專利名稱:利用面向目標(biāo)的模糊邏輯決策規(guī)則評估網(wǎng)絡(luò)的安全姿態(tài)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)領(lǐng)域�,本發(fā)明尤其涉及評估網(wǎng)絡(luò)的安全脆弱性的領(lǐng)域。
背景技術(shù):
當(dāng)前正開發(fā)的信息系統(tǒng)和計算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)正在考慮什么構(gòu)成可接受風(fēng)險(或足夠的保護(hù))���。系統(tǒng)資產(chǎn),如計算機(jī)網(wǎng)絡(luò)的硬件�����、軟件和系統(tǒng)節(jié)點,必須得到與它們的價值相符合程度的保護(hù)�����。另外�����,這些資產(chǎn)必須得到保護(hù)直到它們失去其價值����。任何安全特征和系統(tǒng)體系結(jié)構(gòu)也應(yīng)在所處理數(shù)據(jù)的整個使用期限內(nèi)提供足夠的保護(hù)。為評估任何與網(wǎng)絡(luò)相關(guān)的風(fēng)險是否可接受��,安全工程師典型地收集所有相關(guān)信息��,接著分析與該網(wǎng)絡(luò)相關(guān)的風(fēng)險���。
風(fēng)險分析是一項復(fù)雜而耗時的工程�,其對于確定網(wǎng)絡(luò)內(nèi)的暴露以及它們的潛在危害是必要的�����。舉例來說,當(dāng)分析計算機(jī)網(wǎng)絡(luò)中的安全風(fēng)險時���,安全工程典型地遵循下面的步驟1)確定整個計算系統(tǒng)的資產(chǎn)��。
2)確定資產(chǎn)的脆弱性�����。這個步驟典型地需要想象力以便預(yù)測對這些資產(chǎn)可能發(fā)生什么樣的危害及其來源�。計算機(jī)安全的三個基本目標(biāo)是確保秘密�����、完整性和可用性�����。脆弱性是可能導(dǎo)致失去這三個特性中的一個的任何情況����。
3)預(yù)測事件(利用)的可能性,即��,確定每個暴露將被利用的頻度����。事件的可能性與現(xiàn)有控制的嚴(yán)格程度,以及某人或某物可逃避現(xiàn)有控制的可能性有關(guān)���。
4)通過確定每個事件的預(yù)期成本計算每年的任何無覆蓋成本(預(yù)期年度損失)����。
5)調(diào)查可應(yīng)用的控制和它們的成本�。
6)預(yù)測控制的年度節(jié)省。
該分析的最后一步是成本-效益分析�,即,是實現(xiàn)控制花費較少還是接受預(yù)期的損失成本�。風(fēng)險分析導(dǎo)致安全規(guī)劃,這個規(guī)劃確定提高安全性的特定行動的責(zé)任�����。
目前�,技術(shù)的快速發(fā)展和具有更強(qiáng)功能的計算機(jī)的大量出現(xiàn)使得能托管商業(yè)現(xiàn)有的(COST)硬件和軟件組件的使用,作為成本有效的解決方案�。這種強(qiáng)烈依賴于COTS隱含商業(yè)級的安全機(jī)制足以用于大部分應(yīng)用。因此����,安全體系結(jié)構(gòu)必須構(gòu)筑為用相對弱的COTS組件建立可操作��、關(guān)鍵任務(wù)計算機(jī)系統(tǒng)�����。具有更高安全保證的組件可置于公共或信息邊界�����,形成基于飛地(enclave)的安全體系結(jié)構(gòu)����,實現(xiàn)對信息安全保證的深度防護(hù)途徑�。
有一些設(shè)計工具,即��,軟件程序�,系統(tǒng)設(shè)計師可用它來輔助最大化可用的保護(hù)機(jī)制,同時維持在開發(fā)預(yù)算之內(nèi)����。當(dāng)前一代的風(fēng)險分析工具通常為單廠商解決方案,其只處理特定一個或幾個方面的風(fēng)險�。這些工具趨向歸入下面三種類型的一種1)從備有大量文件的脆弱性數(shù)據(jù)庫工作而且可能修復(fù)已知的脆弱性的工具。這種類型的工具對數(shù)據(jù)庫更新依賴于廠商����,或通過新產(chǎn)品版本或通過訂購服務(wù)實現(xiàn)更新����。這一類的例子包括ISS的InternetScanner����,Network Associates公司的CyberCop和Harris的STAT�。
2)使用各種參數(shù)計算風(fēng)險指標(biāo)的單片電路工具。這些工具難于維護(hù)而且很難與當(dāng)前迅速發(fā)展的威脅和技術(shù)環(huán)境保持同步���。這種工具類型的例子有Los Alamos脆弱性評估(LAVA)工具�。
3)檢查系統(tǒng)特定方面�,如操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng),但忽略其它系統(tǒng)組件的工具���。例如SATAN��,分析操作系統(tǒng)的脆弱性��,但忽略諸如路由器等的基礎(chǔ)設(shè)施組件�。
使用來自各個廠商的多種工具用于單個計算機(jī)網(wǎng)絡(luò)分析是一種勞動密集性工作�。典型地�,安全工程師將必須多次以多種格式輸入系統(tǒng)(網(wǎng)絡(luò))的描述或表示�����。安全工程師接著必須手工分析����、整理和合并這多個工具的輸出結(jié)果為單個網(wǎng)絡(luò)安全姿態(tài)報告。之后����,安全工程師可完成風(fēng)險分析(計算預(yù)期的年度損耗、調(diào)查控制等)��,接著重復(fù)該過程以分析安全風(fēng)險���、系統(tǒng)性能��、任務(wù)功能以及研發(fā)預(yù)算中的選擇對象���。
同樣,這些工具中沒有一種對具有“下鉆(drill down)”或分層法的系統(tǒng)使用總體“快照(snapshot)”法�����,以便于如何在系統(tǒng)的不同層次(網(wǎng)絡(luò)、平臺��、數(shù)據(jù)庫等)上處理風(fēng)險�����。在分析安全風(fēng)險��、系統(tǒng)性能和任務(wù)功能中的選擇對象時����,這些工具對系統(tǒng)設(shè)計師提供不了多少幫助��。相反�,“風(fēng)險解決方案”得以提供,它能解決設(shè)計給定工具用于計算的風(fēng)險的特定方面��。為開發(fā)綜合性風(fēng)險評估��,安全工程師將不得不精通各種工具的使用����,以及通過手工方式使結(jié)果產(chǎn)生的輸出相互關(guān)聯(lián)。
成功的風(fēng)險分析的一方面是完全和精確的數(shù)據(jù)積累以生成分析工具所使用的系統(tǒng)模型�����。許多當(dāng)前的風(fēng)險分析工具依賴于用戶、系統(tǒng)操作人員和分析人員填寫的調(diào)查表�����,以獲得數(shù)據(jù)來開發(fā)在分析中所使用的系統(tǒng)模型����。或者����,工具可主動掃描計算機(jī)網(wǎng)絡(luò)以測試對于系統(tǒng)部件的各種脆弱性。
然而���,這些方法都有其缺陷����。按原文或基于調(diào)查的知識征求技術(shù)為勞動密集型�����,而且可能對于分析人員來說很乏味。許多現(xiàn)有的工具重復(fù)利用相同信息來分析系統(tǒng)安全的不同方面����。利用集中式建模數(shù)據(jù)的知識庫更為方便,這可能提供在現(xiàn)有工具間共享輸入的基礎(chǔ)�����。這種知識庫可用于生成由風(fēng)險分析工具使用的數(shù)據(jù)集���,允許多種工具在同一系統(tǒng)上運行而不用獨立的輸入動作��,由此降低了操作人員出錯的可能性�。使用多種風(fēng)險分析推理引擎����,或橋(backbend)����,使得能分析系統(tǒng)的各個方面而無需開發(fā)一種工具來執(zhí)行所有類型的分析的成本。綜合信息和通過應(yīng)用多種工具可得到的可靠的評估將產(chǎn)生更為健壯和精確的系統(tǒng)安全姿態(tài)畫面����。這些結(jié)果能促進(jìn)更可靠的系統(tǒng)設(shè)計決策,提供用于可選評估和比較的框架。
發(fā)明內(nèi)容
因此��,本發(fā)明的目的是提供一種不必多次分析網(wǎng)絡(luò)就能評估網(wǎng)絡(luò)的安全脆弱性的數(shù)據(jù)處理系統(tǒng)和方法����。
