移动终端WLAN接收机最小输入电平项目分析
摘要:随着WAPI产业的日渐成熟,WLAN网络获得了强有力的安全保障,国内移动用户终端WLAN功能进网检验已全面开展,本文重点针对接收机最小输入电平检验项目展开讨论,详细分析该项目的指标要求、测试原理及测试方法。
关键词:WLAN、WAPI、移动用户终端、接收机最小输入电平
一、引言
近年来,随着移动多媒体时代的到来,手机逐渐从简单的通话工具向智能化发展,尤其国内3G牌照颁发后,移动通信网与无线局域网(WLAN)的融合已成为一种必然趋势,手机用户使用WLAN网络的安全问题迫在眉睫。鉴于IEEE 802.11定义的安全标准存在国际公认的严重安全漏洞和结构性缺陷等问题,我国自主研发了一种用于提供无线局域网中身份鉴别和数据机密性的安全接入技术标准——无线局域网鉴别与保密基础结构(WAPI)。2009年4月,工业和信息化部宣布今后国内所有2G和3G手机都可以使用WAPI技术,并提出了具体的参考标准及检测项目。
标准对移动用户终端WLAN技术要求进行了详细规定,包括空中接口物理层、功能、性能等多个方面。进网检验需要对其中最关键的12个项目进行测试,是对国内市场的移动终端支持WLAN 功能的最基本要求,主要有接收机最小输入电平、扫描AP功能、同一AS域内AP间切换功能、WLAN信息显示功能、WAPI安全功能(7项)、无线接口吞吐量等检验项目。本文重点针对接收机最小输入电平展开讨论,根据项目指标要求,详细分析其测试原理,并给出具体的测试方法。
二、指标要求
对于GB 15629.11-2003中规定的2Mbit/s DQPSK调制,输入电平为-80dBm,MPDU长度为1024个八位位组时,FER应小于8×10-2。
对于GB 15629.1102-2003中规定的11Mbit/s CCK调制,输入电平为-80dBm,PSDU长度为1024个八位位组时,FER应小于8×10-2。
对于GB 15629.1104-2006中规定的OFDM、DSSS-OFDM方式,输入电平为表1中规定的接收机最小输入电平,当PSDU长度为1000个八位位组时,PER应小于10%。
表1 接收机最小输入电平指标要求(OFDM、DSSS-OFDM方式)
数据速率(Mbps)接收机门限电平(dBm)
6 -82
9 -81
12 -79
18 -77
24 -74
36 -70
48 -66
54 -65
三、测试原理
接收机最小输入电平定义为FER或PER为限值时的输入电平值。进行接收机最小输入电平检测时,被测手机应工作在正常网络模式,即使用具有接入点(AP)参与的基础结构型网络环境。根据该检测项目的指标要求,测试时需要计算FER或PER,按照WLAN工作原理,可以通过统计被测手机在正常网络连接状态时回应的ACK信息来获得FER或PER值,这里详细介绍基础结构型网络下与实现此功能相关的工作原理与技术细节。
(1)WLAN通信机制
和有线网络链路层协议不同,国际通用的IEEE 802.11定义的无线局域网标准采用肯定确认机制,所有传送出去的帧都必须得到响应,如图1所示,整个过程被视为单一的不可分割的操作。
AP
STA
图1 WLAN肯定确认机制
在这种机制下,工作站(STA)使用主动扫描方式获得网络资源信息的通信过程示例如图2所示。STA与AP网络建立关联,并进行必要的安全认证之后,STA接收到AP发送给他的数据信息后,需要回应ACK帧。
STA AP
图2 WLAN通信机制
按照上述WLAN通信机制,可以使被测手机与WLAN测试系统进行关联后,WLAN测试系统向被测手机发送数据包,并采用统计被测手机返回的ACK包的方式计算FER或PER值。
(2)节能方式
WLAN网络中,信标(Beacon)帧对于电池节能起到了至关重要的作用,Beacon帧主要是用来声明某个网络的存在,并实时调整加入该网络所必需的参数。在基础结构型网络中,AP负责传送Beacon帧,Beacon帧所覆盖的范围即为基本服务区域。
首先被动扫描可以节省电池的电力,因为在这种方式下STA不需要发送任何信号。STA只需在信道列表所列的各个信道之间不断切换并侦听Beacon帧,并从Beacon帧中获知其所在的基本服务集的相关信息。
在进行数据通信时,AP在电源管理上扮演着关键性的角色,主要具有两项任务:其一,因为AP知道所关联的每个STA的电源管理状态,因此只要该STA处于“活跃(active)”状态,AP即可判断应该将帧传送至无线网络,否则就为之缓存帧;其二,具有缓存帧时,定期通过Beacon 帧声明有数据需要传送的STA信息。移动式STA在节能模式下,可以休眠一段时间不去使用无线网络接口,但必须定期醒来进入活跃模式接收Beacon帧以确定AP是否为之缓存数据。
综上分析,如果被测手机工作在节能模式,将不会及时处理WLAN测试系统发送的数据信息,于是在这种状态时将无法通过统计回复的ACK信息来计算FER或PER值。因此,进行FER或PER 测试时,应关闭DUT的节能模式。
