英语原文共 16 页,剩余内容已隐藏,支付完成后下载完整资料
识别网络风险热点:一个用于测量计算机网络风险随时间变化的框架
摘要:现代的计算机网络每天产生出大量的系统日志,这些网络包括连接多台电脑的互联网,包括许多用户利用众多设备连接到特定网络去访问的网站和使用的云服务。由于运行在网络中的服务和应用程序太过广泛而且每个应用程序都关联了很多漏洞而与应用程序相关联的漏洞的严重程度又与与网络犯罪分子不断变化的攻击向量有关,所以测量网络攻击的风险和识别网络犯罪分子在大型计算机网络中最新的作案手法是很困难的。在本文中我们提出了一种可以实时进行网络枚举和流量分析的框架,以便在特定的时间节点下对有可能发生的风险及时地作出一些应对措施。我们验证了在144小时内从大学网络采集来受到过威胁的462787个实例数据。我们的分析也可以推广到其他各种情况下。
介绍
由于在计算机网络上的应用软件程序可以在任何时间内运行,所以想要去量化网络攻击的风险,评估网络攻击的影响以及理解攻击模式是一项复杂而且具有挑战性的任务。在一个特定的基础上由于越来越多的网络设备被带入到现代网络环境中,所以这个复杂性大大增加了。这些网络设备通常都安装了大量的可以脱离于设备但是可以访问网络而且又极易于受到网络威胁的应用(简称“apps”)。由于网络犯罪分子使用的技术和攻击手段越来越成熟越来越隐蔽越来越多变,所以要通过基础设施去加强网络安全管理是相当困难的。安装和配置像防火墙和入侵检测系统(IDS)的网络防御系统为防止受到网络攻击提供了一个初步的屏障,但是个人设备和远程工作使得计算机网络更容易去边界化(Burnap and Hilton, 2009),这就意味着网络层防御本身不足以防范这些新出现的问题。个人,公司和政府可能成为网络犯罪的受害者,以及(非自愿)的网络罪犯的助手。
随着网络流量分析不断的进步和发展,网络管理员跟踪和响应恶意活动的准确性和有效性在不断的提高,这样对网络用户来说可以减少潜在的危害 (Dantu et al., 2004;Frigault et al., 2008; Liu and Man, 2005; Poolsappasit et al., 2012;Xie et al., 2010) 。然而,考虑到在每条网络上都运行着大量的应用程序,这些应用上原本就存在的漏洞和在日常基础上网络犯罪分子新发现的漏洞以及容易被利用或者容易受到攻击的变动都会影响网络和用户。因此,想要进行实时风险评估和在任何给定时间内确定恰当的风险是相当的不容易,这需要一个有效的,经济的并且可以持续监测和评估风险的可靠应用软件机制。
风险的连续监测和评估主要依赖于自动化收集存储恶意流量的数据和对数据的分析。这种分析可以帮助识别网络攻击的模式以及对不同类型网络攻击的评估,以此来帮助网络管理员对相关风险采取适当的行动(Kott and Arnold, 2013)。这整个过程包括两个主要的挑战;(1)来源于组织网络的不同阶层数据源的集成和预处理具有不同的内容和时效性;(2)在特定的条件下使用一个合适的风险评分算法以此帮助网络管理员更好的发现风险的特点。然而,现有的风险评分和评估机制,如常见的漏洞评分系统“CVSS”(First, 2015),“CORAS” (Lund et al., 2011),“ISO/IEC 27001:2013”(ISO, 2013)等,需要主观的可能会导致不准确的(模棱两可)和不确定的结果的人为基础的定性输入。此外,呈现一个在网络上随着时间的推移而分布在不同部分的全组织风险整体视图比只是简单地汇报静态风险评分更加的重要(一般简单地对通过在网络上发现的漏洞进行评估总结从而量化出的一个单一的数值) (Kott and Arnold, 2013)。
在本文中我们提出了一个影响计算机网络风险因素正规化集合框架(主要针对大学网络)。这个框架可以在不同层次的网络随着时间的变化动态地支撑出一个动态概率风险评估模型,然后将他们与有大致相同方式的网络风险进行合并,就像现实生活中地图上呈现出代表犯罪的犯罪热点。这个框架可以对风险提供了直观的显示,除此之外还可以通过在风险模型的内外放大使管理员确定并且理解随着时间推移在网络、子网络以及被托管的应用中最有风险的组成部分。我们认为针对运行在网络中的某一个特定软件统计它受到威胁的严重程度以及发生风险的次数并把这些计算成一个总体风险分数,然后利用这个总体风险分数通过内部和外部的托管应用程序构成网络风险热点单独视图。这个网络风险热点的特定应用程序正在利用决策树结构进一步进行研究以便帮助网络管理员针对受到威胁的不同应用软件及时的响应。我们工作的主要贡献包括:
1,提出风险度量,可以更客观地计算,而不是使用主观的计算,基于人为的定性输入,这样可以在计算机网络中确定网络风险热点。