本發(fā)明包括一種用于評估網(wǎng)絡(luò)的安全姿態(tài)的方法,包括步驟創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫�����,其中該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求��;從表示該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序���;分析該網(wǎng)絡(luò)的每個網(wǎng)絡(luò)脆弱性分析程序以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果����;存儲來自各個網(wǎng)絡(luò)脆弱性分析程序和數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫的數(shù)據(jù)結(jié)果����,以及應(yīng)用面向目標(biāo)的模糊邏輯決策規(guī)則到數(shù)據(jù)事實庫以確定網(wǎng)絡(luò)的安全姿態(tài)。
一種方法和數(shù)據(jù)處理系統(tǒng)現(xiàn)在就能評估網(wǎng)絡(luò)的安全脆弱性���。該方法包括創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫的步驟��。該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求�。在該方法中,從表示該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需數(shù)據(jù)到每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序��。使用該程序分析網(wǎng)絡(luò)以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果���。存儲來自各個網(wǎng)絡(luò)脆弱性分析程序和數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫的數(shù)據(jù)結(jié)果����。接著應(yīng)用面向目標(biāo)的模糊邏輯決策規(guī)則到數(shù)據(jù)事實庫以確定網(wǎng)絡(luò)的脆弱性姿態(tài)���。
在本發(fā)明另一方面����,該方法包括步驟經(jīng)由與各自的網(wǎng)絡(luò)脆弱性程序相關(guān)的過濾器從系統(tǒng)對象模型數(shù)據(jù)庫僅輸入所需的數(shù)據(jù)�����,以及經(jīng)由綜合應(yīng)用編程接口輸入���。在本發(fā)明的再一方面,該網(wǎng)絡(luò)可在圖形用戶接口上建模為映象���?���?山㈩惙謱咏Y(jié)構(gòu)以定義共用公共數(shù)據(jù)和編程特性的網(wǎng)絡(luò)脆弱性分析程序的組件。也可獲得與網(wǎng)絡(luò)系統(tǒng)細(xì)節(jié)��、網(wǎng)絡(luò)拓?fù)?����、?jié)點級脆弱性和網(wǎng)絡(luò)級脆弱性有關(guān)的數(shù)據(jù)結(jié)果���。
更方便地��,一種計算機(jī)程序駐留于媒體上且能被程序讀出�,它包括用以促使計算機(jī)創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫的指令����,該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求。一種計算機(jī)程序促使計算機(jī)從該系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序�����,并利用每個網(wǎng)絡(luò)脆弱性分析程序分析該網(wǎng)絡(luò)以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果���。結(jié)果存儲于數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫���。該計算機(jī)程序還創(chuàng)建指令以促使計算機(jī)應(yīng)用面向目標(biāo)的模糊邏輯決策規(guī)則到數(shù)據(jù)事實庫以確定網(wǎng)絡(luò)的脆弱性姿態(tài)���。
一種數(shù)據(jù)處理系統(tǒng)評估網(wǎng)絡(luò)的安全脆弱性,包括用于分析網(wǎng)絡(luò)的多個完全不同的網(wǎng)絡(luò)脆弱性分析程序����。系統(tǒng)對象模型數(shù)據(jù)庫表示將被分析的網(wǎng)絡(luò),而且支持網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求��。應(yīng)用編程接口輸入該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫到網(wǎng)絡(luò)脆弱性分析程序��。過濾器與該應(yīng)用編程接口和每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序相關(guān)�,用于從系統(tǒng)對象模型數(shù)據(jù)庫過濾數(shù)據(jù)并只輸入所需的數(shù)據(jù)。
數(shù)據(jù)事實庫存儲在分析網(wǎng)絡(luò)和公共系統(tǒng)模型數(shù)據(jù)庫之后從各個網(wǎng)絡(luò)脆弱性分析程序獲得的結(jié)果�,而模糊邏輯處理器通過利用多個模糊專家規(guī)則應(yīng)用面向目標(biāo)的模糊邏輯決策規(guī)則到事實數(shù)據(jù)庫,用于合并來自網(wǎng)絡(luò)脆弱性分析程序的結(jié)果以及確定網(wǎng)絡(luò)的脆弱性姿態(tài)���。
下面通過舉例參考附圖詳細(xì)描述本發(fā)明�,其中圖1是網(wǎng)絡(luò)原理框圖�����,示出了在網(wǎng)絡(luò)中頻繁發(fā)現(xiàn)問題的位置��;圖2是網(wǎng)絡(luò)的另一原理框圖��,示出了由本發(fā)明的系統(tǒng)和方法定位的識別脆弱性�����;圖3是本發(fā)明的系統(tǒng)和方法的總體結(jié)構(gòu)的另一框圖�����,示意了與網(wǎng)絡(luò)模型數(shù)據(jù)庫關(guān)聯(lián)使用的過濾器����;圖4是示意了模糊邏輯分析的本發(fā)明結(jié)構(gòu)的另一原理框圖;圖5是示意了本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法的高級體系結(jié)構(gòu)組件的另一原理框圖��;圖6是本發(fā)明的數(shù)據(jù)處理系統(tǒng)的另一高級原理框圖���;圖7是建模網(wǎng)絡(luò)為映象的圖形用戶接口的例子��;圖8A和8B是在系統(tǒng)對象模型數(shù)據(jù)庫的建立中提供數(shù)據(jù)分解的開放窗口����;圖9是示意了網(wǎng)絡(luò)模型的圖形用戶接口的例子;圖10是示意了用于網(wǎng)絡(luò)安全姿態(tài)的各種報告選項的圖形用戶接口��;圖11是在本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法中使用的面向?qū)ο蟮哪:壿嬏幚淼幕咎幚斫M件的框圖����;圖12是在本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法中使用的數(shù)據(jù)融合的原理框圖;圖13是在本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法中使用的基于目標(biāo)的例子的另一原理框圖����;圖14是在本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法的模糊邏輯處理中使用的基本處理步驟和組件的另一框圖;圖15是在用于證據(jù)積累和模糊證據(jù)推理規(guī)則的故障樹分析(DPLf)中使用的基本組件的框圖���;圖16是示意對象/類分層結(jié)構(gòu)的框圖���;圖17是示意本發(fā)明的系統(tǒng)類圖的框圖。
具體實施例方式
圖1示意了常規(guī)網(wǎng)絡(luò)100的例子��,它包括與外部路由器104相連的內(nèi)部服務(wù)器102���、通信網(wǎng)絡(luò)105以及防火墻106����。內(nèi)部路由器108與防火墻106、分支機(jī)構(gòu)107相連�����,還與內(nèi)部LAN網(wǎng)絡(luò)部件110和遠(yuǎn)程訪問服務(wù)器112及遠(yuǎn)程用戶114相連���。
