(wǎng)絡(luò)基礎(chǔ)上的入侵檢測模型，

（2）在自編碼網(wǎng)絡(luò)基礎(chǔ)上的支持向量機(jī)入侵檢測模型。

經(jīng)過實驗，可以發(fā)現(xiàn)基于深度度學(xué)習(xí)的風(fēng)險識別模型在高維空間信息的任務(wù)抽取中具有良好效果，可以讓入侵檢測模型中的測試時間與訓(xùn)練時間的分類得到降低，可以讓風(fēng)險識別實時要求得到滿足，具有高度可行性。

2.2　基于漏洞類型聚類的層次化漏洞修復(fù)

考慮到漏洞評估和漏洞修復(fù)中當(dāng)前存在的主要問題，考慮到漏洞危害評估受到補(bǔ)丁升級以及代碼可利用的動態(tài)影響，可以構(gòu)建一種基于漏洞類型聚類的層次化漏洞修復(fù)模型。在傳統(tǒng)CVSS標(biāo)準(zhǔn)漏洞評分當(dāng)中，一個CVSS分值、一個危害等級問題會對應(yīng)多個漏洞，對此，可采用漏洞危害動態(tài)綜合量化的評分方式，其可以對漏洞差異性進(jìn)行精準(zhǔn)區(qū)分，進(jìn)而讓評估結(jié)果多樣性、準(zhǔn)確性得到提升。利用PSOKmeans漏洞信息聚類方法，可以自動分類管理漏洞。利用層次化漏洞修復(fù)方法，可以讓漏洞修復(fù)在同一危害等級下的次序問題。

2.3　基于貝葉斯攻擊圖的動態(tài)安全風(fēng)險評估

2.3.1模型設(shè)計

著眼于動態(tài)視角，可以對攻擊圖屬性狀態(tài)節(jié)點(diǎn)安全性受到攻擊事件置信度的影響進(jìn)行分析，考慮到供給成功概率以及網(wǎng)絡(luò)攻擊中的漏洞里利用成功率因素，可以設(shè)計一種基于貝葉斯攻擊圖的動態(tài)安全風(fēng)險評估模型。

在模型設(shè)計中，主要包含兩個階段：

（1）風(fēng)險檢測?？梢宰R別網(wǎng)絡(luò)資產(chǎn)，賦值資產(chǎn)價值，分析漏洞與資產(chǎn)的關(guān)聯(lián)，使用基于OVAL漏洞掃描器可以以識別網(wǎng)絡(luò)主機(jī)漏洞，通過CVSS評估指標(biāo)可以對其漏洞利用率進(jìn)行賦值。

（2）風(fēng)險評估。依照漏洞、關(guān)聯(lián)關(guān)系以及網(wǎng)絡(luò)連通等相關(guān)信息，利用MulVAL工具可以形成原始攻擊圖，使用貝葉斯信念網(wǎng)絡(luò)可以構(gòu)建攻擊行為多步原子攻擊的因果關(guān)系的概率攻擊圖。利用屬性狀態(tài)節(jié)點(diǎn)局部條件概率分布表，可以對其先驗概率進(jìn)行計算，對靜態(tài)安全風(fēng)險進(jìn)行評估。與IDS結(jié)合，可以得到實時供給事件，利用貝葉斯推理法，可以對單步攻擊行為發(fā)生后驗概率進(jìn)行動態(tài)更新，推測網(wǎng)絡(luò)面臨潛在攻擊意圖最大路徑。依照屬性節(jié)點(diǎn)LCPD表和對應(yīng)先驗概率可以對其進(jìn)行計算，進(jìn)而構(gòu)建靜態(tài)貝葉斯攻擊圖。和IDS捕獲供給事件進(jìn)行有效結(jié)合，對每個屬相節(jié)點(diǎn)后驗概率進(jìn)行計算，可以讓步驟得到動態(tài)更新。

2.3.2實驗分析

在真實網(wǎng)絡(luò)實驗環(huán)境中，可以對DRABAG模型可行性進(jìn)行驗證，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，主要包含了隔離區(qū)域、Internet區(qū)域以及信任區(qū)域這三個子網(wǎng)絡(luò)，隔離區(qū)域主要包含了郵件服務(wù)器、網(wǎng)頁服務(wù)器、域名服務(wù)器，信任區(qū)域主要包含了網(wǎng)關(guān)服務(wù)器、文件傳輸服務(wù)器、DBS和管理員服務(wù)器。

利用OVAL漏洞掃描器可以得到漏洞信息，之后對其等級進(jìn)行打分，計算漏洞利用成功率，將漏洞、網(wǎng)絡(luò)配置以及關(guān)聯(lián)關(guān)系等信息輸入MulVAL工具，在邊文件ARCS.CSV與節(jié)點(diǎn)文件VERTICES.CSV存儲輸出攻擊圖信息，利用AttackGraph.pdf可以輸出文件可視化攻擊圖。通過實驗，發(fā)現(xiàn)在修正先驗概率后得到的后驗概率和實際網(wǎng)絡(luò)的安全潛在風(fēng)險值相符，動態(tài)評估較為準(zhǔn)確。

2.4　基于貝葉斯攻擊圖的最優(yōu)安全防護(hù)策略選擇

為確保網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全性，需要在安全風(fēng)險評估基礎(chǔ)之上，有效實施最優(yōu)化的安全防護(hù)策略，以對網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險進(jìn)行有效控制。對此，可以設(shè)計基于貝葉斯攻擊圖的最優(yōu)防護(hù)策略選擇模型。

利用前文所說的動態(tài)風(fēng)險評估模型，可以得到現(xiàn)階段網(wǎng)絡(luò)所面臨的最大攻擊意圖攻擊路徑，對面向防護(hù)策略貝葉斯攻擊圖與基本防護(hù)操作進(jìn)行定義，可以量化防護(hù)措施實施后的概率。結(jié)合攻擊收益指標(biāo)，可以完成成本與攻擊收益經(jīng)濟(jì)學(xué)指標(biāo)的量化措施，對防護(hù)成本與攻擊收益進(jìn)行分析，形式化描述防護(hù)策略選擇問題，利用PSO算法，可以對最優(yōu)安全防護(hù)策略予以計算并實施，進(jìn)而讓網(wǎng)絡(luò)安全風(fēng)險得以降低。

3　結(jié)論

綜上所述，資產(chǎn)要素、漏洞要素和威脅要素是網(wǎng)絡(luò)安全風(fēng)險評估中的重要組成內(nèi)容，通過基于深度學(xué)習(xí)的風(fēng)險識別、基于漏洞類型聚類的層次化漏洞修復(fù)、基于貝葉斯攻擊圖的動態(tài)安全風(fēng)險評估和基于貝葉斯攻擊圖的最優(yōu)安全防護(hù)策略選擇，可以讓網(wǎng)絡(luò)安全多維動態(tài)風(fēng)險評估模型得以實現(xiàn)，進(jìn)而讓網(wǎng)絡(luò)安全風(fēng)險得到有效降低。