四、测试方法
屏蔽箱
图3 接收机最小输入电平测试系统
综上分析,设计的接收机最小输入电平测试系统如图3所示。具体的测试方法为:通过控制台控制WLAN测试系统工作在指定的信道、数据速率,使DUT工作在正常WLAN网络模式、关闭WLAN节能模式,并与WLAN测试系统建立连接。控制WLAN测试系统循环发送指定信道、指定数据速率的信号,数据信息应包含DUT的MAC地址及接入点的BSSID信息,控制台统计WLAN测试系统接收到的DUT返回的ACK信息,计算本次循环的FER或PER值,如果在指标要求范围内,降低信号发射功率重复上述过程,直至FER或PER最接近且不超过指标要求时,计算得到DUT的接收机最小输入电平。
进网检测需要在最低、中间、最高三个信道下(详见表2),针对指标要求的所有数据速率进行测试,并满足指标要求。
表2 接收机最小输入电平项目测试信道配置
频段
最低信道中间信道最高信道
信道编号
中心频率
(MHz)
信道编号
中心频率
(MHz)
信道编号
中心频率
(MHz)
2.4GHz 1 2412 7 2442 13 2472
5.8GHz
149 5745 157 5785 165 5825 五、结束语
自从国内移动用户终端WLAN进网测试开展以来,各手机制造商纷纷推出其具备WLAN功能并支持WAPI安全机制的上市手机,已有几十款手机通过测试。随着3G+WLAN网络的日渐融合,无缝切换、资源共享等是“水到渠成”的结果,定将吸引更多的移动用户使用3G+WLAN网络,而WAPI机制提供了不可或缺的安全保障。
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
基于可视化的安全态势感知 -世博会业务系统的信息保障 郁郎 关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度 1.引言 被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。 在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。 为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。 本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知(Security Awareness)? “一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采 取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点,并介绍一下安全态势感知平台哪家比较好。 事件收集,安全态势感知平台提供主动获取和被动接收多种事件获取方式,可收集所有类 型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵 活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 流量监控,安全态势感知平台流量监控实时监控网络流入流出的网络流量,通过对流量进 行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进 行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 事件分析,安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 告警分析与处理,安全态势感知平台告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间 的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,
360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期
目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理(收费模块) (11) 4.4 漏洞管理(收费模块) (12) 4.5 日志搜索 (12) 4.6 调查分析(收费模块) (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知(收费模块) (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)
1产品概述 360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
