一種優化的實時網絡風險評估方法

黃 海，劉林東

（廣東第二師范學院計算機學院，廣州 510303）

0 引言

實時網絡風險評估對網絡防御技術具有重要意義，作為下一代網絡的關鍵技術，已經得到了專家學者們的廣泛關注［1］。風險評估方法包括人工評估和自動評估［2］。人工評估通常是通過問卷調查的方法，這依賴于專家經驗。雖然這種評估方法比較全面，但是它容易導致主觀化以及評估過程的復雜性，往往會帶來巨大成本。自動評估通常是自動識別漏洞或攻擊。由于自動評估方法自動、高效且易于管理，風險評估相關研究集中在自動評估方面。

為了從cops 中獲取信息，Ortalo 等［3］引入加權圖理論來為系統漏洞建模。他們使用馬爾可夫模型來計算攻擊者可能會滲透到安全定量測量系統安全性的成本，這是一種靜態方法。龔文濤等［4］提出了網絡漏洞檢測方法。Jajodia 等［5］基于攻擊圖模型對攻擊行為進行建模和分析。李世斌等［6］提出了一個以免疫為基礎的網絡安全風險檢測模型，這種模型強調評估網絡系統的實時風險。張永錚等［7］提出了一個風險評估網絡信息傳播模型系統。但是，最后兩種方法針對已知的網絡攻擊檢測已不能滿足當前的網絡安全環境精準度的需要。

因為計算機網絡安全的問題與生物免疫系統（BIS）在變化環境中都要保持穩定狀態，所以它們呈現出極好的導向和相似度。Burnet等［8］在1957 年提出了著名的克隆理論，并建立“非我模式”模型。該模型認為各種淋巴細胞受體有其特異性。基于“非我模式”， Forrest 等［9］在1994年提出了否定性選擇算法（NS）。NS算法極大地促進了免疫原理在計算機安全方面的應用，這對幾乎所有計算機免疫系統（cis）方面的研究是鼓舞人心的。基于人工免疫系統的網絡安全技術被認為是非常有前途的研究方向。Matzinger［10］提出的風險理論指出，免疫系統不僅能夠識別“非我模式”，而且當入侵的“風險”積累到一定的程度還會散發出風險的信號。這意味著免疫系統可發現外部抗原入侵。

為了有效地評估實時網絡風險，本文提出了一種基于Reapai 的實時網絡風險評估模式。它先給出了自我、非自我和檢測器的定義， 然后介紹了入侵檢測器子模型定義，最后建立了基于免疫風險理論的網絡風險評估子模型。在該模型中，包括主機和網絡的所有帶有風險程度的各類攻擊，都可以被實時和定量地計算。理論分析和實驗結果都表明，Reapai提供了一個有效的、新穎的網絡風險評估方法。

1 提出理論模型

Reapai 由兩個子模型組成，一個是入侵檢測子模型，負責入侵檢測；另一個是風險評估子模型，負責入侵評估，最后計算網絡系統各種攻擊類型的風險。

1.1 入侵檢測子模型

子模型含三個模塊，內存檢測器檢測模塊、成熟檢測器檢測模塊和未成熟檢測器容忍模塊。與之相關的定義如下。在我們的模型中，抗原（Ag，Ag?D，D={0，1}∫）是從網絡傳輸中的互聯網協議數據包中抽取的固定長度為1位二進制字符串。異己模式代表來自計算機網絡攻擊的IP數據包，而自我模式是正常的網絡服務事務，因此

