计算机攻击的威胁评估方法

1.计算机攻击的威胁评估方法，其特征在于包括下列步骤：
第一步、分析攻击次数威胁和攻击源个数威胁，确定主要攻击类型，将其按 威胁度分类，并估计各攻击类型下攻击源的威胁，建立初始威胁数据库，对于各 种攻击类型赋予初始威胁值；
第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行聚类 分析，得到相互关联的攻击或协同攻击的入侵事件集；
第三步、识别攻击源，计算其攻击频次f，得到其威胁程度x(f)；确定不同攻击 源的个数m，得到攻击源个数的威胁值x(m)；查询威胁数据库并计算得到攻击 源在第n类攻击类型下的威胁程度x(n)，确定影响威胁值的主要因素包括攻击频 次f、攻击源个数m以及攻击类型n，根据入侵事件集的差异性，对同一攻击源 同种攻击类型的攻击集合，不同攻击源、同种攻击类型的攻击集合，不同攻击源 不同攻击类型的攻击集合，分别计算入侵事件集的威胁值。
2.根据权利要求1所述的方法，其特征在于所述第一步中：分析攻击次数威胁 和攻击源个数威胁，确定主要攻击类型，将其按威胁度分类，并估计各攻击类型 下攻击源的威胁，建立初始威胁数据库的步骤具体为：
1.1攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源 威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生 的次数，攻击频次对威胁值的贡献记为x(f)；
1.2攻击源个数威胁分析：攻击同一目标的攻击源个数对威胁值的贡献记为 x(m)；
1.3确定主要攻击类型，将其按威胁度分类；
1.4估计各攻击类型下攻击源的威胁大小：攻击源在第n类攻击类型下的威 胁程度，记为x(n)，存入威胁数据库。
3.根据权利要求2所述的方法，其特征在于所述步骤1.3中的攻击类型包括同 源同种攻击、同源异种攻击和异源异种攻击。
4.根据权利要求1所述的方法，其特征在于所述第二步中入侵事件的表示模型 包括源地址，目标地址，请求服务类型，攻击类型和时间。
5.根据权利要求1所述的方法，其特征在于所述第二步中使用的聚类分析方法 为基于统计信息网格的多分辨率聚类方法。
6.根据权利要求1所述的方法，其特征在于所述第二步中的入侵事件来源于入 侵检测系统的报警数据。
7.根据权利要求1所述的方法，其特征在于：所述第二步对入侵事件的聚类分 析是由入侵事件到来触发运行的。
8.根据权利要求1所述的方法，其特征在于所述第三步中入侵事件集的差异性 包括攻击源的差异性、攻击次数的差异性和攻击类型的差异性。
9.根据权利要求3所述的方法，其特征在于所述第三步中：根据入侵事件集的 差异性，对同一攻击源同种攻击类型的攻击集合，不同攻击源、同种攻击类型的 攻击集合，不同攻击源不同攻击类型的攻击集合，分别计算入侵事件集的威胁值 的步骤具体为：
2.4.1对同一攻击源同种攻击类型的攻击集合：即m＝1；
当f＝1时，X＝λ[μ1x(1)+μ2x(1)+μ3x(n)+μox(o)]
当f＞1时，X＝λ[μ1x(f)+μ2x(1)+μ3x(n)+μox(o)]；
2.4.2对不同攻击源、同种攻击类型的攻击集合：即m＞1，f≥1；分为两种 情况：
当f＝1时，X＝λ[μ1x(1)+μ2x(m)+μ3x(n)+μox(o)]
当f＞1时，划分成m个同源同种攻击的集合S1，S2，......，Sm，依照2.4.1计算各子 集的威胁值X1，X2，...，Xm；计算X1＝opr(X1，X2，...，Xm)；
2.4.3对不同攻击源不同攻击类型的攻击集合：分别按同源同类型和异源同 类型攻击集合对待，对其分别计算所有可能的威胁度，取最大值作为最终结果。 10、根据权利要求9所述的方法，其特征在于所述步骤2.4.3的具体实现方法为：
同源同类型攻击划分：区分该集合中所有可能的同源同类型攻击子集，得到 i个攻击子集，设为A1，A2，...，4；其次，使用2.4.1的方法分别计算各子集 的威胁值X1，X2，...，Xi；取最大值X1＝max(X1，X2，...，Xi)；
异源同类型攻击划分：区分该集合中所有可能的异源同类型攻击子集，将上 面得到的i个子集A1，A2，...，Ai，按照攻击类型分组，得到j个组，设为B1， B2，...，Bj；其次，使用2.4.2的方法分别计算各组的威胁值X′1，X′2，...，X′j； 取最大值X2＝max(X1′，X2′，...，Xj′)；
将所有可能的威胁值取最大值作为最终结果，即X＝max(X1，X2)。

