当前位置:首页 >> IT/计算机 >>

一个基于不确定性推理的网络安全评估模型_图文

计算机科学2006V01.33№.8(增刊)

一个基于不确定性推理的网络安全评估模型
A Network Security Evaluation

Model

Based

on

Uncertainty Reasoning

王维锋刘海燕霍景河
(装甲兵工程学院信息工程系 北京100072)

Abstract

There

are

many imprecise elements in
on

network security evaluation.This paper provides principle Basing
to
on



network security

evaluation model based

uncertainty reasoning
can

the

results got by the

scanner

and the uncertain
can

professional knowledge,it
account

do uncertainty

reasoning

evaluate the

security threaten.This model

take into

many

elements comprehensively. evaluation,Uncertainty reasoning,Uncertain knowledge,Scan

Keywovfls

Security



引言
网络安全性能的评估是信息系统的一个重要评

的脆弱点。因为,一方面脆弱点本身只能说明它存 在着被利用的可能,而攻击者能否通过该脆弱点进 行攻击有着不同的难度,另一方面,即使攻击者通过 该脆弱点攻破了系统,也并不要表示整个网络就不 安全了,因为一个系统只是网络结构中的一员,它对 整个网络的影响可能很大,攻破它就可以控制整个 网络,也可能很小,即使攻破它也只能局限于控制本 机。 不确定性理论是E.H.Shortliffe等于1975年 提出的一种不精确推理模型,它通过量化不确定性 知识将不确定性信息确定化,用于处理不确定信息。

价指标。由于网络系统的复杂性以及网络应用的多 样性,网络系统的安全性成为一个由不确定性知识 和经验性知识组成的复杂知识体系。人工智能中的 不确定性理论是处理不确定性知识的一种有效方 法。将安全专家的经验知识和专业知识用不确定性 方法表示,通过不确定性推理对网络的安全性进行 判断,能有效地结合网络扫描和网络安全评估技术, 为网络安全的评价提供了一个重要思想和方法。

2网络安全评估
网络安全评估是指对由于安全原因导致的财产 损失的可能性进行评估。网络安全涉及很多因素, 除了主机安全性、网络的安全性、应用系统的安全 性、策略的安全性等诸多因素外,对不同的企业或者 机构而言,网络中各个主机的重要性不同;不同的业 务应用对安全的需求不同,在不同的网络结构下,各 个主机对整个网络安全性的影响不同,因此在进行 安全评估时,在诸多客观因素的基础上,必须根据经 验知识,综合考虑多个方面的因素,才能对整个网络 的安全性给出恰当的评价。 安全评估一般首先使用扫描工具对目标网络系 统进行自动扫描,提供原始的扫描结果,列出网络和 系统中存在的脆弱点,然后进行人工分析,人工分析 一般由安全专家在扫描结果的基础上进行,提供最 终的分析报告,并对系统加固及整改措施提出建议。 专家关于安全的经验知识并不总是确定的,比 如,一个Windows系统存在B10S空会话脆弱点, 这并不意味着该系统甚至整个网络存在着不可救药
王维锋副教授,主要研究方向:人工智能、计算机网络。

可以将脆弱点信息、脆弱点之间的关系、脆弱点与安
全性的关系、主机之间的逻辑关系用不确定性度量, 通过不确定推理对网络的安全性进行评估。下面首 先介绍不确定性理论的原理和方法。

3不确定性理论
在不确定性理论中,对知识引入了可信度因子 的概念,用来表示事实或者规则的可信程度、真度、 各种特征值的强度、隶属度等[1],使用CF表示。 3.1不确定性表示 在不确定性理论中,规则的一般形式为:
if E then H(CF(E,H))

其中CF(E,H)表示该规则的可信度,称为可信 度因子或者规则强度,取值范围为[一1,1]。它表示 在已知证据E的情况下对H为真的支持程度。CF (E,H)>O表示证据的存在增加结论为真的程度, CF(E,H)越大结论H越真;CF(E,H)一1表示证 据存在结论为真。CF(E,H)<O表示证据的存在 增加结论为假的程度,CF(E,H)越小结论H越假; CF(E,H)一一1表示证据存在结论为假。

?263?

