專利名稱:利用面向目標的模糊邏輯決策規則評估網絡的安全姿態的系統和方法
技術領域:
本發明涉及網絡領域,本發明尤其涉及評估網絡的安全脆弱性的領域。
背景技術:
當前正開發的信息系統和計算機網絡基礎設施的建設正在考慮什么構成可接受風險(或足夠的保護)。系統資產,如計算機網絡的硬件、軟件和系統節點,必須得到與它們的價值相符合程度的保護。另外,這些資產必須得到保護直到它們失去其價值。任何安全特征和系統體系結構也應在所處理數據的整個使用期限內提供足夠的保護。為評估任何與網絡相關的風險是否可接受,安全工程師典型地收集所有相關信息,接著分析與該網絡相關的風險。
風險分析是一項復雜而耗時的工程,其對于確定網絡內的暴露以及它們的潛在危害是必要的。舉例來說,當分析計算機網絡中的安全風險時,安全工程典型地遵循下面的步驟1)確定整個計算系統的資產。
2)確定資產的脆弱性。這個步驟典型地需要想象力以便預測對這些資產可能發生什么樣的危害及其來源。計算機安全的三個基本目標是確保秘密、完整性和可用性。脆弱性是可能導致失去這三個特性中的一個的任何情況。
3)預測事件(利用)的可能性,即,確定每個暴露將被利用的頻度。事件的可能性與現有控制的嚴格程度,以及某人或某物可逃避現有控制的可能性有關。
4)通過確定每個事件的預期成本計算每年的任何無覆蓋成本(預期年度損失)。
5)調查可應用的控制和它們的成本。
6)預測控制的年度節省。
該分析的最后一步是成本-效益分析,即,是實現控制花費較少還是接受預期的損失成本。風險分析導致安全規劃,這個規劃確定提高安全性的特定行動的責任。
目前,技術的快速發展和具有更強功能的計算機的大量出現使得能托管商業現有的(COST)硬件和軟件組件的使用,作為成本有效的解決方案。這種強烈依賴于COTS隱含商業級的安全機制足以用于大部分應用。因此,安全體系結構必須構筑為用相對弱的COTS組件建立可操作、關鍵任務計算機系統。具有更高安全保證的組件可置于公共或信息邊界,形成基于飛地(enclave)的安全體系結構,實現對信息安全保證的深度防護途徑。
有一些設計工具,即,軟件程序,系統設計師可用它來輔助最大化可用的保護機制,同時維持在開發預算之內。當前一代的風險分析工具通常為單廠商解決方案,其只處理特定一個或幾個方面的風險。這些工具趨向歸入下面三種類型的一種1)從備有大量文件的脆弱性數據庫工作而且可能修復已知的脆弱性的工具。這種類型的工具對數據庫更新依賴于廠商,或通過新產品版本或通過訂購服務實現更新。這一類的例子包括ISS的InternetScanner,Network Associates公司的CyberCop和Harris的STAT。
2)使用各種參數計算風險指標的單片電路工具。這些工具難于維護而且很難與當前迅速發展的威脅和技術環境保持同步。這種工具類型的例子有Los Alamos脆弱性評估(LAVA)工具。
3)檢查系統特定方面,如操作系統或數據庫管理系統,但忽略其它系統組件的工具。例如SATAN,分析操作系統的脆弱性,但忽略諸如路由器等的基礎設施組件。
使用來自各個廠商的多種工具用于單個計算機網絡分析是一種勞動密集性工作。典型地,安全工程師將必須多次以多種格式輸入系統(網絡)的描述或表示。安全工程師接著必須手工分析、整理和合并這多個工具的輸出結果為單個網絡安全姿態報告。之后,安全工程師可完成風險分析(計算預期的年度損耗、調查控制等),接著重復該過程以分析安全風險、系統性能、任務功能以及研發預算中的選擇對象。
同樣,這些工具中沒有一種對具有“下鉆(drill down)”或分層法的系統使用總體“快照(snapshot)”法,以便于如何在系統的不同層次(網絡、平臺、數據庫等)上處理風險。在分析安全風險、系統性能和任務功能中的選擇對象時,這些工具對系統設計師提供不了多少幫助。相反,“風險解決方案”得以提供,它能解決設計給定工具用于計算的風險的特定方面。為開發綜合性風險評估,安全工程師將不得不精通各種工具的使用,以及通過手工方式使結果產生的輸出相互關聯。
成功的風險分析的一方面是完全和精確的數據積累以生成分析工具所使用的系統模型。許多當前的風險分析工具依賴于用戶、系統操作人員和分析人員填寫的調查表,以獲得數據來開發在分析中所使用的系統模型。或者,工具可主動掃描計算機網絡以測試對于系統部件的各種脆弱性。
然而,這些方法都有其缺陷。按原文或基于調查的知識征求技術為勞動密集型,而且可能對于分析人員來說很乏味。許多現有的工具重復利用相同信息來分析系統安全的不同方面。利用集中式建模數據的知識庫更為方便,這可能提供在現有工具間共享輸入的基礎。這種知識庫可用于生成由風險分析工具使用的數據集,允許多種工具在同一系統上運行而不用獨立的輸入動作,由此降低了操作人員出錯的可能性。使用多種風險分析推理引擎,或橋(backbend),使得能分析系統的各個方面而無需開發一種工具來執行所有類型的分析的成本。綜合信息和通過應用多種工具可得到的可靠的評估將產生更為健壯和精確的系統安全姿態畫面。這些結果能促進更可靠的系統設計決策,提供用于可選評估和比較的框架。
