基于时间窗口的蠕虫事件量化技术研究

摘要:为了用数值来表示网络中蠕虫事件的破坏程度,分析了蠕虫事件的特点,提出蠕虫事件的量化框架,框架采用基于时间窗口的方法对蠕虫事件进行量化。实验结果表明本文方法的有效性和可行性。

关键词:蠕虫;网络安全;漏洞

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)05-1067-03

Quantitative Method Reasearch of Worm Event Based on Time Window

LIU Zhen-yu, GAO Yi

(Institute of Communications Engineering, PLA Univ. of Sci. & Tech., Nanjing 210007, China)

Abstract: In order to use numerical value describe the damage of worm event to networt, Analyse the feature of worm event and suggest a quantitative framework using a method based on time window. The result of experiment shows the method is effective and feasible.

Key words: worm; netword security; vulnerability

计算机网络是一个无形的战场,它时刻上演着各式各样的攻击事件,其中蠕虫事件是比较突出的一种。广义上讲,蠕虫也是一种病毒,但是这种病毒能够利用系统的漏洞自动传播。2007年爆发的“熊猫烧香”病毒就具有蠕虫的特征,网络中只要有一台主机感染,那么其它有漏洞的主机也会随之被感染,完全不需要人工干预。

当前,许多网络安全系统都支持对蠕虫事件的检测和告警。它们一般是就单个蠕虫事件从危害程度上进行告警,并且安全系统各自为战没有形成合力,因此不能让管理员准确获知整个网络的安全状况。本文分析了蠕虫事件的特点,采用一种完全量化的方法对蠕虫事件进行研究,结果表明文中方法具有可行性和有效性。

1 蠕虫事件分析

1.1 事件特点分析

通过对近几年蠕虫事件[1]的分析(如表1),它们普遍具有以下三个特点:

1)利用已公开的漏洞。大多数蠕虫事件在爆发之前都已经有对应的安全公告了,如果防病毒、入侵检测系统等更新及时就能检测到蠕虫事件。

2)具有连续攻击特性。蠕虫事件不是单个的攻击事件,一旦爆发将会有数以千万计得攻击,并且它们发起的事件相对集中,具有连续性的特点。

3)破坏性。蠕虫事件一般能破坏系统提供的服务、篡改系统文件、盗取用户隐私等,会给网络造成较大的破坏。

蠕虫事件是由许多单个蠕虫攻击事件组成的,为了能够描述蠕虫事件,下面给出单个蠕虫攻击事件的定义:

定义1 单个蠕虫攻击事件。将e={src,dst,time,conf,int,avi}称为单个蠕虫攻击事件,其中src是攻击事件的发起主体,dst是攻击事件的接受主体,src、dst都是攻击事件的参与主体,参与主体可以是网络中的主机或网络设备,一般用主机或网络设备的名字(IP地址)来标识;time指攻击事件发生的时间;conf是攻击事件对网络机密性的破坏值;int是攻击事件对网络完整性的破坏值;avi是攻击事件对网络可用性的破坏值。事件的前3个属性唯一标识了一个事件。一般认为单个蠕虫攻击事件是发起主体对接受主体的破坏事件。蠕虫事件是单个蠕虫攻击事件的集合。

1.2 事件量化框架

蠕虫的破坏性体现在对网络安全属性的破坏。网络有6个基本属性[2-3]:可靠性(reliability)、可用性(availability)、保险性(safety)、可行性(performability)、完整性(integrity)、机密性(confidentiality)。这六个基本属性中最核心的属性有三个:可用性、机密性和完整性,因此通过蠕虫对网络这三个属性的破坏来量化蠕虫事件。

图1是蠕虫事件的量化框架。框架分四层:底层是事件收集层,事件主要来自网络中的防病毒和入侵检测系统的告警、日志等;第三层是信息融合层,它对底层收集的蠕虫事件进行关联分析,并计算蠕虫事件对网络属性的破坏值;第二层是由网络安全属性构成的一级指标层,蠕虫攻击会破坏网络的各个属性,各个属性破坏值的加权平均就是蠕虫事件的量化值,也是对整个网络的破坏值;顶层是被评估网络,也是蠕虫事件发生的场所。

2 蠕虫事件量化技术

蠕虫事件量化技术是用数值来表示事件对网络的破坏程度的技术。蠕虫事件的量化需要满足以下几点要求:1)能反映网络的安全态势的变化情况,比如随着蠕虫事件规模的扩大,事件的量化值就应当越大,反之越小;2)量化值要有一定的灵敏度和突出度,灵敏度指的是当事件发生时,量化值要能及时的上升进行告警,当事件结束时也要能及时的恢复成初始值以反映事件的消除,突出度指的是事件的量化值要比一般事件的量化值大,以便能引起管理员注意。

蠕虫事件对网络的破坏性需要结合当前和过去一段时间事件的发生情况综合量化。这个时间将其定义为时间窗口:

定义2 时间窗口(time window,TW)。它是指截至到当前时间的一段时间。时间窗口用于确定进行量化的单个蠕虫攻击事件的集合。时间窗口窗口越大,事件收集的越完全,评估越切合实际,但是计算量也越大。时间窗口内单个蠕虫攻击事件的集合记为E。

采用基于时间窗口的量化方法比只是基于当前时间的更具有优势,因为当前时间事件的发生具有偶然性,不能很好的反应网络的实际安全状况,采用时间窗口的方法能较好的综合各种偶然的事件,反应出内在的必然性,并且采用事件窗口的量化方法能反映事件的变化趋势,具有一定的预测能力。

