2基于未确知测度的信息系统风险评估模型
设心暫&表示信息系统的n个评价指标,指标空间记为X={一勺宀,…心hX-表示第i个评价值,对*i有P个评价等级勺心严%,则评价空间为u十丹fh设q表示项U风险等级,则k级风险优于k+i级风险,记作Ck>Ck+J.若{W…%}満足Cj>C2>―>CpJ则称{CpC2…Ep}是评价空间U的一个有序分割类。
单指标未确知测度
令曲=岸5)衣示评价值釦屈于第k个评价等级5的程度.Ui满足:
0丢出街丘耳)专】(I)
LKXjeU)=l
(2)
“Xjeur]=刀“(XjGcj)(3)
其中,i=l,2……n;k二12…小式
(2)称为P对评价空间U满足欄归•性飞式(3)称为取寸评价空间U满足“可加性S称满足式
(1)、式
(2)、式(3)的卩为未确知测度*简称测度。
矩阵为单指标测度评价矩阵〃
知%-%
3*2指标权垂
用w匚表示评价指标知与其它指标相比具有的相对重要程
度PWi满足:
n
OW\VjWl,SWj=I(5)
/-I
其中,Wj为指标Xj的权重*称向最W=(W“W护…wj为指标权重向fio
在未确知综合评价中,指标权重向量是非常重要的。
它的精确度和科学性直接影响评价的结果。
权重的确定方法有很多种,典型的方法有熵值法、聚类分析法、德尔菲法、层次分析法等。
其中,熵值法由于能够反映指标信息熵值的效用价值,其给出的指标权重有较高的可信
度,但是缺乏各指标之间的横向比较。
聚类分析法适用于多项指标的重要程度分类,缺点是
只能给出指标分类的权重,不能确定单项指标的权重。
层次分析法和德尔菲法都是根据专家的知识和经验对评价指标的内涵与外延进行判断,适用范围广,由于层次分析法对指标之间
相对重要程度的分析更具逻辑性,刻画的更细致,并对专家的主观判断进行了数学处理,因
此其科学性和可信度高于德尔菲法。
本文采用专家赋权法事先给出指标的权重。
33多指标综合测度评价矩阵
令比二MxPcj表示项忡心属于第k个评价等级q的程
度*则
=S*沪镶(i二k二1,2,p)(6)
/-1
由于0W*W】,并且匕廿\,因此々是未确知测度。
Xr=1
&的综合测度评价向量为
H=(円』“…%)(7)
34识别准则
设功Vtf咅度(12\>0.5t一般取0・6~07),若cy>c2>ttt>c^则令
I1
k打二minf:
迟旳A二1*2…吓w(8)
其中,禺属于第k°个评价等级c如
3一种基于渗透性测试的WEB漏洞扫描系统模型设计与实
提出一种基于渗透性测试的Web漏洞扫描系统,给出了Web漏洞扫描系统的总体结构设
计,研究了描述Web攻击行为所需要的特征信息及其分类,给出了Web攻击行为特征信息在
数据库中的存储表结构。
在Web攻击行为信息库中保存了超过230个不同的Web服务器信
息,存在于Web服务器与CGI应用程序中的超过3300个不同的已知漏洞信息,可以识别出绝大多数对未经修补或非安全Web服务器造成威胁的常见漏洞。
Web漏洞扫描方法主要有两类:
信息获取和模拟攻击。
信息获取就是通过与目标主机
TCP/IP的Http服务端口发送连接请求,记录目标主机的应答。
通过目标主机应答信息中状态码和返回数据与Http协议相关状态码和预定义返回信息做匹配,如果匹配条件则视为漏洞存
在。
模拟攻击就是通过使用模拟黑客攻击的方法,对目标主机Web系统进行攻击性的安全漏
洞扫描,比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技
术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查,从而发现系统的漏洞。
Web漏洞扫描原理就是利用上面的扫描方法,通过分析扫描返回信息,来判断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进,然后把结
果反馈给用户端(即浏览端),并给出相关的改进意见。
Web漏洞扫描系统设计与实现:
Web漏洞扫描系统设计的基本要求是能够找到Web应
用程序的错误以及检测Web服务器以及CGI的安全性,其中也包括认证机制、逻辑错误、无
