網(wǎng)絡安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究

網(wǎng)絡安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究ComputerEngineeringand2008,44(1)Applications計算機工程與應用◎網(wǎng)絡、通信與安全◎摘要:網(wǎng)絡安全態(tài)勢感知是實現(xiàn)網(wǎng)絡安全監(jiān)測和預警的一種新技術(shù),融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)(IDS)、安全審計系統(tǒng)等安全措施的數(shù)據(jù)信息,對整個網(wǎng)絡的當前狀況進行評估,對未來的變化趨勢進行預測。深入分析國內(nèi)外相關(guān)研究后,建立了一個網(wǎng)絡安全態(tài)勢感知概念模型和體系結(jié)構(gòu),分析研究構(gòu)成網(wǎng)絡安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡安全評估、網(wǎng)絡應急響應、網(wǎng)絡安全預警等重要組成部分,這將為下一步安全態(tài)勢感知系統(tǒng)的實現(xiàn)奠定理論的基礎。關(guān)鍵詞:網(wǎng)絡態(tài)勢感知;安全評估;安全預警隨著網(wǎng)絡規(guī)模的不斷壯大,網(wǎng)絡結(jié)構(gòu)的日益復雜,網(wǎng)絡病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大,傳統(tǒng)的網(wǎng)絡安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡安全防護技術(shù)來實現(xiàn)被動的網(wǎng)絡安全管理,已滿足不了目前網(wǎng)絡安全的要求,因此迫切需要新的技術(shù)來對網(wǎng)絡安全狀況進行實時監(jiān)控和預警。安全態(tài)勢感知技術(shù)就是對當前和未來一段時間內(nèi)的網(wǎng)絡安全狀態(tài)進行定量和定性的評價,實時監(jiān)測和預警的一種新的安全技術(shù)。論文研究工作主要是圍繞網(wǎng)絡安全態(tài)勢感知系統(tǒng)模型,分析研究構(gòu)成網(wǎng)絡安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡安全評估、網(wǎng)絡應急響應、網(wǎng)絡安全預警等重要組成部分,這將為下一步安全態(tài)勢感知系統(tǒng)的實現(xiàn)奠定了理論的基礎。1相關(guān)研究工作網(wǎng)絡安全態(tài)勢感知是應網(wǎng)絡安全監(jiān)控需求而出現(xiàn)的一種新技術(shù),目前正處于起步階段。態(tài)勢感知源于航天飛行的相關(guān)研究,目前廣泛應用于航天飛機、軍事戰(zhàn)場、空中交通監(jiān)管等領(lǐng)域。隨著網(wǎng)絡的不斷壯大和普及應用,網(wǎng)絡病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大,很多研究人員和機構(gòu)已經(jīng)開始意識到僅僅依賴于現(xiàn)有的網(wǎng)絡安全產(chǎn)品是無法實現(xiàn)對整個網(wǎng)絡安全態(tài)勢的實時監(jiān)控,因此迫切需要一項新方法來完成該項任務,于是提出了網(wǎng)絡安全態(tài)勢感知系統(tǒng)研究。1999年,Bass等人首次提出了網(wǎng)絡態(tài)勢感知概念[1],即網(wǎng)絡安全態(tài)勢感知,并將網(wǎng)絡態(tài)勢感知和空中交通監(jiān)管(ATC)態(tài)勢感知進行了類比,旨在把ATC態(tài)勢感知的成熟理論和技術(shù)借鑒到網(wǎng)絡態(tài)勢感知中去,隨后提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢感知框架模型。很多研究者和研究機構(gòu)也開始研究網(wǎng)絡安全態(tài)勢感知系統(tǒng)。Shifflet采用本體論對網(wǎng)絡安全態(tài)勢感知相關(guān)概念進行了分析比較研究,并提出了基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。美國國家能源研究科學計算中心(NERSC)所領(lǐng)導的勞倫斯伯克利國家實驗室于2003年開發(fā)了“SpinningCubeofPotentialDoom”系統(tǒng),該系統(tǒng)在三維空間中用點來表示網(wǎng)絡流量信息,極大地提高了網(wǎng)絡安全態(tài)勢感知能力。