网络攻击效果评估技术
- 格式:pdf
- 大小:175.14 KB
- 文档页数:4
攻击效果评估技术
中国工商银行吉林省分行 张立忠
随着金融信息化的不断深入,金融业务的开展已 离不开计算机网络的支持,而随之而来的信息安全问 题也日益引起重视。本文从计算机网络安全体系结构 和安全策略的角度,分析网络攻击对网络信息系统性 能的影响,选取了一些反映网络安全性能的评价指标, 以期通过建立一个通用的网络攻击效果评估模型,从 多方面探究网络攻击评估技术。
一、网络安全与网络攻击
网络安全是指网络系统的硬件、软件及其数据不 会因偶然的事件或恶意的攻击破坏、更改、泄露,系统 可连续可靠正常地运行,网络服务不中断。网络信息安 全主要有以下指标:保密性、完整性、可用性、可靠性、可 控性和不可抵赖性,其中尤以前三者最为重要。 (1)保密性。保证非授权操作不能获取受保护的信 息或资源。 (2)完整性。保证非授权操作不能删除、修改、伪 造、数据信息。 (3)可用性。合法用户的正常请求能及时正确安全 地得到服务或回应。 (4)可靠性。系统在规定条件下和规定时间内、完 成规定功能的概率。 (5)可控性。对网络信息的传播及内容具有控制能 力。 (6)不可抵赖性。也称作不可否认性,是指在一次 通信中,参与者的真实同一性。 网络攻击就是利用信息系统自身存在的安全漏 洞,通过使用网络指令或专用的工具软件进入网络系 统,其目的是破坏网络安全的上述各项指标。窃取信 息,破坏扰乱信息系统的正常运行;篡改信息,致使计 算机网络和系统崩溃、失效或错误工作。利用网络攻击 技术可以大规模破坏对方计算机网络及其系统,对国 家金融、交通、通信、供电及军事等战略资源和战略目 标进行毁灭性打击,从而可使整个国家在经济社会秩 序和军事等各方面处于全面瘫痪。 研究网络攻击,一方面可以对现有的攻击手段做 出合理分类,研究其共性与特性,以便制定出合理的安 全策略,更好地保护系统的安全;另一方面,可以寻找 到合理高效的攻击手段,对特定的信息网络系统发动 攻击。 二、网络攻击效果评估技术概述
网络攻击的效果评估技术就是研究在复杂的网络 环境下,如何对信息系统进行网络攻击的效果给出定 性或定量的评估结果,并以此来检验攻击的有效性和 网络系统的安全性。
中国金融电脑2007年第4期・55 维普资讯 http://www.cqvip.com 网络安全评估是对目标计算机系统或者其他网络 设备进行相关的安全检测与评估,获得相关的安全信 息,以找出安全隐患和可能被黑客利用的漏洞。一般采 用漏洞扫描和模拟攻击的方法对目标网络进行测试,得 出其安全性能的有效度量。 网络攻击效果评估与常见的网络安全评估既有区 别又有联系。相同点是二者都是对被试网络的安全特性 进行评价,都要从目标网络采集一定的性能指标参数, 使用特定的评估模型对其处理并输出评估结果。不同点 则是网络安全评估着眼于检查系统存在的漏洞,一般通 过系统脆弱性扫描来实现;而攻击效果评估则侧重于研 究攻击对网络安全性能的影响,需要提取一定的安全性 能指标来度量攻击发生前后网络安全性能的改变情况。 进行网络攻击的效果评估技术研究具有重要的意 义。网络攻击效果评估技术在信息系统的安全评估过程 中有重要意义:一方面,网络构建部门通过对信息网络 的模拟攻击和自我评估可以检验系统的安全特性;另一 方面,在反击来自对方的恶意攻击时,网络攻击效果评 估技术可以为网络反击样式和反击强度提供合适的应 对策略。 1.常用的安全评估准则 现有的安全评估方式可以大致归结为以下四类: 安全审计、风险分析、能力成熟度模型和安全测评。 (1)安全审计 以安全审计概念为核心的安全评估思想认为存在 关于安全的最佳实践,以通过最佳实践的实施与否及其 程度来评估IrI’系统的安全性。这一类相关的模型包括: 美国信息系统审计和控制协会的COBIT、德国的IrI’基 本安全保护手册,国际标准化组织的IS017799规范和 美国审计总署的自动信息系统安全审计手册等。