意泄露Web内容以及其环境信息以及传统的二进制应用漏洞(例:
缓冲区溢出等)。
同时要求
漏洞扫描功能能够更新及时。
本系统结合国内外其他Web漏洞扫描系统设计思想的优点,采
用Browser/Server/Database(浏览器/服务器/数据库)和模块化的软件开发思路,通过渗透性检测的方法对目标系统进行扫描。
系统总体结构设计:
本文设计开发的是一个B/S模式的Web漏洞扫描系统。
它包括客
户端及服务端两个部分,运行环境为Linux系统。
首先:
使用B/S结构使得用户的操作不再与系统平台相关,同时使得客户操作更方便、直观。
其次,系统把漏洞扫描检测部分从整个系统
中分离出来,使用专门的文件库进行存放(称为插件)。
如果发现新的漏洞并找到了新的检测方法,只要在相关文件夹中增加一个相应的新的攻击脚本记录,即可以实现对漏洞的渗透性测试
同时也实现了及时的升级功能。
最后,系统从多个角度来提高漏洞扫描系统的扫描速度以及
减少在用客户端与服务端之间的信息传输量,以提高系统的运行效率。
其总体结构设计如图1
所示。
图1系统总体结构
图1中给出了漏洞扫描系统模型的系统结构图该漏洞检测系统主要分成四部分
(1)主控程序。
采用多线程处理方式,它接收多个客户端提交的用户指令后,再次利用多线
程技术调用相关的插件脚本,利用渗透性测试对目标系统进行检测,并将结果和进程信息传回客户端显示并保存在客户本地,以方便用户查看详细信息。
(2)客户端,即控制平台。
B/S结构比传统的C/S结构优越的地方在于方便性和与平台无关性,用户通过Web浏览器设定扫描参数,提交给服务器端,控制服务器端进行扫描工作。
同时,对服务器返回的各种检测结果进行相应的显示、汇总和保存。
(3)插件系统。
它保存现在已知各种漏洞检测方法的插件,合理安排插件之间的执行顺序
使扫描按既定的顺序进行,以加快扫描速度提高扫描的效率与准确性。
(4)数据库,即探测数据库,是系统的核心。
它保存已知各类Web漏洞的渗透性的探测数据即攻击代码或信息获取代码,比如SQL注入攻击、跨站点脚本攻击、会话攻击或输入验证编码信息等,逐条给目标发送探测数据,通过把返回信息与预先设定的“返回信息”和状态码进行匹配,进而获得目标返回系统的健壮信息。
在规划系统体系组成部分的基础上,如何把这些组成模块有机地集成为一个系统也是设计本系统的重点。
我们要求服务器端同时处理多用户的连接,因此首先要进行多线程处理。
在进行单用户处理中,当用户登陆时,检测服务器对用户的用户名和密码进行认证,判断用户
是否具有使用权限。
用户认证通过后,检测服务器给客户端发送可使用的基本检测信息。
客
户端接收到服务器的这些信息后,根据具体的使用要求选择和填写各种检测脚本要求的参数或使用默认参数,然后返回给服务器端。
服务器端建立新的进程,开始一个新的漏洞检测任务对目标系统进行扫描。
客户端的实现:
网络的发展要求在任何地点进行登陆并进行扫描工作,并且漏洞检测参
数繁多、设置扫描参数具有很高的复杂性,所以选择现在流行的Web页面作为客户端。
这样就可以在世界的任何地点,任何环境使用客户端,用简单的图形化界面进行参数设定和系统的
控制工作。
客户端在认证通过后,开始接收服务器发送过来的各种待设定的参数及相关信息
以供用户选择。
用户根据相关帮助信息及自己相关的要求设定参数,同时设定目标系统的IP
地址(或主机名)和端口号等参数。
根据客户端的参数设定,服务端建立扫描任务,对目标系统
进行检测扫描。
检测过程中,客户可以自行设定是否实时显示服务端扫描状态信息及结果信
通信协议设计:
Http协议是一种在TCP/IP之上的request/response型协议。
多数Http数据传
输由请求服务器上的某种资源开始,通过网络上的一些中介,如代理、网关等到达服务器,而后
服务器处理请求并送回应答。
但是
Http1.0并不完全支持各层代理、缓冲、持续的连接以及
虚拟主机等技术。
Http请求及应答数据包如图2所示。
方法
SP
版虚
LOL
信息头
空行
状点
EOL
息头
空行
数拥
版車