發明內容
因此,本發明的目的是提供一種不必多次分析網絡就能評估網絡的安全脆弱性的數據處理系統和方法。
本發明包括一種用于評估網絡的安全姿態的方法,包括步驟創建表示網絡的系統對象模型數據庫,其中該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求;從表示該網絡的系統對象模型數據庫只輸出所需的數據到每個相應的網絡脆弱性分析程序;分析該網絡的每個網絡脆弱性分析程序以從每個程序產生數據結果;存儲來自各個網絡脆弱性分析程序和數據事實庫內的公共系統模型數據庫的數據結果,以及應用面向目標的模糊邏輯決策規則到數據事實庫以確定網絡的安全姿態。
一種方法和數據處理系統現在就能評估網絡的安全脆弱性。該方法包括創建表示網絡的系統對象模型數據庫的步驟。該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求。在該方法中,從表示該網絡的系統對象模型數據庫只輸出所需數據到每個相應的網絡脆弱性分析程序。使用該程序分析網絡以從每個程序產生數據結果。存儲來自各個網絡脆弱性分析程序和數據事實庫內的公共系統模型數據庫的數據結果。接著應用面向目標的模糊邏輯決策規則到數據事實庫以確定網絡的脆弱性姿態。
在本發明另一方面,該方法包括步驟經由與各自的網絡脆弱性程序相關的過濾器從系統對象模型數據庫僅輸入所需的數據,以及經由綜合應用編程接口輸入。在本發明的再一方面,該網絡可在圖形用戶接口上建模為映象。可建立類分層結構以定義共用公共數據和編程特性的網絡脆弱性分析程序的組件。也可獲得與網絡系統細節、網絡拓撲、節點級脆弱性和網絡級脆弱性有關的數據結果。
更方便地,一種計算機程序駐留于媒體上且能被程序讀出,它包括用以促使計算機創建表示網絡的系統對象模型數據庫的指令,該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求。一種計算機程序促使計算機從該系統對象模型數據庫只輸出所需的數據到每個相應的網絡脆弱性分析程序,并利用每個網絡脆弱性分析程序分析該網絡以從每個程序產生數據結果。結果存儲于數據事實庫內的公共系統模型數據庫。該計算機程序還創建指令以促使計算機應用面向目標的模糊邏輯決策規則到數據事實庫以確定網絡的脆弱性姿態。
一種數據處理系統評估網絡的安全脆弱性,包括用于分析網絡的多個完全不同的網絡脆弱性分析程序。系統對象模型數據庫表示將被分析的網絡,而且支持網絡脆弱性分析程序的信息數據需求。應用編程接口輸入該網絡的系統對象模型數據庫到網絡脆弱性分析程序。過濾器與該應用編程接口和每個相應的網絡脆弱性分析程序相關,用于從系統對象模型數據庫過濾數據并只輸入所需的數據。
數據事實庫存儲在分析網絡和公共系統模型數據庫之后從各個網絡脆弱性分析程序獲得的結果,而模糊邏輯處理器通過利用多個模糊專家規則應用面向目標的模糊邏輯決策規則到事實數據庫,用于合并來自網絡脆弱性分析程序的結果以及確定網絡的脆弱性姿態。
下面通過舉例參考附圖詳細描述本發明,其中圖1是網絡原理框圖,示出了在網絡中頻繁發現問題的位置;圖2是網絡的另一原理框圖,示出了由本發明的系統和方法定位的識別脆弱性;圖3是本發明的系統和方法的總體結構的另一框圖,示意了與網絡模型數據庫關聯使用的過濾器;圖4是示意了模糊邏輯分析的本發明結構的另一原理框圖;圖5是示意了本發明的數據處理系統和方法的高級體系結構組件的另一原理框圖;圖6是本發明的數據處理系統的另一高級原理框圖;圖7是建模網絡為映象的圖形用戶接口的例子;圖8A和8B是在系統對象模型數據庫的建立中提供數據分解的開放窗口;圖9是示意了網絡模型的圖形用戶接口的例子;圖10是示意了用于網絡安全姿態的各種報告選項的圖形用戶接口;圖11是在本發明的數據處理系統和方法中使用的面向對象的模糊邏輯處理的基本處理組件的框圖;圖12是在本發明的數據處理系統和方法中使用的數據融合的原理框圖;圖13是在本發明的數據處理系統和方法中使用的基于目標的例子的另一原理框圖;圖14是在本發明的數據處理系統和方法的模糊邏輯處理中使用的基本處理步驟和組件的另一框圖;圖15是在用于證據積累和模糊證據推理規則的故障樹分析(DPLf)中使用的基本組件的框圖;圖16是示意對象/類分層結構的框圖;圖17是示意本發明的系統類圖的框圖。
具體實施例方式
圖1示意了常規網絡100的例子,它包括與外部路由器104相連的內部服務器102、通信網絡105以及防火墻106。內部路由器108與防火墻106、分支機構107相連,還與內部LAN網絡部件110和遠程訪問服務器112及遠程用戶114相連。