在不确定性理论中,证据E的不确定性用证据 的可信度CF(E)表示。原始证据可信度由用户在

脆弱点的可能性为0.7。 4.2不确定推理规则 网络中一台主机的脆弱性不仅仅取决于自身, 特定的网络结构、网络主机间的逻辑联系都可能导 致脆弱性在网络中传递蔓延[2’3],此外,即使在一台 主机内部,几个相对简单的脆弱点联合起来可能导 致严重的安全后果。 不确定推理规则包括脆弱性传递规则和安全性 判断规则: (1)脆弱性传递规则 根据专家知识,给出描述脆弱性传递的产生式 规则,根据攻击者通过前提的脆弱点发现结论中的 脆弱性的难易程度确定规则的可信度。例如,经分 析可知,“如果成为系统的普通用户,并且/etc目录 可写,那么/etc/passwd可写”是一条脆弱性传递规 则,可以表示成: if“为系统的普通用户”八“/etc目录可写”then “/etc/passwd可写”(O.8) 表示攻击者在满足前提条件后,有0.8的可能

系统运行时提供,中间结果的可信度由不精确推理
算法得到。 3.2前提的证据事实的总CF值
CF(E1^E2…A En)=rain{CF(E1),CF

(E2),…,CF(En)}
CF(E1 V

E2…V眈)一rain{CF(E1),CF

(E2),…,CF(En)) 其中E1,E2,…,En是与规则前提匹配的事实。 3.3推理结论的CF值计算 对于推理规则B÷H,设规则的可信度为CF(E

—H),则结论H的可信度计算为:
CF(H)一CF(H,E)?max{0,CF(E)} 重复结论的可信度计算 若同一结论分别被不同的两条规则推出,而得 到两个可信度CFl(H)和CF2(H),则最终的CF (H)为:
CF(H)一 rCFl(H)+CF2(H) —CFl(H)*CF2(H) (4)

CFl(H)>t0,CF2:≥0 CFl(H)<0,CF2<O

性会发现结论中的脆弱点。 网络中主机间的信任关系、域关系、组关系、主 机内部的脆弱点的关系也都可以通过这样的分析表 示为产生式规则。 (2)安全性判断规则 安全性判定规则表示由于存在的脆弱点,网络 或者系统存在某种安全性威胁。安全威胁分为4 级,由低到高依次为:泄漏系统信息(A1)、服务用户 权限(A2)、普通用户权限(A3)、管理员权限(A4)。 把脆弱性引起的安全威胁定义为安全性判断规 则。根据单个系统和整个网络对保密性、完整性、可 用性的需求,根据专家的经验对通过脆弱点实现威 胁的难易程度确定可信度。 安全性判断规则又分为系统安全性判断规则和

J CFl(H)+CF2(H)
—CFl(H)*(1F2(H) CFl(H)+CF2(H)

【1--mill{ICFI(H)I,ICF2(H)I)

CFl(H)和CF2异号

4基于不确定性理论的网络安全评估模型
为了综合考虑攻击实施的难易程度以及网络结 构因素,我们在脆弱点、脆弱点之间的联系、脆弱点 与安全性的关系、主机之间的关系、主机与网络安全 性的关系的表示中引入不确定性度量。在工具自动 扫描的客观结果基础上,根据安全专家的经验知识, 通过不确定推理对网络的安全性进行评估。 为了综合考虑攻击实施的难易程度以及网络结 构因素,我们在脆弱点、脆弱点之间的联系、脆弱点 与安全性的关系、主机之间的关系、主机与网络安全 性的关系的表示中引入不确定性度量。在工具自动 扫描的客观结果基础上,根据安全专家的经验知识, 通过不确定推理对网络的安全性进行评估。主要内 容如下:
4.1

网络安全陛判断规则,前者表示根据系统或者网络
存在的脆弱性,对一个目标系统的安全性评价;后者 表示根据网络结构以及网络中各系统的安全性,对 整个网络的安全性的评价。 i)系统安全性判断规则 例如,经分析知道,如果“/etc/passwd可写”或 者“/.rhosts可写”,那么可以实现“成为超级用户” 的目标,可以表示为如下规则: If“/etc/passwd可写”V“/.rhosts可写”then “主机的安全威胁为A5”(0.98) ii)网络安全性判断规则 例如,假设主机A是域控制器,那么如果A的 安权威胁i平价为X,那么,整个网络的安全威胁不会 低于X,可以表示为如下规则: 对任意的安全性X,if.‘主机A的安全威胁为

脆弱点的不确定性度量

首先对扫描器的扫描结果给出不确定性度量。 扫描工具能够自动列出系统或者网络存在的脆弱 点。对发现的每个脆弱点,考虑攻击者发现该脆弱 点的难易程度,根据脆弱点被发现的可能性给出确 定性因子,取值范嗣为区问[oJ]。 例如CF(“/etc/passwd可写”)=0.7表示系统 存在“/etc/passwd可写”的脆弱点,攻击者发现该
?264?

