网络安全态势感知系统结构研究

网络安全态势感知系统结构研究

Computer Engineering and2008,44(1)Applications计算机工程与应用

◎网络、通信与安全◎

摘要:网络安全态势感知是实现网络安全监测和预警的一种新技术,融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究后,建立了一个网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定理论的基础。

关键词:网络态势感知;安全评估;安全预警

随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价,实时监测和预警的一种新的安全技术。

论文研究工作主要是围绕网络安全态势感知系统模型,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定了理论的基础。

1相关研究工作

网络安全态势感知是应网络安全监控需求而出现的一种新技术,目前正处于起步阶段。态势感知源于航天飞行的相关研究,目前广泛应用于航天飞机、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控,因此迫切需要一项新方法来完成该项任务,于是提出了网络安全态势感知系统研究。1999年,Bass等人首次提出了网络态势感知概念[1],即网络安全态势感知,并将网络态势感知和空中交通监管(ATC)态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去,随后提出了基于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也

开始研究网络安全态势感知系统。Shifflet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出了基于模块化的技术无关框架结构。美国

国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“Spinning Cube of PotentialDoom”系统,该系统在三维空间中用

点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI 领导的CERT/NetSA开发了SILK[2],旨在对大规模网络安全态势感知状况进行实时监控,在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应

以及预警,给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分析,并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT 欲通过开发一个安全事件融合工具的集成框架,为Internet提供安全可视化。目前该机构已开发的Internet安全态势感知系统有NVisionIP,VisFlowConnect -IP等。NVisionIP通过系统状态可视化来获取Internet的安全态势;Vis-FlowConnect-IP通过连接分析可视化来获取Internet的安全态势。美国2006年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防

高级规划署(DARPA)等军方机构也正投资开展安全态势感知的研究[3]。在国

内方面,关于网络安全态势感知的研究还限于科研院校的研究阶段,目前的工

作主要集中在组织架构和业务体系的建立,离实际的应用距离还很远。

2网络安全态势感知系统模型

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未

来的变化趋势进行预测。深入分析国内外相关研究,建立网络安全态势感知概

念模型,如图1。该模型将安全态势感知分为四层:特征提取、安全评估、态势感知、预警。特征提取是态势感知的前提,该层主要采用已有成熟技术从海量

数据信息中提取网络安全态势信息。安全评估是态势感知的核心,通过漏洞扫描,安全审计等获得安全信息后,同时和已有的网络安全机制相结合,对已安装的入侵检测系统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提取

数据,采用合适的安全评估模型,对网络的威胁和脆弱性进行评估。安全评估

将信息反应到态势感知层,态势感知层通过识别信息中的安全事件,确定它们

之间的关联关系,并依据所受到的威胁程度生成相应的安全态势图,来反映整

个网络的安全态势状况。态势预警要求不但能对即将发生的安全事件提前告知,给出应急的处理措施,而且能够依据历史网络安全态势信息和当前网络安全态

势信息预测未来网络安全趋势,使决策者能够据此掌握更高层的网络安全状态

趋势,为未来的安全管理制定合理的决策提供依据。通过对四层概念模型的分析,拟设计如图2所示的网络安全态势感知系统体系结构。网络安全态势感知系统由网络拓扑发现,安全拓扑生成、安全评估模型、漏洞扫描、威胁评估、

事件关联、预警、结果可视化等模块构成。在下面的内容中,将对系统组件之

间的关联关系、因果关系进行分析研究。

3关键模块分析

在网络安全态势感知系统中,特征提取、安全估计、态势感知、安全预警

是四个核心模块,分别代表网络安全态势感知四个不同的阶段。在这些模块中、数据挖掘、模式识别、人工神经网络、机器学习等人工技术被广泛运用。下面

将对这四个核心组成部分进行具体介绍。

3.1数据预处理和特征选择

网络安全态势感知系统首先从防火墙、安全审计、防病毒软件等中获取到

大量的日志数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全

评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并

进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。

数据预处理和特征选择处于网络安全态势感知系统的底层。

当系统从防火墙、安全审计、防病毒软件等中获取到大量日志数据后,首

先需对数据格式进行统一,并依靠专家系统对数据进行约减,合并,直观地从

大量数据中排除与安全态势感知无关的噪声数据,将重复的属性数据进行合并。

特征选择能够为特定的应用在不失去数据原有价值的基础上选择最小的属

性子集,去除不相关的和冗余的属性,在网络态势感知系统表现为选取与网络

安全联系最紧密的属性[4];特征选择还将提高数据的质量,加快安全评估的速度,处于最低层的数据预处理和数据特征提取是网络态势感知系统高效运行的

前提。特征选择是模式识别和数据挖掘的重要环节,网络态势感知系统的很多

模块中均采用模式识别和数据挖掘进行数据处理,一些用于模式识别和数据挖

掘的特征提取算法也可应用在网络态势感知中。特征选择算法可从搜索方向、

搜索策略、评价方法和停止标准4个方面考察,使用4个方面的不同组合可以得到不同的特征选择算法。特征选择方法可以分为Filter和Wrapper两种[5],有代表性的算法有ABB算法、Relief算法和LVW算法。近年来遗传算法、模拟退火算法也被运用在特征选择算法中。

3.2安全评估算法

网络安全评估系统根据已知的安全漏洞集合,对本辖区网络系统进行全面

测试,并对测试结果进行分析,从而对该系统给出总体评价,最后对该系统存

在的漏洞提出应急方案。网络安全评估可分为以下三个部分:漏洞扫描、评估

模型、威胁评估。

漏洞扫描子模块包括漏洞信息的收集,漏洞的扫描,以及漏洞结果评估。

通过对网络所提供服务进行漏洞扫描得到结果,分析出此服务的风险状况,得

到不同服务的风险值。安全漏洞的存在是导致安全风险的内部因素,应从不同