利用圖1的例子,在網絡上經常出現的問題包括主機(如內部服務器102)運行了不必要的業務,例如拒絕服務和匿名FTP或配置不當的web服務器,web服務器可以為內部服務器,例如CGI腳本、匿名FTP和SMTP。內部LAN 110可包括沒有打補丁的、過時的、脆弱的或缺省配置的軟件和固件以及易攻破的口令。LAN也可包括不當的輸出文件共享服務,如NetWare文件服務和NetBIOS。內部LAN 110還可包括配置不當或未打補丁的Windows NT服務器,以及由缺乏綜合策略、程序、標準和原則導致的問題。遠程訪問服務器112可以有不提供安全保證的遠程訪問點,而外部路由器104通過下面的服務可能泄露信息,如SNMP、SMIP、finger、roosers、SYSTAT、NETSTAT、TELNET banners、Windows NT TCP 139 SMB(服務消息塊)以及到非域名服務器主機的區域轉換。它也可有不完全登錄、監視和檢測能力。分支機構107可能會有不適當的信任關系,如RLOGIN、RSH或REXEC。防火墻106可能配置不當或有一個配置不當的路由器訪問控制列表。
盡管這些網絡問題只是在網絡100找到的常見例子,本領域的技術人員知道還可能出現其它問題。
本發明的系統和方法使得能確定網絡系統的脆弱性。數據處理系統和方法的軟件可位于圖2所示的用戶終端120,圖2示意了在內部LAN 110連接的節點112所確定的脆弱性。為描述起見,本發明的數據處理系統和方法可稱為網絡脆弱性分析工具(NVT),即,用戶用以確定網絡脆弱性和風險的工具。
構成NVT的數據處理系統可裝載于運行Windows NT的PentiumPC平臺上。這種類型的平臺可提供低成本的解決方案而且支持各種各樣的評估工具,在通篇的描述中也稱之為網絡脆弱性評估或風險分析程序。這些網絡脆弱性分析程序典型地為安全工程師所知曉的標準COTS/GOTS程序,而且包括HP Open View,其允許網絡自動發現或手工網絡建模;Mitre公司生產的GOTS網絡系統分析工具ANSSR(網絡系統安全風險分析)允許被動數據收集和損失的單個出現。還可使用作為RAM(風險評估模型)為大家熟知的NSA的風險評估方法,并可用DPL-f決策支持編程語言實現。RAM還允許用于事件樹邏輯的被動數據收集,優化任務列表以及允許具有多種風險/服務的數學模型。它在整個時間過程是基于事件的。
DPL(決策編程語言)是促進復雜決策建模的決策支持軟件包。它允許用戶結合不確定性和靈活性到決策過程中。DPL為建立模型提供了圖形接口并對該模型執行分析。DPL-f包含嵌入到DPL的功能并為故障樹建立提供圖形接口。這種特征使得建模人員能創建故障樹并將它們結合到DPL模型中。DPL-f還包含唯一分析工具。這些工具包括明確計算故障樹中任何事件的概率以及執行故障樹特定類型的靈敏度分析的能力。DPL-f提供了用于結合時間序列到模型的接口。這使得建模人員能解釋資產貶值、資產增值或其它時間-方位量而不用改變模型的結構。DPL-f為RAM提供附加的能力,用于快速故障樹建立、嵌入式故障樹庫、專家意見生成系統、割集(cut set)的列舉和排序以及隨時間過去的風險的圖形描繪。
由因特網安全系統公司(ISS)開發的ISS因特網掃描器允許主動數據收集并掃描網絡的主機、服務器、防火墻和路由器,以及評估符合網絡、操作系統以及軟件應用的安全和策略。它允許及時快照和計算機網絡一致性報告。這些程序為本發明的NVT允許綜合的完全不同的網絡脆弱性分析程序。
NVT基于知識征求框架,其結合了網絡拓撲的圖形描述。這種拓撲用于捕獲網絡屬性并接著用于安全脆弱性分析。圖形用戶接口還用于提高網絡模型的準確性。
根據本發明,NVT的系統和方法自動映射現有網絡而且能在如圖7所示的圖形用戶接口上顯示現有網絡為一個模型。例如,HP OpenView可圖形化描繪網絡拓撲。一旦軟件已經給出網絡的缺省路由器的IP地址,本發明的NVT可使用Open View并搜索計算機和與該網絡相連的其它設備。NVT執行主動搜索,Ping網絡上可能的IP地址,并添加它接收的任何響應信息到其網絡映象。NVT還提供手控方法以繪制建議的具有所示圖形用戶接口的網絡以支持拖放(drag anddrop)。可定義系統體系結構,包括用于可選設計或節點編輯的安全關鍵信息以提供所需的附加細節以準備完整的邏輯網絡規劃。用戶還可通過使用子網圖標在圖上表示整個網絡。
如圖16和17的例子所示,當完成網絡系統的描述時,NVT以對象/分層結構表示和存儲該描述,這將在下面解釋。單個拓撲的系統對象模型支持完全不同的網絡脆弱性分析程序(工具)的信息數據需求。這些結果的模糊邏輯處理允許修正來自程序的結果為有結合力的脆弱性/風險評估以獲得網絡的脆弱性姿態,如圖10的圖形用戶接口所示。系統的單個表示簡化了使用多種工具并取消了冗余數據輸入。它還提供了用于定位對于給定脆弱性評估工具和未來知識協商能力的不完全數據的問題。
圖3在130示意了本發明的總體網絡虛擬化工具(NVT)、數據處理系統的例子,在此,三個網絡脆弱性分析程序(工具)示意為ANSSR 132,ISS因特網掃描器134和RAM 136。本發明的系統和方法創建系統對象模型數據庫(網絡模型數據庫)138,它表示網絡而且支持網絡脆弱性分析程序的信息數據需求。系統對象模型數據庫138表示所評估的系統或設計的單個表示,而且定位網絡的單個內部表示的需要以提供數據給網絡脆弱性分析程序。
