面向安全态势的权限有效性定量评估方法.docVIP

第３９卷第４期２００９年７月 东南大学学报（自然科学版） ＪＯＵＲＮＡＬＯＦ ＳＯＵＴＨＥＡＳＴ ＵＮＩＶＥＲＳＩＴＹ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ） Ｖ０１．３９Ｎｏ．４Ｊｕｌｙ ２００９ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１－０５０５．２００９．０４．０１８ 面向安全态势的权限有效性定量评估方法 陈秀真 李建华 张少俊 范 磊 （上海交通大学信息安全工程学院，上海２００２４０） （上海市信息安全综合管理技术研究重点实验室，上海２００２４０） 摘要：针对安全态势评估领域的权限有效性评估指标，融合网络流量、入侵检测系统（ＩＤＳ）报警和扫描信息，提出一种全新的权限有效性定量评估方法．该方法将用户权限作为安全目标，基于网络会话构建威胁用户权限的入侵迹，并使用Ｍａｒｋｏｖ数学模型度量安全目标失败的平均入侵代价，进而定量评估权限有效性．实验结果表明，当系统遭受缓冲区溢出攻击时，权限有效性指数接近于０．该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁，有效监控黑客行为引起的系统安全态势变化．与其他评估方法相比，该方法考虑了报警之间的因果关系，降低了ＩＤＳ误报以及无效入侵信息对安全态势评估精度的影响，有助于管理员了解黑客入侵．步骤、决策系统安全状况以及识别高危险的入侵路径． 关键词：网络安全；态势评估；Ｍａｒｋｏｖ模型；权限有效性中图分类号：ＴＰ３９３ 文献标志码：Ａ 文章编号：１００１—０５０５（２００９）０４－０７４２４３５ Ｑｕａｎｔｉｔａｔｉｖｅａｓｓｅｓｓｍｅｎｔｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｆｏｒｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎ ａｗａｒｅｎｅｓｓ ＣｈｅｎＸｉｕｚｈｅｎ ＬｉＪｉａｎｈｕａ Ｚｈａｎｇ Ｓｈａｏｊｕｎ ＦａｎＬｅｉ （ＳｃｈｏｏｌｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｆｉｔｙＥｎｇｉｎｅｅｒｉｎｇ，Ｓｈａｎｇｈａｉ ＪｉａｏＴｏｎｇ Ｕｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ ２００２４０，Ｃｈｉｎａ） （ＳｈａｎｇｈａｉＫｅｙ Ｌａｂｏｆ ＯｖｅｒａｌｌＭａｎａｇｅｍｅｎｔＴｅｃｈｎｏｌｏｇｙ ＲｅｓｅａｒｃｈｏｆＩｎｆｏｒｍａｔｉｏｎ Ｓｅｃｕｒｉｔｙ，Ｓｈａｎｇｈａｉ２００２４０，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ａｉｍｉｎｇａｔｔｈｅｅｖａｌｕａｔｉｏｎｉｎｄｅｘｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙ ｉｎ ｔｈｅ ａｒｅａ ｏｆｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎａｗａｒｅ— ｎｅｓｓ，ａ ｎｏｖｅｌｍｅｔｈｏｄｏｆｑｕａｎｔｉｔａｔｉｖｅｌｙａｓｓｅｓｓｉｎｇｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｉｓｐｕｔｆｏｒｗａｒｄｂｙｓｙｎｃｒｅｔｉｚｉｎｇｎｅｔ? ｗｏｒｋｔｒａｆｆｉｃ，ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ（ＩＤＳ）ａｌｅｒｔｓａｎｄｓｃａｎｎｉｎｇｉｎｆｏｒｍａｔｉｏｎ．Ｒｅｇａｒｄｉｎｇｕｓｅｒ ｐｒｉｖ— ｉｌｅｇｅａｓｔｈｅｓｅｃｕｒｉｔｙ ｏｂｊｅｃｔｉｖｅ，ｉｎｔｒｕｓｉｏｎｆｏｏｔｐｔｉｎｔｓｔｈｒｅａｔｅｎｉｎｇｔｈｅ ｕｓｅｒ ｐｒｉｖｉｌｅｇｅａｒｅｃｏｎｓｔｒｕｃｔｅｄｂａｓｅｄ ｏｎ ｎｅｔｗｏｒｋｓｅｓｓｉｏｎｓ．Ｔｈｅｎ．ｍｅａｎｉｎｔｒｕｓｉｏｎｅｆｆｏｒｔｓｆｏｒｃｏｍｐｒｏｍｉｓｉｎｇｔｈｅｓｅｃｕｒｉｔｙｏｂｊｅｃｔｉｖｅａｒｅｃａｌｃｕ— ｌａｔｅｄｂｙＭａｒｋｏｖｍｏｄｅｌａｎｄｆｕｒｔｈｅｒｕｓｅｄｔｏｑｕａｎｔｉｔａｔｉｖｅｌｙ ａｓｓｅｓｓ ｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙ．Ｔｈｅｅｘｐｅｒｉｍｅｎｔａｌ ｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅｖａｌｕｅｏｆｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙｉｓｃｌｏｓｅｔｏ０ｗｈｅｎｔｈｅｍｏｎｉｔｏｒｅｄｎｅｔｗｏｒｋｓｙｓｔｅｍｉｓ ｓｕｂｊｅｃｔｅｄ ｔｏ ｔｈｅａｔｔａｃｋｏｆｔｈｅｂｕｆｆｅｒｏｖｅｒｆｌｏｗ．Ｔ＇ｌｌｉｓｍｅｔｈｏｄ ｃａｌｌ ｒｅａｌ—ｔｉｍｅｌｙ ａｓｓｅｓｓ ｔｈｅｔｈｒｅａｔｏｆｂｕｆｆｅｒ ｏｖｅｒｆｌｏｗｅｘｐｌｏｉｔｓｏｎ ｔｈｅｓｙｓｔｅｍ’Ｓｐｒｉｖｉｌｅｇｅｖａｌｉｄｉｔｙ，ａｎｄｅｆｆｅｃｔｉｖｅｌｙｍｏｎｉｔｏｒｔｈｅｖａｒｉａｔｉｏｎｓｏｆｓｅｃｕｒｉｔｙ ｓｉｔｕａｔｉｏｎｃａｕｓｅｄｂｙｈａｃｋｅｒｓ’ｉｌｌｅｇａｌａｃｔｉｏｎ．Ｃｏｍｐａｒｅｄｗｉｔｈｏｔｈｅｒｅｖａｌｕａｔｉｏｎｍｅｔｈｏｄｓ．ｉｔｔａｋｅｓｉｎｔｏ ａｃ— ｃｏｕｎｔ ｔｈｅｃａｕｓａｌｒｅｌａｔｉｏｎｓｈｉｐｂｅｔｗｅｅｎａｌｅｒｔｓａｎｄｒｅｄｕｃｅｓｔｈｅｅｆｆｅｃｔｏｆＩＤＳｐｏｓｉｔｉｖｅａｎｄｉｎｖａｌｉｄａｌｅｒｔｓｏｎ ｔｈｅ ｐｒｅｃｉｓｉｏｎ ｏｆｓｅｃｕｒｉｔｙ ｓｉｔｕａｔｉｏｎ ａｓｓｅｓｓｍｅｎｔ．Ｍｏｒｅｏｖｅｒ