2005年,CMU/SEI領(lǐng)導的CERT/NetSA開發(fā)了SILK[2],旨在對大規(guī)模網(wǎng)絡安全態(tài)勢感知狀況進行實時監(jiān)控,在潛在的、惡意的網(wǎng)絡行為變得無法控制之前進行識別、防御、響應以及預警,給出相應的應付策略,該系統(tǒng)通過多種策略對大規(guī)模網(wǎng)絡進行安全分析,并能在保持較高性能的前提下提供整個網(wǎng)絡的安全態(tài)勢感知能力NCSA/SIFT欲通過開發(fā)一個安全事件融合工具的集成框架,為Internet提供安全可視化。目前該機構(gòu)已開發(fā)的Internet安全態(tài)勢感知系統(tǒng)有NVisionIP,VisFlowConnect-IP等。NVisionIP通過系統(tǒng)狀態(tài)可視化來獲取Internet的安全態(tài)勢;Vis-FlowConnect-IP通過連接分析可視化來獲取Internet的安全態(tài)勢。美國2006年的國防部防務評審報告中指出將加強信息安全和網(wǎng)絡安全的研究。美國國防高級規(guī)劃署(DARPA)等軍方機構(gòu)也正投資開展安全態(tài)勢感知的研究[3]。在國內(nèi)方面,關(guān)于網(wǎng)絡安全態(tài)勢感知的研究還限于科研院校的研究階段,目前的工作主要集中在組織架構(gòu)和業(yè)務體系的建立,離實際的應用距離還很遠。2網(wǎng)絡安全態(tài)勢感知系統(tǒng)模型網(wǎng)絡態(tài)勢感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)(IDS)、安全審計系統(tǒng)等安全措施的數(shù)據(jù)信息,對整個網(wǎng)絡的當前狀況進行評估,對未來的變化趨勢進行預測。深入分析國內(nèi)外相關(guān)研究,建立網(wǎng)絡安全態(tài)勢感知概念模型,如圖1。該模型將安全態(tài)勢感知分為四層:特征提取、安全評估、態(tài)勢感知、預警。特征提取是態(tài)勢感知的前提,該層主要采用已有成熟技術(shù)從海量數(shù)據(jù)信息中提取網(wǎng)絡安全態(tài)勢信息。安全評估是態(tài)勢感知的核心,通過漏洞掃描,安全審計等獲得安全信息后,同時和已有的網(wǎng)絡安全機制相結(jié)合,對已安裝的入侵檢測系統(tǒng)、防火墻、漏洞掃描等系統(tǒng)的日志數(shù)據(jù)庫數(shù)據(jù)進行分析后提取數(shù)據(jù),采用合適的安全評估模型,對網(wǎng)絡的威脅和脆弱性進行評估。安全評估將信息反應到態(tài)勢感知層,態(tài)勢感知層通過識別信息中的安全事件,確定它們之間的關(guān)聯(lián)關(guān)系,并依據(jù)所受到的威脅程度生成相應的安全態(tài)勢圖,來反映整個網(wǎng)絡的安全態(tài)勢狀況。態(tài)勢預警要求不但能對即將發(fā)生的安全事件提前告知,給出應急的處理措施,而且能夠依據(jù)歷史網(wǎng)絡安全態(tài)勢信息和當前網(wǎng)絡安全態(tài)勢信息預測未來網(wǎng)絡安全趨勢,使決策者能夠據(jù)此掌握更高層的網(wǎng)絡安全狀態(tài)趨勢,為未來的安全管理制定合理的決策提供依據(jù)。通過對四層概念模型的分析,擬設計如圖2所示的網(wǎng)絡安全態(tài)勢感知系統(tǒng)體系結(jié)構(gòu)。網(wǎng)絡安全態(tài)勢感知系統(tǒng)由網(wǎng)絡拓撲發(fā)現(xiàn),安全拓撲生成、安全評估模型、漏洞掃描、威脅評估、事件關(guān)聯(lián)、預警、結(jié)果可視化等模塊構(gòu)成。在下面的內(nèi)容中,將對系統(tǒng)組件之間的關(guān)聯(lián)關(guān)系、因果關(guān)系進行分析研究。的風險評估方法、定性的風險評估方法、定性與定量相結(jié)合的集成評估方法以及基于模型的評估方法價[6]?；谀Ｐ偷脑u估方法雖然能對整個計算機網(wǎng)絡進行有效的安全性評估,但在基于模型的評估方法中,規(guī)則的抽取過于復雜,這種評估方法不能從不同層次對網(wǎng)絡安全狀態(tài)進行評估。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個評估過程,定性和定量相結(jié)合的風險評估方法克服了兩者的缺陷,是一種較好的方法。貝葉斯網(wǎng)絡作為一種描述不確定信息的專家系統(tǒng),在構(gòu)造風險評估模型時,模型能夠綜合最新的證據(jù)信息和先驗信息,從而評估結(jié)果不僅反映了當前的信息,而且綜合了歷史和先驗知識,是種較好的辦法。