該模型138使用面向對象(OO)的方法以類分層結構提供一個擴展組件的集合,該類分層結構可組合用以表示網絡。類分層結構提供了定義具有共用公共特性的組件的方法,同時保持區別于其它組件的特性。除了隱含的分層結構關系,面向對象的技術提供了封裝機制,其中對象可包含對任何對象(包括其本身)的引用。這就提供了用于表示任何物理或邏輯實體的靈活機制。同時,面向對象的表示自身具有準備好修改和擴展以及理想地用于每天都會出現變化和新技術的信息安全保證領域。
如圖3所示,過濾器140與每個網絡脆弱性分析程序132、134、136關聯而且只允許相應的網絡脆弱性分析程序所需的數據輸出到該工具(程序)。過濾器為C++基類,能提供一組虛擬方法以允許數據在NVT系統和程序之間移動。過濾器還為NVT提供一種方法以控制工具的執行和完成工具所需數據。NVT將每個工具視為過濾器,調用過濾器內的適當方法以執行期望的任務,包括初始化、運行、輸入數據和輸出數據。每個工具可有具體的過濾器子類,而且提供專用于該工具的方法以定義每個方法,同時能為NVT提供通用的和定義明確的編程接口(API)。這使得所有工具在NVT內的能得到相同處理,使得不用改變任何現有NVT代碼就能添加和卸載工具。
利用過濾器技術在DPL-f和NVT之間建立通信是簡單明了的。DPL-f過濾器的任務是建立和繁殖故障樹的細節問題。作為分析工具,故障樹能表示網絡中的節點為已出現的,而且為諸如拒絕服務、數據丟失和數據泄露等事件提供概率值。實際上,DPL-f可用作最終結果工具。
接著利用每個網絡脆弱性分析程序分析網絡以從每個程序產生數據結果。相互關聯這些數據結果以確定網絡的安全姿態。網絡驗證可通過下面將討論的本發明的模糊邏輯處理發生,而且系統GUI可有為用戶顯示的輸入。
網絡的概觀通過自動網絡發現或手工輸入144(如通過HP OpenView)創建為模型142,而且適當的過濾器146允許系統GUI 148經由適當的數據輸入150顯示圖7所示的網絡模型給用戶顯示152。利用下面將詳細描述的插件程序或模糊規則集,還可能具有風險GUI154以虛擬地評估風險脆弱性、風險/脆弱性報告的日志156、作為部分GUI 148一部分的風險評估158,所有這些都通過網絡驗證160。任何不完全的數據分解161也可得以處理。
圖4示意了類似于圖3的高級框圖,示出了可建立的系統對象模型數據庫138,并結合綜合應用編程接口126一同工作以允許輸入數據到各種工具164,這些工具示意為能產生總體系統結果數據庫的建模工具、發現工具和信息分析工具。應用編程接口168和圖形用戶接口170與模型數據庫138一道工作。評價/評估管理器172(管理員)協同應用編程接口(API)174和圖形用戶接口(GUI)176工作以使數據結果與模糊邏輯處理相互關聯,如虛線178所示,包括專家關聯180及模糊推理和證據推理182以便為關聯結果產生脆弱性結果184和圖形用戶接口(GUI)186。盡管圖4表示的高級模型示出了不同組件的例子,但只有一種類型的高級組件的一個例子可用于本發明的NVT系統和方法。
圖5和6示意了其它高級模型的例子,其中示出了數據源200(圖5)的基本組件和處理步驟,以及系統畫面202、per工具分析204、多工具分析206、工具-專家分析208以及報告媒體210。工具-專家分析208可包括DPL-f208a,作為數據事實庫中的模糊邏輯處理的一部分,并使用CERT注解208b和專家系統208c用于專家關聯。可生成的報告包括在圖形用戶接口上輸出的圖標、文本、EXCEL電子表格、Access和配置,這是本領域的技術人員所了解的。圖6也示意了類似于圖5的另一高級模型,其中用于形成完整系統對象模型和模糊邏輯處理的工具可包括單獨的工具處理和多工具關聯。
圖7-10詳細示意了圖形用戶接口220,它可包含于計算機屏幕而且用于與NVT交互并確定網絡的脆弱性姿態。如圖所示,圖形用戶接口220為標準類型的WindowTM接口。系統設計窗口222允許顯示構成網絡圖的網絡圖標224,網絡圖表示網絡中包含的不同網絡單元和節點的關系。相應于網絡單元是如何與網絡互連的,對應的網絡圖標224以一種方案被聯接在一起。如圖7所示,網絡單元可以經由連接線226連結在一起,連接線226示出了實際的網絡單元和節點間存在的互連。系統設計窗口222在左側示出了具有兩個節點的網絡間視圖230,而在窗口的右側示出了網絡視圖232以示意該網絡模型的映象。管理員窗口234被打開并顯示網絡單元的屬性。
選擇數據敏感度的彈出窗口(方框)240是用戶可選擇的,通過菜單選項選擇的網絡單元(圖8A),而且具有用于選擇網絡單元靈敏度的用戶選擇的數據項。在任何節點上(在圖8A所示的例子中的節點1)的數據靈敏度可以選擇為公開(unclassified)、敏感(sensitive)、機密(confidential)、極機密(secret)、受限機密(restricted)、絕密(top secret),并有“OK”、“RANDOM”、“DEFAULT”三個按鈕。