技术领域\n本发明涉及信息安全领域，尤其涉及威胁评估技术和威胁评估方法。\n背景技术\n系统漏洞的存在和攻击工具的广泛传播使得网络攻击更为频繁。其中，协同 攻击是威胁较大的一类。协同攻击是精心策划和实施的一组攻击，它通过各个部 分的分工协作来达到一个共同的攻击目的。随着攻击工具更加自动化和智能化， 协同攻击日益盛行，但它难于检测和有效防御。目前出现了一些协同攻击的入侵 检测系统，如UC-Davis DIDS(参见S.R.Snapp，J.Brentano，et al，DIDS (Distributed Intrusion Detection System)-Motivation，Architecture，and An Early Prototype，Proc.14th NCSC：167-176，Washington，DC，Oct.1991)和GrIDS(参 见S.Staniford-Chen et al，GrIDS-A Graph Based Intrusion detection System for Large Networks，Proc.19th National Information Systems Security Conf.Vol.1： 361-370，Oct.1996)，SRI EMERALD(参见P A.Porras and P G.Neumann， EMERALD：Event Monitoring Enabling Response to Anomalous Live Disturbances， Proc.20th National Information Systems Security Conf.，Baltimore，MD，Oct.1997)， 和CARDS(参见Jiahai Yang，Peng Ning，X.Sean Wang，and Sushil Jajodia.CARDS： A distributed system for detecting coordinated attacks.In Proceedings of IFIP TC11 Sixteenth Annual Working Conference on Information Security：171-180，Aug 2000.)。这些系统集中于协同入侵的攻击建模和检测。但是对于协同入侵的威胁 评估则少有关注。而威胁评估技术是入侵防御和响应的前提和基础，是构成网络 安全主动防御体系的重要组成部分。\n威胁评估是应用系统安全周期中风险管理的一部分，它提供对入侵事件的威 胁程度的量化方法，为安全监管系统采取相应的防御措施提供依据。对计算机攻 击的威胁评估是对一组相关的攻击事件(目标相关，源相关，方法相关，时间相 关)进行整体的评估，从而得出攻击事件集对于特定目标的威胁程度，为监管系 统提供安全防御参考。\n发明内容\n本发明的目的就是提出一种基于入侵事件的计算机攻击的威胁评估方法。\n本发明的核心思想是：每一个攻击或协同攻击都对应着一定规模或个数的入 侵事件，通过对入侵事件集合的评估就可得到对攻击/协同攻击的评估。通过属 性聚类分析，得到相关的入侵事件集合，综合入侵事件集的攻击次数、攻击源、 攻击初始威胁度、被保护目标的重要级别等因素，评价事件集的威胁程度。针对 入侵事件集合评估是本发明进行威胁评估的核心。\n计算机攻击的威胁评估方法，其特征在于包括下列步骤：\n第一步、建立初始威胁数据库，对于各种攻击类型赋予初使威胁值；\n第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行 聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；\n第三步、根据入侵事件集的差异性，分类计算入侵事件集的威胁值。\n本发明的特点是采用聚类方法计算入侵事件在属性视图下的发生频数，通过 计算初始威胁值、攻击源分布、攻击频次、攻击目标的重要程度等因素，对攻击 威胁度加以评估。本发明的优点在于：(1)数据源丰富，可利用于自各种入侵检 测系统的报警数据，作为入侵事件的数据源。(2)适应性好，不仅可用于计算单 个入侵事件威胁值，还可用于计算协同攻击入侵事件集合的威胁值。(3)执行效 率高，该方法具有一阶线性计算复杂性。该方法的提出使得入侵事件的威胁值成 为一个可量化的指标，从而能够为其它的安全系统及时有效地提供攻击/入侵的 威胁信息，使之采取有效的防御措施。这为网络综合防御系统的实施奠定了基础， 使得各网络安全组件的联动成为可能。\n附图说明\n图1是本发明提出的方法的流程图；\n图2是图1中建立初始威胁数据库的方法的流程图。\n具体实施方式\n下面结合附图和实施例对本发明作进一步的详细说明。\n图1是本发明提出的方法的流程图，其中，建立威胁数据库只需要在首次运 行，而聚类分析入侵事件是在有入侵事件到来时触发运行。