人工神經(jīng)網(wǎng)絡也能有效地運用于風險評估中。采用神經(jīng)網(wǎng)絡中的LVQ和SOM網(wǎng)絡對各個指標形成的高維向量進行有監(jiān)督的學習,先通過對專家的知識進行學習和訓練,當模型穩(wěn)定時,就可以對當前的評價指標向量進行分類處理,輸出結(jié)果為對當前的安全等級的描述。人工神經(jīng)網(wǎng)絡也有助于提高網(wǎng)絡態(tài)勢感知系統(tǒng)的自學習和自適應能力。決策樹、模糊Petri網(wǎng)等方法也可用于網(wǎng)絡的安全性能評估。在威脅評估中,擬將網(wǎng)絡分為LAN、主機、服務和攻擊/漏洞4個層次,從服務、主機、系統(tǒng)LAN的三個角度對網(wǎng)絡系統(tǒng)的安全狀況進行綜合評估。每個層次的安全狀況,都可以分解為其下層各個節(jié)點的安全狀況的“和”,從而將下層的各個孤立點結(jié)合起來,形成對其上層節(jié)點的安全狀況的綜合評估結(jié)果。與威脅有關(guān)的信息可以通過IDS取樣、模擬入侵測試、人工評估、策略及文檔分析和安全審計等獲得。這些信息記錄了過去一段時間內(nèi)的網(wǎng)絡系統(tǒng)的安全狀況。選定一個時間段內(nèi)的與威脅有關(guān)的信息為原始數(shù)據(jù),結(jié)合攻擊效果,發(fā)現(xiàn)各個主機系統(tǒng)所提供服務存在的漏洞情況,評估各項服務的安全狀況。各層次的安全性評價均采用風險指數(shù)描述,風險指數(shù)越高,風險越大。由于獲取數(shù)據(jù)量大,必須借助一個人工智能神經(jīng)網(wǎng)絡的方法對數(shù)據(jù)進行分析處理,并以圖形方式顯示分析結(jié)果,并給出評估報告。3.3態(tài)勢感知模塊在獲得網(wǎng)絡區(qū)域各層次的評估結(jié)果后,在態(tài)勢感知模塊將這些結(jié)果進行關(guān)聯(lián)綜合,綜合考慮整個網(wǎng)絡攻擊危害程度、區(qū)域安全防護能力,并將結(jié)果以圖形可視化形式直觀地提供給用戶。態(tài)勢感知模塊從各安全評估模塊中獲取的數(shù)據(jù)很多,這些數(shù)據(jù)特征屬性大致相同,在進行事件關(guān)聯(lián)前,需要采用特征提取等海量數(shù)據(jù)的處理技術(shù)對數(shù)據(jù)特征進行優(yōu)化。海量數(shù)據(jù)的處理技術(shù)必須考慮實時處理能力,以提高態(tài)勢感知計算的效率和態(tài)勢可視化的實時性。主成份分析方法(PCA)、粗糙集理論等可用于數(shù)據(jù)的特征提取。事件關(guān)聯(lián)是該模塊的核心。當網(wǎng)絡分為LAN、主機、服務和攻擊/漏洞4個層次對網(wǎng)絡系統(tǒng)的安全狀況進行評估時,各安全評估系統(tǒng)之間是孤立,無聯(lián)系的。由于來自不同地域、不同來源的網(wǎng)絡攻擊、網(wǎng)絡技術(shù)數(shù)據(jù),具有不確定性、不完整性、模糊性、模糊性和多變性的特點,通過采用事件聚類和融合,減少區(qū)域安全評估系統(tǒng)提交給態(tài)勢感知系統(tǒng)的安全數(shù)據(jù),有利于網(wǎng)絡態(tài)勢感知狀況的分析。模糊神經(jīng)網(wǎng)絡的方法引入到態(tài)勢感知模塊,進行有關(guān)規(guī)則的推理,以得到合理的判斷。事件關(guān)聯(lián)技術(shù)還可采用決策樹,貝葉斯網(wǎng)絡等。態(tài)勢可視化是本模塊的一個重要組成部分。由于目前網(wǎng)絡規(guī)模巨大,結(jié)構(gòu)復雜,網(wǎng)絡數(shù)據(jù)還存在實時可變的特征,網(wǎng)絡態(tài)勢的可視化是實現(xiàn)網(wǎng)絡態(tài)勢感知系統(tǒng)的難點?；谥鳈C的數(shù)據(jù)顯示和基于網(wǎng)絡的數(shù)據(jù)顯示是態(tài)勢可視化的兩大方面,可視化的結(jié)果既要反應區(qū)域內(nèi)主機網(wǎng)絡安全威脅等級,也要從宏觀上對整個網(wǎng)絡的安全態(tài)勢進行描繪?？梢暬€需考慮人機交互的可操作性?；诙鄶?shù)據(jù)源、多視圖的可視化系統(tǒng)才能滿足態(tài)勢可視化要求。C.P.Lee等人提出的VisualFirewall系統(tǒng)[7],使用Java語言實現(xiàn),借助于JOGL和JFreechart實現(xiàn)圖形的可視化,分別顯示了networktraffic、packetflow、through-put、可疑行為的視圖顯示,為網(wǎng)絡的整體態(tài)勢提供了一個全面的顯示。