面向安全态势的权限有效性定量评估方法 - 东南大学学报.pdf

第３９卷第４期 东南大学学报（自然科 学版 ） Ｖｏｌ３９ Ｎｏ４ 　 ２００９年７月 ＪＯＵＲＮＡＬＯＦＳＯＵＴＨＥＡＳＴＵＮＩＶＥＲＳＩＴＹ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ） 　 Ｊｕｌｙ２００９ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１－０５０５．２００９．０４．０１８ 面向安全态势的权限有效性定量评估方法 陈秀真　李建华　张少俊　 范　磊 （上海交通大学信息安全工程学院，上海２００２４０） （上海市信息安全综合管理技术研究重点实验室，上海２００２４０） 摘要：针对安全态势评估领域的权限有效性评估指标，融合网络流量、入侵检测系统（ＩＤＳ）报警 和扫描信息，提出一种全新的权限有效性定量评估方法．该方法将用户权限作为安全目标，基 于网络会话构建威胁用户权限的入侵迹，并使用Ｍａｒｋｏｖ数学模型度量安全目标失败的平均入 侵代价，进而定量评估权限有效性．实验结果表明，当系统遭受缓冲区溢出攻击时，权限有效性 指数接近于０．该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁，有效监控黑客行 为引起的系统安全态势变化．与其他评估方法相比，该方法考虑了报警之间的因果关系，降低 了ＩＤＳ误报以及无效入侵信息对安全态势评估精度的影响，有助于管理员了解黑客入侵步骤、 决策系统安全状况以及识别高危险的入侵路径． 关键词：网络安全；态势评估；Ｍａｒｋｏｖ模型；权限有效性 中图分类号：ＴＰ３９３　　文献标志码：Ａ　　文章编号：１００１－０５０５（２００９）０４０７４２０５ Ｑｕａｎｔｉｔａｔｉｖｅａｓｓｅｓｓｍｅｎｔｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｆｏｒｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓ ＣｈｅｎＸｉｕｚｈｅｎ　ＬｉＪｉａｎｈｕａ　ＺｈａｎｇＳｈａｏｊｕｎ　ＦａｎＬｅｉ （ＳｃｈｏｏｌｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙＥｎｇｉｎｅｅｒｉｎｇ，ＳｈａｎｇｈａｉＪｉａｏＴｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ２００２４０，Ｃｈｉｎａ） （ＳｈａｎｇｈａｉＫｅｙＬａｂｏｆＯｖｅｒａｌｌＭａｎａｇｅｍｅｎｔＴｅｃｈｎｏｌｏｇｙＲｅｓｅａｒｃｈｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ，Ｓｈａｎｇｈａｉ２００２４０，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ａｉｍｉｎｇａｔｔｈｅｅｖａｌｕａｔｉｏｎｉｎｄｅｘｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｉｎｔｈｅａｒｅａｏｆｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎａｗａｒｅ ｎｅｓｓ，ａｎｏｖｅｌｍｅｔｈｏｄｏｆｑｕａｎｔｉｔａｔｉｖｅｌｙａｓｓｅｓｓｉｎｇｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｉｓｐｕｔｆｏｒｗａｒｄｂｙｓｙｎｃｒｅｔｉｚｉｎｇｎｅｔ ｗｏｒｋｔｒａｆｆｉｃ，ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ（ＩＤＳ）ａｌｅｒｔｓａｎｄｓｃａｎｎｉｎｇｉｎｆｏｒｍａｔｉｏｎ．Ｒｅｇａｒｄｉｎｇｕｓｅｒｐｒｉｖ ｉｌｅｇｅａｓｔｈｅｓｅｃｕｒｉｔｙｏｂｊｅｃｔｉｖｅ，ｉｎｔｒｕｓｉｏｎｆｏｏｔｐｒｉｎｔｓｔｈｒｅａｔｅｎｉｎｇｔｈｅｕｓｅｒｐｒｉｖｉｌｅｇｅａｒｅｃｏｎｓｔｒｕｃｔｅｄｂａｓｅｄ ｏｎｎｅｔｗｏｒｋｓｅｓｓｉｏｎｓ．Ｔｈｅｎ，ｍｅａｎｉｎｔｒｕｓｉｏｎｅｆｆｏｒｔｓｆｏｒｃｏｍｐｒｏｍｉｓｉｎｇｔｈｅｓｅｃｕｒｉｔｙｏｂｊｅｃｔｉｖｅａｒｅｃａｌｃｕ ｌａｔｅｄｂｙＭａｒｋｏｖｍｏｄｅｌａｎｄｆｕｒｔｈｅｒｕｓｅｄｔｏｑｕａｎｔｉｔａｔｉｖｅｌｙａｓｓｅｓｓｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙ．Ｔｈｅｅｘｐｅｒｉｍｅｎｔａｌ ｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅｖａｌｕｅｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｉｓｃｌｏｓｅｔｏ０ｗｈｅｎｔｈｅｍｏｎｉｔｏｒｅｄｎｅｔｗｏｒｋｓｙｓｔｅｍｉｓ ｓｕｂｊｅｃｔｅｄｔｏｔｈｅａｔｔａｃｋｏｆｔｈｅｂｕｆｆｅｒｏｖｅｒｆｌｏｗ．Ｔｈｉｓｍｅｔｈｏｄｃａｎｒｅａｌｔｉｍｅｌｙａｓｓｅｓｓｔｈｅｔｈｒｅａｔｏｆｂｕｆｆｅｒ ｏｖｅｒｆｌｏｗｅｘｐｌｏｉｔｓｏｎｔｈｅｓｙｓｔｅｍｓｐｒｉｖｉｌｅ