如图1所示，本发明 提出的方法的主要流程包括：\n第一步、建立初始威胁数据库，对于各种攻击类型赋予初使威胁值；\n第二步、建立入侵事件表示模型，按入侵事件的目标特性，对入侵事件进行 聚类分析，得到相互关联的攻击或协同攻击的入侵事件集；\n第三步、根据入侵事件集的差异性，分类计算入侵事件集的威胁值。\n其中，图2表示了建立初始威胁数据库的方法的流程，如图2所示，建立初 始威胁数据库的方法为：\n1.1攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源 威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生 的次数，攻击频次对威胁值的贡献记为x(f)；\n1.2攻击源个数威胁分析：攻击同一目标的攻击源个数对威胁值的贡献记为 x(m)；\n1.3确定主要攻击类型，将其按威胁度分类；\n1.4估计各攻击类型下攻击源的威胁大小：攻击源在第n类攻击类型下的威胁程 度，记为x(n)，存入威胁数据库。\n下面结合具体的实施例进一步说明本发明的实施步骤。\n在本发明的第一步建立的威胁数据库是将各种单一类型的攻击，赋予一个初 使的威胁值，以作为后续步骤中查询参考。人们对各种单一攻击类型的威胁程度 已经形成一定的经验认识，例如初使值的给定可参照入侵检测系统中对攻击类型 的等级描述。威胁数据库用于查找特定攻击在发生特定次数时的威胁值，建立方 法是：\n1)攻击次数威胁分析：利用聚类的结果，某时间段内攻击越频繁的攻击源 威胁程度越大，将攻击频次f定义为所分析攻击集合中同种攻击类型的攻击发生 的次数，归约到[0.0，1.0]的值域范围内，即可得到攻击源威胁值x与f的函数关 系，记为x(f)＝f/(1+f)；\n2)攻击源个数威胁分析：考虑到协同攻击时，攻击源的个数同样影响到威 胁的程度，攻击源的个数越多，可能发生的协同攻击的威胁程度越大，用同样的 方法将攻击源的个数归约成威胁值，记为x(m)＝m/(1+m)；\n3)确定主要属性(攻击类型)，将其按威胁度分类；\n4)估计各属性下攻击源的威胁大小：攻击源在第n类攻击类型下的威胁程 度，记为x(n)，存入威胁数据库。\n本发明所提出的基于入侵事件的威胁评估方法，根据入侵事件的时空(源、 目标、服务类型、攻击类型、时间)分布规律进行威胁评估。首先需要建立入侵 事件的表示模型，通过入侵事件集对攻击/协同攻击进行表征。\n入侵事件，由以下五元组表示：E＝{D，S，R，C，T}。每个入侵事件具有五个属 性。其中，D为目标地址集合，S为源地址集合，R为请求服务类型集合，C为 攻击类型集合(文中以Snort定义的攻击类型为例)，T为时间标记集合；入侵事 件集，是入侵事件的集合，集合中的每一项是一个入侵事件；视图V是一组聚 类条件，V＝orExpr|andExpr|groupExpr，其中，orExpr＝OR((D|S|R|C|T)＝val)， andExpr＝AND((D|S|R|C|T)＝val)。条件表达式由项属性、属性值表达式和关系符 OR、AND的组合构成。视图可以产生具有相同属性值的一组入侵事件集，用于 表示一组有相互关联的协同攻击。\n本发明的第二步中对入侵事件进行聚类分析，聚类结果是将相似的记录分成 若干组，得到相关目标聚类的入侵事件频次集。可利用各种聚类分析方法，例如 采用基于统计信息网格(STING：STatistical INNformation Grid)的多分辨率聚类方 法，计算特定视图下的入侵事件的发生频次。入侵事件的属性(目标地址，源地 址，请求服务类型，攻击类型，时间)看作n维空间S的维，分别有一个有界定 义域。输入的入侵事件为n维空间中的点集。具体操作如下：\n利用单调性引理(基于关联规则挖掘的先验性质apriory property)：频繁项 集的所有非空子集也是频繁的。设k＝1，遍历报警数据库，找出所有的一维密集 单元格(攻击)\n1)频次大于minf(事件发生的最小频次)，其组成的集合记为E1；\n2)若k X = λ [ μ 1 x ( 1 ) + μ 2 x ( 1 ) + μ 3 x ( n ) ] = λ [ 1 2 μ 1 + 1 2 μ 2 + μ 3 x ( n ) ] \n当f>1时，即同一攻击源多次相同的攻击，攻击频次越大威胁越大，\n$X=\lambda [{\mu }_{1}x\left(f\right)+{\mu }_{2}x\left(1\right)+{\mu }_{3}x\left(n\right)]=\lambda [\frac{f}{1+f}{\mu }_1+\frac{1}{2}{\mu }_2+{\mu }_{3}x\left(n\right)]$\nb.对不同攻击源、同种攻击类型的攻击集合：(m>1，f≥1)该条件下的攻 击集合看作协同攻击：\n当f＝1时，即不同攻击源单次确定的攻击，\nX＝λ[μ1x(1)+μ2x(m)+μ3x(n)]\n当f>1时，即同一攻击源、多次、同种类型的攻击，划分成m个同源同种 攻击的集合S1，S2，......，Sm，依照2.4.1计算各子集的威胁值X1，X2，...，Xm； 计算X1＝opr(X1，X2，...，Xm)，设取值策略为最大值策略(opr，opr1，opr2设都为最 大值策略)，则X1＝max(X1，X2，...，Xm)。\nc.对不同攻击源不同攻击类型的攻击集合：该条件下的攻击集合由于其关 联度无法确定，我们将其分别按同源同类型和异源同类型攻击集合对待，对其分 别计算所有可能的威胁度，取最大值作为最终结果。方法如下：\n同源同类型攻击划分：区分该集合中所有可能的同源同类型攻击子集。得到 i个攻击子集，设为A1，A2，...，Ai；其次，利用a.的方法分别计算各子集的 威胁值X1，X2，...，Xi；取最大值X1＝opr1(X1，X2，...，Xi)。\n异源同类型攻击划分：区分该集合中所有可能的异源同类型攻击子集(协同 攻击)，将上面得到的i个子集A1，A2，...，Ai，按照攻击类型分组，如集合Aq 的攻击为第t类攻击，则将Aq划分到第t组，得到j个组，设为B1，B2，...，Bj； 其次，利用b.的方法分别计算各组的威胁值X′1，X′2，...，X′ j；取最大值 X2＝opr2(X′1，X′2，...，X′j)。\n最终的威胁值评估结果为：X＝opr(X1，X2)。上述运算符号中，opr，opr1， opr2代表取值策略。可选取多种取值策略：最大值策略、最小值策略、最大最 小策略、均值策略等以及各策略的组合。若取最大值策略，则：\nX1＝max(X1，X2，...，Xi)，X2＝max(X′1，X′2，...，X′j)，X＝max(X1，X2)。\n在描述各种因素对威胁评估的影响时，使用了权值μ1，μ2，μ3，它们反映了一 组协同攻击中，攻击频次、攻击源个数、单一攻击的威胁程度等对整体攻击的重 要程度。至于被保护主机的重要程度则由系统管理员根据经验赋值。下面讨论确 定μ1，μ2，μ3的方法。\n取定a1，a2，a3，三种已知威胁程度的协同攻击，它们对应的威胁评估值分别为 X1，X2，X3\n由X(f，m，n)＝λ[μ1x(f)+μ2x(m)+μ3x(n)]\n$x\left(f\right)=\frac{f}{1+f},$ $x\left(m\right)=\frac{m}{1+m},$ $x\left(n\right)=x\left(n_{a_1}\right)$\n令${\alpha }_i=\frac{f_i}{1+f_i},$ ${\beta }_i=\frac{m_i}{1+m_i},$ ${\gamma }_i=x\left(m_{a_i}\right)$\n得$\left\{\begin{array}{c}{\alpha }_i{\mu }_1+{\beta }_i{\mu }_2+{\gamma }_i{\mu }_3=X_i/{\lambda }_i,(i=1...3,j=1..3)......\left(1\right)\\ {\mu }_1+{\mu }_2+{\mu }_3=1,{\mu }_i\ge 0......\left(2\right)\end{array}\right.$\nμi的取值由上述超定方程组确定，解的情况讨论如下。令$A=\left[\begin{array}{ccc}{\alpha }_1& {\beta }_1& {\gamma }_1\\ {\alpha }_2& {\beta }_2& {\gamma }_2\\ {\alpha }_3& {\beta }_3& {\gamma }_3\end{array}\right],$ 式(1)\n的解可由克莱姆法则判断并求出。设解空间为U*＝(μ1 *，μ2 *，μ3 *)\na.若|A|≠0，即(1)式有唯一解，解由克莱姆法则直接给出U*，且唯一 解U*若在平面(2)上，则超定方程组有唯一解。\nb.若|A|＝0，即(1)式有无穷多解。同时，当Rank(A)＝1，则(1)式退 化为一个平面，解空间U*由该平面和平面(2)确定，若两平面相交，则解空间 为一条直线(多穷多解)，若两平面平行，则解空间为空。\n若|A|＝0，且Rank(A)＝2，则(1)式退化为一条直线，解空间U*由该直线 和平面(2)确定：若直线在平面上，则解空间U*为该直线(无穷多解)；若直 线与平面相交，则解空间U*为唯一点；若直线与平面平行，则解空间U*为空。