X”then“网络的安全威胁大于等于X”(0.95)。 假设主机A是企业财务部门的主机,那么如果 A的安全性评价为A4,那么整个网络的安全性直接 定义为A4,可以表示成如下规则: If“主机A的安全性为A4”then“网络的安全 性为A4”(1)。 通过对脆弱点、脆弱性传递、安全威胁判断知识 使用可信度表示,整个系统就成为一个关于安全评 估的不确定性知识库。使用不确定性推理方法,可 以判断单个主机或者网络面临的安全威胁。 结论 自动扫描工具只简单地罗列出所存在的

出的基于不确定性理论的网络安全评估模型,将脆 弱点信息、脆弱点之间的关系、网络中主机之间的逻 辑关系、脆弱点与安全的关系、主机安全与网络安全 的关系用可信度因子度量,通过不确定推理对网络 的安全威胁进行评估。该模型能有效综合考虑诸多 因素,处理安全评估中的不精确信息。 参考文献


廉师友.人工智能技术导论(第二版).西安电子科技大学出版 社,2002



刘海燕.目标驱动的网络安全智能分析技术.计算机科学,2005
(8)

脆弱点,人工分析时需要综合考虑脆弱点信息、网络 结构等具体因素,存在诸多不精确的信息。本文提 (上接第253页) 算法对运算空间的需求。分解算法的一个关键问题 是如何确定替换策略,即每一步中把哪些不在工作 集中的样本替换进去。很明显,替换策略的好坏直 接影响算法的收敛速度。同时,固定工作样本集的 大小的选择也是至关重要的。如果选择一个较大的 集合,其效率可能还不如块算法。如果集合不足以 包括所有的支持向量,同时该算法没有提出改变集 合的大小的策略,有可能得不到结果。所以说,分解 算法只有在支持向量较少的训练样本集上,同时还 有合理的替换算法和合适的工作样本集大小时,才 能表现良好的性能。 SMO方法可以看作是分解算法的一个特例,它 将子问题的规模减少到了最小。但是,子问题的规 模和迭代的次数是一对矛盾,SMO将工作样本集的 规模减少到两个样本,一个直接的后果就是迭代次 数的增加。所以SMO实际上是将求解子问题的耗 费转嫁到迭代上,然后在迭代上寻求快速算法。 SMO算法的一个关键问题就是如何确定一个好的 启发式迭代策略,如果没有一个好的启发式迭代策 略,该算法就是一种盲目爬山法。SMO算法进一步 的减少了工作样本集的运算矩阵的大小,提高运算 速度,克服了块算法和分解算法只能应用在支持向 量稀疏的训练样本集上的问题。同时,SMO算法更 加依赖迭代算法的选取。 总之,块算法、分解算法和SMO算法都可以在 一定程度上解决SVM基本方法在大训练样本集上 复杂度较高的问题。其中,块算法和分解箅法只适



邵立嵩,刘海燕,荆涛.基于主机间信任关系的脆弱性分析系统. 计算机应用,2005,25(12):145~147

本分类应用上体现了良好的性能。基于循环迭代思 想的SVM改进算法能在一定程度上改善SVM训 练算法的时间、空间复杂性,同时也有一定的局限 性。 SVM的训练速度仍然是阻碍它广泛应用的一 个重要原因,如何构造高效的训练算法是SVM研 究的重点。今后SⅥⅥ的训练算法的研究方向主要 是确定不同的优化目标,根据KKT约束优化条件 寻找大规模训练样本下的实用算法。 参考文献
l Vapnik v.Nature of statistical learning theory.1st Edition. New York:John 2

Wiley and Sons,Inc.2000
support
vector

Platt J C Fast training of

machines

using sequen-

tial minimal optimization.In:B Seh3lkopf,C Burges,A J.Smo- la。eds.Advances in Kernel

Methods-Support

vector

Learning.

Cambridge,MA:MIT Press,1999.185~208
3 Boser B E,Guyon I

M,Vapnik V N.A Training Algorithm for
on

Optimal

Margin Classifiers.In:the Fifth Annual Workshop

Computational Learning

Theory proceedings.Pittsburgh,US,

1992.144~152


Osum E,Freund R,Girosi
for

F.An

impmved

training algorithm Workshop
on

support

vector

machines.In:1997 IEEE

Neu—

ral Networks for Signal US,1997.276~285 5 Hsu for

Processing proceedings.New York,

Chih—Wei,I.in Chih-Jen.A simple decomposition method
vector

support

machines.Machine 1.earning,2002,46(1):

291~314


Keerthi S S,Shevade S K,Bhattacharyya C,et a1.Improve- ments
to

Platt’S SM0 Algorithm for SVM Classifier Design.

Neural Computation,2001,13(3):637~649


Osuna E,Freund R,Girosit F.Training Support Vector Ma— chines:an Application
ty
tO

合于支持向量稀疏的大训练样本集。分解算法和 SMO算法的成功依赖于迭代算法的选取。 结束语基于统计学习理论的支持向量机在文

Face

Detection.IEEE Computer Socie—
pro-

Conference

on

Computer

Vision and Pattern Recognition

eeedings.New York,US,1997.130~136

?265?

一个基于不确定性推理的网络安全评估模型
作者: 作者单位: 王维锋, 刘海燕, 霍景河 装甲兵工程学院信息工程系,北京,100072

本文链接:http://d.g.wanfangdata.com.cn/Conference_6287051.aspx