2,对具有时间风险行为的软件应用程序进行建模以及更好的理解安全策略的有效性。
3,在风险评分显著增加前,提前警示网络管理员采取预防措施的机制。
4,在计算机网络中的一段时间内识别网络风险热点。
5,可以调查新兴的网络风险热点与特定的软件应用程序相关联的原因。
我们使用系统日志数据对风险评估进行动态更新,然后我们通过大学网络收集实时系统日志来验证框架。这个实时系统日志可以在应用程序级别上提供受到威胁的频率,并且为每个威胁的严重性评分。这个大学网络特别适合去验证这个框架,因为它包含了超过34000用户(包括工作人员和学生)和大量计算设备并且分布在不同的地理位置的多个子网络。此外,用户往往倾向于从外部位置去访问在网络中的计算机以及工作,这样就需要网络端口被打开。虽然我们是使用了以测量为基础的研究来验证我们的方法但是得出的结论可以推广到其他类似的大学网络中去(其中也有类似的用户的社区,也利用相似类型的托管应用)。
相关工作
一种基于贝叶斯网络被称为贝叶斯攻击图的风险管理框架,已经被提出用来评估有风险的计算机网络,从而可以使系统管理员作出决定,例如在可操作的环境中应用安全补丁,使用防火墙,禁用该服务,断开连接互联网。这是一个基于通用漏洞评分系统(CVSS)指标并且包含因果关系以及利用他们评估安全风险可能性的模型 (First, 2015)。贝叶斯攻击图已被用于更好地了解各种网络状态之间的因果关系,并计算利用这种关系的可能性。这项研究进一步提出并制定了为降低风险针对管理者优化的遗传算法(Poolsappasit et al., 2012)。然而,作者仅仅考虑出现在特定时间点上的风险而没有考虑这些风险可能随着时间的推移发生改变——后者是我们提出的风险评估框架的重要组成部分。
Dantu et al. (2004)利用攻击图对网络安全漏洞进行建模,然后部署基于贝叶斯逻辑的网络风险评估概率模型。他们把在攻击图上的每个节点与概率关联起来,用于表示发生在网络上攻击的可能性。这些概率最初用于计算系统产生问题的可能性,随后又用来计算组织风险。他们是利用合成的网络数据去计算组织风险,而我们则是利用真实的网络数据去确认我们框架里的组件并且计算相关的风险值。
Liu 和 Man (2005) 使用贝叶斯网络对潜在的攻击路径进行建模并且分析了攻击机制以及攻击者计算潜在攻击路径最佳子集的背景知识。作者标记了他们的做法作为一个贝叶斯攻击图。在贝叶斯攻击图上的节点有描述发生攻击可能性的概率值,这个概率值被用于计算发生组织风险的可能性。但是他们并没有指定如何计算与每个节点相关联的攻击概率。一个用于网络系统的安全风险分析已经使用贝叶斯网络来模拟攻击结构的不确定性,攻击者的行为和发出警报。这项研究涉及到进行网络数据的实时分析然后对使用贝叶斯网络的识别入侵做出一个合适的安全响应(Xie et al., 2010)。作者使用术语安全图模型用来作为网络安全分析的图模型。这项研究主要集中于识别脆弱的机器,未被发现的漏洞以及遗漏的威胁。我们模拟了在给定强度和频率的条件下的攻击模式,当然我们也考虑到了时间方面的攻击以及它们通过网络传播。
基于动态贝叶斯网络并且还纳入了漏洞随时间演变的攻击图的模型已由 Frigault (2008)等人提出。该模型导出的参数广泛应用于 CVSS (First, 2015)和攻击图,并重点支持在动态网络环境中的安全监测。作者使用模拟的例子来验证他们的模型,而我们的模型使用的是来自真实世界的数据。
Dantu(2007)等人已经进行了研究估计,根据调查结果对攻击行为的类型进行分类。这项研究调查了个人行为和社会行为的资源概况例如,技能水平,时间以及不同的态度又如 机会主义者,黑客,或者探索行为。这样以来可以进行进一步的分类,来确定相关行为的风险以及制定风险管理策略。我们框架模型的威胁与托管于网络基础设施排名最脆弱个人软件联系在一起。Dantu(2009)等人假设了网络的动作顺序和攻击行为的关系,并提出了一个基于攻击图和攻击行为的可以检测和评估风险的五步模型。该模型已经被证明针对减少漏洞是有效的。我们的框架模型在特定时间段内的网络风险和攻击路径的排名会被网络管理员考虑。
一个从属于成本敏感入侵响应系统的服务已经提出了三个基本安全原则:保密性、完整性和可用性(Kheir et al.,2010)。这项研究报告了识别在应对攻击后对保密性和完整性潜在影响的困难。我们的框架使用来自恶意网络流量数据的参数去计算风险,然后用于识别在在计算机网络中的风险热点并且根据基本安全原则协助网络管理员作出适当的反应。