利用圖1的例子,在網(wǎng)絡(luò)上經(jīng)常出現(xiàn)的問題包括主機(jī)(如內(nèi)部服務(wù)器102)運行了不必要的業(yè)務(wù)����,例如拒絕服務(wù)和匿名FTP或配置不當(dāng)?shù)膚eb服務(wù)器,web服務(wù)器可以為內(nèi)部服務(wù)器�,例如CGI腳本、匿名FTP和SMTP�。內(nèi)部LAN 110可包括沒有打補(bǔ)丁的、過時的���、脆弱的或缺省配置的軟件和固件以及易攻破的口令�����。LAN也可包括不當(dāng)?shù)妮敵鑫募蚕矸?wù)�,如NetWare文件服務(wù)和NetBIOS����。內(nèi)部LAN 110還可包括配置不當(dāng)或未打補(bǔ)丁的Windows NT服務(wù)器����,以及由缺乏綜合策略��、程序���、標(biāo)準(zhǔn)和原則導(dǎo)致的問題��。遠(yuǎn)程訪問服務(wù)器112可以有不提供安全保證的遠(yuǎn)程訪問點�����,而外部路由器104通過下面的服務(wù)可能泄露信息���,如SNMP、SMIP����、finger、roosers����、SYSTAT、NETSTAT、TELNET banners����、Windows NT TCP 139 SMB(服務(wù)消息塊)以及到非域名服務(wù)器主機(jī)的區(qū)域轉(zhuǎn)換。它也可有不完全登錄�����、監(jiān)視和檢測能力����。分支機(jī)構(gòu)107可能會有不適當(dāng)?shù)男湃侮P(guān)系���,如RLOGIN����、RSH或REXEC�����。防火墻106可能配置不當(dāng)或有一個配置不當(dāng)?shù)穆酚善髟L問控制列表�����。
盡管這些網(wǎng)絡(luò)問題只是在網(wǎng)絡(luò)100找到的常見例子,本領(lǐng)域的技術(shù)人員知道還可能出現(xiàn)其它問題�。
本發(fā)明的系統(tǒng)和方法使得能確定網(wǎng)絡(luò)系統(tǒng)的脆弱性。數(shù)據(jù)處理系統(tǒng)和方法的軟件可位于圖2所示的用戶終端120�,圖2示意了在內(nèi)部LAN 110連接的節(jié)點112所確定的脆弱性。為描述起見����,本發(fā)明的數(shù)據(jù)處理系統(tǒng)和方法可稱為網(wǎng)絡(luò)脆弱性分析工具(NVT),即�����,用戶用以確定網(wǎng)絡(luò)脆弱性和風(fēng)險的工具���。
構(gòu)成NVT的數(shù)據(jù)處理系統(tǒng)可裝載于運行Windows NT的PentiumPC平臺上�。這種類型的平臺可提供低成本的解決方案而且支持各種各樣的評估工具���,在通篇的描述中也稱之為網(wǎng)絡(luò)脆弱性評估或風(fēng)險分析程序�����。這些網(wǎng)絡(luò)脆弱性分析程序典型地為安全工程師所知曉的標(biāo)準(zhǔn)COTS/GOTS程序���,而且包括HP Open View���,其允許網(wǎng)絡(luò)自動發(fā)現(xiàn)或手工網(wǎng)絡(luò)建模;Mitre公司生產(chǎn)的GOTS網(wǎng)絡(luò)系統(tǒng)分析工具ANSSR(網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析)允許被動數(shù)據(jù)收集和損失的單個出現(xiàn)���。還可使用作為RAM(風(fēng)險評估模型)為大家熟知的NSA的風(fēng)險評估方法���,并可用DPL-f決策支持編程語言實現(xiàn)。RAM還允許用于事件樹邏輯的被動數(shù)據(jù)收集�����,優(yōu)化任務(wù)列表以及允許具有多種風(fēng)險/服務(wù)的數(shù)學(xué)模型����。它在整個時間過程是基于事件的�����。
DPL(決策編程語言)是促進(jìn)復(fù)雜決策建模的決策支持軟件包�����。它允許用戶結(jié)合不確定性和靈活性到?jīng)Q策過程中��。DPL為建立模型提供了圖形接口并對該模型執(zhí)行分析。DPL-f包含嵌入到DPL的功能并為故障樹建立提供圖形接口���。這種特征使得建模人員能創(chuàng)建故障樹并將它們結(jié)合到DPL模型中�����。DPL-f還包含唯一分析工具��。這些工具包括明確計算故障樹中任何事件的概率以及執(zhí)行故障樹特定類型的靈敏度分析的能力�。DPL-f提供了用于結(jié)合時間序列到模型的接口�。這使得建模人員能解釋資產(chǎn)貶值、資產(chǎn)增值或其它時間-方位量而不用改變模型的結(jié)構(gòu)�。DPL-f為RAM提供附加的能力,用于快速故障樹建立����、嵌入式故障樹庫�����、專家意見生成系統(tǒng)�����、割集(cut set)的列舉和排序以及隨時間過去的風(fēng)險的圖形描繪。
由因特網(wǎng)安全系統(tǒng)公司(ISS)開發(fā)的ISS因特網(wǎng)掃描器允許主動數(shù)據(jù)收集并掃描網(wǎng)絡(luò)的主機(jī)��、服務(wù)器�����、防火墻和路由器�����,以及評估符合網(wǎng)絡(luò)��、操作系統(tǒng)以及軟件應(yīng)用的安全和策略���。它允許及時快照和計算機(jī)網(wǎng)絡(luò)一致性報告。這些程序為本發(fā)明的NVT允許綜合的完全不同的網(wǎng)絡(luò)脆弱性分析程序���。
NVT基于知識征求框架��,其結(jié)合了網(wǎng)絡(luò)拓?fù)涞膱D形描述�。這種拓?fù)溆糜诓东@網(wǎng)絡(luò)屬性并接著用于安全脆弱性分析���。圖形用戶接口還用于提高網(wǎng)絡(luò)模型的準(zhǔn)確性����。
根據(jù)本發(fā)明,NVT的系統(tǒng)和方法自動映射現(xiàn)有網(wǎng)絡(luò)而且能在如圖7所示的圖形用戶接口上顯示現(xiàn)有網(wǎng)絡(luò)為一個模型���。例如���,HP OpenView可圖形化描繪網(wǎng)絡(luò)拓?fù)洹R坏┸浖呀?jīng)給出網(wǎng)絡(luò)的缺省路由器的IP地址��,本發(fā)明的NVT可使用Open View并搜索計算機(jī)和與該網(wǎng)絡(luò)相連的其它設(shè)備�����。NVT執(zhí)行主動搜索����,Ping網(wǎng)絡(luò)上可能的IP地址,并添加它接收的任何響應(yīng)信息到其網(wǎng)絡(luò)映象��。NVT還提供手控方法以繪制建議的具有所示圖形用戶接口的網(wǎng)絡(luò)以支持拖放(drag anddrop)����。可定義系統(tǒng)體系結(jié)構(gòu)�����,包括用于可選設(shè)計或節(jié)點編輯的安全關(guān)鍵信息以提供所需的附加細(xì)節(jié)以準(zhǔn)備完整的邏輯網(wǎng)絡(luò)規(guī)劃。用戶還可通過使用子網(wǎng)圖標(biāo)在圖上表示整個網(wǎng)絡(luò)�。
如圖16和17的例子所示,當(dāng)完成網(wǎng)絡(luò)系統(tǒng)的描述時�,NVT以對象/分層結(jié)構(gòu)表示和存儲該描述,這將在下面解釋����。單個拓?fù)涞南到y(tǒng)對象模型支持完全不同的網(wǎng)絡(luò)脆弱性分析程序(工具)的信息數(shù)據(jù)需求。這些結(jié)果的模糊邏輯處理允許修正來自程序的結(jié)果為有結(jié)合力的脆弱性/風(fēng)險評估以獲得網(wǎng)絡(luò)的脆弱性姿態(tài)����,如圖10的圖形用戶接口所示。系統(tǒng)的單個表示簡化了使用多種工具并取消了冗余數(shù)據(jù)輸入��。它還提供了用于定位對于給定脆弱性評估工具和未來知識協(xié)商能力的不完全數(shù)據(jù)的問題�。
圖3在130示意了本發(fā)明的總體網(wǎng)絡(luò)虛擬化工具(NVT)、數(shù)據(jù)處理系統(tǒng)的例子��,在此�����,三個網(wǎng)絡(luò)脆弱性分析程序(工具)示意為ANSSR 132���,ISS因特網(wǎng)掃描器134和RAM 136�。本發(fā)明的系統(tǒng)和方法創(chuàng)建系統(tǒng)對象模型數(shù)據(jù)庫(網(wǎng)絡(luò)模型數(shù)據(jù)庫)138��,它表示網(wǎng)絡(luò)而且支持網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求�����。系統(tǒng)對象模型數(shù)據(jù)庫138表示所評估的系統(tǒng)或設(shè)計的單個表示�,而且定位網(wǎng)絡(luò)的單個內(nèi)部表示的需要以提供數(shù)據(jù)給網(wǎng)絡(luò)脆弱性分析程序。
