《生存性评估分析模型研究.pdf》由会员分享,可在线阅读,更多相关《生存性评估分析模型研究.pdf(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、生存性评估分析模型朱而刚北京邮电大学信息安全中心第2页报告内容 为什么需要生存性?1 生存性(Survivability)的概念2,3,4 生存性评估分析模型2,3,4,5,6,7 生存性分析示例2,3第3页为什么需要生存性?第一代安全技术(信息保护与隔离)基本假设能够明确划分网络边界并且能够在边界上阻止非法入侵基本技术保护和隔离缺点边界划分与控制对内部攻击无能为力第4页为什么需要生存性?第二代安全技术(信息保障技术)基本原理发现入侵及其造成的破坏,采取相应对策 基本技术(PDRR)保护、检测、响应、恢复 缺点过于依赖检测系统恢复技术短时间难以达到效果第5页为什么需要生存性?第三代安全技术(生
2、存性技术)基本假设检测系统不可能检测到所有的入侵保护措施不可能阻止所有的入侵关键设施必须不间断提供服务 基本原理容错、容侵 基本技术目前安全研究的热点第6页生存性概念介绍 定义生存性(Survivability)是指系统在遭受攻击(Attacks)、出现故障(Failures)或发生意外事故(Accidents)时,依然能够及时完成任务(Mission)的能力。第7页生存性概念介绍 必要服务(Essential Service)系统在遭受攻击、失效(Failure)或意外事故(Accident)时仍然必须提供的服务 次要服务(Non-Essential Service)系统在面临入侵或受损时,
3、为保证必要服务的持续提供,可以暂时挂起、停止或受损的服务第8页生存性概念介绍 抵抗攻击能力(Resistance)当系统遭受攻击的时候,抵抗和忍受攻击的能力 可识别性(Recognition)识别攻击的策略,了解系统当前状态,判断系统受损程度的能力 可恢复性(Recovery)恢复受损信息或功能,隔离破坏区,在允许的时间间隔内维护恢复必要服务,条件允许时恢复所有服务的能力第9页生存性评估分析模型 相关工作 总体思路 评估分析流程 评估方法第10页生存性评估分析模型 相关工作 文献2,3提出SSA分析方法缺点:只是定性分析,缺少定量评估 文献5提出定量评估方法缺点:定量评估采用加权求和第11页生
4、存性评估分析模型 总体思路生存性的量化5损伤状态下,必要服务性能与次要服务性能之和同正常状态下必要服务性能与次要服务性能之和的比率 SSA的分析框架2,3系统定义必要能力定义易损性能定义生存性分析第12页生存性评估分析模型 总体思路 结合前两种评估分析方法的优点 通过充分模拟真实的攻击依次突破系统生存性进行生存性测试 通过评估必要服务和次要服务的性能对系统的生存性进行评估 通过分析系统的抵抗攻击能力、可识别性、可恢复性提出系统生存性的改进建议第13页生存性评估分析模型 生存性评估分析的四个步骤 生存性需求分析定义系统生存性需求 入侵分析与测试引入入侵,测试对必要服务和次要服务的影响 生存性评估
5、定量评估,确定生存性等级 生存性分析提出生存性改进建议第14页生存性评估分析模型 生存性需求分析的主要内容 系统架构分析网络拓扑应用架构等 必要服务和次要服务分析引入UML的分析机制,跟踪系统基本功能,确定必要服务和次要服务及其服务组件 建立评估系统生存性的指标体系第15页生存性评估分析模型 评估系统生存性的指标体系 通过必要服务和次要服务的性能来评估系统的生存性 通过服务性能指标来评估服务的性能 指标包括权重、评估目的对该指标的要求范围等第16页生存性评估分析模型 入侵分析与测试的主要工作 入侵情景分析引入攻击树模型,分析系统面临的威胁 动态的攻击测试测试威胁是否真正存在 服务性能采集根据服
6、务性能指标判断服务性能状态第17页生存性评估分析模型 攻击树模型6 主机勘查 漏洞发现 目标渗透 权限提升 潜伏隐藏 信息攫取 跳板攻击第18页生存性评估分析模型 生存性评估的主要工作必要服务和次要服务性能评估服务性能指标量化服务性能评估系统生存性评估找出影响系统生存性提高的服务第19页生存性评估分析模型 生存性分析的主要工作抵抗攻击能力分析 可识别性分析 可恢复性分析 提出改进建议第20页生存性评估分析模型 抵抗攻击能力改进 目前常用的措施打补丁防火墙认证加密等 发展方向冗余多样性等第21页 可识别性改进 目前常用的措施入侵检测 发展方向自识别信任维护黑盒报告等生存性评估分析模型第22页 可