選擇節點配置編輯彈出窗口(方框)250在圖8B示意,它具有用戶可選擇的脆弱性簡表(profile)用于選擇網絡單元或節點的脆弱性簡表。圖9還示出了帶有中心集線器和互連節點的網絡模型圖。有可能用戶可編輯管理員窗口234入口,這也使得能通過選擇適當的按鈕發生網絡發現。自然地,如果需要可以選擇和移動網絡圖標以編輯和設計選擇對象。
通過系統建立了安全姿態后,表示高風險網絡單元(集線器252)的圖標可改變顏色,如紅色。其它選擇的圖標可變為黃色以指示風險較低的節點,如圖7和9中所示的HP4節點254。有可能該網絡的節點或部分周圍的陰影區可以被涂以紅色或黃色指示更高的風險脆弱性。也有可能連接線變為紅色或黃色以指示單元之間的不良連接。
圖10示意了脆弱性姿態窗口270,用于顯示指示脆弱的網絡單元和圖標的用戶可讀取圖標。整個系統模型示出為部分開放系統設計窗口。然而,示意了電子表格272和具有風險評估滑動條的NVT風險評估圖表274。還示意了風險分析窗口276,其示出了頭5個風險分析單元。
圖16詳細示意了一個類分層結構,具有作為公用屬性和私有屬性的類名280、資源286的聚集282和關聯284以及具有歸納結果290的目標288。圖17示意了各種以框圖區分的組件的系統類圖的例子。自然,圖17只是本領域的技術人員知道的一個系統類圖,它是可用于該本發明的系統和方法的一個例子。
現在詳細參考圖11-15,這些附圖示意了面向目標的模糊邏輯決策的執行。如圖11所示,系統模型數據庫138和來自各個的網絡脆弱性分析程序的結果300利用應用編程接口和專家關聯結合在一起,以通過數據模糊化形成數據事實庫302。面向目標的模糊邏輯決策規則通過模糊推理網絡規則304和模糊證據推理規則306運算,以基于預定的目標308確定網絡的安全姿態。
模糊邏輯處理使用數據融合、證據推理和推理網絡技術。本領域的技術人員知道,證據推理為一種收集支持和駁斥給定假設的事實的技術。該結果就是具有某種置信程度的假設的肯定或否定。本發明的模糊邏輯處理采用證據推理以從系統和工具為每個準則的搜索中積累證據,從而合并系統評估數據為單一參考點,合并系統的一致性為特定準則。通過提供一組融合規則集,系統就能抑制融合問題并簡化搜索庫。證據推理之前已用于執行級別1多探測器數據融合,而且是模糊專家系統中的公共全局推理技術,如本領域技術人員所知道的由NASA開發的模糊CLIPS的系統類型。其結果為一組模糊證據規則,其目的是為給定的一組需求積累證據。這就解決了專家關聯的潛在的不一致、摸棱兩可和冗余數據,即使數據不完善也可利用可用數據得出結論。
結果的精確性視可用數據的數量和質量而定,而且在應用模糊邏輯處理之前必須對可用數據執行附加的改進,這也保持了數據的概率論的性質。這種改進使用推理網絡并提供利用直觀推斷法提供有關概率的推理方法,從而無須大量的先驗知識。目標和潛在的安全規格之間的關系促使相互間交叉結合。本領域的技術人員知道,模糊CLIPS利用模糊事實,它可假定0和1之間的任意值。結果可視為由0和1為界的連續函數的二維曲線。
數據融合利用系統對象數據庫、數據結果數據事實庫。智能數據融合是基于多級、多學科的信息處理,以從多個智能源(可能是多個智能學科)產生信息的綜合,以生成有關實體(其狀態、能力和強加的威脅)的特定和全面的、統一的數據。數據融合基于可用的輸入提供信息。智能數據融合處理典型地分為4個級別(如表1所述)。
表1智能數據融合過程的級別和目的
前面指出,NVT結合來自多個來源的多種類型的數據與其它上下文信息,以形成網絡化系統的安全姿態的綜合概觀。NVT為用戶提供給定系統或系統設計的脆弱性姿態的簡單表述并使它們為改進和改善系統或系統設計的目的能執行功能、性能和防范交易的“假定方案(what if)”分析。
在計算機安全工程中,探測器為各種脆弱性評估和風險分析工具,它與GUI一起從用戶收集所需的信息。從這些工具得到的輸出在來自不同廠商的各種格式中采用定性的和定量的數據形式。對于計算機安全過程來說,所研究的對象是網絡(計算系統)中的節點,即,包括硬件、軟件和數據的資產。所研究的狀態是評估計算機網絡段的安全系統中的弱點,這些弱點可被利用以引起損害或秘密、完整性或可用性的損失。
評估計算機系統面臨的風險涉及評估面臨的威脅、它們出現(非法利用)的可能性以及預期的損失(或損害)成本。最后,網絡(計算系統)可基于成本-效益分析的結果改進。這就需要有關適合于特定脆弱性和它們的成本的保護措施(控制或對策)的信息。成本效益分析尋求確定使用控制或對抗的成本是否更低,或是否接受預期的成本損失。這就導致開發一種安全策略來改進計算機網絡系統的安全。
表2包含利用對應表1中4個級別的4個處理級別,用于本發明可使用的計算機安全工程的這種數據融合處理的第一劃分的例子。如圖12所示,這個過程的輸入將由對象模型數據庫138、來自個別的工具312、134、136的結果以及其它語境信息組成。不同數據融合級別1-4通常在320、322、324和326指示。