图2Http请求及应答数据包
特征信息数据库:
此漏洞扫描系统的核心就是特征信息数据库,特征信息数据库保存了远程
Web系统可能存在的各类Web隐患和漏洞的获取或攻击信息或代码。
通过给远程Web系统
发送此数据库中的数据以获得目标Web系统的安全性。
Web漏洞扫描系统的实现
图3扫描服务端泓程
4基于灰色理论的网络信息安全评估模型
灰色模型建模机理:
灰色理论基于关联空间、光滑离散函数等概念,定义了灰导数和灰微分方程,进而用离散数据列建立了微分方程型的动态模型。
它是本征灰系统的基本模型,而且模型非唯一,故称为灰色模型,记为GM(GreyModel)。
(1)灰色理论将随机量当作在一定范围变化的灰色量;将随机过程当作在一定幅区、一定时区
变化的灰色过程。
(2)灰色理论将无规律的原始数据生成为较有规律的生成数列再建模。
(3)灰色理论针对符合光滑离散函数条件的数列建模,而一般原始数据经累加生成后可得到光滑离散函数。
(4)灰色理论在光滑离散函数收敛性与关联空间极限概念的基础上,定义了灰导
(5)灰色理论认为微分方程是背景值与各阶灰导数的某种组合。
(6)灰色理论通过灰数的不同生成、数据的不同取合、不同级别的残差MG模型的补允、调
整、修正,提高模型精度。
(7)灰色理论中MG模型一般采用三种方法检验和判断模型精度。
即残差检验;关联度检验:
后验差检验。
(8)通过GM模型得到的数据,需经逆生成作还原后才能用。
(9)灰色理论对高阶系统建模,采取一阶MG模型群建立状态方程的方法解决。
(10)灰色模型在考虑残差MG模型的补充后,变成了差分微分模型。
(11)灰色理论根据关联子空间某种特定关联映射下的关联收敛来选择参考模型。
关联收敛是一种有限范围的近似收敛。
五步建模思想与方法:
在本征性灰色系统中,包括哪些变量?
变量间有什么关系?
人们并不很清楚,因而建立模型很困难。
对此,灰色理论采用定性分析与定量分析相结合的方法。
即建模时,不仅运用控制理论的数学模型,而且还直接利用经验判断知识,综合概括为一个“五
步建模”的过程。
所谓“五步建模”即将建模分为几个阶段,每个阶段都用一定的方式加以表达,这些表达式
称为阶段模型。
所处的阶段不同,模型的性质也不同。
这五个阶段模型分别称为语言模型、网络模型、量化模型、动态模型、优化模型。
通过这五步建模,就可逐步得到系统中各因素间,前因与后果间,作用与响应间等关系。
这是一个由定性到定量,由粗到细、由灰变白的建模过程。
模型的建立:
灰色系统是部分信息明确,部分信息不明确的系统。
信息安全评估系统符合灰
色系统的特征,因此灰色评估理论适用于对信息安全系统进行安全风险评估。
本文采用基于
三角白化权函数的灰色评估法来建立信息安全风险评估模型
评价指标权重的确定:
对于评价指标权重的确定,通常可利用AHP法、嫡值法、主成分分析法等方法。
本文主要
是应用了主成分分析法来分析系统的权重。
主成分分析法计算步骤
1、原始指标数据的标准化"对原始数据进行无量纲化处理。
X-—X工
原始数据矩阵无叫人『令Z厂七丄,式中x^C£xy)/m
S:
=(兀一兀¥]/(加一1)i=l,2,m;2,….n(4T)
2.
求指标数据的相关矩阵
°为指标j与指标k的相关系数。
3、求相关矩阵R的特征根和特征向录,确定主成分
由特征根方程\AE-R\=O可求得n个特征根心(g=1,2…町,它们是主成分
的方差’它们的犬小描述了各个主成分在描述披评价对象上所起的作用的大小,对
其从大到小进行排列,\>0.由特征根方程可知,每一个特征根
对应一个特征向量£g(g=1,2,……”)P
将标准化后的指标变雇转换为主成分,
Pg二4忆1+£器込+…+£討”g=1,2,(4*3)
刁称为第一主成分,巧称为第二主成分,依次类推,凡称为第□主成分。
4、求方差贡献率,确定主成分个数.
一般而言.主成分个数等于原始指标个数,但如果原始指标个数较多时,进廿综合评价的工作量就很大也比较麻烦"主成分分析法就是选取尽量少的k个主成分55)来进行综合评价,同时尽童不丢失信息量・扎值由方睾贡献率
tn
决定”一股地说#K不应小于85黑.