一个基于组件的架构已经被提出用来测量攻击带来的影响以及找到一个合适的相应响应,当然我们同时也要考虑相关的成本和收益。这个基于自然非图形的模型使用了可观察的马尔可夫决策过程从网络安全的角度来评估系统资产的状态(可以是正常的,探测,在开发和妥协下)然后在考虑潜在成本因素的条件下选择一个可以做出合理防御反应更安全的系统(Zhang et al., 2009)。我们的框架使用来自网络中目标参数的恶意网络流量数据去评估和对风险建模,同时遵循连续监测的方法,这样有助于对攻击路径进行识别和排序,从而可以使网络管理员及时采取适当的行动。
最近一项关于风险评估和网络入侵响应系统(IRS)的调查提出了一个分类,强调了其主要特点和局限性。这项研究提出了几个研究方向用于提高网络入侵响应系统,其中之一是提高风险评估与入侵响应之间的联系(Shameli-Sendi et al., 2014)。许多现有的文献试图自动化这个过程。我们的工作提出了一种风险评估方法,提供了一组代表软件应用程序和子网络水平的概率度量,这个可以用来通知安全政策以及对入侵响应风险进行动态配置。我们已经使用真实世界的数据验证了我们所提出的方法,从本质上讲,安全策略可以被网络管理员修改在识别出网络上新出现的威胁和风险“热点”后。
一个基于非图形方式的分层任务网络规划模型由Mu和Li提出(2010),这个模型可以通过分析正面和负面的影响来计算风险值。计算出的风险值都有一个关联的反应,当一个风险值超过(预先定义好的,静态的)反应值。由于使用的反应风险门槛该方法很少被报道出出现误报的情况。这项研究进一步提出使用响应选择窗口的支持是最有效的对策。我们已经开始使用决策树对攻击路径进行识别和排序,以此来帮助网络管理员采取适当的行动。我们不直接使用阈值,但是我们的方法可以很容易地扩展到这个。一个重要的限制是了解价值是什么,这些阈值应该根据网络的脆弱性和管理员的经验去设置。
一个依赖攻击图的方法,其中该攻击图是系统与隐马尔科夫模型的集成,已经被Wang等人(2013)提出用于调查系统级漏洞与使用概率的关系。这项研究提出了一套组织水平的指标和计算攻击和防御的成本因素。我们假设执行任何行动的成本与密钥选择标准的攻击的频率是相同的。
一个基于攻击图的计算机网络风险评价模型由 Kanoun等人提出(2008),这个模型通过组合两个主要因素计算风险:潜力和影响。潜力决定攻击获得成功的概率依赖于自然的论述和劝阻性的措施,而影响参数符合下列条件:(一)可用性; (二)保密; (三)完整性和动态计算。我们使用来自恶意网络流量的客观参数去计算风险。我们的框架可以根据风险的根本原因去计算软件应用程序在不同层次受到的威胁的风险值。一个应用软件很容易受到多种威胁当子网有很多不同类型的应用软件在运行的时候。此外,我们的框架还支持连续监测的风险,并且在多层次的计算机网络风险中提供一个统一的观点。
风险评估框架
网络管理员身上肩负了很大的责任,要随时随地的评估网络上的风险然后计划相应的补救措施。传统来说,风险评估通常使用两种方法要么使用CORAS方法 (Lund et al., 2011)要么使用一个基于标准的管理框架如ISO/IEC 27001:2013(ISO ,2013)。CORAS方法(Lund et al., 2011)是一个模型驱动的风险分析方法,它是一套应对风险以及对风险进行建模的八个步骤的方法。结构化的头脑风暴活动被用于识别威胁、在有威胁的情况下与资产相关的漏洞风险以及用于评估风险带来的影响和对风险采取适当的措施。CORAS方法提出了系统的一次性风险分析,因为它涉及到会议和识别风险和威胁在不同情况下利益相关者之间的长时间讨论,它不适合于计算机网络高效和连续监测。同样地,一个潜在的风险评估和减灾管理框架已经被ISO/IEC 27001:2013 (ISO, 2013)提出,这就需要利益相关者来计算潜在风险在考虑网络连续主观输入的情况下。我们的风险评估框架使用的是流量日志,而不涉及依靠网络管理员评估风险的连续主观输入,这样可以在很小的时间密度内进行有效地连续风险监测。此外,这个框架还提出了一个整体的观点:通过一个特定的软件应用程序在一段时间内出现了与其相关的风险,然后去调查他们出现的原因。风险评分是基于遭受威胁的可能性和由于威胁而受到业务影响的安全风险评估计算。现有的风险评分算法是被临时启发并基于个人主观的评估而驱动的。这些往往导致风险度量具有潜在的误导性和模糊性(Kott and Arnold, 2013)。对风险的特征定量缺乏理
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[148897],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