表2用于計算機安全風險分析的數據融合的初始處理級別
雖然在本發明中使用的數據融合提供了用于定位從多個脆弱性評估和風險分析工具合并結果的問題的總體框架,但專家系統、推理網絡和證據推理用于實現融合概念和合并工具結果。模糊決策技術,尤其是模糊專家系統的靈活性提供了定位這些問題的手段。模糊專家系統的主要好處是其使用和吸收來自多種來源的知識的能力。
模糊邏輯提供了用于從不精確、不確定或不可靠的知識中表示和推導的技術。類似于傳統的專家系統,模糊專家系統能以IF/THEN規則的系統形式表示知識,在這些規則中前提、后果或二者是模糊而不是明確的。模糊邏輯用于確定模糊事實與這些規則的匹配程度,以及這種匹配影響規則的結論的程度。根據本發明,推理網絡為啟發式規則分層結構,它能傳播概率而無需擴展的先驗概率知識(例如,Bayesian網絡)。啟發式規則可利用有關概率是如何傳播的專家知識開發,允許用有限的先驗概率知識得出結論。這導致低級的離散概率在高級結論中準確地被反映。低級事件的概率(如基于壽命的口令妥協的概率)需要成為在高級事件(口令的脆弱性)得出的任何結論的一部分。
NVT的最初研究使用證據的積累來修改模糊-事實,并在當前系統所需的狀態下表示這種變化。這種狀態改變模糊-事實接著用于修改系統,而且新狀態利用全局影響在無盡的周期中反饋到狀態規則的變化中。模糊CLIPS允許定義模糊-事實類型,但每個類型只有一個事實將始終存在。因此,控制那個事實類型的每個規則實際上修改單個事實,導致證據的積累。
全局影響和證據積累已導致模糊CLIPS方法學,其定義表示不同脆弱性狀態的模糊-事實。這些事實將使用全局影響和證據積累來獲得反映經測試系統的脆弱性的最終值,即,證據推理。這種方法反映了模糊邏輯控制系統的意義明確的使用,限制該執行為有限數量的周期而不是允許它連續運行。FuzzyFusionTM已由Melbourne,Florida的Harris公司開發,而且將使用這種方法從基于來自網絡安全專家知識的規則中積累證據。特別是,FuzzyFusionTM將應用證據推理作為一種技術,其中收集的知識支持或否定給定假設。該結果是具有一定置信度的對假設的肯定或否定。
最初的知識提取已導致使用安全需求來積累證據,即系統滿足需求的程度。這就證實了驗證數據庫(例如,AFCERTS)和驗證安全需求的方法之間的強烈關聯,導致使用數據庫和需求作為積累證據的全局影響事實,如圖13所示。這還示意了目標的粒度直接影響評估粒度的變化程度,即,評估將只能描述得象目標那樣具體。證據的積累被視為面向目標的實現方法以獲得結果,同時保持前向推理技術的使用,當前將稱之為“基于目標的融合”。
在計算機安全中,模糊邏輯如何與合并工具結果應用的一個例子是使用來自ANSSR和ISS因特網掃描器的結果的結合,這兩個工具當前用于NVT的一個方面內。工具的輸出都是定量(ANSSR)和定性的(因特網掃描器)。模糊邏輯使得系統能在同一系統內表示這兩種數據類型。接著,用公式表示初始假設,而且模糊邏輯用于收集證據以反對或支持該假設。
對這個例子來說,初始假設可以是在現有網絡系統中審核無效。系統用戶接著執行ANSSR和ISS因特網掃描器工具,如果ANSSR提供數量90(100范圍內),那么審核是充分的。模糊邏輯允許NVT解釋這種情況為對審核無效的初始假設的強烈否定的證據。如果因特網掃描器提供用戶訪問沒有被審核的定性的數據,那么模糊邏輯將此解釋為支持證據,它與來自ANSSR的證據結合。當這些工具運行結束時,用于審核的起作用的證據表示為單個模糊事實,它提供對審核實現程度的度量。
由Melbourne,Florida的Harris公司開發的FuzzyFusionTM是用于整理和合并NVT內應用脆弱性評估和風險分析工具的結果到統一報告中的工具。特別是,FuzzyFusionTM開發用于實現級別1和2的融合,FuzzyFusionTM是通過利用采用模糊CLIPS的模糊專家系統(面向的對象的模糊邏輯決策規則)實現的,模糊CLIPS結合了各種工具的輸出、用戶關心的有關系統風險和脆弱性、以及每個工具的結果的專家理解和這些結果是如何適應更大的信息系統安全畫面的。因此,NVT用戶獲得給定計算機系統或系統設計的安全姿態的簡單表述,而且能為功能、性能和防范交易執行“假定方案”分析。
圖14示意了用于實現計算機安全工程的最初兩個級別的數據融合的NVT FuzzyFusionTM組件結構。如圖所示,建模安全專家的任務被分為離散的任務。專家關聯(數據框架合并規則)、模糊推理網絡規則以及模糊證據推理原則的分離定位了脆弱的專家系統和計算爆炸的問題。它還分離來自模糊/不一致的數據分解的低級數據關聯和融合,以及合并結果為一個畫面。這應導致模糊專家系統比一個大型的綜合系統更容易維持。這種結構的單元在下面描述。
