期刊论文分享

学术资料共享,永久免费平台
最新公告:
本站所有期刊杂志信息均包含杂志社真实投稿电话,以及投稿邮箱,投稿请点击以上期刊栏目选择相应期刊直接联系杂志社。
福建冶金 冶金环境保护 太钢译文 有色金属 冶金设备管理与维修 太钢科技 <-->

风险评估论文2000字

论文栏目:风险评估来源:互联网时间:2017-06-29 17:04

  实时风险评估综述

  摘要:随着云计算的发展,数据中心的规模和复杂性都上升到一个新的高度。如何对整个信息系统进行全面的监控,或者说如何实时准确地获知当前整个系统的风险状态已经成为很多企业和机构亟需解决的一个热点问题。针对这一问题,通过模拟真实用户的实际需求,结合风险评估的系统理论知识,利用主机日志的分析结果,提出了一种实时风险评估模型(real-time risk assessment schema,RRAS)。在实验环境中对RRAS进行了实现,并完成了3组模拟攻击实验。实验结果表明,该模型可以实时地对整个系统进行风险评估,并且得到的结果具有较高的准确性。更多风险评估论文相关范文尽在top期刊论文网。

  关键词:风险评估论文

  目前网络安全风险评估方法有两类:传统风险评估和实时评估,传统风险评估主要是基于一些国际标准来进行的,有代表性的是ISO/IEC27002(即ISO/IEC17799)[1]、CC[2](即ISO/IEC15408)、SSE-CMM[3]、ISO/IEC13335,国内也制定了以《信息安全风险评估指南》为基础的一系列标准,比如2006年3月14日正式颁布了GB/T20261-2006的国家标准,于2008年11月1日开始实施的国家标准GB/T 22080-2008和国家标准GB/T 22081-2008(分别等同于国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005)。这些标准和规范提出了风险评估的详细评估模型和评估流程(即所谓的传统风险评估)。对标准的研究也逐渐从单一化的技术方面向兼容管理方面转变。同时,应用网络安全专家(例如TigerTeam[4])对目标网络进行风险评估,也会带来很多潜在的风险。基于此,导致传统风险评估存在下面几个问题:

  1) 评估估过程繁琐,主观因素多,很难使评估自动化;

  2) 需要较多人为参与,评估周期较长;

  3) 评估结果是静态的,不能实时反映信息系统安全态势的变化,对一些突发事件很难迅速地作出响应。

  从而导致现阶段网络安全处于被动防御的局面[5]。虽然,实时动态风险评估能动态反应网络安全的客观状态,但是相比传统风险来说,其评估过程也是相对复杂得多;同时,国内外对于实时风险评估的研究还处于初步探索阶段。该文将按检测攻击方法的不同分别详细介绍目前国内外实时风险评估的研究现状。

  1 基于网络传感器以及IDE(入侵检测系统)的网络安全实时风险评估的研究

  2005年,Arnes等人[5]提出了基于HMM(隐马尔科夫模型)的实时风险评估方法。该方法是这样定义的:首先假定网络中的每台主机具有N个状态,我们分别用S={s1,…,sN}描述这N个状态,我们用X={x1,…,xT}来描述网络中某一台主机在某一时刻的状态序列,其中xt∈S。为了研究的方便,通常我们只考虑3种状态:Good(G),Attacked(A),Compromised (C)。同时再假定主机可能会受到的攻击有M种,我们用V={v1,…,vM}表示,这样,攻击序列可表示为Y=y1,…,yT,其中yt∈V。HMM还包含一个三元组λ=(P,Q,π),其中P = {pij}表示状态迁移矩阵,pij表示主机从t时刻状态si迁移到t+1时刻状态sj的概率,即条件概率pij =P(xt+1=sj|xt=si),1≤I,j ≤N。观察矩阵Q = {qj(l)}表示在时刻t,主机处于sn状态观察到某种攻击vm的概率,qj(l) = P(yt = vl|xt = sj),1 ≤ j ≤N,1 ≤ l ≤ M。M。初始状态π是一个向量,表示计算开始主机处于各个状态的概率π = {πi}。t时刻主机的总风险为Rt=[i=1NRt(i)]=[i=1Nγt(i)C(i)],其中γt(i)、C(i)分别表示t时刻主机处于si状态的概率以及每个状态下的风险代价。为了体现风险评估的实时性,风险代理需要动态地更新γt=﹛γt(i)﹜。给定观察到的攻击yt以及三元组λ,风险代理只需要通过文献[5]中给出的算法1即可计算出相应γt(i)。   利用HMM来量化网络安全风险,具有以下4个优点:

  1) 动态性,由于风险评估的输入是通过网络传感器实时采集的,具有动态性,这也使得输出呈现动态的变化。

  2) 易于量化,该模型下主机的风险值是由两部分的乘积构成的:每个状态发生的概率以及此状态下的风险代价。

  3) 参数可调节性,给不同网络确定不同的λ以及代价向量C(i),会得到不同的风险评估结果,这样更能适应不同的网络环境。

  4) 计算过程耗时短,隐马尔可夫模型的计算量相对来说是比较小的,一方面,内网主机数量有限,另一方面,风险值的计算很简单。因此整个计算过程消耗的时间非常短。

  但是利用HMM进行安全风险量化的方法也存在两个明显问题:

  1) P、Q矩阵的确定,Arnes等人提出对于P矩阵的构造可以基于现实或实验统计攻击数据,也可以来自于专家的主观经验,对于Q矩阵的构造文中没有给出详尽的阐释。马煜等人[6]将各阶段攻击时间、难度系数以及状态转移概率三者之间建立起联系,从而确定出P矩阵。而对于Q矩阵的构造,则较为主观的将所有攻击归为三类,对于安全要求较高的现实环境不太适用。

  2) Q矩阵规模的控制,首先对IDS告警的攻击方式非常多,Snort基本告警就多达8000多个,如果将每一个IDS告警直接与Q矩阵关联,那么Q矩阵的规模将相当庞大,使得风险值的运算效率会非常低。所以李伟明等人[7]提出了一种针对告警的威胁程度的算法,该算法综合考虑漏洞、资产、环境等各个方面因素,将告警威胁度预设为10级,将所有IDE告警根据影响程度归入这10类,从而使Q矩阵的规模控制为4×10。但文中对于风险的计算过于简单化,没有考虑到多网络中不同主机对于风险敏感程度的不一致性,所以最终确定的风险值过于粗糙。其次文中提到风险规则库的构造也缺乏通用性,不具备不同网络间的普适性。另外,这篇文章中首次采用了遗传算法对γt=﹛γt(i)﹜进行实时更新。

  2 基于非负矩阵分解在实时风险评估中的应用

  目前入侵检测系统越来越受到广泛关注,同时所出现的问题也越来越多。一方面入侵检测系统在处理海量数据的能力不够强,另一方面入侵检测系统很难平衡检测率和误报率这两个指标。文献[8][9]都假设数据量非常小或者维数很低,这样的简化使得得出来的结论与实际环境并不相符,根本达不到我们所需要的实时效果,例如Warrend等人基于HMM,使用大量的数据在正常模型的训练中需要约2个月[10],王伟在其博士论文中使用改进后的HMM方法,在其模型中仅使用近6万条的数据就耗时约50分钟 [11],这显然不能满足我们对实时风险评估的需要。所以,文献[11]提出运用NMF(非负矩阵分解)的思想将实时入侵检测分为三个阶段:数据预处理、NMF数据降维与特征提取以及分类决策。张凤斌、杨辉继[12]文献[11]之后做了进一步发展。

  NMF是一种高效的数据降维的方法,最早由D.D.Lee和H.S.Seung在1999年的《Nature》杂志上提出[13]。此降维方法的特点是,所有的数据必须都是非负的。而对于数据的统计频率,具备上述的非负特性。

  在文献[11]中,整个实时风险入侵检测分成三个阶段。数据预处理阶段主要是统计每组数据中每个元素出现的频率。假定初始数据被分为m组,数据中有n个不同类型的元素,这样我们就可以构造出初始矩阵Vnm。接下来,通过非负矩阵分解对正常行为建模,按文献[13]所给出的迭代公式即可计算得到最优的矩阵分解W与H,使得V≈WH。作为正常数据特征的H,它的每列元素之和恒等于1。基于此,我们就可以建立起正常程序的行为模型。最后,在分类检测阶段,给定一组测试数据,首先经过数据预处理方法统计该组数据中每个元素的频率,从而形成一测试向量t,将t进行矩阵分解从而可以得到新特征与训练数据所包含的特征之差的绝对值,再将这个绝对值作为入侵检测的异常度ε。如果待测数据的异常度大于ε,则判断该数据异常,否则为正常。

  该方法只是从定性角度分析了系统所存在某种风险,并没有对风险值进行量化,这样使得我们很难进行风险决策。

  3 结束语

  本文综述的文献主要来自IEEE、SpringerLink和中国期刊网,也有部分来自如Nature以及Journal of Machine Learning Research等国际著名期刊。该文主要是对目前国内外实时风险评估研究的现状以及及存在的问题进行了系统的分析,总结和比较。除此之外,很多专家学者对实时风险评估也作出了极大的贡献,国外方面,Haslum[14]提出使用连续HMM,而非离散的HMM来对状态转换进行计算;Gehani[15]提出基于主机的实时风险评估;Jonsson和Olovsson[16][17]利用入侵检测系统中的实验数据来分析攻击者的行为,通过观测系统的实时输入和输出对系统进行风险评估;国内方面,陈秀真博士[18]也通过研究入侵检测系统中的数据,定量评估实时网络安全威胁态势。综上所述,目前实时风险评估的研究虽取得了一定的研究成果,但其仍然处于摸索阶段,还有很多现实的问题有待进一步的讨论和研究,比如:(1)如何更好的确保实时性;(2)预言机制的应用;(3)实时风险评估在不同网络间的适应性问题等。

  作者:何丽

  风险评估论文范文文献资源参考:http://www.topqikan.com/empaper/fxpg/

特别说明:本网站内容都来源于互联网,供浏览者学习、欣赏,使用原则非商业性或非盈利性用途,使用者不得侵犯本网站及相关权利人的合法权利。此外,使用者如对本网站内容用于其他用途时,须征得本网站及相关权力人的许可。

本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,予以删除。


相关内容
专业论文发表