2018年安全威胁态势感知平台项目可行性研究 报告 一、项目实施背景介绍 (3) 1、项目概述 (3) 2、安全威胁态势感知平台介绍 (3) 3、整体构架图 (5) 4、平台实现路径 (5) (1)平台框架 (5) (2)基础模块 (7) (3)态势分析组件 (9) 二、项目实施的必要性 (10) 1、加大研发投入,提升公司技术实力,促进公司未来发展 (10) 2、满足市场需求,促使网络威胁可视化 (11) 3、有效增强公司产品竞争力,提升客户体验 (12) 三、项目实施的可行性 (12) 1、领先的研发能力,为本项目的实施奠定了技术基础 (12) 2、已有产品研发为本项目研发提供参考,降低研发难度 (13) 3、快速产业化能力,为项目的实施提供了良好的保障 (14) 四、项目投资概算 (14) 1、设备投资 (15) (1)硬件设备投入 (15) (2)软件投入 (16) 2、基本预备费 (16) 3、研发费用 (16) 4、市场推广费 (16)
5、铺底流动资金 (17) 五、项目建设规模与建设进度计划 (17) 1、建设规模 (17) 2、项目实施进度安排 (17) 3、项目实施的阶段性目标 (18) 六、项目效益测算 (18)
一、项目实施背景介绍 1、项目概述 本项目计划总投资11,536.98万元,通过购进先进软硬件设备,引进研发人员,以大数据分析处理引擎为基础,利用安全威胁分析和建模关键算法、威胁情报关联分析技术、可视化技术等关键技术,开发一个能实现对安全威胁进行智能感知与防控的平台系统。 2、安全威胁态势感知平台介绍 威胁态势感知是近年来在信息安全领域兴起的一个技术方向,其核心理念是构建安全威胁大数据分析平台,通过数学建模与机器学习发现网络中潜在的入侵和攻击等安全威胁,建立针对未知威胁的动态安全监控与防御体系,从而避免因网络攻击导致的企业数据泄露、信息系统被破坏等安全问题。 威胁态势感知可对某个特定范围内的网络、系统、应用、业务等环境因素进行理解及分析,包括两部分内容。 “态”:即为当前的状态。根据已有可掌握的信息,分析出当前网络中的安全威胁现状,包括攻击次数、篡改网站数、攻击流量、攻击目标和攻击源统计等。 “势”:即为未来的发展趋势。根据“态”的分析结果,通过建立精确的模型和算法,预测出未来可能会遭到的攻击,为用户提供未来安全建设的依据。
绿盟关键信息基础设施安全态势感知平台 产品白皮书 【产品管理中心】 ■文档编号■密级完全公开 ■版本编号V1.0 ■日期2019-3-27 ■撰写人■批准人 ? 2019 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 现状及挑战 (1) 1.1现状 (1) 1.2当前挑战 (1) 二. 平台介绍 (3) 2.1方案概述 (3) 2.2方案内容 (4) 2.2.1 等级保护 (4) 2.2.2 实时监测 (4) 2.2.3 态势感知 (5) 2.2.4 通报预警 (5) 2.2.5 快速处置 (6) 2.2.6 侦查调查 (6) 2.2.7 追踪溯源 (6) 2.2.8 情报信息 (6) 2.2.9 指挥调度 (7) 2.2.10 攻防演习 (7) 三. 方案创新与价值 (8) 3.1安全大数据分析能力 (8) 3.2态势感知能力 (9) 3.3威胁情报关联分析能力 (9) 3.4安全事件追踪溯源能力 (10) 3.5统一威胁探针 (10)
一. 现状及挑战 1.1 现状 随着信息技术不断发展,信息安全给安全监管部门提出新的挑战,勒索病毒会给政府、医疗和教育各领域的业务体系造成巨大打击,影响人民生活的稳定运行;0day漏洞被利用频发,会给信息化时代人们的数据安全造成影响;黑客组织针对机关单位的攻击,在网页上挂上反共标语会对政府的公众形象带来负面影响。所以网络安全问题是和社会、国家和人民群众息息相关的重大问题。 我国目前信息系统安全产业和信息安全法律法规和标准不完善,导致国内信息安全保障工作滞后于信息技术发展。自2016年国家网信办发布《国家网络空间安全战略》以后,国家加强法律法规的建设,也加大了对网络安全的监管和检查力度。 1)2015年刑法修正案明确网络服务供应者的责任和义务。 2)2016年网络安全法明确对关键基础设施单位的建立监测预警与应急处置机制,在监管上采取更主动的方式对互联网威胁和风险进行管控。 3)2017年CII保护条例明确要对基础设施进行定期检查和设置应急响应预案,要求企业采取措施对关键信息基础设施进行风险管理。 4)2018年等保2.0明确云计算、大数据、物联网和移动互联等新技术纳入监管,对安全运营的范围进行补充说明。 5)在监管上,主观机关加大网络安全检查的力度,检查的频率从几年前的两年一检提升到一年多次检查和整改。 在客观上,国家对互联网空间及关键基础设施单位的安全管理的要求从合规及事件管理要求上升的风险管理,需要企业、安全产业乃至整个社会积极响应。在过去,我们关注合规要求和安全事件响应及处置,在未来,我们需要合规和事件管理的基础上做到安全风险治理,做到防患于未然。 1.2 当前挑战 1. 辖区内被监管单位中已经部署了各种不同类型的安全设备、各类设备的安全呈现都 非常分散,缺乏宏观层面的态势把控和整体评估。 2. 网络安全监管与等保备案信息没有充分结合,缺少对关键信息基础设施的精准防护。