數據模糊化310將來自各個脆弱性評估和風險分析工具132、134、136的結果轉換為模糊-事實,并隨同公共系統模型(CSM)(即系統對象模型數據庫138)一起存儲到該(模糊CLIPS)事實庫302。各個工具結果(模糊化后)和CSM 138輸出用于專家關聯處理310(數據框架合并規則)以分解系統信息和基于安全專家經驗綜合工具輸出。專家意見可用于確定歸因于低級事件的特定模糊值。
專家關聯(數據框架合并規則)330為模糊專家規則集合以執行節點級的數據改進(級別1)或網絡段的改進(級別2)。這些規則利用來自安全工程師的專家經驗關聯和合并來自脆弱性評估和風險分析工具的(模糊化)輸出。這些規則平衡了安全評估上的廣泛經驗以分解低級系統數據和工具結果。這些規則分解系統信息并綜合系統輸出。專家關聯規則處理330還可轉換來自CSM的低級數據和工具結果到高級結論中。例如,如果用這些標志進行審計,并且審計數據沒有備份,那么,審核是不可靠的通過事實庫320中的模糊-事實工作,級別1融合規則集可整理每個節點的脆弱性,結果產生網絡中每個節點的脆弱性等級。這個等級可輸入回NVT用于顯示。類似的,級別2融合規則集可整理每個網絡段的脆弱性,結果產生每個網絡段的脆弱性等級。這可再次輸入回去用于顯示。
這些數據接著受模糊推理網絡規則處理304的控制。在應用模糊證據推理規則304之前有必要對可用數據執行附加的改進,同時保持數據的概率論的性質。這種改進將使用如本領域的技術人員知道的推理網絡,這將提供使用啟發式的有關概率推理的方法,從而無需大量的先驗知識。
從系統級的觀點來看,模糊證據推理規則306為模糊專家規則的集合以合并各個工具結果到更高級別的網絡安全姿態評估中。這些規則提供了合并CSM、工具結果、以及來自專家關聯(數據框架合并規則)330的結果到統一報告中的機制。這也使得無需處理來自專家關聯中使用的前向聯接專家系統的不完善和不一致的數據。
證據推理使用的技術中收集事實以支持和反對給定假設。該結果是具有置信程度的對假設的肯定或否定。FuzzyFusionTM采用證據推理從公共系統模型和每個標準的工具結論中積累證據,從而合并計算機網絡系統評估數據到單個參考點,合并系統的一致性為特定準則。通過為融合提供一組準則,NVT限制了融合問題并縮小了搜索空間,在這之前稱為基于目標的融合。該結果將是一組模糊證據規則,其唯一目的是為給定的一組需求積累證據。這解決了來自專家關聯(數據框架合并規則)330的潛在的不一致、模棱兩可和冗余數據,即使數據是不完善的也能利用可用數據得出結論。顯然,該結果的精確性視可用數據的數量和質量而定。
前面指出,模糊邏輯處理是面向目標的。證據積累處理350的目標可從安全需求數據庫352、計算機安全度量數據庫354或脆弱性數據庫356(如AFCERT構成的數據庫)導出。邊界融合到預定目標限制了計算時間。FuzzyFusionTM目標提供了獲得IA度量的機制。
FuzzyFusionTM處理相比傳統實現方法有許多優點。明確的專家系統將需要非常大的知識庫來包含必要的數據,而且仍然存在數據不完善和結果不一致的問題。Bayesian和概率網絡需要大量而且經常不可用的先驗概率知識。算法解決方案不適合安全問題的概率性和啟發式特性。
基于神經叢的專家系統,如模糊CLIPS,忍受著因基于當前系統中大量的規則和事實的執行時間呈幾何增長。這導致插入分析到子網。FuzzyFusionTM將增加子網和縮放能力。每個子網的節點將計算為組,接著計算子網的各組。為每種分析類型分組規則為不同模型將減小神經叢網絡的尺寸。還將縮短執行時間,這還將引入映射到NVT使用的網絡模型的分析網絡的可縮放方法。
如圖15所示,其它可能的數據空間可包括威脅知識數據庫360、作為級別3融合一部分的成本數據庫362和對策知識庫364、組件數據庫366以及作為級別4融合一部分的成本數據庫368。
一種評估網絡的安全脆弱性的方法和數據處理系統。建立系統對象模型數據庫并支持完全不同的網絡脆弱性分析程序的信息數據需求。只有來自表示網絡的系統對象模型數據庫的所需數據才被輸入到該程序,該程序接著分析網絡以產生來自每個程序的數據結果。這些數據結果存儲在公共系統模型數據庫中和數據事實庫內。面向目標的模糊邏輯決策規則運用于確定網絡的脆弱性姿態。
權利要求
1.一種用于評估網絡的安全姿態的方法,包括步驟創建表示網絡的系統對象模型數據庫,其中該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求;從表示該網絡的系統對象模型數據庫只輸出所需的數據到每個相應的網絡脆弱性分析程序;利用每個網絡脆弱性分析程序分析該網絡,以根據每個程序產生數據結果;存儲來自各個網絡脆弱性分析程序和數據事實庫內的公共系統模型數據庫的數據結果;以及將面向目標的模糊邏輯決策規則應用到數據事實庫,以確定網絡的安全姿態。
2.如權利要求1的方法,其特征在于,從系統對象模型數據庫經由與各個網絡脆弱性程序相關的過濾器只輸出所需的數據。
3.如權利要求1的方法,其特征在于,經由綜合應用編程接口輸出系統對象模型數據庫到網絡脆弱性分析程序。
4.如權利要求1的方法,其特征在于,在圖形用戶接口上建模網絡為映象。