sAg是從Ag中以η的概率隨機選擇（檢測系數，0＜η≤1）。

假設B代表公式（1）給出的入侵檢測器，其中d代表抗體，年齡是抗體d的年齡，s是檢測器的損傷程度，計數是與抗體d相匹配的抗原的數量，N是自然數集合。

B包含兩個子集：成熟檢測器（Tb）和記憶檢測器（Mb），因此

成熟檢測器是一種能容忍自我但不能被抗原激活的檢測器。記憶檢測器是從在其生命周期中能與足夠多的抗原相匹配的成熟檢測器演繹而來，因此

其中β（＞0）代表激活閾值，

fmatch(x,y)代表一個r個連續比特的匹配函數，即

假設Ib代表未成熟檢測器集合，其中

它將用于生成成熟檢測器。Ib可以有兩種方法生成，一種來自抗原存托，另外一種是隨機生成。Ib的隨機性使得新的成熟檢測器有更多的多樣性。

對于每一個輸入集合Ag，它被分成δ（δ是不變的）個時代。對于每個抗原時代，大量的抗原被選擇組成集合sAg。而sAg通過B檢測器設置的檢測又被分成自我和異己兩類。每個時代的迭代過程如圖1所示。整個過程是由三個階段組成的。第一階段是從0時刻到容忍終止α時刻。在這個階段我們定義了最初的自我集合Self（0）和未成熟檢測器集合Ib（0）。其中集合Ib（0）將成長為成熟檢測集合。第二階段是自主學習階段，它從α+1 時刻到記憶檢測器出生時刻。通過克隆擴張， 成熟檢測器將產生足夠多的具有相同特異性抗原。未成熟檢測器對自我抗原給出其容忍性。最后一個階段是從記憶檢測器的出生到系統的結束。在實際檢測環境中，免疫系統的所有部分分成三種類型：基因檢測器檢測抗原；成熟檢測器檢測剩余部分； 免疫檢測器用剩下的抗原再來實驗其容忍性。整個過程如圖1所示。

圖1 入侵檢測子模型

在運行過程中，外部系統也能添加合法的自我抗原到Self（t）中。雖然新添加的自我抗原會產生自身具有耐受性的檢測器，但隨著抗原的更新，未出現一些給定的時間，那么新的檢測器就不能容忍抗原。因此，系統具有良好的自適應性。在系統中，如果對抗原有容忍和非容忍兩種類型的檢測器， 它們的競爭將由外部系統來評價（即共刺激）。

系統收到來自記憶檢測器和成熟探測器匹配成功的抗原，立即檢查當前抗原是否屬于集合Self（t）。如果抗原屬于集合，那么共同刺激將產生。如果抗原是自我，則與抗原相匹配的檢測器將被刪除；否則，抗原將被刪除，并且刪除的自我元素將不再屬于自我；如果抗原不是自我，那么它會被當成異己分子。

1.2 風險評估子模型

用入侵檢測子模型檢測入侵或攻擊抗原，記憶檢測器對檢測到的入侵或攻擊抗原進行風險評估。從時刻t-1 到時刻t，如果主機的第i（0≤i≤1）個記憶檢測器發現入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣增加。同時，相應的記憶檢測器的年齡設置為0。如果記憶檢測器檢測到多個相同的入侵或攻擊抗原，那么記憶檢測器的損傷程度將如方程（4）那樣累計計算，表明攻擊威脅在持續增加。假設η1（η1＞0）代表初始損傷程度，η2（η2＞0）代表鼓勵基因，用于監控連續類似的網絡攻擊。

但是，如果記憶檢測器無法檢測到入侵或攻擊抗原，那么根據公式（5），它的損傷程度將降為1/λ，并且它的記憶檢測器的年齡增加1。

定理1：如果記憶檢測器沒有檢測到入侵抗原，探測器的風險性會衰變為0，或者記憶檢測器將死亡和被刪除。

證明：根據上面的公式，成熟探測器在捕獲入侵抗原β后會進化成記憶檢測器， 或者記憶檢測器在生命周期捕獲到抗原。可以看出當記憶檢測器的年齡增加λ，記憶檢測器的損傷程度下降為0，這幾乎是符合實際的入侵情況。當沒有同樣攻擊會話的新入侵事務時，會話就被認為是相應的入侵。

