基于攻击损益的网络抗攻击性能评估研究
|
摘要
随着信息高速公路的搭建及其高速发展,网络已经成为全球信息通信基础设施中不可或缺的主要组成部分,无论是军事、生活还是文化上,都起着重要的作用。由于计算机网络的开放性、共享性、实时性等特性,网络信息系统的风险也明显的暴露了出来,系统的设计缺陷以及漏洞被黑客加以不同程度的利用,造成了对网络系统的非正当攻击,致使数据信息的保密性、完整性、可用性、权限、不可否认性、可控性等特性受到了来自不同网络攻击的巨大威胁。在当今全球信息化的网络环境当中,Internet本身所具有的共享性和开放性很大程度上为黑客们寻找系统漏洞发起网络攻击开启了不少“后门”,提高网络系统的网络攻击防御能力,即抗攻击性能应该得到重视。
对网络主机系统的抗攻击性能进行量化评估无疑成为风险对抗的一个重要手段和参考标准,鉴于此,本文在基于攻击损益的网络抗攻击性能评估指标体系的基础上提出了相应的计算模型,针对不同类型、不同层次的抗攻击性能指标做出定量和定性加定量组合分析的量化处理,使得网络系统的不同风险更直观更清晰的为用户、管理员所掌握,并且及时对这些风险进行修复和弥补,剔除网络风险因素,降低网络系统的损失程度,最重要的是对当前网络系统的安全性和防御能力有更加清楚的认识。最后,通过一个具体的网络攻击实例,采用所提出的计算模型,对整个攻击所体现出的网络主机系统的抗攻击性能做出一次完整的评价。
With the structures and the rapid development of the information superhighway, internet has become an important part of the global information communication infrastructure and played an important role in military, life and culture. Because of the openness, sharing and real-time characteristics, the risk of network information system exposed. The system design defects and vulnerabilities are exploited in different degrees by the hackers to make unjustified attacks to the network system, resulting in a huge threat to the confidence, integrity, availability, privilege, non-repudiation and controllability of the information data from various network attacks.
Given the above problems, a concept of "attack resistance" is suggested by this article, used to distinguish the basic network risk classification. With the excavation to the mainstream attacking database, the atomic risk classification came out, causing the result of index system for network risk assessment based on atomic risk, which can be divided into "host risk-property-assessment index-acquisition index". The whole index system has laid an important foundation for the risk assessment process to take a bottom-up evaluation process, calculating the upper index by the lower index and finally the quantitative value of the host risk.
对网络主机系统的抗攻击性能进行量化评估无疑成为风险对抗的一个重要手段和参考标准,鉴于此,本文在基于攻击损益的网络抗攻击性能评估指标体系的基础上提出了相应的计算模型,针对不同类型、不同层次的抗攻击性能指标做出定量和定性加定量组合分析的量化处理,使得网络系统的不同风险更直观更清晰的为用户、管理员所掌握,并且及时对这些风险进行修复和弥补,剔除网络风险因素,降低网络系统的损失程度,最重要的是对当前网络系统的安全性和防御能力有更加清楚的认识。最后,通过一个具体的网络攻击实例,采用所提出的计算模型,对整个攻击所体现出的网络主机系统的抗攻击性能做出一次完整的评价。
With the structures and the rapid development of the information superhighway, internet has become an important part of the global information communication infrastructure and played an important role in military, life and culture. Because of the openness, sharing and real-time characteristics, the risk of network information system exposed. The system design defects and vulnerabilities are exploited in different degrees by the hackers to make unjustified attacks to the network system, resulting in a huge threat to the confidence, integrity, availability, privilege, non-repudiation and controllability of the information data from various network attacks.
Given the above problems, a concept of "attack resistance" is suggested by this article, used to distinguish the basic network risk classification. With the excavation to the mainstream attacking database, the atomic risk classification came out, causing the result of index system for network risk assessment based on atomic risk, which can be divided into "host risk-property-assessment index-acquisition index". The whole index system has laid an important foundation for the risk assessment process to take a bottom-up evaluation process, calculating the upper index by the lower index and finally the quantitative value of the host risk.
引文
[1]谢希仁计算机网络(第五版) 电子工业出版社北京2005
[2]国家计算机网络应急技术协调处理中心CNCERT/CC 2012互联网安全威胁报告2012.09
[3]瑞星公司2008年中国大陆地区电脑病毒疫情&互联网安全报告http://www.rising.com.cn 2008.11
[4]Matt Bishop计算机安全学—安全的艺术与科学 电子工业出版社北京2005
[5]吴晓,平付钰 信息安全风险评估教程武汉大学出版社2008
[6]陈光信息系统信息安全风险管理方法研究 [学位论文],长沙,国防科技大学,2006
[7]SattyTL The Analytic hierarchy Process New York:McGraw-Hill 1980
[8]孙锐基于D-S证据理论的信息融合及在可靠性数据处理中的应用研究[学位论文],四川成都,电子科技大学,2011
[9]张跃等 模糊数学方法及其应用 煤炭工业出版社1996 63
[10]CNSS Instruction No.4009(国家安全系统委员会第4009号命令) NationalInformation Assurance Gloss 2003.5修订
[11]军用计算机安全术语(草案) 中华人民共和国国家军用标准GJB 2256
[12]戴宗砷,罗万伯等 信息系统安全 电子工业出版社北京2002 154
[13]抗攻击测试课题组 AK002-01抗攻击测试项目技术方案 郑州 2006
[14]侯定丕,王占军非线性评价的理论探索与应用 中国科学技术大学出版社合肥2001
[15]Vickie R, Westmark.A Definition for Information System Survivability[In] Proceeding of the 37th Hawaii Internal Conference on System Sciences(HICSS 04), Track9
[16]林雪松,熊华,叶进星,许椿生信息系统生存性分析研究综述第32卷第5期2006年3月
[17]张义荣,鲜明,赵志超等计算机攻击效果评价技术研究国防科技大学学报长沙2002 4(5):24-28
[18]唐慧林 基于模糊处理的系统风险评估方法研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2005
[19]彭维 面向对象攻击模型的研究及应用 [学位论文],河南郑州,中国人民 解放军信息工程大学,2005
[20]巩永旺 基于主机的攻击危害度评估技术研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2005
[21]许友 基于CC操作系统抗攻击测评指标体系研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2006.09
[22]TCSEC Department of Defense Trusted Computer System Evaluation Criteria USA 1985
[23]1GB17859-1999,计算机信息系统安全保护等级划分准则 中华人民共和国国家标准1999
[24]刘欣然,网络攻击分类技术综述 通信学报 2004 25(7):30-36.
