1.研究背景
安全風險態勢預測分析是信息安全技術和管理領域中的重要內容,傳統的方法一般會按如下幾個方面獨立地或者混合進行分析:
1.獲取歷史上安全***相關信息,利用概率模型或者使用歷史數據進行訓練,根據結果進行風險預測[1] [2];
2.根據各種信息資產的安全脆弱性進行分析;
3.根據各種信息資產的安全屬性,包括保密性、完整性、可用性等;
4.根據網絡拓撲模型進行分析,其手段主要是分析各種網絡之間的關聯關係,主要是聯通性。
但上述分析方法顯然存在一定問題,這主要表現在如下幾個方面:
1.僅根據歷史數據進行概率模型的推測,是無法真實地對將要發生的安全事件進行匹配,即經驗數據實際上未必可信;
2.沒有根據網絡的相關安全屬性進行分析,特別是沒有針對防火牆的策略進行分析,造成態勢預測的不可靠或者嚴重誤報。
2.研究目的
本文就是針對上述現有技術存在的問題,提出一種基於安全預警的風險態勢預測分析方法,通過它能夠解決如下問題:
1.對權威機構發佈的安全預警在網絡中可能存在影響進行評估;
2.利用網絡的相關安全屬性及之間的安全域劃分、邊界防火牆策略的配置情況進行分析,力爭真實地分析各類安全***、有害代碼(如病毒、***等)對現實網絡的可能影響或威脅。
3.研究方法
方法分爲如下幾個步驟:
1.安全信息的採集:不同安全信息的採集包括:
n安全預警信息的採集:從國家權威機構或知名廠商等同步安全預警信息;本方法主要關注漏洞、有害代碼、安全威脅等預警;同步後,將其標準化;
n信息資產採集:採集的內容包括信息資產上的相關係統(含版本)、漏洞、補丁、運行服務及對外提供端口等;各資產的價值;
n網絡信息採集:採集各信息資產所在網絡拓撲連接相關信息,以及各個子網的保護等級等;
n防火牆策略採集:採集各網絡邊界防火牆訪問控制策略信息,包括區域、接口、允許的IP地址、端口、協議等信息。
2.建立模型:
n預警模型,如下:
預警=<預警類型,預警名稱,預警等級,{影響的系統及版本},{影響的軟件版本},{影響端口}>
n信息資產模型,如下:
信息資產=<系統和版本信息,{漏洞},{補丁},{安裝的軟件及其版本},{開放服務及其端口},價值>
n防火牆策略模型,如下:
防火牆策略=<訪問方向,源IP地址,目的IP地址,源端口,目的端口,協議,拒絕|接受>
n網絡模型:網絡爲如下元組:
網絡=<{信息資產},{邊界防火牆策略},保護等級,{相鄰網絡},{下級網絡}>
3.分析過程
根據不同預警的類型,態勢分析步驟包括:
1)首先,從頂層網絡開始(一般爲互聯網邊界或對外出口);
2)分析預警中的相關存取是否會被其邊界防火牆策略所接受(主要分析向內訪問的源地址、端口、協議),如不能接受則轉5),否則轉3);在分析下級網絡時,需將其上級網絡中相關防火牆的策略也作爲其策略的一部分進行聯合篩選,而相鄰的則不用;
3)分析網絡中的各個信息資產的系統、漏洞、所安裝軟件或服務、開放端口等因子是否會受到影響,生成匹配向量(向量中的元素爲0或1,分別表示不匹配或匹配),如下:
匹配向量=[匹配1,匹配2,…,匹配n]
根據各個匹配情況及各因子權重計算可能性:
影響可能性=
4)根據影響可能性,綜合計算受影響信息資產的風險態勢作爲所在網絡的風險態勢預測值(不考慮根本不受影響的資產):
網絡風險態勢預測值
=
5)獲取相鄰或下級網絡,如存在未分析的網絡則轉2)否則轉6)
6)根據各個網絡的風險態勢預測值,計算整體風險態勢預測值:
整體風險態勢預測值
=
4.實驗步驟
具體實驗步驟如下:
1.信息採集和模型建立:
n建立相關信息採集部件定期從國家相關權威安全網站獲取預警信息;另外,支持直接人工錄入相關預警信息,舉例如下:
微軟“IE累積安全更新”:公告號MS2013-21,影響系統IE6~IE10。
n定期對網絡內相關資產信息進行信息掃描、通過簡單網絡管理協議或通過賬號口令登錄至目標資產獲取資產相關信息,舉例如下:
系統內存在若干安裝了Windows7系統的資產:系統版本號爲6.1.7601,開放了135、139、445等端口。
n定期從邊界防火牆設備中獲取策略信息並標準化,因爲不同類型防火牆的策略表現形式不同(但對於訪問控制策略而言,其本質基本類似),故需進行統一化,如下:
firewall interzone dmz untrust
…
acl 3000
rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30
…
標準化後如下:
<策略唯一標識,源區域,目的區域,協議,動作,源地址,源端口,目的地址,目的端口,動作>
2.分析預警相關性質
由於不同預警的性質不盡相同,但大體上可以分爲如下類型:
n與某類系統或某種軟件版本特別相關,且與網絡訪問關係不大;
n與系統類型或軟件版本沒有特別大的關係,但與網絡訪問行爲本身關係較大;
n同時具備上述兩種特徵。
3.分析過程
如果是第一種性質則一般無需針對防火牆策略進行特殊分析,因爲和策略沒有特別大的關係,只要分析網內資產是否存在和預警中所指出的系統、應用相匹配的內容即可;而針對後兩種性質的預警則需要結合防火牆策略進行分析。
以下設整個內網中存在兩個相鄰的子網A和B,A中還有一個下屬子網C,它們的保護等級(保護等級取值範圍是1-5),分別是2、2和3;網絡A、B、C中各有100個資產,A和B網絡中的資產價值均爲2(價值區間爲1-5),C中的資產價值均爲4;網絡B中的資產全部是Windows終端,均安裝了IE瀏覽器,只有20臺打了相關補丁,而網絡A和C中的資產均爲其它系統,A中放置了4臺DNS服務器,它們安裝了不同類型的DNS服務,其資產價值分別是1、2、4、4,網絡C中包含20臺左右的數據庫服務器和2臺DNS服務器,但網絡A和C之間只允許通過端口22訪問,其它均被禁止。
現有MS2013-021號預警,那麼根據前面的描述可以得出,針對此預警全網的安全風險態勢值爲80(網絡A和C均不參與計算;態勢值在0-100之間);而對於某種DNS拒絕服務***,由於其中價值較高的兩臺DNS特徵不能完全匹配(預警中未指出匹配的DNS服務軟件和版本,它們佔據了70%的權重)且應忽略C網絡中的DNS服務,故整體安全風險態勢預測值則爲78。
5.結論
本方法最重要的效果體現在如下幾點:
1.能根據相關預警信息對可能發生的安全威脅和風險進行評估;
2.能結合拓撲及邊界防火牆相關策略對預警可能涉及到的風險進行篩選,降低了誤報率;
在對網絡和整體風險態勢預測分析時,只關注受到影響的信息資產,這樣可以有效地降低由於可能預警僅涉及網絡中少量資產而帶來的風險預測值過低的問題。