該模型138使用面向?qū)ο?OO)的方法以類分層結(jié)構(gòu)提供一個擴(kuò)展組件的集合��,該類分層結(jié)構(gòu)可組合用以表示網(wǎng)絡(luò)����。類分層結(jié)構(gòu)提供了定義具有共用公共特性的組件的方法,同時保持區(qū)別于其它組件的特性�。除了隱含的分層結(jié)構(gòu)關(guān)系,面向?qū)ο蟮募夹g(shù)提供了封裝機(jī)制���,其中對象可包含對任何對象(包括其本身)的引用���。這就提供了用于表示任何物理或邏輯實體的靈活機(jī)制。同時,面向?qū)ο蟮谋硎咀陨砭哂袦?zhǔn)備好修改和擴(kuò)展以及理想地用于每天都會出現(xiàn)變化和新技術(shù)的信息安全保證領(lǐng)域�����。
如圖3所示�,過濾器140與每個網(wǎng)絡(luò)脆弱性分析程序132、134�����、136關(guān)聯(lián)而且只允許相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序所需的數(shù)據(jù)輸出到該工具(程序)�����。過濾器為C++基類���,能提供一組虛擬方法以允許數(shù)據(jù)在NVT系統(tǒng)和程序之間移動����。過濾器還為NVT提供一種方法以控制工具的執(zhí)行和完成工具所需數(shù)據(jù)��。NVT將每個工具視為過濾器����,調(diào)用過濾器內(nèi)的適當(dāng)方法以執(zhí)行期望的任務(wù)��,包括初始化、運行�、輸入數(shù)據(jù)和輸出數(shù)據(jù)。每個工具可有具體的過濾器子類��,而且提供專用于該工具的方法以定義每個方法��,同時能為NVT提供通用的和定義明確的編程接口(API)��。這使得所有工具在NVT內(nèi)的能得到相同處理��,使得不用改變?nèi)魏维F(xiàn)有NVT代碼就能添加和卸載工具�����。
利用過濾器技術(shù)在DPL-f和NVT之間建立通信是簡單明了的����。DPL-f過濾器的任務(wù)是建立和繁殖故障樹的細(xì)節(jié)問題。作為分析工具���,故障樹能表示網(wǎng)絡(luò)中的節(jié)點為已出現(xiàn)的���,而且為諸如拒絕服務(wù)、數(shù)據(jù)丟失和數(shù)據(jù)泄露等事件提供概率值。實際上����,DPL-f可用作最終結(jié)果工具。
接著利用每個網(wǎng)絡(luò)脆弱性分析程序分析網(wǎng)絡(luò)以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果����。相互關(guān)聯(lián)這些數(shù)據(jù)結(jié)果以確定網(wǎng)絡(luò)的安全姿態(tài)。網(wǎng)絡(luò)驗證可通過下面將討論的本發(fā)明的模糊邏輯處理發(fā)生���,而且系統(tǒng)GUI可有為用戶顯示的輸入��。
網(wǎng)絡(luò)的概觀通過自動網(wǎng)絡(luò)發(fā)現(xiàn)或手工輸入144(如通過HP OpenView)創(chuàng)建為模型142�����,而且適當(dāng)?shù)倪^濾器146允許系統(tǒng)GUI 148經(jīng)由適當(dāng)?shù)臄?shù)據(jù)輸入150顯示圖7所示的網(wǎng)絡(luò)模型給用戶顯示152����。利用下面將詳細(xì)描述的插件程序或模糊規(guī)則集�,還可能具有風(fēng)險GUI154以虛擬地評估風(fēng)險脆弱性、風(fēng)險/脆弱性報告的日志156�、作為部分GUI 148一部分的風(fēng)險評估158,所有這些都通過網(wǎng)絡(luò)驗證160����。任何不完全的數(shù)據(jù)分解161也可得以處理�����。
圖4示意了類似于圖3的高級框圖,示出了可建立的系統(tǒng)對象模型數(shù)據(jù)庫138���,并結(jié)合綜合應(yīng)用編程接口126一同工作以允許輸入數(shù)據(jù)到各種工具164���,這些工具示意為能產(chǎn)生總體系統(tǒng)結(jié)果數(shù)據(jù)庫的建模工具、發(fā)現(xiàn)工具和信息分析工具�����。應(yīng)用編程接口168和圖形用戶接口170與模型數(shù)據(jù)庫138一道工作�。評價/評估管理器172(管理員)協(xié)同應(yīng)用編程接口(API)174和圖形用戶接口(GUI)176工作以使數(shù)據(jù)結(jié)果與模糊邏輯處理相互關(guān)聯(lián),如虛線178所示���,包括專家關(guān)聯(lián)180及模糊推理和證據(jù)推理182以便為關(guān)聯(lián)結(jié)果產(chǎn)生脆弱性結(jié)果184和圖形用戶接口(GUI)186����。盡管圖4表示的高級模型示出了不同組件的例子��,但只有一種類型的高級組件的一個例子可用于本發(fā)明的NVT系統(tǒng)和方法。
圖5和6示意了其它高級模型的例子�����,其中示出了數(shù)據(jù)源200(圖5)的基本組件和處理步驟���,以及系統(tǒng)畫面202����、per工具分析204�、多工具分析206、工具-專家分析208以及報告媒體210�。工具-專家分析208可包括DPL-f208a,作為數(shù)據(jù)事實庫中的模糊邏輯處理的一部分���,并使用CERT注解208b和專家系統(tǒng)208c用于專家關(guān)聯(lián)�����?�?缮傻膱蟾姘ㄔ趫D形用戶接口上輸出的圖標(biāo)��、文本���、EXCEL電子表格�、Access和配置��,這是本領(lǐng)域的技術(shù)人員所了解的�����。圖6也示意了類似于圖5的另一高級模型����,其中用于形成完整系統(tǒng)對象模型和模糊邏輯處理的工具可包括單獨的工具處理和多工具關(guān)聯(lián)��。
圖7-10詳細(xì)示意了圖形用戶接口220�����,它可包含于計算機(jī)屏幕而且用于與NVT交互并確定網(wǎng)絡(luò)的脆弱性姿態(tài)�����。如圖所示�����,圖形用戶接口220為標(biāo)準(zhǔn)類型的WindowTM接口。系統(tǒng)設(shè)計窗口222允許顯示構(gòu)成網(wǎng)絡(luò)圖的網(wǎng)絡(luò)圖標(biāo)224��,網(wǎng)絡(luò)圖表示網(wǎng)絡(luò)中包含的不同網(wǎng)絡(luò)單元和節(jié)點的關(guān)系�。相應(yīng)于網(wǎng)絡(luò)單元是如何與網(wǎng)絡(luò)互連的,對應(yīng)的網(wǎng)絡(luò)圖標(biāo)224以一種方案被聯(lián)接在一起�����。如圖7所示�,網(wǎng)絡(luò)單元可以經(jīng)由連接線226連結(jié)在一起,連接線226示出了實際的網(wǎng)絡(luò)單元和節(jié)點間存在的互連���。系統(tǒng)設(shè)計窗口222在左側(cè)示出了具有兩個節(jié)點的網(wǎng)絡(luò)間視圖230����,而在窗口的右側(cè)示出了網(wǎng)絡(luò)視圖232以示意該網(wǎng)絡(luò)模型的映象����。管理員窗口234被打開并顯示網(wǎng)絡(luò)單元的屬性。
選擇數(shù)據(jù)敏感度的彈出窗口(方框)240是用戶可選擇的����,通過菜單選項選擇的網(wǎng)絡(luò)單元(圖8A),而且具有用于選擇網(wǎng)絡(luò)單元靈敏度的用戶選擇的數(shù)據(jù)項����。在任何節(jié)點上(在圖8A所示的例子中的節(jié)點1)的數(shù)據(jù)靈敏度可以選擇為公開(unclassified)�����、敏感(sensitive)����、機(jī)密(confidential)�����、極機(jī)密(secret)���、受限機(jī)密(restricted)、絕密(top secret)�,并有“OK”、“RANDOM”����、“DEFAULT”三個按鈕。
