1.研究背景
安全风险态势预测分析是信息安全技术和管理领域中的重要内容,传统的方法一般会按如下几个方面独立地或者混合进行分析:
1.获取历史上安全攻击相关信息,利用概率模型或者使用历史数据进行训练,根据结果进行风险预测[1] [2];
2.根据各种信息资产的安全脆弱性进行分析;
3.根据各种信息资产的安全属性,包括保密性、完整性、可用性等;
4.根据网络拓扑模型进行分析,其手段主要是分析各种网络之间的关联关系,主要是联通性。
但上述分析方法显然存在一定问题,这主要表现在如下几个方面:
1.仅根据历史数据进行概率模型的推测,是无法真实地对将要发生的安全事件进行匹配,即经验数据实际上未必可信;
2.没有根据网络的相关安全属性进行分析,特别是没有针对防火墙的策略进行分析,造成态势预测的不可靠或者严重误报。
2.研究目的
本文就是针对上述现有技术存在的问题,提出一种基于安全预警的风险态势预测分析方法,通过它能够解决如下问题:
1.对权威机构发布的安全预警在网络中可能存在影响进行评估;
2.利用网络的相关安全属性及之间的安全域划分、边界防火墙策略的配置情况进行分析,力争真实地分析各类安全攻击、有害代码(如病毒、木马等)对现实网络的可能影响或威胁。
3.研究方法
方法分为如下几个步骤:
1.安全信息的采集:不同安全信息的采集包括:
n安全预警信息的采集:从国家权威机构或知名厂商等同步安全预警信息;本方法主要关注漏洞、有害代码、安全威胁等预警;同步后,将其标准化;
n信息资产采集:采集的内容包括信息资产上的相关系统(含版本)、漏洞、补丁、运行服务及对外提供端口等;各资产的价值;
n网络信息采集:采集各信息资产所在网络拓扑连接相关信息,以及各个子网的保护等级等;
n防火墙策略采集:采集各网络边界防火墙访问控制策略信息,包括区域、接口、允许的IP地址、端口、协议等信息。
2.建立模型:
n预警模型,如下:
预警=<预警类型,预警名称,预警等级,{影响的系统及版本},{影响的软件版本},{影响端口}>
n信息资产模型,如下:
信息资产=<系统和版本信息,{漏洞},{补丁},{安装的软件及其版本},{开放服务及其端口},价值>
n防火墙策略模型,如下:
防火墙策略=<访问方向,源IP地址,目的IP地址,源端口,目的端口,协议,拒绝|接受>
n网络模型:网络为如下元组:
网络=<{信息资产},{边界防火墙策略},保护等级,{相邻网络},{下级网络}>
3.分析过程
根据不同预警的类型,态势分析步骤包括:
1)首先,从顶层网络开始(一般为互联网边界或对外出口);
2)分析预警中的相关存取是否会被其边界防火墙策略所接受(主要分析向内访问的源地址、端口、协议),如不能接受则转5),否则转3);在分析下级网络时,需将其上级网络中相关防火墙的策略也作为其策略的一部分进行联合筛选,而相邻的则不用;
3)分析网络中的各个信息资产的系统、漏洞、所安装软件或服务、开放端口等因子是否会受到影响,生成匹配向量(向量中的元素为0或1,分别表示不匹配或匹配),如下:
匹配向量=[匹配1,匹配2,…,匹配n]
根据各个匹配情况及各因子权重计算可能性:
影响可能性=
4)根据影响可能性,综合计算受影响信息资产的风险态势作为所在网络的风险态势预测值(不考虑根本不受影响的资产):
网络风险态势预测值
=
5)获取相邻或下级网络,如存在未分析的网络则转2)否则转6)
6)根据各个网络的风险态势预测值,计算整体风险态势预测值:
整体风险态势预测值
=
4.实验步骤
具体实验步骤如下:
1.信息采集和模型建立:
n建立相关信息采集部件定期从国家相关权威安全网站获取预警信息;另外,支持直接人工录入相关预警信息,举例如下:
微软“IE累积安全更新”:公告号MS2013-21,影响系统IE6~IE10。
n定期对网络内相关资产信息进行信息扫描、通过简单网络管理协议或通过账号口令登录至目标资产获取资产相关信息,举例如下:
系统内存在若干安装了Windows7系统的资产:系统版本号为6.1.7601,开放了135、139、445等端口。
n定期从边界防火墙设备中获取策略信息并标准化,因为不同类型防火墙的策略表现形式不同(但对于访问控制策略而言,其本质基本类似),故需进行统一化,如下:
firewall interzone dmz untrust
…
acl 3000
rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30
…
标准化后如下:
<策略唯一标识,源区域,目的区域,协议,动作,源地址,源端口,目的地址,目的端口,动作>
2.分析预警相关性质
由于不同预警的性质不尽相同,但大体上可以分为如下类型:
n与某类系统或某种软件版本特别相关,且与网络访问关系不大;
n与系统类型或软件版本没有特别大的关系,但与网络访问行为本身关系较大;
n同时具备上述两种特征。
3.分析过程
如果是第一种性质则一般无需针对防火墙策略进行特殊分析,因为和策略没有特别大的关系,只要分析网内资产是否存在和预警中所指出的系统、应用相匹配的内容即可;而针对后两种性质的预警则需要结合防火墙策略进行分析。
以下设整个内网中存在两个相邻的子网A和B,A中还有一个下属子网C,它们的保护等级(保护等级取值范围是1-5),分别是2、2和3;网络A、B、C中各有100个资产,A和B网络中的资产价值均为2(价值区间为1-5),C中的资产价值均为4;网络B中的资产全部是Windows终端,均安装了IE浏览器,只有20台打了相关补丁,而网络A和C中的资产均为其它系统,A中放置了4台DNS服务器,它们安装了不同类型的DNS服务,其资产价值分别是1、2、4、4,网络C中包含20台左右的数据库服务器和2台DNS服务器,但网络A和C之间只允许通过端口22访问,其它均被禁止。
现有MS2013-021号预警,那么根据前面的描述可以得出,针对此预警全网的安全风险态势值为80(网络A和C均不参与计算;态势值在0-100之间);而对于某种DNS拒绝服务攻击,由于其中价值较高的两台DNS特征不能完全匹配(预警中未指出匹配的DNS服务软件和版本,它们占据了70%的权重)且应忽略C网络中的DNS服务,故整体安全风险态势预测值则为78。
5.结论
本方法最重要的效果体现在如下几点:
1.能根据相关预警信息对可能发生的安全威胁和风险进行评估;
2.能结合拓扑及边界防火墙相关策略对预警可能涉及到的风险进行筛选,降低了误报率;
在对网络和整体风险态势预测分析时,只关注受到影响的信息资产,这样可以有效地降低由于可能预警仅涉及网络中少量资产而带来的风险预测值过低的问题。
网络信息安全风险态势预测分析方法探讨