0thIPtall
5、对K个主成分进行综合评价。
先求每一个主成分的线性加权值”即第3个步骤中的%(g=l,2—k),再
以方差贡献率为权重.对这k个主成分进行加权求和,即得最终评价值V:
(4-4)
评价指标的评分等级标准;
对安全措施等级的定义是标准的另一个重点。
根据我们国家的《计算机信息系统安全保护等
级划分准则》,安全措施应该划分成5个等级:
(1)第一级:
用户自主保护级;
(2)第二级:
系统审计保护级;
(3)第三级:
安全标记保护级;
(4)第四级:
结构化保护级;
(5)第五级:
访问验证保护级。
信息系统中存在不确定性干扰因素,就是系统中存在摄动,但是整个系统仍然正常工作,这
一特点符合控制系统中的鲁棒性特征,所以在这里引入鲁棒性测量。
鲁棒性策略针对某种信
息价值和可能遭到的威胁水平,提供一种在确定信息安全机制强度下的指导思想。
这种策略
还定义了对技术性反制措施的测量及评估其鲁棒性不同等级的策略。
在鲁棒性策略中把信息
的价值分为5级(VI~VS),其价值依次递升;威胁分为7级(TI一T7),其大小也依次递升。
表
4一1根据待保护信息的价值及威胁程度,给出了对应安全强度的安全机制。
表4】毎棒性的等级分类表
信息孙值
威胁程度
T1
T2
T3
T4
T5
T6
T7
VI
SML1
EAL1
SML1
EAL1
SML1
EAL1
SML1
EAL2
SML1
EAL2
SMLI
EAL2
SMLI
1
EAL2
V2
SML1
EAL1
SMLI
EALI
SML1EALI
SML2
EAL2
SML2
EAL2
SML2
EAL3
SML2
EAL3
V3
SMLI
EAL1
SML1
EAL2
SML1
EAL2
SML2
EAL3
SML2
EAL3
SML2
EAL4
SML2
EAL4
V4
SML2
EAL1
SML2
EAL2
SML2
EAL3
SML3
EAL4
SML3
EAL5
SML3
EAL5
SMLJ
EAL6
V5
SMU
EAL2
SMI.2
EAL3
SML3
EAL4
SML3
EAL5
SMU
EAL6
SML3
EAL6
SML3
EAL7
模型的描述与评估步骤:
有了标准化后的指标值及对应的权重后,我们就可以将标准化值进行综合合成,从而得到网
络信息安全评估的综合值,需要建立评估模型。
同时建立了评估模型后,对新的评价对象进
行评估时,也可直接输入模型得到对应的综合评价值,为今后评估提供方便。
设有n个对象,
m个评估指标,s个不同的灰类,对象i关于指标j的样本观测值为xij,i=,12,…,从j=1,2,…,m。
我们要根据凡的值对相应的对象i进行评估诊断、具体步骤如下:
步骤一建立络信息安全评估的指标体系主要依据相关的络信息安全评估标准。
根据我们国家
的《计算机信息系统安全保护等级划分准则》(GB17589—1999),安全措施应该划分5个
等级,依据评估的目的和要求,确定影响信息系统安全风险等级的因素和信息安全风险等级,然后采用专家咨询法确定信息安全风险评估的指标{XI,XZ,…,X,,…,X二}及其相应
权重{K,,KZ,…,K,,…,K,,}然后根据信息安全风险评估要求的风险等级灰类数s,
将各个指标的取值范围也相应地划分为
为S个灰类V例如,将七指标的取值范围划分为
这一步骤是将信息安全风险从定性到定量转化的关键,为了指标体系的准确,
应当挑选对信息系统了解、经验丰富的专家参加评估,并且要适当保证参与评估的专家人数。
步骤二通过定性和定量相结合的方式在被评估信息系统中测出各安全风险评估指
标的样本值{X,,X2,…,Xj…,Xm}。
定性分析是建模的前提,定量模型是定性分析的具体化,定性与定量紧密结合
相互补充能够测出比较合理的样本值。
明确系统因素,弄清因素间关系及因素与系
统的关系是系统研究的核心。
步骤三、根据如下规则建立三角白化权函数。
令叱如属于第k个风险等级灰类的白化权函数值为1,(竺也,I)
22
与M(k-l)个信息安全风险等级灰类的起点a-和第(k+1)个风险等级灰类的终点务.2连接,得到X丿指标关于第k个风险等级灰类的三角白化权函数刀(X)J=1,2,…,加,2】,2,…,s,其表达式如(4・5)式所示。
(4-5)
0,"W[ak-l,兔+2】
\一%]
经茸XW闪,%2】
皿2-冷
其中,心二尘竺±1
步骤四、计算各风险评估指标X/C/=12…“)属于风险的等级灰类k
(*=1,2,・・・,$)隶属度f;(X
对于指标的一个观测样点值、、根据(4-1)式计算其属于风险等级灰类
k(Q2・・・,s)的隶属度
flw
图4
升级会员 