選擇節(jié)點配置編輯彈出窗口(方框)250在圖8B示意����,它具有用戶可選擇的脆弱性簡表(profile)用于選擇網(wǎng)絡(luò)單元或節(jié)點的脆弱性簡表�����。圖9還示出了帶有中心集線器和互連節(jié)點的網(wǎng)絡(luò)模型圖��。有可能用戶可編輯管理員窗口234入口���,這也使得能通過選擇適當(dāng)?shù)陌粹o發(fā)生網(wǎng)絡(luò)發(fā)現(xiàn)。自然地����,如果需要可以選擇和移動網(wǎng)絡(luò)圖標(biāo)以編輯和設(shè)計選擇對象。
通過系統(tǒng)建立了安全姿態(tài)后�,表示高風(fēng)險網(wǎng)絡(luò)單元(集線器252)的圖標(biāo)可改變顏色,如紅色���。其它選擇的圖標(biāo)可變?yōu)辄S色以指示風(fēng)險較低的節(jié)點�����,如圖7和9中所示的HP4節(jié)點254�����。有可能該網(wǎng)絡(luò)的節(jié)點或部分周圍的陰影區(qū)可以被涂以紅色或黃色指示更高的風(fēng)險脆弱性�。也有可能連接線變?yōu)榧t色或黃色以指示單元之間的不良連接。
圖10示意了脆弱性姿態(tài)窗口270��,用于顯示指示脆弱的網(wǎng)絡(luò)單元和圖標(biāo)的用戶可讀取圖標(biāo)�����。整個系統(tǒng)模型示出為部分開放系統(tǒng)設(shè)計窗口����。然而,示意了電子表格272和具有風(fēng)險評估滑動條的NVT風(fēng)險評估圖表274�。還示意了風(fēng)險分析窗口276,其示出了頭5個風(fēng)險分析單元�。
圖16詳細(xì)示意了一個類分層結(jié)構(gòu),具有作為公用屬性和私有屬性的類名280�、資源286的聚集282和關(guān)聯(lián)284以及具有歸納結(jié)果290的目標(biāo)288���。圖17示意了各種以框圖區(qū)分的組件的系統(tǒng)類圖的例子�。自然����,圖17只是本領(lǐng)域的技術(shù)人員知道的一個系統(tǒng)類圖,它是可用于該本發(fā)明的系統(tǒng)和方法的一個例子。
現(xiàn)在詳細(xì)參考圖11-15����,這些附圖示意了面向目標(biāo)的模糊邏輯決策的執(zhí)行。如圖11所示��,系統(tǒng)模型數(shù)據(jù)庫138和來自各個的網(wǎng)絡(luò)脆弱性分析程序的結(jié)果300利用應(yīng)用編程接口和專家關(guān)聯(lián)結(jié)合在一起���,以通過數(shù)據(jù)模糊化形成數(shù)據(jù)事實庫302�。面向目標(biāo)的模糊邏輯決策規(guī)則通過模糊推理網(wǎng)絡(luò)規(guī)則304和模糊證據(jù)推理規(guī)則306運算�,以基于預(yù)定的目標(biāo)308確定網(wǎng)絡(luò)的安全姿態(tài)。
模糊邏輯處理使用數(shù)據(jù)融合�����、證據(jù)推理和推理網(wǎng)絡(luò)技術(shù)����。本領(lǐng)域的技術(shù)人員知道,證據(jù)推理為一種收集支持和駁斥給定假設(shè)的事實的技術(shù)����。該結(jié)果就是具有某種置信程度的假設(shè)的肯定或否定。本發(fā)明的模糊邏輯處理采用證據(jù)推理以從系統(tǒng)和工具為每個準(zhǔn)則的搜索中積累證據(jù)�,從而合并系統(tǒng)評估數(shù)據(jù)為單一參考點,合并系統(tǒng)的一致性為特定準(zhǔn)則。通過提供一組融合規(guī)則集��,系統(tǒng)就能抑制融合問題并簡化搜索庫����。證據(jù)推理之前已用于執(zhí)行級別1多探測器數(shù)據(jù)融合,而且是模糊專家系統(tǒng)中的公共全局推理技術(shù)�����,如本領(lǐng)域技術(shù)人員所知道的由NASA開發(fā)的模糊CLIPS的系統(tǒng)類型�����。其結(jié)果為一組模糊證據(jù)規(guī)則���,其目的是為給定的一組需求積累證據(jù)��。這就解決了專家關(guān)聯(lián)的潛在的不一致��、摸棱兩可和冗余數(shù)據(jù),即使數(shù)據(jù)不完善也可利用可用數(shù)據(jù)得出結(jié)論�����。
結(jié)果的精確性視可用數(shù)據(jù)的數(shù)量和質(zhì)量而定,而且在應(yīng)用模糊邏輯處理之前必須對可用數(shù)據(jù)執(zhí)行附加的改進(jìn)�����,這也保持了數(shù)據(jù)的概率論的性質(zhì)���。這種改進(jìn)使用推理網(wǎng)絡(luò)并提供利用直觀推斷法提供有關(guān)概率的推理方法����,從而無須大量的先驗知識����。目標(biāo)和潛在的安全規(guī)格之間的關(guān)系促使相互間交叉結(jié)合。本領(lǐng)域的技術(shù)人員知道��,模糊CLIPS利用模糊事實��,它可假定0和1之間的任意值���。結(jié)果可視為由0和1為界的連續(xù)函數(shù)的二維曲線�。
數(shù)據(jù)融合利用系統(tǒng)對象數(shù)據(jù)庫����、數(shù)據(jù)結(jié)果數(shù)據(jù)事實庫���。智能數(shù)據(jù)融合是基于多級、多學(xué)科的信息處理�,以從多個智能源(可能是多個智能學(xué)科)產(chǎn)生信息的綜合,以生成有關(guān)實體(其狀態(tài)����、能力和強(qiáng)加的威脅)的特定和全面的、統(tǒng)一的數(shù)據(jù)�。數(shù)據(jù)融合基于可用的輸入提供信息。智能數(shù)據(jù)融合處理典型地分為4個級別(如表1所述)���。
表1智能數(shù)據(jù)融合過程的級別和目的
前面指出����,NVT結(jié)合來自多個來源的多種類型的數(shù)據(jù)與其它上下文信息�����,以形成網(wǎng)絡(luò)化系統(tǒng)的安全姿態(tài)的綜合概觀����。NVT為用戶提供給定系統(tǒng)或系統(tǒng)設(shè)計的脆弱性姿態(tài)的簡單表述并使它們?yōu)楦倪M(jìn)和改善系統(tǒng)或系統(tǒng)設(shè)計的目的能執(zhí)行功能、性能和防范交易的“假定方案(what if)”分析����。
在計算機(jī)安全工程中,探測器為各種脆弱性評估和風(fēng)險分析工具���,它與GUI一起從用戶收集所需的信息����。從這些工具得到的輸出在來自不同廠商的各種格式中采用定性的和定量的數(shù)據(jù)形式���。對于計算機(jī)安全過程來說�,所研究的對象是網(wǎng)絡(luò)(計算系統(tǒng))中的節(jié)點����,即,包括硬件��、軟件和數(shù)據(jù)的資產(chǎn)�。所研究的狀態(tài)是評估計算機(jī)網(wǎng)絡(luò)段的安全系統(tǒng)中的弱點,這些弱點可被利用以引起損害或秘密�����、完整性或可用性的損失��。
評估計算機(jī)系統(tǒng)面臨的風(fēng)險涉及評估面臨的威脅、它們出現(xiàn)(非法利用)的可能性以及預(yù)期的損失(或損害)成本�����。最后���,網(wǎng)絡(luò)(計算系統(tǒng))可基于成本-效益分析的結(jié)果改進(jìn)��。這就需要有關(guān)適合于特定脆弱性和它們的成本的保護(hù)措施(控制或?qū)Σ?的信息���。成本效益分析尋求確定使用控制或?qū)沟某杀臼欠窀停蚴欠窠邮茴A(yù)期的成本損失��。這就導(dǎo)致開發(fā)一種安全策略來改進(jìn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全���。
表2包含利用對應(yīng)表1中4個級別的4個處理級別�����,用于本發(fā)明可使用的計算機(jī)安全工程的這種數(shù)據(jù)融合處理的第一劃分的例子�。如圖12所示��,這個過程的輸入將由對象模型數(shù)據(jù)庫138��、來自個別的工具312、134�����、136的結(jié)果以及其它語境信息組成�。不同數(shù)據(jù)融合級別1-4通常在320��、322��、324和326指示�。
表2用于計算機(jī)安全風(fēng)險分析的數(shù)據(jù)融合的初始處理級別
雖然在本發(fā)明中使用的數(shù)據(jù)融合提供了用于定位從多個脆弱性評估和風(fēng)險分析工具合并結(jié)果的問題的總體框架,但專家系統(tǒng)���、推理網(wǎng)絡(luò)和證據(jù)推理用于實現(xiàn)融合概念和合并工具結(jié)果����。模糊決策技術(shù)���,尤其是模糊專家系統(tǒng)的靈活性提供了定位這些問題的手段�����。模糊專家系統(tǒng)的主要好處是其使用和吸收來自多種來源的知識的能力����。
