实时网络安全风险量化措施的优化研究

  • 格式:pdf
  • 大小:177.31 KB
  • 文档页数:2
I s SN 1 0 0 9 - 3 0 4 4
E—ma i l :i n f o @d nz s . n e t . c n
C o mp u t e r K n o w l e d g e a n d T e c h n o l o g y电脑 知 识 与技术
Vo 1 . 9 , No . 2 8 , Oc t o b e r 2 01 3 .

R = ∑R

( 3 )
输 入方式选 取 I D S 告警 , 并 通过 HMM对 网络安全 风险进行 量化 , 具有下 面这些优 点 : 1 ) 输 出通 常是 和输入相 对应 的 , 而 由于
I D S 告警为动态输入 , 因此输 出亦是动态 , 这 样就能够根据系统遭受攻击 的具体情 况 , 实时 的对系统 的风 险作 出反应 。能够正确 的 体现 出风 险的含义 , 对 于不影响到 内部 网络 的一些攻击 或漏洞 , 如被 I P S 或边界 防火墙 阻断的攻 击 , 或是存在于 内部 网络 的一些漏 洞等 , 都 不会将它们 视为风 险。2 ) 量化 简单 , 能够通过 当前 主机一个 明确风险值 的大小 , 对主机安全 事故的具体情况 进行直观观 察, 如事故 的严重程度 或里面的一些细微变化 等。这个风险值 能够通过 为主机的每个 状态配备一个风 险代价 , 并与没各状态 的概 率相综合来 获取。3 ) 能够进行参数配置 , 能够采用不同 的初始状态矩 阵、 O b s 矩阵 、 T r a n s 矩 阵与风 险代 价向量对 不同的网络进行风 险评估 , 获得 结果 也不尽相 同 , 因此对 于所 有的 网络环境都 具有相当强 的适应 性。4 ) 通常情况下 , 内部网络 中的主机都不是很 多 , 而所采用 的隐马尔 可夫模 型计算 量亦不大 , 所 以能够快速地进行风险评估 , 该文 曾经对一个 C类地址网络进行一次风险评估 , 整个 计算过程仅消耗不超过 1 0 ms 的时间 。因此在 网络遭受攻击时 , 能够对对其风 险值进行 即时更新 。 然而有 两个显著 的问题 在通过 HMM方法对 网络 安全风险进行量化 的过程 中出现 , 首先 , 就是 对 O b s 矩 阵与T r a n s 矩阵的具体
摘要: 提 高网络安全性 的核 心就是 能够对 网络安全风险进行精准的评估。采用隐马 尔卡夫模 型对实时网络安全风 险进行 量化 , 输入 方式则选 用入侵检 测 系统 的告警 , 在对 网络 风险进行 实施 量化的 同时, 并 能够对 网络遭 受的危 险进 行有效评 估。但 由于此项操 作配置过 于复杂 , 容 易在评估 过程 中出现误 差 , 为 了简化其配置复杂度 , 该文针对其存在的一些 问题提

R = ∑r c
i =l
( 2 )
通过主机 的风险值就 能够知道 主机 的被攻击程度 , 当风险值处于 1 至1 0 范 围内时 , 就表示 主机 受到风险 的几 率十分大 , 处于 1 0 到2 O 的范 围时 , 就表示 攻击已经发生 , 假若 数值 大于 2 0 时, 就表 明主机受 到非 常严重 的攻击 。假若某个 网络是 由L 台主机构成 , 那么这个 网络的风险值 就能够通过式子 ( 3 ) 轻易算 出 , 公式为 :
h t t p : / / w ww. d n z s . n e t . a n T e 1 : + 8 6 — 5 5 l 一 6 5 6 9 0 9 6 3 6 5 6 9 O 9 6 4
实时网络安全风险量化措施的优化研究
谭啸
( 株洲市气象局 , 湖南 株 洲 4 1 2 0 0 3 )
A= ( T r a n s , O b s , I n i t ) 这样 的三元组 , 这样 就能够对状态进行计算 。其中 , 主机状态之 间的转换概 率通过状 态转矩阵 T r a n s 来表示 , 当t 时刻 的状 态是 s 时, 用T r a n s 来 表示 , 那 么就可 以通 过 T r a n s = P ( x ) : s i [ x 一 ) , 1 ≤i j <N 。来 表示到 t + 1 时刻状 态 s 时 的概率 。 通过观察矩 阵 O b s 能够知道某种攻击 在主机处于某一特定状 态时所观察到的发生概率 , 主机处 于 S 状 态时 , 在 时刻 t 观察到 a 的 概率 , 就用 O b s 来表示 , 即O b s = P ( y = a m [ X 一 ) , 1 ≤n ≤Ⅳ, 1 ≤m≤ 。对于 主机 在一开始所处 的各个状态 的概率计算通过 向量
通过 F t = } , 1 ≤i ≤Ⅳ来表示在 t 时刻的状态分布 , 状 态的ห้องสมุดไป่ตู้布概率公式 为
r i ) = P 一 l y ) ( 1 )
为了表示一 台主机在 每个状态的风 险值 , 需要再 引人 一个代价响亮 , 这样 一来 就可 以用主机状态 的定量分析取代原来 的定性 分析。假若将此主机在每种状态下 的风 险设为 , c = f 1 , 1 0 , 2 0 , 1 0 0 l , 那么就能够通过公式( 2 ) 来求 出当前主机 的风险值 , 计算公式为 :
采取 H M M方法实施网络安全量化的重点就是将每台网络中的主机定义为具有N 个状态 , 采用 S = , …, } 表示 , 由此可以得 出该主机状态序列是 x= , …, 研} , ∈ , 一般将主机定义为拥有 4 种状态 ; 分别用A , P , G , C 表示 A t t a c k e d , P r o b e d , G o o d , C o m .
出 了一 些优 化 措 施 。
关键词 : 网络安全; 风险评估 ; 隐 马 尔卡 夫模 型 ; 优 化
中图分类 号 : T P 3 9 3 文献标识码 : A 文章编号 : 1 0 0 9 — 3 0 4 4 ( 2 0 1 3 ) 2 8 — 6 2 8 7 — 0 2
1 基于l I 1 Ⅵ】 Ⅵ的网络 安全 风 险量化
p r o m i s e d , 因此 s : f A, P , G, C } 。对 主体 的风 险进行定量 分析 , 能够通过 对主机状态 的准确定位来进行 。假若将 能够 观察到 的主机
遭受 的攻击 设为 M种 , 用A = f a - . , a }表示 , 就能够获得攻 击序列 Y= Y 一 , Y , 其中Y 属于 A 。H M M中还包含 了一个
I n i t 来 进行 , 即 I n i t = ( r I , …, , ), I n i t 表 示 主 机 的 初 始 状 态 。 而 主 机 实 时 各 状 态 的概 率 计 算 则 利 用 T r a n s 与O b s 来进行 , 即
P : ( , …, r Ⅳ ) 。