3.4安全預警技術(shù)預警技術(shù)也是網(wǎng)絡安全態(tài)勢感知系統(tǒng)的重要組成部分。預警及在安全事件發(fā)生前提前通知網(wǎng)絡管理者,并給出安全事件發(fā)生時的應急處理方案。系統(tǒng)中的應急方案主要依靠專家系統(tǒng)給出。網(wǎng)絡安全解決方案要求除了能夠檢測已知的安全威脅以外,還要能對未知和將來可預測的威脅進行有效的管理,即擁有主動防護的能力,為網(wǎng)絡管理員制定決策和防御措施提供依據(jù),做到防患于未然?，F(xiàn)有的大多數(shù)網(wǎng)絡安全解決方案在威脅預測上還存在缺陷,只能對已發(fā)生過的威脅進行預測,網(wǎng)絡態(tài)勢感知系統(tǒng)應提供對網(wǎng)絡威脅進行預測的功能,找出時間序列觀測值中的變化規(guī)律與趨勢,然后通過對這些規(guī)律或趨勢的外推來確定未來的預測值。網(wǎng)絡安全態(tài)勢值可以看作一個時間序列進行處理,假定有網(wǎng)絡安全態(tài)勢值的時間序列x={xi|xi∈R,i=1,2,?,L},網(wǎng)絡威脅預測可采用時間序列預測模型進行,通過序列的前N個時刻的態(tài)勢值,預測出以后的M個態(tài)勢值。時間序列預測方法有經(jīng)典的統(tǒng)計方法、神經(jīng)網(wǎng)絡和機器學習方法等。HMM(隱馬爾科夫模型)是一種采用雙重隨機過程的統(tǒng)計模型[8],可用于事件序列預測上。HMM內(nèi)含一個不可見的(隱藏的)從屬隨機過程的隨機過程,此不可見的從屬隨機過程只能通過另一套產(chǎn)生觀察序列的隨機過程觀察得到。假定計算機在正常運行情況下的某個進程在一個時段內(nèi)產(chǎn)生的長為T的系統(tǒng)調(diào)用序列定義為觀察值O={o1,o2,?,ot,?,oT},ot為t時刻產(chǎn)生的系統(tǒng)調(diào)用,系統(tǒng)調(diào)用序列對應的隱含狀態(tài)序列為Q={q1,q2,?,qt,?,qT},qt為t時刻所處狀態(tài)。利用該觀察值序列和隱含狀態(tài)序列訓練HMM模型,然后用HMM來預測未來一段時間內(nèi)的狀態(tài)序列,從而實現(xiàn)對網(wǎng)絡風險的預測。預警的結(jié)果最終也要以圖形可視化的形式提供給網(wǎng)絡管理人員,隨著時間的變化,預警結(jié)果在網(wǎng)絡態(tài)勢圖上進行顯示。4總結(jié)為了保障網(wǎng)絡信息安全,開展大規(guī)模網(wǎng)絡態(tài)勢感知是十分必要的。網(wǎng)絡態(tài)勢感知對于提高我國網(wǎng)絡系統(tǒng)的應急響應能力、緩解網(wǎng)絡攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義,對于未來的軍事信息戰(zhàn)意義更重大。國內(nèi)目前對態(tài)勢感知系統(tǒng)的研究才剛剛起步,相關(guān)理論和技術(shù)還很不成熟。本文在深入分析國內(nèi)外相關(guān)研究后,建立了網(wǎng)絡安全態(tài)勢感知概念模型和體系結(jié)構(gòu),分析研究構(gòu)成網(wǎng)絡安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡安全評估、網(wǎng)絡應急響應、網(wǎng)絡安全預警等重要組成部分。網(wǎng)絡態(tài)勢感知中諸如海量網(wǎng)絡數(shù)據(jù)的實時處理、數(shù)據(jù)融合、態(tài)勢評估、威脅評估、態(tài)勢可視化等方面均有許多問題需要研究。(收稿日期:2007年9月)參考文獻:[1]BassT,GruberD.Aglimpseintothefutureofid[EB/OL].(1999).http:///publications/login/199929/features/future.html.[2]CarnegieMellon’sSEI.SystemforInternetLevelKnowledge(SILK)[EB/OL](2005).http://silktools.source.[3]OfficeofTheSecretaryofDefense(OSD)deputydirectorofDefenseResearch&EngineeringDeputyUnderSecretaryofDefense(Science&Technology).SmallBusinessInnovationResearch(SBIR)FY2005.3ProgramDescription,USA.[4]LIUHuan,SetionoR.Aprobabilisticapproachtofeatures