模糊邏輯提供了用于從不精確、不確定或不可靠的知識中表示和推導(dǎo)的技術(shù)���。類似于傳統(tǒng)的專家系統(tǒng)����,模糊專家系統(tǒng)能以IF/THEN規(guī)則的系統(tǒng)形式表示知識���,在這些規(guī)則中前提��、后果或二者是模糊而不是明確的�����。模糊邏輯用于確定模糊事實與這些規(guī)則的匹配程度�,以及這種匹配影響規(guī)則的結(jié)論的程度���。根據(jù)本發(fā)明���,推理網(wǎng)絡(luò)為啟發(fā)式規(guī)則分層結(jié)構(gòu),它能傳播概率而無需擴(kuò)展的先驗概率知識(例如,Bayesian網(wǎng)絡(luò))�。啟發(fā)式規(guī)則可利用有關(guān)概率是如何傳播的專家知識開發(fā),允許用有限的先驗概率知識得出結(jié)論���。這導(dǎo)致低級的離散概率在高級結(jié)論中準(zhǔn)確地被反映��。低級事件的概率(如基于壽命的口令妥協(xié)的概率)需要成為在高級事件(口令的脆弱性)得出的任何結(jié)論的一部分�。
NVT的最初研究使用證據(jù)的積累來修改模糊-事實�����,并在當(dāng)前系統(tǒng)所需的狀態(tài)下表示這種變化���。這種狀態(tài)改變模糊-事實接著用于修改系統(tǒng),而且新狀態(tài)利用全局影響在無盡的周期中反饋到狀態(tài)規(guī)則的變化中�。模糊CLIPS允許定義模糊-事實類型,但每個類型只有一個事實將始終存在�。因此,控制那個事實類型的每個規(guī)則實際上修改單個事實��,導(dǎo)致證據(jù)的積累����。
全局影響和證據(jù)積累已導(dǎo)致模糊CLIPS方法學(xué),其定義表示不同脆弱性狀態(tài)的模糊-事實。這些事實將使用全局影響和證據(jù)積累來獲得反映經(jīng)測試系統(tǒng)的脆弱性的最終值�,即,證據(jù)推理���。這種方法反映了模糊邏輯控制系統(tǒng)的意義明確的使用��,限制該執(zhí)行為有限數(shù)量的周期而不是允許它連續(xù)運行����。FuzzyFusionTM已由Melbourne��,F(xiàn)lorida的Harris公司開發(fā)����,而且將使用這種方法從基于來自網(wǎng)絡(luò)安全專家知識的規(guī)則中積累證據(jù)。特別是��,F(xiàn)uzzyFusionTM將應(yīng)用證據(jù)推理作為一種技術(shù)���,其中收集的知識支持或否定給定假設(shè)�。該結(jié)果是具有一定置信度的對假設(shè)的肯定或否定����。
最初的知識提取已導(dǎo)致使用安全需求來積累證據(jù)���,即系統(tǒng)滿足需求的程度。這就證實了驗證數(shù)據(jù)庫(例如����,AFCERTS)和驗證安全需求的方法之間的強(qiáng)烈關(guān)聯(lián),導(dǎo)致使用數(shù)據(jù)庫和需求作為積累證據(jù)的全局影響事實���,如圖13所示�����。這還示意了目標(biāo)的粒度直接影響評估粒度的變化程度,即�����,評估將只能描述得象目標(biāo)那樣具體��。證據(jù)的積累被視為面向目標(biāo)的實現(xiàn)方法以獲得結(jié)果����,同時保持前向推理技術(shù)的使用,當(dāng)前將稱之為“基于目標(biāo)的融合”�����。
在計算機(jī)安全中,模糊邏輯如何與合并工具結(jié)果應(yīng)用的一個例子是使用來自ANSSR和ISS因特網(wǎng)掃描器的結(jié)果的結(jié)合����,這兩個工具當(dāng)前用于NVT的一個方面內(nèi)。工具的輸出都是定量(ANSSR)和定性的(因特網(wǎng)掃描器)�����。模糊邏輯使得系統(tǒng)能在同一系統(tǒng)內(nèi)表示這兩種數(shù)據(jù)類型����。接著,用公式表示初始假設(shè)�����,而且模糊邏輯用于收集證據(jù)以反對或支持該假設(shè)�����。
對這個例子來說�����,初始假設(shè)可以是在現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中審核無效。系統(tǒng)用戶接著執(zhí)行ANSSR和ISS因特網(wǎng)掃描器工具����,如果ANSSR提供數(shù)量90(100范圍內(nèi)),那么審核是充分的��。模糊邏輯允許NVT解釋這種情況為對審核無效的初始假設(shè)的強(qiáng)烈否定的證據(jù)�����。如果因特網(wǎng)掃描器提供用戶訪問沒有被審核的定性的數(shù)據(jù)�����,那么模糊邏輯將此解釋為支持證據(jù)��,它與來自ANSSR的證據(jù)結(jié)合���。當(dāng)這些工具運行結(jié)束時,用于審核的起作用的證據(jù)表示為單個模糊事實��,它提供對審核實現(xiàn)程度的度量�����。
由Melbourne,F(xiàn)lorida的Harris公司開發(fā)的FuzzyFusionTM是用于整理和合并NVT內(nèi)應(yīng)用脆弱性評估和風(fēng)險分析工具的結(jié)果到統(tǒng)一報告中的工具�。特別是,F(xiàn)uzzyFusionTM開發(fā)用于實現(xiàn)級別1和2的融合����,F(xiàn)uzzyFusionTM是通過利用采用模糊CLIPS的模糊專家系統(tǒng)(面向的對象的模糊邏輯決策規(guī)則)實現(xiàn)的,模糊CLIPS結(jié)合了各種工具的輸出����、用戶關(guān)心的有關(guān)系統(tǒng)風(fēng)險和脆弱性、以及每個工具的結(jié)果的專家理解和這些結(jié)果是如何適應(yīng)更大的信息系統(tǒng)安全畫面的����。因此,NVT用戶獲得給定計算機(jī)系統(tǒng)或系統(tǒng)設(shè)計的安全姿態(tài)的簡單表述�,而且能為功能、性能和防范交易執(zhí)行“假定方案”分析�。
圖14示意了用于實現(xiàn)計算機(jī)安全工程的最初兩個級別的數(shù)據(jù)融合的NVT FuzzyFusionTM組件結(jié)構(gòu)。如圖所示��,建模安全專家的任務(wù)被分為離散的任務(wù)���。專家關(guān)聯(lián)(數(shù)據(jù)框架合并規(guī)則)�、模糊推理網(wǎng)絡(luò)規(guī)則以及模糊證據(jù)推理原則的分離定位了脆弱的專家系統(tǒng)和計算爆炸的問題�����。它還分離來自模糊/不一致的數(shù)據(jù)分解的低級數(shù)據(jù)關(guān)聯(lián)和融合,以及合并結(jié)果為一個畫面�����。這應(yīng)導(dǎo)致模糊專家系統(tǒng)比一個大型的綜合系統(tǒng)更容易維持���。這種結(jié)構(gòu)的單元在下面描述��。
數(shù)據(jù)模糊化310將來自各個脆弱性評估和風(fēng)險分析工具132���、134、136的結(jié)果轉(zhuǎn)換為模糊-事實��,并隨同公共系統(tǒng)模型(CSM)(即系統(tǒng)對象模型數(shù)據(jù)庫138)一起存儲到該(模糊CLIPS)事實庫302���。各個工具結(jié)果(模糊化后)和CSM 138輸出用于專家關(guān)聯(lián)處理310(數(shù)據(jù)框架合并規(guī)則)以分解系統(tǒng)信息和基于安全專家經(jīng)驗綜合工具輸出�。專家意見可用于確定歸因于低級事件的特定模糊值�����。
專家關(guān)聯(lián)(數(shù)據(jù)框架合并規(guī)則)330為模糊專家規(guī)則集合以執(zhí)行節(jié)點級的數(shù)據(jù)改進(jìn)(級別1)或網(wǎng)絡(luò)段的改進(jìn)(級別2)��。這些規(guī)則利用來自安全工程師的專家經(jīng)驗關(guān)聯(lián)和合并來自脆弱性評估和風(fēng)險分析工具的(模糊化)輸出�。這些規(guī)則平衡了安全評估上的廣泛經(jīng)驗以分解低級系統(tǒng)數(shù)據(jù)和工具結(jié)果。這些規(guī)則分解系統(tǒng)信息并綜合系統(tǒng)輸出�。專家關(guān)聯(lián)規(guī)則處理330還可轉(zhuǎn)換來自CSM的低級數(shù)據(jù)和工具結(jié)果到高級結(jié)論中。例如�,如果用這些標(biāo)志進(jìn)行審計,并且審計數(shù)據(jù)沒有備份���,那么���,審核是不可靠的通過事實庫320中的模糊-事實工作,級別1融合規(guī)則集可整理每個節(jié)點的脆弱性��,結(jié)果產(chǎn)生網(wǎng)絡(luò)中每個節(jié)點的脆弱性等級�。這個等級可輸入回NVT用于顯示。類似的��,級別2融合規(guī)則集可整理每個網(wǎng)絡(luò)段的脆弱性����,結(jié)果產(chǎn)生每個網(wǎng)絡(luò)段的脆弱性等級。這可再次輸入回去用于顯示��。