它们主 要针对的是信息系统安全措施的落实和安全管理,是一 种静态、瞬时的测量方式。 (2)风险分析 风险分析模型是从风险控制角度进行的安全评估 分析。一般通过调查要保护的IT资产,假设对这些资产 存在的安全威胁和漏洞,以及这些威胁和漏洞对资产可 能造成的影响进行计算,经过数学的概率统计得出对安 全性的测量,大部分以可能产生的损失来量化,从而提 出需要进行安全风险控制,降低风险,将安全风险控制 56・中国金融电脑2007年第4期 在可以接受的范围内。风险管理是一个动态的、反复的 测量过程。现有的大部分通用的信息安全标准,如 ISO17799,IS013335等,其核心思想都是基于风险的安 全理念。 (3)能力成熟度模型 能力成熟度模型认可通过过程来保证安全。其中最 著名的是系统工程安全能力成熟度模型(SSE—CMM)。 SSE—CMM的基本思想是:通过对安全工程过程进行管 理的途径,将系统安全工程转变为一个定义完好的、成 熟的、可测量的过程。它将安全能力划分为五个等级,从 低到高,低等级是不成熟的、难以控制的,中等级别是可 管理的、可控的,高级别是可量化的、可测量的。能力成 熟度模型是一种动态的、螺旋式上升的模型。 (4)安全测评 安全测评则更多地从安全技术、功能和机制角度来 进行信息系统的安全评估。早期的有美国国防部的橘皮 书TCSEC,它比较适合对计算机安全,特别是操作系统 进行安全度量,它对操作系统C1~A1的等级划分到现在 还有相当的影响力。与其类似的还有欧洲的ITSEC、加 拿大的CTCPLC等。目前最有效的是ISO的信息技术安 全评估通用准则(cc,IS015408)。CC为信息技术、安全 技术的测量提供了很好的方法,但是对于信息系统的测 量评估还不够充分。 上述各种安全评估思想都是从信息系统安全的某 一个侧面出发,如技术、管理、过程、人员等,着重于评估 网络系统安全某一方面的实践规范。在操作上主观随意 性较强,其评估过程主要依靠测试者的技术水平和对网 络系统的了解程度,缺乏统一的、系统化的安全评估框 架,很多评估准则和指标难以量化。 2.网络安全性能指标 考虑到网络安全评估的实用性和易测性,本文提出 几个新的效果评估模型,从计算机网络攻击效果评估的 角度来对被试网络的安全特性进行描述。 (1)网络攻击对网络性能的影响 网络安全一般应包含以下几个方面:完整性,保证 非授权操作不能删除、修改和伪造数据信息;保密性,保 证非授权操作不能获取受保护的信息或资源;可用性, 合法用户的正常请求能及时、正确、安全地得到服务或 回应;可靠性,
系统在规定条件下和规定时间内,完成规 维普资讯 http://www.cqvip.com 定功能的概率。 不管网络攻击的目的如何,它都会对网络信息系统 的保密性、完整性、可用性、可靠性造成不同程度的破 坏。例如:拒绝服务攻击使对方网络阻塞,破坏了其可用 性;非法窃取则破坏了网络数据的保密性;恶意篡改则 破坏了数据的完整性;计算机病毒则可能会同时破坏信 息系统的完整性、保密性和可靠性。 网络遭受攻击后,其安全性被破坏,网络性能必然 有所下降。经研究发现,不同的攻击方式对网络性能的 影响也各不相同。以拒绝服务攻击为例,网络遭受攻击 后的突出表现就是吞吐量下降、时间延迟增加、响应时 间变长。网络攻击的效果评估是多目标评价,系统的评 价指标不仅有定量的指标,而且有定性的、难以度量的 指标,选取一组合理有效的性能指标对网络的安全性能 进行描述是很困难的。 (2)网络安全性能指标的选取 网络攻击效果评估中指标之间权重分配是进行评 估的一个关键问题。网络的性能指标有很多种,如何确 定哪些指标能对网络攻击效果进行合理有效的描述,还 是个难题。现采用系统化的分析方法,从研究网络的安 全机制人手,基于机制、准则、指标三级特性的分析,经 过逐步细化,得到了一个有效的性能指标集。 