7、恢复性改进 目前常用的措施容错技术信息备份 发展方向结合冗余和多样性的动态自适应生存性评估分析模型第23页生存性评估分析模型 评估方法采用基于三角白化权函数的灰色评估法71.需要建立评估的指标体系包括指标权重、指标评价值、评估等级对指标的要求范围等2.根据定量信息给出定性评估结果聚类评估根据隶属度判断所处的等级3.能够反映指标重要性对评估结果的影响加权求和法容易出现“重要指标得分低,而评估结果偏好”的情况第24页生存性评估分析模型 白化权函数kjf(x)1a0a2a3a4ak-1akak+1ak+2a12a+a223a+a2kk+1a +a2s-1asas+1as+2ass+1a+a21jf(
8、x)2jf(x)kjf(x)sjf(x)第25页生存性评估分析模型 服务性能评估 建立指标体系0.5,10.2,0.50,0.220保密性0.9,10.7,0.90.1,0.730完整性0.8,0.90.5,0.80.1,0.550可用性高中低指标权重指标名称第26页生存性评估分析模型0.30.80.5评价值保密性完整性可用性指标名称15.683.546隶属度瘫痪损伤正常服务性能状态 服务性能评估 服务性能指标评价值 构造白化权函数,计算隶属度第27页 生存性评估将服务性能作为指标操作类似于服务性能评估生存性评估分析模型第28页 模型需要改进之处 生存性测试的仿真机制 成本收益分析机制生存性评
9、估分析模型第29页 医疗健康管理系统架构图生存性评估分析示例数据库业务逻辑列表管理报表生成治疗计划创建治疗计划验证治疗小组创建接口用户界面第30页 基本功能 添加新的治疗计划 更新治疗计划 查看治疗计划 创建或修改治疗小组 以报表的形式显示治疗计划 等等生存性评估分析示例第31页 必要服务 查看治疗计划 必要组件 报表生成组件 数据库生存性评估分析示例第32页 可能的入侵情景 未授权用户修改病人的治疗计划 入侵者破坏数据库 等等 入侵测试 服务性能采集 生存性评估生存性评估分析示例第33页生存性评估分析示例 生存性改进建议示例降低备份周期,快速重构治疗计划查找未被破坏的治疗计划的备份,重构治疗
10、计划添加数据库中治疗计划有效性校验无,除非医生偶然发现治疗计划被破坏数据库现场复制,对数据库有效性进行交叉检验数据库自身的安全模型保护治疗计划入侵者破坏数据库导致治疗计划提供者的信誉受到破坏,病人生命受到威胁推荐目前推荐目前推荐目前可恢复性可识别性抵抗攻击能力入侵情景第34页参考文献1.荆继武,在攻击中生存,计算机世界,2004.112.Nancy R.Mead,Robert J.Ellison,Richard C.Linger,Thomas Longstaff,John McHugh,Survivable Network Analysis Method,SEI Technical Repor
11、t CMU/SEI-2000-%R-013 ESC-2000-TR-0133.R.J.Ellison,R.C.Linger,T.Longstaff,N.R.Mead,A Case Study in Survivable Network System Analysis,SEI Technical Report CMU/SEI-98-TR-014 ESC-TR-98-0144.John C.Knight,Kevin J.Sullivan,Matthew C.Elder,Chenxi Wang,Survivability Architectures:Issues and Approaches5.夏春和,王继伟,赵勇,吴震,可生存性分析方法研究,计算机应用研究,2002 Vol.19 No.126.卢继军,黄刘生,吴树峰,基于攻击树的网络攻击建模方法,计算机工程与应用,2003 Vol.39 No.277.刘思峰等,灰色系统理论及其应用,科学出版社,1999第35页谢谢!