为了表示时间窗口内单个蠕虫攻击事件的活跃程度,给它们设定一个生命值,当超过这个生命值都没再发生事件中发起主体对接受主体的攻击,就认为可能采取了打补丁等防护措施使该蠕虫攻击事件不再对网络造成破坏,从而将其从E中剔除,否则该事件的生命值重新从0计算。

在明确了以上内容之后,下面开始蠕虫事件的量化计算。假设单个蠕虫攻击事件e∈E。

2.1 单个蠕虫攻击事件的破坏值计算

设e对其接受主体s机密性、完整性、可用性的破坏指数为de=(de c ,de i ,dea ),那么它对s各属性的破坏值为。大多数安全研究人员普遍认为[4] 100次严重度为1的事件与10次严重度为2的事件、1次严重度为3的事件对网络造成的破坏性是等效的,因此在计算破坏值时采用10的指数方式。

同样的事件发生在不同的主体间造成的破坏也不同,因此要考虑接受主体的不同处。每一个主体也有其自身的安全属性,假设其机密性、完整性、可用性的值为(cs,is, as),那么可以按如下方式计算事件e对s各安全属性的破坏值:

ds c ,ds i ,dsa 分别为事件e对 s机密性、完整性、可用性的破坏值。最后事件e的破坏值记为

,其中ps=(cs,is,as。)

2.2 网络安全属性破坏值计算

网络安全属性的破坏值是时间窗口内各个事件对网络安全属性破坏值之和。

D为网络安全属性的破坏值,s=e.dst表示s是e的接受主体。那么网络各安全属性(保密性、完整性、可用性)的破坏值为:

2.3 蠕虫事件量化值计算

蠕虫事件量化值用网络安全属性破坏值的加权平均来计算。假设网络安全属性的权重向量为w=(wc,wi,wa),则蠕虫事件量化值为:

2.4 破坏指数与主体安全属性的确定

在蠕虫事件量化处理中还需要解决两个参数的取值问题:一是蠕虫攻击的破坏指数,二是主体的安全属性。这两个参数的取值都是三维向量,每一个维度对应一个安全属性。

破坏指数表征了事件对接受主体各安全属性的破坏程度,破坏指数越高破坏性越大,根据破坏程度的不同将破坏指数分为三个等级,如表2。

主体安全属性值是以主体该属性被破坏后对网络系统造成的影响来确定,影响又根据主体存放信息的重要性、主体的服务对象数和主体受到破坏后的恢复时间等来计算。这里将主体安全属性值也分成三个等级,如表3。

3 实验及结果

图2是一个典型的局域网网络拓扑图,本实验以此网络为基础对蠕虫事件的量化技术进行评估测试。

局域网中有三台主机、两台服务器,它们的具体配置信息如表4。

A是一个经过改造的高危蠕虫,它能感染上述网络系统中的所有主机。A会在每3分钟随机的选择下一感染主机,其破坏指数为(3,3,1)。网络系统的时间窗口设定为60分钟,每分钟进行一次事件收集和分析计算。网络系统在正常运行了59分钟后,在第60分钟时主机H1首先感染蠕虫A,A在爆发15分钟后被清除。在实验中,15分钟内检测到有关蠕虫A的事件如下(省略了事件对安全属性的破坏值):

{192.168.1.100,192.168.1.101,63,1000,1000,10}

{192.168.1.101,192.168.1.102,64,2000,2000,10}

{192.168.1.102,192.168.1.100,65,1000,1000,10}

{192.168.1.100,192.168.1.102,66,2000,2000,10}

{192.168.1.101,192.168.1.100,67,1000,1000,10}

{192.168.1.102,192.168.1.103,68,3000,3000,20}

{192.168.1.103,192.168.1.102,69,2000,2000,10}

{192.168.1.100,26.28.37.140,69,1000,3000,30}

{192.168.1.101,26.28.37.140,70,1000,3000,30}

{192.168.1.102,192.168.1.101,71,1000,1000,10}

{192.168.1.100,192.168.1.103,72,3000,3000,20}

{192.168.1.103,26.28.37.140,72,1000,3000,30}

{192.168.1.101,192.168.1.103,73,3000,3000,20}

{192.168.1.102,26.28.37.140,74,1000,3000,30}

{192.168.1.103,192.168.1.100,75,1000,3000,30}

{192.168.1.100,26.28.37.140,75,1000,3000,30}

每分钟测量一次蠕虫事件并对其量化得到图4。图中四条曲线分别代表了蠕虫事件的四种不同的生命值(分别为1、3、5、10分钟),由图可以看出,事件的生命值越大告警优势越明显,但是对网络安全状态的背离越大,比如事件的生命值为10时,直到第87分钟才显示网络中蠕虫攻击事件消失,与实际的75分钟偏离较大。

图5是对基于时间窗口(TW曲线)和当前时间(ST曲线)蠕虫攻击效果的比较图,该实验中设定单个蠕虫攻击事件的生命值为3,由图可以看出基于时间窗口的量化方法对蠕虫事件具有明显的告警优势,并且还具有预测蠕虫事件的发展趋势的能力。

4 结束语

本文对蠕虫事件的量化方法进行了研究,提出蠕虫事件的量化框架,并对时间窗口内的蠕虫事件进行量化处理,实验表明该方法具有明显的告警优势并能对蠕虫的发展趋势进行预测。但是还存在一些需要进一步完善的地方,比如对其它网络安全事件的量化以及大规模网络的应用部署等。

参考文献:

[1] CNCERT/CC.反网络病毒大事记[EB/OL].(2009-09-19)..cn/SAWV/jl.

[2] 林闯,,李泉林.网络安全的随机模型方法与评价技术[J].计算机学报,2005,28(12):1943-1956.

[3] 施峰.信息安全保密基础教程[M]. 北京:北京理工大学出版社,2008.

[4] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.