安全机制、安全准则和安全指标之间是逐步分层细 化的关系。安全机制下面对应一定的安全准则,而每个 安全准则又可以划分为许多安全子准则,每个子准则对 应一定的安全指标,利用安全指标可以对具体的安全属 性进行评测。 计算机网络的安全机制包括安全功能特性和非功能 特性两部分,前者主要关注安全处理对象(操作、存储、传 输的数据和激活的程序)、安全注重点(保密性、完整性和 可用性要求)和安全保护措施(阻止、检测和限制方法)等 方面的特性;后者主要关注安全机制的功效如何,包括防 篡改性、防绕过性、可验证性、正确性、健壮性等。 根据对安全机制的分析,可得到相应的安全准则, 其对应关系如表1所示。 各安全准则对应的安全指标如表2所示,其中安全 指标的测量结果根据其安全特性可以分为定性和定量 两种类型。 表1安全机制一安全准则对应关系 安全机制 安全准则 防篡改性 防更改性、多样性、多重性、隔离性 防绕过性 隔离性、强制性、多样性、多重性、可审计性 可验证性 可审计性、可观测性、可追踪性、简单性、可读性 正确性 完整性、保密性、连续性、可追踪性 健壮性 容错性、模块性、简单性、可用性、可靠性 表2安全准则一安全指标对应关系 安全准则 安全指标 防更改性 物理困难、校验强度、自我验证 多样性 多版本独立因素 多重性 多重因素、多频率 隔离性 代码隔离、数据隔离、环境隔离、可中断性 可用性 数据流量、响应时间、延迟抖动 拒绝访问信息度、可触发警报、非标准行为检 可审计性 测、授权访问信息度 进行网络攻击的目的就是要破坏对方网络的这些 性能指标,使其失效或降低。因此可以采用一定的方法 对这些安全指标进行定量或定性描述,而攻击前后的安 全性能差值就可以作为攻击效果的一个评价标准。 三、基于网络熵的攻击效果评估
对于网络的某一项性能指标来说,其熵值可以定义 为 Hi=一log2V (1) 式中, f__一网络第i项指标的归一化参数。 网络信息系统受到攻击后,其安全性能下降,系统 稳定性变差,这些变化必然在某些网络性能指标上有所 体现,相应的网络熵值也应该有所变化。因此,可以用攻 击前后网络熵值的变化量对攻击效果进行描述。 对于网络信息的完整性、保密性、可靠性、可用性等 方面,都有一些重要的性能指标,如信息的防篡改性、隔 离性、容错性等。应该指出的是,根据攻击目的和网络环 境不同,所选取的性能指标集也应该各有侧重。经研究 发现,在网络的可用性方面,对网络性能影响较大的主 要有以下几项指标:(1)吞吐量,单位时间内节点之间成 中国金融电脑2007年第4期・
57 维普资讯 http://www.cqvip.com 功传送的无差错的数据量;(2)响应时间,网络服务请求 和响应此请求之间的时间间隔;(3)延迟抖动,指平均延 迟变化的时间量。 网络熵的计算应该综合考虑影响网络安全性能的 各项指标,其值即为以下各单项指标熵的加权和。 n 日=∑oJixh £:1 (2) 式中,n——影响网络性能的指标个数;oJ——第i项指 标的权重; 厂—第i项指标的网络熵。 在实际应用中,‘1) 值可以通过对各项指标建立判断 矩阵,采用层次分析法逐层计算得出。 设攻击发生前,系统的网络熵为日,攻击发生后,系 统的网络熵为日 ,则网络攻击的效果可以表示为 日 一日 (3) 将式(1)、(2)代人式(3)可得 n n I=日 一日=日=日=∑ xh广日=∑ xh :1 :1 n =一∑ h ,) :‘ n =∑‘I) [一log2(V/V )】-【一lo / :1 n =一∑o ̄i ̄log2(Vi/Vi) :1 利用上式,仅需测得攻击前后网络的各项性能指标 参数( 、 )并设定好各项指标的权重(C.O ),即可计算 出网络系统性能的损失,亦即攻击的效果。 是对网络 攻击效果的定量描述,其值越大,表明网络遭受攻击后 安全性能下降得越厉害,也就是说攻击的效果越显著。 四、网络攻击效果评估实验结果与结论