实时风险评估综述.docVIP

实时风险评估综述 　　摘要：网络安全风险评估方法主要分为两类：静态风险评估和实时风险评估。由于静态风险评估问题重重，使得实时风险评估越来越受到关注。该文针对目前国内外实时风险评估研究现状做了比较详细深入地介绍，对所提出的具有代表性的实时风险评估方法的设计原理做了详细的说明，并经深入地分析给出了其各自客观存在的现实问题。最后预测和分析了未来实时风险评估研究的可能方向。 　　关键词： 实时风险评估；隐马尔科夫模型；非负矩阵分解；人工免疫 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）06-1176-02 　　A Survey On Real-Time Risk Assessment 　　HE Li 　　（Department of Computer， Guangdong AIB Polytechnic College，Guangzhou 510507， China） 　　Abstract： The risk assessment methods for network security are classified into two categories in this paper： the static risk assessment and the real-time risk assessment. Because of lots of problems about the static risk assessment， the real-time risk assessment is becoming more and more concerned about. Current status of the Study on real-time risk assessment are described in detail in this paper， and the design principles and existing problems of it are systematically discussed. Besides， some open problems in the development of real-time risk assessment are presented and analyzed in the end. 　　Key words： real-time risk assessment； hidden Markov models； Non-Negative Matrix Factorization； artificial immune 　　目前网络安全风险评估方法有两类：传统风险评估和实时评估，传统风险评估主要是基于一些国际标准来进行的，有代表性的是ISO/IEC27002（即ISO/IEC17799）[1]、CC[2]（即ISO/IEC15408）、SSE-CMM[3]、ISO/IEC13335，国内也制定了以《信息安全风险评估指南》为基础的一系列标准，比如2006年3月14日正式颁布了GB/T20261-2006的国家标准，于2008年11月1日开始实施的国家标准GB/T 22080-2008和国家标准GB/T 22081-2008（分别等同于国际标准ISO/IEC 27001：2005和ISO/IEC 27002：2005）。这些标准和规范提出了风险评估的详细评估模型和评估流程（即所谓的传统风险评估）。对标准的研究也逐渐从单一化的技术方面向兼容管理方面转变。同时，应用网络安全专家（例如TigerTeam[4]）对目标网络进行风险评估，也会带来很多潜在的风险。基于此，导致传统风险评估存在下面几个问题： 　　1） 评估估过程繁琐，主观因素多，很难使评估自动化； 　　2） 需要较多人为参与，评估周期较长； 　　3） 评估结果是静态的，不能实时反映信息系统安全态势的变化，对一些突发事件很难迅速地作出响应。 　　从而导致现阶段网络安全处于被动防御的局面[5]。虽然，实时动态风险评估能动态反应网络安全的客观状态，但是相比传统风险来说，其评估过程也是相对复杂得多；同时，国内外对于实时风险评估的研究还处于初步探索阶段。该文将按检测攻击方法的不同分别详细介绍目前国内外实时风险评估的研究现状。 　　1 基于网络传感器以及IDE（入侵检测系统）的网络安全实时风险评估的研究 　　2005年，Arnes等人[5]提出了基于HMM（隐马尔科夫模型）的实时风险评估方法。该方法是这样定义的：首先假定网络中的每台主机具有N个状态，我们分别用S={s1，…，sN}描述这N个状态，我们用X={x1，…，xT}来描述网络中某一台主机在某一时刻的状态序