5.如權利要求1的方法,其特征在于,建立類分層結構以定義共用公共數據和編程特性的網絡脆弱性分析程序的組件。
6.如權利要求1的方法,其特征在于,運行網絡脆弱性分析程序以獲得關于網絡系統細節、網絡拓撲、節點級脆弱性和網絡級脆弱性的數據結果。
7.一種用于評估網絡的安全姿態的方法,包括步驟創建表示網絡的系統對象模型數據庫,其中該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求,而且從該系統對象模型數據庫只輸出所需的數據到各個網絡脆弱性分析程序,以根據每個程序產生數據結果;存儲來自各個網絡脆弱性分析程序和數據事實庫內的公共系統模型數據庫的數據結果,并通過利用多個模糊專家規則將面向目標的模糊邏輯決策規則應用到數據事實庫,以合并來自網絡脆弱性分析程序的結果,以便確定網絡的安全姿態。
8.如權利要求7的方法,其特征在于,基于證據推理應用模糊邏輯決策規則。
9.如權利要求7的方法,其特征在于,經由與各個網絡脆弱性程序相關的過濾器只輸出所需的數據。
10.如權利要求7的方法,其特征在于,經由綜合應用編程接口輸出系統對象模型數據庫到網絡脆弱性分析程序。
11.如權利要求7的方法,其特征在于,在圖形用戶接口上建模網絡為映象。
12.如權利要求7的方法,其特征在于,建立類分層結構以定義共用公共數據和編程特性的網絡脆弱性分析程序的組件。
13.如權利要求7的方法,其特征在于,運行網絡脆弱性分析程序以獲得關于網絡系統細節、網絡拓撲、節點級脆弱性和網絡級脆弱性的數據結果。
14.一種駐留于能被程序讀出的媒體上的計算機程序,其中該計算機程序包括用以促使計算機創建表示網絡的系統對象模型數據庫的指令,其中該系統對象模型數據庫支持完全不同的網絡脆弱性分析程序的信息數據需求;從表示該網絡的系統對象模型數據庫只輸出所需的數據到每個相應的網絡脆弱性分析程序;利用每個網絡脆弱性分析程序分析該網絡以從每個程序產生數據結果;存儲來自各個網絡脆弱性分析程序和數據事實庫內的公共系統模型數據庫的結果,并將面向目標的模糊邏輯決策規則應用到數據事實庫,以確定網絡的安全姿態。
15.如權利要求14的計算機程序,其特征在于,通過利用多個模糊專家規則應用模糊邏輯決策規則,以合并來自網絡脆弱性分析程序的結果。
16.如權利要求14的計算機程序,其特征在于,基于證據推理應用模糊邏輯決策規則。
17.如權利要求14的計算機程序,其特征在于,經由與各個網絡脆弱性程序相關的過濾器只輸出所需的數據。
18.如權利要求14的計算機程序,其特征在于,經由綜合應用編程接口輸出系統對象模型數據庫到網絡脆弱性分析程序。
19.如權利要求14的計算機程序,其特征在于,在圖形用戶接口上建模網絡為映象。
20.如權利要求14的計算機程序,其特征在于,建立類分層結構以定義共用公共數據和編程特性的網絡脆弱性分析程序的組件。
21.如權利要求14的計算機程序,其特征在于,運行網絡脆弱性分析程序以獲得關于網絡系統細節、網絡拓撲、節點級脆弱性和網絡級脆弱性的數據結果。
22.一種用于評估網絡的安全姿態的數據處理系統,包括用于分析網絡的多個完全不同的網絡脆弱性分析程序;表示要分析的網絡的系統對象模型數據庫,其中該系統對象模型數據庫支持網絡脆弱性分析程序的信息數據需求;用于輸入網絡的系統對象模型數據庫到網絡脆弱性分析程序的應用編程接口;與該應用編程接口和每個相應的網絡脆弱性分析程序相關的過濾器,用于從系統對象模型數據庫過濾數據并只輸入所需的數據;用于存儲在分析網絡和公共系統模型數據后從各個網絡脆弱性分析程序獲得的結果,以及用于通過利用多個模糊專家規則應用面向目標的模糊邏輯決策規則到事實庫的模糊邏輯處理器,以合并來自網絡脆弱性分析程序的結果并確定網絡的安全姿態。
23.如權利要求22的數據處理系統,其特征在于,模糊邏輯規則基于證據推理。
24.如權利要求22的數據處理系統,其特征在于,用于輸出系統對象模型數據庫的應用編程接口包括圖形用戶接口。
25.如權利要求22的數據處理系統,其特征在于,建模網絡為映象的圖形用戶接口。
26.如權利要求22的數據處理系統,其特征在于,用于顯示網絡的安全姿態的圖形用戶接口。
27.如權利要求22的數據處理系統,其特征在于,數據庫還包括面向目標的類分層結構以定義共用公共數據和編程特性的網絡脆弱性分析程序的組件。
全文摘要
一種方法和數據處理系統評估網絡的安全脆弱性。系統對象模型數據庫得以創建并支持完全不同的網絡脆弱性分析程序的信息數據需求。從表示該網絡的系統對象模型數據庫只輸出所需的數據到這些程序,程序接著分析網絡以從每個程序產生數據結果。這些數據結果存儲于數據事實庫內的公共系統模型數據庫。面向目標的模糊邏輯決策規則用于確定網絡的脆弱性姿態。
文檔編號H04L29/06GK1425234SQ01804680
公開日2003年6月18日 申請日期2001年1月26日 優先權日2000年2月8日
發明者凱文·弗克斯, 約翰·法萊爾, 隆達·漢寧, 克里弗德·米勒 申請人:哈里公司