[25]COHEN F. Information system attacks:a preliminary classification scheme Computers and Security,1997,16(1):29-46
[26]向尕,曹元大基于攻击分类的攻击树生成算法研究北京理工大学学报2003:23-26
[27]HOWARD J. An Analysis of Security Incidents on the Internet[D].USA:Carnegie Mellon
[28]泰寿康 综合评价原理与应用 电子工业出版社 北京 2003.06 185
[29]候一凡 抗攻击能力评价指标体系的构建与评价方法研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2007
[30]刘欣然 一种新型网络攻击分类体系 通信学报 2006.2 27(2):160-167
[31]王永杰 攻击效果评估关键技术及其应用研究 [学位论文],湖南长沙,解放军国防科技大学,2006.11
[32]胡影 网络攻击效果评估技术 [学位论文],北京,北京邮电大学,2009
[33]汪立东 操作系统安全评估与审计增强[学位论文],哈尔滨,哈尔滨工业大学,2002
[2]国家计算机网络应急技术协调处理中心CNCERT/CC 2012互联网安全威胁报告2012.09
[3]瑞星公司2008年中国大陆地区电脑病毒疫情&互联网安全报告http://www.rising.com.cn 2008.11
[4]Matt Bishop计算机安全学—安全的艺术与科学 电子工业出版社北京2005
[5]吴晓,平付钰 信息安全风险评估教程武汉大学出版社2008
[6]陈光信息系统信息安全风险管理方法研究 [学位论文],长沙,国防科技大学,2006
[7]SattyTL The Analytic hierarchy Process New York:McGraw-Hill 1980
[8]孙锐基于D-S证据理论的信息融合及在可靠性数据处理中的应用研究[学位论文],四川成都,电子科技大学,2011
[9]张跃等 模糊数学方法及其应用 煤炭工业出版社1996 63
[10]CNSS Instruction No.4009(国家安全系统委员会第4009号命令) NationalInformation Assurance Gloss 2003.5修订
[11]军用计算机安全术语(草案) 中华人民共和国国家军用标准GJB 2256
[12]戴宗砷,罗万伯等 信息系统安全 电子工业出版社北京2002 154
[13]抗攻击测试课题组 AK002-01抗攻击测试项目技术方案 郑州 2006
[14]侯定丕,王占军非线性评价的理论探索与应用 中国科学技术大学出版社合肥2001
[15]Vickie R, Westmark.A Definition for Information System Survivability[In] Proceeding of the 37th Hawaii Internal Conference on System Sciences(HICSS 04), Track9
[16]林雪松,熊华,叶进星,许椿生信息系统生存性分析研究综述第32卷第5期2006年3月
[17]张义荣,鲜明,赵志超等计算机攻击效果评价技术研究国防科技大学学报长沙2002 4(5):24-28
[18]唐慧林 基于模糊处理的系统风险评估方法研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2005
[19]彭维 面向对象攻击模型的研究及应用 [学位论文],河南郑州,中国人民 解放军信息工程大学,2005
[20]巩永旺 基于主机的攻击危害度评估技术研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2005
[21]许友 基于CC操作系统抗攻击测评指标体系研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2006.09
[22]TCSEC Department of Defense Trusted Computer System Evaluation Criteria USA 1985
[23]1GB17859-1999,计算机信息系统安全保护等级划分准则 中华人民共和国国家标准1999
[24]刘欣然,网络攻击分类技术综述 通信学报 2004 25(7):30-36.
[25]COHEN F. Information system attacks:a preliminary classification scheme Computers and Security,1997,16(1):29-46
[26]向尕,曹元大基于攻击分类的攻击树生成算法研究北京理工大学学报2003:23-26
[27]HOWARD J. An Analysis of Security Incidents on the Internet[D].USA:Carnegie Mellon
[28]泰寿康 综合评价原理与应用 电子工业出版社 北京 2003.06 185
[29]候一凡 抗攻击能力评价指标体系的构建与评价方法研究 [学位论文],河南郑州,中国人民解放军信息工程大学,2007
[30]刘欣然 一种新型网络攻击分类体系 通信学报 2006.2 27(2):160-167
[31]王永杰 攻击效果评估关键技术及其应用研究 [学位论文],湖南长沙,解放军国防科技大学,2006.11
[32]胡影 网络攻击效果评估技术 [学位论文],北京,北京邮电大学,2009
[33]汪立东 操作系统安全评估与审计增强[学位论文],哈尔滨,哈尔滨工业大学,2002