網絡信息安全風險態勢預測分析方法探討

1.研究背景

安全風險態勢預測分析是信息安全技術和管理領域中的重要內容，傳統的方法一般會按如下幾個方面獨立地或者混合進行分析：

1.獲取歷史上安全***相關信息，利用概率模型或者使用歷史數據進行訓練，根據結果進行風險預測[1] [2]；

2.根據各種信息資產的安全脆弱性進行分析；

3.根據各種信息資產的安全屬性，包括保密性、完整性、可用性等；

4.根據網絡拓撲模型進行分析，其手段主要是分析各種網絡之間的關聯關系，主要是聯通性。

但上述分析方法顯然存在一定問題，這主要表現在如下幾個方面：

1.僅根據歷史數據進行概率模型的推測，是無法真實地對將要發生的安全事件進行匹配，即經驗數據實際上未必可信；

2.沒有根據網絡的相關安全屬性進行分析，特別是沒有針對防火墻的策略進行分析，造成態勢預測的不可靠或者嚴重誤報。

2.研究目的

本文就是針對上述現有技術存在的問題，提出一種基于安全預警的風險態勢預測分析方法，通過它能夠解決如下問題：

1.對權威機構發布的安全預警在網絡中可能存在影響進行評估；

2.利用網絡的相關安全屬性及之間的安全域劃分、邊界防火墻策略的配置情況進行分析，力爭真實地分析各類安全***、有害代碼（如病毒、***等）對現實網絡的可能影響或威脅。

3.研究方法

方法分為如下幾個步驟：

1.安全信息的采集：不同安全信息的采集包括：

n安全預警信息的采集：從國家權威機構或知名廠商等同步安全預警信息；本方法主要關注漏洞、有害代碼、安全威脅等預警；同步后，將其標準化；

n信息資產采集：采集的內容包括信息資產上的相關系統（含版本）、漏洞、補丁、運行服務及對外提供端口等；各資產的價值；

n網絡信息采集：采集各信息資產所在網絡拓撲連接相關信息，以及各個子網的保護等級等；

n防火墻策略采集：采集各網絡邊界防火墻訪問控制策略信息，包括區域、接口、允許的IP地址、端口、協議等信息。

2.建立模型：

n預警模型，如下：

預警=<預警類型，預警名稱，預警等級，{影響的系統及版本}，{影響的軟件版本}，{影響端口}>

n信息資產模型，如下：

信息資產=<系統和版本信息，{漏洞}，{補丁}，{安裝的軟件及其版本}，{開放服務及其端口}，價值>

n防火墻策略模型，如下：

防火墻策略=<訪問方向，源IP地址,目的IP地址，源端口，目的端口，協議，拒絕|接受>

n網絡模型：網絡為如下元組：

網絡=<{信息資產}，{邊界防火墻策略}，保護等級，{相鄰網絡}，{下級網絡}>

3.分析過程

根據不同預警的類型，態勢分析步驟包括：

1)首先，從頂層網絡開始（一般為互聯網邊界或對外出口）；

2)分析預警中的相關存取是否會被其邊界防火墻策略所接受(主要分析向內訪問的源地址、端口、協議)，如不能接受則轉5），否則轉3）；在分析下級網絡時，需將其上級網絡中相關防火墻的策略也作為其策略的一部分進行聯合篩選，而相鄰的則不用；

3)分析網絡中的各個信息資產的系統、漏洞、所安裝軟件或服務、開放端口等因子是否會受到影響，生成匹配向量（向量中的元素為0或1，分別表示不匹配或匹配），如下：

匹配向量=[匹配1,匹配2,…,匹配n]

根據各個匹配情況及各因子權重計算可能性：

影響可能性=

4)根據影響可能性，綜合計算受影響信息資產的風險態勢作為所在網絡的風險態勢預測值（不考慮根本不受影響的資產）：

網絡風險態勢預測值

=

5)獲取相鄰或下級網絡，如存在未分析的網絡則轉2）否則轉6）

6)根據各個網絡的風險態勢預測值，計算整體風險態勢預測值：

整體風險態勢預測值

=

4.實驗步驟

具體實驗步驟如下：

1.信息采集和模型建立：

n建立相關信息采集部件定期從國家相關權威安全網站獲取預警信息；另外，支持直接人工錄入相關預警信息，舉例如下：

微軟“IE累積安全更新”：公告號MS2013-21，影響系統IE6~IE10。

n定期對網絡內相關資產信息進行信息掃描、通過簡單網絡管理協議或通過賬號口令登錄至目標資產獲取資產相關信息，舉例如下：

系統內存在若干安裝了Windows7系統的資產：系統版本號為6.1.7601，開放了135、139、445等端口。

n定期從邊界防火墻設備中獲取策略信息并標準化，因為不同類型防火墻的策略表現形式不同（但對于訪問控制策略而言，其本質基本類似），故需進行統一化，如下：

firewall interzone dmz untrust

…

acl 3000

rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30

…

標準化后如下：

<策略唯一標識,源區域,目的區域,協議,動作,源地址,源端口,目的地址,目的端口,動作>

2.分析預警相關性質

由于不同預警的性質不盡相同，但大體上可以分為如下類型：

n與某類系統或某種軟件版本特別相關，且與網絡訪問關系不大；

n與系統類型或軟件版本沒有特別大的關系，但與網絡訪問行為本身關系較大；

n同時具備上述兩種特征。

3.分析過程

如果是第一種性質則一般無需針對防火墻策略進行特殊分析，因為和策略沒有特別大的關系，只要分析網內資產是否存在和預警中所指出的系統、應用相匹配的內容即可；而針對后兩種性質的預警則需要結合防火墻策略進行分析。

以下設整個內網中存在兩個相鄰的子網A和B，A中還有一個下屬子網C，它們的保護等級（保護等級取值范圍是1-5）,分別是2、2和3；網絡A、B、C中各有100個資產，A和B網絡中的資產價值均為2（價值區間為1-5），C中的資產價值均為4；網絡B中的資產全部是Windows終端，均安裝了IE瀏覽器，只有20臺打了相關補丁，而網絡A和C中的資產均為其它系統，A中放置了4臺DNS服務器，它們安裝了不同類型的DNS服務，其資產價值分別是1、2、4、4，網絡C中包含20臺左右的數據庫服務器和2臺DNS服務器，但網絡A和C之間只允許通過端口22訪問，其它均被禁止。

現有MS2013-021號預警，那么根據前面的描述可以得出，針對此預警全網的安全風險態勢值為80（網絡A和C均不參與計算；態勢值在0-100之間）；而對于某種DNS拒絕服務***，由于其中價值較高的兩臺DNS特征不能完全匹配（預警中未指出匹配的DNS服務軟件和版本，它們占據了70%的權重）且應忽略C網絡中的DNS服務，故整體安全風險態勢預測值則為78。

5.結論

本方法最重要的效果體現在如下幾點：

1.能根據相關預警信息對可能發生的安全威脅和風險進行評估；

2.能結合拓撲及邊界防火墻相關策略對預警可能涉及到的風險進行篩選，降低了誤報率；