以动态关联分析为基础的计算机网络安全风险评估

屈博

在计算机网络运营中，存在着一些风险隐患，如病毒、木马和黑客等，对于信息传输安全形成了巨大威胁，需要做好计算机网络安全风险的评估和预防工作。本文以动态关联分析为基础，就计算机网络安全风险评估进行了研究和讨论。

【关键词】动态关联分析 计算机网络 安全风险评估

1 引言

传统计算机网络安全风险评估采用的多是入侵检测系统，该系统虽然就可以就异常信息发出报警，但是其中仅有1%的报警属于必要报警，其余99%均为无关报警，管理人员在面临海量报警时，无法准确掌握系统面临的安全威胁，也就无法及时采取有效应对措施。基于此，本文提出了一种以动态关联分析为基础的风险评估方法，可以针对一定时间间隔内的报警事件开展关联性分析，并以此为基础提出了攻击威胁度和攻击成功率算法。

2 理论分析及算法设计

为保证理论分析的严谨性以及表述的清晰性，在研究前提出三个假设条件：

（1）不考虑入侵检测系统（IDS）的错报和漏报情况；

（2）不考虑IDS告警延迟引发的告警顺序错误；

（3）假定同一个目标节点不会在同时遭遇多种复杂攻击。

2.1 攻击威胁度算法

实践表明，存在关联关系的多步攻击事件连续发生较独立攻击事件单独发生的危害性更强，因此，为了在评估环节充分反映上述安全特性，构建攻击关联规则数据库以及攻击状态数据库。

2.1.1 報警预处理

网络攻击通常都存在连续性的特点，一次攻击行为会进行多次重复，在这种情况下，IDS会发出大量的报警信息，需要针对冗余信息进行聚合预处理，从中提取出有用的报警信息。

2.1.2 动态关联分析

攻击事件的动态关联形式如图1所示。

结合图1分析，Ni表示IDS某次报警TI的目标节点，△T表示从当前到过去的时间段，存在，tc表示当前时刻，td则为过去某个时刻。目标节点在△T内存在的所有IDS报警可能会被分割成m条攻击链，这里以Atj表示。动态关联需要遵循的规则有几个：

（1）对于目标节点TI首先执行报警聚合预处理，通过相关参数来判断是否属于新建聚合预警，如果判断为否，则需要对其所在的攻击链信息进行更新；

（2）在新建hT时，应该进行动态关联操作，判断其是否属于攻击关联规则库中复杂攻击的第一个步骤，如果是，新建攻击链，做好孤立标记，当出现后续关联步骤后取消标记；如果否，则判断为孤立报警；

（3）在周密部署的情况下，攻击并不会对已经获取的权限进行再次获取，因此，如果再次检测到攻击链中的第一个步骤，则可以判断攻击链结束，新一波攻击来临，此时需要对原来的攻击链进行注销，新建攻击链以避免△T取值过大引发的告警关联错误。

2.2 攻击成功率算法

网络攻击想要成功执行，需要具备一定的前提条件，如果这些条件不被满足或者部分满足，则攻击成功率会较低，如果条件全部满足，则攻击成功率较高。同时，攻击成功率受目标节点安全防护程度的影响，安全防护措施越强，攻击成功率越低。结合相关经验分析，攻击成功率对于安全措施的动态变化异常敏感，可以通过指数函数进行描述。攻击成功率AS经验公式为：

AS=m/eI

在公式中，m表示攻击成功前提条件与节点漏洞信息匹配度，I表示目标节点安防强度。

2.3 系统风险态势值计算

3 结语

针对计算机网络安全问题，提出了一种基于IDS告警关联的风险评估方法，可以实现对于网络安全风险的实时准确评估，对实时风险态势变化曲线进行沪指，为安全策略的及时更新提供参考。同时，可以针对多步关联攻击行为的连续发生与独立攻击行为单独发生的威胁度差异进行对比分析，通过将节点安防措施强度作为评估指标的方式，保证了评估结果的准确性和客观性，对于计算机网络安全管理有着良好的促进作用。

参考文献

[1]陈燕.计算机网络信息安全风险评估标准与方法研究[D].中国海洋大学，2015.

[2]孙雪岩，吴俊华，刘效武，等.基于关联分析与FCE的网络安全风险评估[J].软件导刊，2016，15（06）：192-196.

[3]葛海慧，陈天平，杨义先.基于动态关联分析的网络安全风险评估方法[J].电子与信息学报，2013，35（11）：2630-2636.

作者单位

商水县国土资源局 河南省周口市 466100