這些數(shù)據(jù)接著受模糊推理網(wǎng)絡(luò)規(guī)則處理304的控制���。在應(yīng)用模糊證據(jù)推理規(guī)則304之前有必要對可用數(shù)據(jù)執(zhí)行附加的改進(jìn)���,同時保持?jǐn)?shù)據(jù)的概率論的性質(zhì)�����。這種改進(jìn)將使用如本領(lǐng)域的技術(shù)人員知道的推理網(wǎng)絡(luò)�,這將提供使用啟發(fā)式的有關(guān)概率推理的方法����,從而無需大量的先驗知識。
從系統(tǒng)級的觀點來看���,模糊證據(jù)推理規(guī)則306為模糊專家規(guī)則的集合以合并各個工具結(jié)果到更高級別的網(wǎng)絡(luò)安全姿態(tài)評估中�。這些規(guī)則提供了合并CSM���、工具結(jié)果����、以及來自專家關(guān)聯(lián)(數(shù)據(jù)框架合并規(guī)則)330的結(jié)果到統(tǒng)一報告中的機(jī)制�。這也使得無需處理來自專家關(guān)聯(lián)中使用的前向聯(lián)接專家系統(tǒng)的不完善和不一致的數(shù)據(jù)。
證據(jù)推理使用的技術(shù)中收集事實以支持和反對給定假設(shè)。該結(jié)果是具有置信程度的對假設(shè)的肯定或否定����。FuzzyFusionTM采用證據(jù)推理從公共系統(tǒng)模型和每個標(biāo)準(zhǔn)的工具結(jié)論中積累證據(jù)��,從而合并計算機(jī)網(wǎng)絡(luò)系統(tǒng)評估數(shù)據(jù)到單個參考點���,合并系統(tǒng)的一致性為特定準(zhǔn)則�����。通過為融合提供一組準(zhǔn)則�,NVT限制了融合問題并縮小了搜索空間�����,在這之前稱為基于目標(biāo)的融合���。該結(jié)果將是一組模糊證據(jù)規(guī)則�����,其唯一目的是為給定的一組需求積累證據(jù)���。這解決了來自專家關(guān)聯(lián)(數(shù)據(jù)框架合并規(guī)則)330的潛在的不一致�、模棱兩可和冗余數(shù)據(jù)�����,即使數(shù)據(jù)是不完善的也能利用可用數(shù)據(jù)得出結(jié)論�。顯然,該結(jié)果的精確性視可用數(shù)據(jù)的數(shù)量和質(zhì)量而定���。
前面指出����,模糊邏輯處理是面向目標(biāo)的�����。證據(jù)積累處理350的目標(biāo)可從安全需求數(shù)據(jù)庫352�����、計算機(jī)安全度量數(shù)據(jù)庫354或脆弱性數(shù)據(jù)庫356(如AFCERT構(gòu)成的數(shù)據(jù)庫)導(dǎo)出���。邊界融合到預(yù)定目標(biāo)限制了計算時間�����。FuzzyFusionTM目標(biāo)提供了獲得IA度量的機(jī)制����。
FuzzyFusionTM處理相比傳統(tǒng)實現(xiàn)方法有許多優(yōu)點��。明確的專家系統(tǒng)將需要非常大的知識庫來包含必要的數(shù)據(jù)����,而且仍然存在數(shù)據(jù)不完善和結(jié)果不一致的問題。Bayesian和概率網(wǎng)絡(luò)需要大量而且經(jīng)常不可用的先驗概率知識��。算法解決方案不適合安全問題的概率性和啟發(fā)式特性�����。
基于神經(jīng)叢的專家系統(tǒng)�,如模糊CLIPS,忍受著因基于當(dāng)前系統(tǒng)中大量的規(guī)則和事實的執(zhí)行時間呈幾何增長��。這導(dǎo)致插入分析到子網(wǎng)��。FuzzyFusionTM將增加子網(wǎng)和縮放能力����。每個子網(wǎng)的節(jié)點將計算為組���,接著計算子網(wǎng)的各組。為每種分析類型分組規(guī)則為不同模型將減小神經(jīng)叢網(wǎng)絡(luò)的尺寸�����。還將縮短執(zhí)行時間��,這還將引入映射到NVT使用的網(wǎng)絡(luò)模型的分析網(wǎng)絡(luò)的可縮放方法���。
如圖15所示�,其它可能的數(shù)據(jù)空間可包括威脅知識數(shù)據(jù)庫360��、作為級別3融合一部分的成本數(shù)據(jù)庫362和對策知識庫364����、組件數(shù)據(jù)庫366以及作為級別4融合一部分的成本數(shù)據(jù)庫368。
一種評估網(wǎng)絡(luò)的安全脆弱性的方法和數(shù)據(jù)處理系統(tǒng)�。建立系統(tǒng)對象模型數(shù)據(jù)庫并支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求。只有來自表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫的所需數(shù)據(jù)才被輸入到該程序��,該程序接著分析網(wǎng)絡(luò)以產(chǎn)生來自每個程序的數(shù)據(jù)結(jié)果����。這些數(shù)據(jù)結(jié)果存儲在公共系統(tǒng)模型數(shù)據(jù)庫中和數(shù)據(jù)事實庫內(nèi)�。面向目標(biāo)的模糊邏輯決策規(guī)則運用于確定網(wǎng)絡(luò)的脆弱性姿態(tài)����。
權(quán)利要求
1.一種用于評估網(wǎng)絡(luò)的安全姿態(tài)的方法,包括步驟創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫���,其中該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求�;從表示該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序�����;利用每個網(wǎng)絡(luò)脆弱性分析程序分析該網(wǎng)絡(luò)����,以根據(jù)每個程序產(chǎn)生數(shù)據(jù)結(jié)果��;存儲來自各個網(wǎng)絡(luò)脆弱性分析程序和數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫的數(shù)據(jù)結(jié)果�;以及將面向目標(biāo)的模糊邏輯決策規(guī)則應(yīng)用到數(shù)據(jù)事實庫,以確定網(wǎng)絡(luò)的安全姿態(tài)��。
2.如權(quán)利要求1的方法���,其特征在于�����,從系統(tǒng)對象模型數(shù)據(jù)庫經(jīng)由與各個網(wǎng)絡(luò)脆弱性程序相關(guān)的過濾器只輸出所需的數(shù)據(jù)����。
3.如權(quán)利要求1的方法,其特征在于��,經(jīng)由綜合應(yīng)用編程接口輸出系統(tǒng)對象模型數(shù)據(jù)庫到網(wǎng)絡(luò)脆弱性分析程序��。
4.如權(quán)利要求1的方法��,其特征在于�����,在圖形用戶接口上建模網(wǎng)絡(luò)為映象�����。
5.如權(quán)利要求1的方法��,其特征在于�,建立類分層結(jié)構(gòu)以定義共用公共數(shù)據(jù)和編程特性的網(wǎng)絡(luò)脆弱性分析程序的組件���。
6.如權(quán)利要求1的方法,其特征在于����,運行網(wǎng)絡(luò)脆弱性分析程序以獲得關(guān)于網(wǎng)絡(luò)系統(tǒng)細(xì)節(jié)、網(wǎng)絡(luò)拓?fù)?��、?jié)點級脆弱性和網(wǎng)絡(luò)級脆弱性的數(shù)據(jù)結(jié)果���。
7.一種用于評估網(wǎng)絡(luò)的安全姿態(tài)的方法,包括步驟創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫����,其中該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求��,而且從該系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到各個網(wǎng)絡(luò)脆弱性分析程序�����,以根據(jù)每個程序產(chǎn)生數(shù)據(jù)結(jié)果����;存儲來自各個網(wǎng)絡(luò)脆弱性分析程序和數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫的數(shù)據(jù)結(jié)果����,并通過利用多個模糊專家規(guī)則將面向目標(biāo)的模糊邏輯決策規(guī)則應(yīng)用到數(shù)據(jù)事實庫�����,以合并來自網(wǎng)絡(luò)脆弱性分析程序的結(jié)果�����,以便確定網(wǎng)絡(luò)的安全姿態(tài)��。
8.如權(quán)利要求7的方法����,其特征在于,基于證據(jù)推理應(yīng)用模糊邏輯決策規(guī)則���。
9.如權(quán)利要求7的方法���,其特征在于,經(jīng)由與各個網(wǎng)絡(luò)脆弱性程序相關(guān)的過濾器只輸出所需的數(shù)據(jù)�。
10.如權(quán)利要求7的方法,其特征在于,經(jīng)由綜合應(yīng)用編程接口輸出系統(tǒng)對象模型數(shù)據(jù)庫到網(wǎng)絡(luò)脆弱性分析程序���。
11.如權(quán)利要求7的方法����,其特征在于�����,在圖形用戶接口上建模網(wǎng)絡(luò)為映象�。
12.如權(quán)利要求7的方法,其特征在于��,建立類分層結(jié)構(gòu)以定義共用公共數(shù)據(jù)和編程特性的網(wǎng)絡(luò)脆弱性分析程序的組件�����。
13.如權(quán)利要求7的方法�,其特征在于,運行網(wǎng)絡(luò)脆弱性分析程序以獲得關(guān)于網(wǎng)絡(luò)系統(tǒng)細(xì)節(jié)�����、網(wǎng)絡(luò)拓?fù)?�、?jié)點級脆弱性和網(wǎng)絡(luò)級脆弱性的數(shù)據(jù)結(jié)果�����。
14.一種駐留于能被程序讀出的媒體上的計算機(jī)程序��,其中該計算機(jī)程序包括用以促使計算機(jī)創(chuàng)建表示網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫的指令���,其中該系統(tǒng)對象模型數(shù)據(jù)庫支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求��;從表示該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序�����;利用每個網(wǎng)絡(luò)脆弱性分析程序分析該網(wǎng)絡(luò)以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果��;存儲來自各個網(wǎng)絡(luò)脆弱性分析程序和數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫的結(jié)果�,并將面向目標(biāo)的模糊邏輯決策規(guī)則應(yīng)用到數(shù)據(jù)事實庫����,以確定網(wǎng)絡(luò)的安全姿態(tài)。
15.如權(quán)利要求14的計算機(jī)程序���,其特征在于��,通過利用多個模糊專家規(guī)則應(yīng)用模糊邏輯決策規(guī)則����,以合并來自網(wǎng)絡(luò)脆弱性分析程序的結(jié)果。
16.如權(quán)利要求14的計算機(jī)程序��,其特征在于��,基于證據(jù)推理應(yīng)用模糊邏輯決策規(guī)則���。
17.如權(quán)利要求14的計算機(jī)程序����,其特征在于�����,經(jīng)由與各個網(wǎng)絡(luò)脆弱性程序相關(guān)的過濾器只輸出所需的數(shù)據(jù)����。
18.如權(quán)利要求14的計算機(jī)程序,其特征在于�����,經(jīng)由綜合應(yīng)用編程接口輸出系統(tǒng)對象模型數(shù)據(jù)庫到網(wǎng)絡(luò)脆弱性分析程序���。
19.如權(quán)利要求14的計算機(jī)程序�����,其特征在于�,在圖形用戶接口上建模網(wǎng)絡(luò)為映象��。
20.如權(quán)利要求14的計算機(jī)程序���,其特征在于���,建立類分層結(jié)構(gòu)以定義共用公共數(shù)據(jù)和編程特性的網(wǎng)絡(luò)脆弱性分析程序的組件。
21.如權(quán)利要求14的計算機(jī)程序�,其特征在于,運行網(wǎng)絡(luò)脆弱性分析程序以獲得關(guān)于網(wǎng)絡(luò)系統(tǒng)細(xì)節(jié)�、網(wǎng)絡(luò)拓?fù)洹⒐?jié)點級脆弱性和網(wǎng)絡(luò)級脆弱性的數(shù)據(jù)結(jié)果�����。
22.一種用于評估網(wǎng)絡(luò)的安全姿態(tài)的數(shù)據(jù)處理系統(tǒng)�����,包括用于分析網(wǎng)絡(luò)的多個完全不同的網(wǎng)絡(luò)脆弱性分析程序;表示要分析的網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫��,其中該系統(tǒng)對象模型數(shù)據(jù)庫支持網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求�;用于輸入網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫到網(wǎng)絡(luò)脆弱性分析程序的應(yīng)用編程接口;與該應(yīng)用編程接口和每個相應(yīng)的網(wǎng)絡(luò)脆弱性分析程序相關(guān)的過濾器��,用于從系統(tǒng)對象模型數(shù)據(jù)庫過濾數(shù)據(jù)并只輸入所需的數(shù)據(jù)���;用于存儲在分析網(wǎng)絡(luò)和公共系統(tǒng)模型數(shù)據(jù)后從各個網(wǎng)絡(luò)脆弱性分析程序獲得的結(jié)果�����,以及用于通過利用多個模糊專家規(guī)則應(yīng)用面向目標(biāo)的模糊邏輯決策規(guī)則到事實庫的模糊邏輯處理器�����,以合并來自網(wǎng)絡(luò)脆弱性分析程序的結(jié)果并確定網(wǎng)絡(luò)的安全姿態(tài)�。
23.如權(quán)利要求22的數(shù)據(jù)處理系統(tǒng)�,其特征在于,模糊邏輯規(guī)則基于證據(jù)推理�����。
24.如權(quán)利要求22的數(shù)據(jù)處理系統(tǒng),其特征在于�,用于輸出系統(tǒng)對象模型數(shù)據(jù)庫的應(yīng)用編程接口包括圖形用戶接口���。
25.如權(quán)利要求22的數(shù)據(jù)處理系統(tǒng)��,其特征在于��,建模網(wǎng)絡(luò)為映象的圖形用戶接口����。
26.如權(quán)利要求22的數(shù)據(jù)處理系統(tǒng)�,其特征在于,用于顯示網(wǎng)絡(luò)的安全姿態(tài)的圖形用戶接口����。
27.如權(quán)利要求22的數(shù)據(jù)處理系統(tǒng),其特征在于�����,數(shù)據(jù)庫還包括面向目標(biāo)的類分層結(jié)構(gòu)以定義共用公共數(shù)據(jù)和編程特性的網(wǎng)絡(luò)脆弱性分析程序的組件���。
全文摘要
一種方法和數(shù)據(jù)處理系統(tǒng)評估網(wǎng)絡(luò)的安全脆弱性���。系統(tǒng)對象模型數(shù)據(jù)庫得以創(chuàng)建并支持完全不同的網(wǎng)絡(luò)脆弱性分析程序的信息數(shù)據(jù)需求�����。從表示該網(wǎng)絡(luò)的系統(tǒng)對象模型數(shù)據(jù)庫只輸出所需的數(shù)據(jù)到這些程序����,程序接著分析網(wǎng)絡(luò)以從每個程序產(chǎn)生數(shù)據(jù)結(jié)果�。這些數(shù)據(jù)結(jié)果存儲于數(shù)據(jù)事實庫內(nèi)的公共系統(tǒng)模型數(shù)據(jù)庫。面向目標(biāo)的模糊邏輯決策規(guī)則用于確定網(wǎng)絡(luò)的脆弱性姿態(tài)���。
文檔編號H04L29/06GK1425234SQ01804680
公開日2003年6月18日 申請日期2001年1月26日 優(yōu)先權(quán)日2000年2月8日
發(fā)明者凱文·弗克斯, 約翰·法萊爾, 隆達(dá)·漢寧, 克里弗德·米勒 申請人:哈里公司