假設rk(t)（0≤rk(t)≤1，1≤k≤K）代表k主機在時間t的風險：如果rk(t)=1， 表明風險極高；如果rk(t)=0，表明沒有風險。系統存在的風險與rk(t)值成正比。考慮到主機的各種配置和不同類型攻擊風險，用μi代表各種攻擊的風險程度，ωk代表主機k的配置。

對于主機k， 在t時刻的第i種攻擊的安全風險，記為rk,i(t)，其定義為公式（6）。

對于主機k，在t時刻的整體安全風險定義為公式（7）：

對于整個網絡系統，在t時刻的第i種攻擊的安全風險程度，記為Ri（t），其定義為公式（8）：

最后，在t時刻的整體網絡安全風險程度定義為公式（9）：

2 仿真和實驗結果

實驗在廣東第二師范學院信息安全實驗室完成。環境是100 兆局域網， 它是通過一個C類IP 地址10.0.209.*.連到互聯網。服務器的操作系統是Red Hat Linux 9.0。抗原被定義為一個固定長度二進制字符串（l=128），它是由源主機/目的主機的IP 地址（64 bits），端口數（16 bits），協議標志（16 bits）和數據包內容（32 bits）組成。任務目標是檢測網絡攻擊和評估主機的風險程度。漢明匹配規則用于計算抗原和抗體之間（距離=80）的親和力。一般情況下， 由于正常處理網絡改變不大，所以成熟細胞的容忍性參數α，設置為1。和成熟細胞的生命周期一樣，激活閾值β 確保模型來實現更高的TP 入侵檢測價值（真陽性）和較低的FP 值（假陽性）。為了看到實時風險評估的影響，記憶檢測器的風險下降步驟λ 設置為1。為了演示Reapai 的網絡攻擊評估模型，我們做了不同的網絡攻擊實驗，結果如圖2和圖3所示。

圖2 攻擊強度曲線和風險程度曲線

圖3 阻斷攻擊強度曲線和風險程度曲線

這兩個圖說明了Reapai 模型關于攻擊強度曲線和風險程度曲線的評估結果。從結果可以看出，Reapai 模型能夠極好地評估網絡攻擊和顯示出相應的風險程度曲線。進一步證明Reapai 模型在對風險評估上的作用。我們分別在主機和整個網絡做了tcpreset 攻擊和udpstorm攻擊。圖4 和圖5 針對Reapai 模型與Insre 模型的風險曲線進行了比較。

圖4 阻斷攻擊強度曲線和風險程度曲線

圖5 攻擊強度曲線和風險程度曲線

在圖4 中，從0 s～7 s，隨攻擊力度減少，對應的風險指標顯著下降。但從8 s～12 s， 攻擊力度降低，對應的風險指示出現上升。在圖5中，從0 s～10 s，網絡攻擊強度下降，相應的風險指標顯示出上升趨勢。然而，從11 s～19 s，網絡攻擊強度增加，相應的風險指標也迅速增長。

實驗表明Reapai 模型和Insre 模型都能反映出每臺主機和整個網絡的綜合風險。然而，圖2和圖3 顯示出Reapai 模型比Insre 模型更符合攻擊強度。

3 相關工作

目前，網絡安全的風險評估工作剛剛開始，且只有少數文獻可參考。在風險評估上，我們用Reapai 模型和其它模型進行了比較。表1 表明現有模型主要集中在靜態評估上，不能發現未知攻擊。然而，Reapai 模型能夠在進行較低的計算下發現未知攻擊。

表1 Reapai和其他風險評估模型的比較

4 結語

本文提出了一個基于Reapai 的網絡風險評估模型。該模型有效地將人工免疫系統的相關理論應用于網絡安全技術。與現有的風險評估模型相比，本文提出的模型可以有效地檢測每臺主機和每種類型的網絡攻擊的實時總體風險程度。

因此，Reapai 模型將幫助系統管理員了解系統安全的宏觀威脅情況，引導他們發現網絡安全的趨勢和行為規則，調整安全策略，提高網絡安全性能。