安全态势感知信息模型 王东霞1 黄晓燕2 方兰1 冯学伟 1 (信息系统安全国家重点实验室,北京系统工程研究所1 ,北京9702信箱19号,100101, Dongxiawang@https://www.doczj.com/doc/6611311868.html, 成都军区第一通信总站2 ) 摘要:信息模型是安全态势感知系统各部分协同工作的公共数据基础,也 是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了具有 层次式结构的安全态势感知信息模型,该模型规范的定义了网络空间中哪些安 全元素构成了态势信息,对安全事件、攻击行为、态势评估和使命影响等不同 层次的态势元素予以了表示,同时以IDMEF为基础定义了信息之间的交换格式,最后对相关的存储结构进行了说明。关键字:安全态势感知信息模型态 势评估 一、引言 网络安全是一个动态过程,是通过在网络空间这个战场上进行网络对抗并 取得优势获得的。要掌握网络战场主动权,实施机动灵活卓有成效的管理或指挥,必须及时掌握战场的状态,也就是说需要不断了解网络的安全状态,及时 指挥对入侵做出反映,保障信息网络处于可接受的安全状态。安全态势感知指 安全管理员形成网络空间安全状态“全局视图”的过程。 二、安全态势感知信息模型 态势感知系统遵循从数据到信息再到知识的过程,可以抽象为针对目标对 象进行数据处 理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间准 确的传递,并实现与预警和应急响应等系统之间的信息共享,必须建立公共的 安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义,要给出 结构化的安全态势信息描述方法及规范,以此作为安全态势感知系统处理分析 的数据基础,以及态势感知与应急响应等多个系统联动的公共数据基础。
具备安全态势感知能力的安全管理平台 【摘要】安全管理平台(SOC)最大的特色之一就是收集网络中各种异构信息源的数据,进行综合分析,构建起一套业务安全视图,展示给管理员一个全网安全的总览图。通过安全管理平台(SOC)的层层抽象,原本复杂的安全数据提升为了安全事件,进而提升为业务决策信息和安全知识,这个过程的本质上就是安全态势感知。作为本系列的第四篇文章,将详细阐述SOC2.0是如何将安全态势感知理论和技术运用到安全管理实践中去的,并以网御神州SecFox安全管理系统为实例加以说明。 1 安全态势感知概述 1.1 态势感知溯源 如果追根溯源,态势感知(Situation Awareness)这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(Human Factor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。 一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(Blackboard System),可由下图所示的三级模型来表示: 图:态势感知核心过程示意图
它通过态势要素获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测。注意,态势感知最终达成的目标是实现对未来的短期预测,是一个动态、准实时系统。 1.2 安全态势感知 在上个世纪末90年代,态势感知才被引入到信息技术安全领域,并首先用于对下一代入侵检测系统的研究,出现了网络安全态势感知(Network Situation Awareness),或者安全态势感知(Security Situation Awareness)的概念。本文中,SA特指安全态势感知。 目前,对于安全态势感知尚无统一定义,以下给出几个描述性定义: 定义1(来自维基百科):态势感知是指一定时间和空间内环境因素的获取,理解和对未来短期的预测。 定义2:所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。 2 安全态势感知模型 说到态势感知,就必须提到数据融合(Data Fusion)。数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。可以看出,数据融合的研究与态势感知在很多方面都是相似的。目前,大部分安全态势感知的模型都是基于美国的军事机构JDL给出的数据融合模型衍生出来的。如下图所示,为我们展示了一个典型的安全态势感知模型: