基于模型的网络脆弱性定量分析方法

© 1994-2012 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
60
北 京 邮 电 大 学 学 报 第 31 卷
设计 、实现 、使用阶段的网络为对象 , 寻找网络进入 失败状态的所有可能变迁轨迹 , 从而确定之前未知 的脆弱点.
收稿日期 : 2008201208 基金项目 : 国家“863 计划”项目 (2006AA01Z448) ; 长江学者和创新团队发展计划项目 ( IRT0410) 作者简介 : 王玉龙 (1977 —) , 男 , 博士生 , E2mail : wang. bupt @163. com ; 杨放春 (1957 —) , 男 , 教授 , 博士生导师.
k
定义 3 (网络) 网络 net 是一个二元组 , net =
〈 C , L 〉. ei 变量组成的向量构成 ei 的状态 sj ∈S ei .
符合预期值的
sj
的集合记为安全状态
S
sec ei
;
不
符
合
预期值但未破坏 ci 安全属性的 sj 的集合记为错误
状态
S
err ei
;
不符
合
预
期
值
且
破
坏
了
ci
脆弱点关联是网络状态和脆弱点库到脆弱点关 系的映射 f 3 ∶S net ×V ″→R . 对 f 3 的研究 , 主要是 根据脆弱点与网络状态的因果关系建立脆弱点关系 图 , 并依此计算出网络的脆弱性. 脆弱点识别 、验 证 、关联三者的关系如图 2 所示.
图 2 网络脆弱性分析模型
f 1 中的 net 包含设计 、实现 、使用 3 个生命周
}
(4)
S
err ci
=
S ci
-
S
sec ci
-
S
fail ci
(5)
式中 sij [ k ]是网元状态 sij中下标为 k 的协议实体状
m
∏ 态. net的状态 S net Α
Sc .
i =1
i
定义 4 (脆弱点) 脆弱点 vi 是 net 中的一个漏
洞 ,且满足 ϖ t ∈T , t ( vi , S net) = S′net , S net ≠S′net , S′net ∈
期. f 1 为 f 2 提供输入 V ′. f 2 针对 net 的实现和使 用 ,通过对 V ′进行特征提取 , 对 net 进行特征匹配 , 得到 V ″作为 f 3 的输入. f 3 在网络使用阶段进行 ,
～
将 V ″通过 S net关联起来. 该关联关系用于计算 v .
4 网络脆弱性分析
本文在文献[3 ]提出的系统错误传播思想的基 础上提出了网络安全失败模型 , 解释了网络安全与 脆弱点的因果关系 ; 通过对脆弱性分析研究工作的 归纳 ,提出了网络脆弱性分析模型 ,说明了脆弱点识 别 、验证和关联的先后逻辑关系.
在脆 弱 点 关 联 方 面 大 部 分 研 究 基 于 攻 击
图[122 ] . 本文提出的脆弱点网从安全保障角度分析 脆弱点关系.
2008 年 8 月 第 31 卷 第 4 期
北京邮电大学学报 Journal of Beijing University of Posts and Telecommunications
文章编号 :100725321 (2008) 0420058204
Aug. 2008 Vol. 31 No. 4
基于模型的网络脆弱性定量分析方法
王玉龙 , 杨放春 , 孙其博
(北京邮电大学 网络与交换技术国家重点实验室 , 北京 100876)
摘要 : 将网络抽象为分层节点和同层连接的二元组. 以各层协议实体的变量值组合表示网络状态 ,分为安全状态 、 错误状态和失败状态. 阐述了脆弱点导致网络进入失败状态的原理. 分析了脆弱点识别 、验证和关联的依赖关系. 提出定量的脆弱性计算方法 ,对脆弱性的性质进行了理论分析 ,得出 3 种安全风险削减方案. 关 键 词 : 网络 ; 脆弱性 ; 定量分析 ; 安全风险 中图分类号 : TP30912 文献标识码 : A
i
定义 2 (连接) ci 和 cj 之间存在连接 lk 当且仅 当 ϖ em , en , u ( em) = i ∧u ( en) = j ∧h ( em) = h ( en) = k ∧eik ∴ejk , i ≠j . ∴表示存在通信关系. h 是一个 从协议实体到其所属网络层次的映射 , h∶{ ei} →N , L ≡∪{ lk} .
网络的脆弱点与安全失败之间的关系符合如图 1 所示的网络安全失败模型.
图 1 网络安全失败模型
sik
∈Sci导致
sjl
∈S
err cj
(
i
≠j) 的必要条件是
ϖ lk
∈
L ij , em , u ( em )
=
i
∧h ( em )
=
k ∧sik
∈/ S
sec ci
,
LБайду номын сангаас
ij 为
ci
与 cj 之间连接的集合.
S
fail net
.
t 是一个网络威胁.
定义 5 (网络脆弱性) 网络脆弱性 v 是网络脆
弱程度的度量
～
,v
∈R
+
.
2 网络安全失败模型
一次网络安全失败事件的发生起源于某个网络
威胁 t 对 net 中脆弱点 v i 的成功利用 , 其结果是 vl 所处协议实体 ej 进入错误状态. ej 在向其上层协议 实体或对等协议实体传输数据时造成错误的扩散 , 导致 1 个或多个网元进入错误状态 , 最终使目标网 元安全属性遭到破坏.
在脆弱性的定量计算方面 , 与本文工作最为接 近的是文献[4 ]提出的平均安全失败努力 ( M ETF) . M ETF 以攻击图为模型 , 计算攻击者成功达到攻击 目标需要付出的平均努力. 文献 [ 5 ]以达到攻击目 的所需的最低攻击者能力衡量脆弱性. 文献 [6 ]提 出定量方法网络脆弱性曲线 ( NVC) , 但是 NVC 只 考虑网络可用性. 以上方法都将网络攻击作为脆弱 性计算的一个主要因素. 本文提出的计算方法独立 于网络攻击 ,更能客观反映网络脆弱程度.
元存在连接关系的另一网元进入安全失败状态.
3 网络脆弱性分析模型
为计算 net 的脆弱性 , 需要确定 net 中存在的 v i ,然后计算所有 vi 对安全风险的影响. 这就需要 进行脆弱点识别 、脆弱点验证和脆弱点关联.
脆弱点识别是从网络到未知 vi 集合的映射 f 1∶ net →V ′. 对 f 1 的研究 , 主要是寻找能有效识别未 知 v 的方法. f 1 是寻找未知 vi 的公理 、假设 、引 理 、定理和搜索算法的集合 , 它揭示了未知 v i 存在 的一般规律. 脆弱点识别应以定义 4 为识别准则 , 根据图 1 描述的脆弱点与安全失败的因果关系 , 以
' 1994-2012 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
第 4 期 王玉龙等 : 基于模型的网络脆弱性定量分析方法
59
1 网络脆弱性相关定义
令
k ∈[1 , n ]表示协议实体的下标 , n 是该下标的最大
值 ,则网元 ci 的 3 种状态集合为
S
sec ci
=
{
sij
∈S ci|
Π k ∈[1 , n ] , sij [ k ] ∈S seejc}
(3)
S
fail ci
=
{
sij
∈S ci|
ϖ
k
∈[ 1
,
n
]
,
sij [
k
]
∈S
fail ej
安全属性的 sj
的集合记为失败状态
S
fail ei
.
各状态集合之间满足关系
S ei
=
S
sec ei
∪S
err ei
∪S
fail ei
(1)
S
sec ei
∩S
err ei
=
S
sec ei
∩S
fail ei
=
S
err ei
∩S
fail ei
=
(2)
n
∏ ci
的状态 sij
∈S ci
,
S ci
≡
k =1
S ek , u ( ek) = i .
脆弱点一般定义为入侵者访问网络资源的前提 条件[122 ] . 这种定义完备性比较好. 然而网络攻击 的前提未必都是脆弱点. 文献 [ 3 ]将脆弱点定义为 可能导致安全失败的网络状态 , 这种定义混淆了可 靠性失败与安全失败. 本文结合 2 种定义给出的脆 弱性相关定义较好地刻画了脆弱点的本质.
Abstract : Abst ract s network into a two2t uple containing hierarchical nodes and horizontal links. Vari2 ables of protocol entities f rom each layer are combined to represent t hree types of network states : se2 cure , error and failure. The causality between vulnerabilities and network failures are described , and t he dependency relationship between t he finding , verifying and correlating of vulnerabilities is ana2 lyzed. A quantitative met hod for measuring network vulnerability is proposed and vulnerability f rom a t heoretical perspective is as well analyzed. Finally , three solutions to lower security risks are presented. Key words : network ; vulnerability ; quantitative analysis ; security risk
脆弱点验证是从网络和已知脆弱点集合到目标 网络脆弱点集合的映射 f 2∶net ×V ′→V ″. 对 f 2 的 研究 ,主要是归纳已知脆弱点的特征 ,并利用这些特 征验证目标网络中存在的同类脆弱点. 网络外部状 态表现为网元间传输的数据 , 是脆弱性分析过程中 能观察到的网络状态. 网络内部状态为网元内部对 数据计算的中间结果 , 其变迁过程无法观察到. 脆 弱点的特征是对与脆弱点存在有因果关系的可见网 络状态的抽象. 在对目标网络进行脆弱点验证时利 用已知的脆弱点特征 , 观察并匹配目标网络的可见 状态 ,匹配的结果形成目标网络的脆弱点库 V ″.
网络对随机故障具有惊人的鲁棒性 , 对有意的
网络入侵则表现得非常脆弱[7 ] , 因此认为随机故障
不在脆弱性分析范围之内.
图 1 说明了脆弱点与网络安全失败的关系 ,安
全失败的根本原因是网络中存在脆弱点 ; 脆弱点的
存在是安全失败出现的必要条件 , 被入侵者利用才
能导致安全失败 ; 一个网元中脆弱点能导致与该网
Model2Based Quantitative Method of Net work Vulnerability Analysis
WAN G Yu2long , YAN G Fang2chun , SUN Qi2bo
( State Key Laboratory of Networking and Switching Technology , Beijing University of Posts and Telecommunications , Beijing 100876 , China)
脆弱点可能存在于网络任一层次 , 或者组成网
络的任一节点中 , 因此需要从脆弱点的位置出发对
网络进行合理地抽象.
定义 1 (网元) 网元 ci 是网络协议实体 ej 的集 合 , ci ≡{ ej| u ( ej) = i} , i , j ∈N . u 是一个从协议
实体到其所属网络节点编号的映射 , u ∶{ ei } →N , C ≡∪{ ci} .
定义 6 (脆弱点网) 脆弱点网 W 是一个四元
组 W = ( V , S , →, ] ) , V 为 net 中所有 vi 的集合 ; S 是与 v i ∈V 直接关联的网元状态的集合 ; →表示 网元状态到 vi 的边的集合 ; ] 表示 v i 到网元失败 状态的边的集合.