论文部分内容阅读
摘要:网络安全态势感知是近年来新的网络安全监控和预判技术,能够提高网络的安全防护能力,对当前和未来的网络安全形势进行评估和预判。
关键词:网络安全;态势感知;系统结构;态势评估
中图分类号:TP393 文献标识码:A 文章编号:1671-864X(2016)05-0299-02
近年来,随着威胁网络安全的事件频繁发生,大量的计算机被病毒和木马入侵,计算机网络的安全性面临严峻挑战,网络安全形势不容乐观。为了增强计算机网络的安全性和防护能力,网络管理人员通过部署入侵检测系统、防火墙、防病毒软件等措施构筑起一道道安全防线。但是,随着网络的复杂性和不确定性的增加,这些防护单元只是被动的从某个方面或用单一方法进行孤立的防护,并且无法进行协同工作,很难在大规模网络中有好的防护效果。同时在防护过程中会不断产生大量的安全日志和报警信息,这使管理人员无法快捷、高效的分析出网络安全的重要变化情况,也无法预测未来的攻击和潜在的威胁。如何在动态复杂的网络中使被动网络安全防护转变为积极的主动防御,能够迅速有效的分析评估网络安全的变化情况,是未来网络安全研究的重点。针对以上情况,本文将集数据融合和数据挖掘技术的网络安全态势感知应用到网络安全管理中,网络管理者通过安全态势感知技术了解网络安全变化趋势,及时有效的做出安全决策,为管理者增强网络安全防护性提供参考依据,改善当前网络安全管理的不足,减轻了网络管理的代价。
一、网络态势感知简介
态势感知最早发源于《孙子兵法》的“知己知彼,百战不殆”理念。首次提出于一战,在越战和朝鲜战争中被美国空军研究。网络态势感知被应用于信息安全领域始于20世纪90年代。目前广泛应用于军事、电力、通讯、网络信息安全等领域。
态势感知就是在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测[1],网络态势感知是指在大规模网络系统中,对能够引起网络态势发生变化的安全因素进行获取、理解、显示以及预测未来的发展趋势。在具体的网络应用中,网络态势感知可以理解为通过数据融合、数据挖掘等技术对网络攻击入侵行为进行检测,通过网络态势感知评估体系,从宏观整体上动态的反映出当前的网络状态,对未来的网络安全状况发展趋势进行预判,并对可能的安全威胁做到提前预防。
二、网络安全态势中的关键技术
(一)数据简约。
原始数据中包含大量的虚假报警信息和冗余数据,為了精简在网络中传输的数据总量,防止数据泛滥,提高态势系统的分析、处理数据效能,通过数据简约技术去除一些无用的冗余信息。数据简约包括数据属性简约、数据值简约、数据属性值域缩减等内容。
(二)数据挖掘。
数据挖掘就是从大量模糊、不完全的原始数据中发现有规律、有实际应用价值的信息过程。在网络安全态势中应用数据挖掘技术可以从海量的数据中发现有用的潜在信息,便于检测出潜在的网络安全威胁。数据挖掘实际上是一种数据属性的归纳,将底层的数据信息按照一定的属性向上归并。常用的数据挖掘方法有:分布式、基于遗传算法、粗糙集等挖掘方式。在对数据进行挖掘处理过程中,需要耗费一定的时间和资源,因此在保证实时性方面有一定的难度。
(三)数据融合。
数据融合就是通过对网络中的多源信息数据进行监控、关联、重组、分析等综合处理,从而得到更为准确的网络安全状态信息。通过数据融合技术可以很好的解决入侵检测系统的误报率高的缺陷的问题,并加强了DDoS[2]检测率。和数据挖掘不同,数据融合具有对数据的实时处理的功能。
三、网络安全态势体系结构
网络安全态势体系结构的建立是应用网络安全态势技术应用的关键,直接影响网络安全态势系统性能的应用效果。通过结合JDL模型和Endsley[3]所给定的网络安全态势感知模型,以及对体系结构组件间的关联管理进行定量的研究,本文设计了网络安全态势感知的系统框架结构[4]。该体系结构以层次化结构为主,直观简单,主要分为6部分。
(一)原始数据的采集和预处理。
网络安全态势感知系统从分布在网络系统中的防火墙、入侵检测系统和防病毒软件等各种网络防护软件中获取采集各种日志数据。但这些数据中包含大量的冗余数据和错误、虚假报警信息,并且数据格式各不相同,预处理技术要对这些数据信息进行筛选、简约、异构数据格式的转换和存储,为以后的安全评估和预警做好数据准备。
(二)事件关联。
利用数据融合和挖掘技术对收集到的数据进行关联分析,消除冗余的数据信息,提取和整合出对网络安全存在威胁的相关联数据信息。
(三)网络安全态势评估。
是网络安全态势感知的核心。采用适合网络系统本身的评估模型,通过网络攻击、威胁事件发生的频率和受到的威胁程度对当前和今后的网络安全态势进行分析和预测,反映网络系统的安全态势情况,安全为管理员提供安全参考信息。
(四)响应和预警。
根据网络安全态势给出的态势结果,不仅对即将发生网络安全事件做出相应的响应和防御措施,达到主动防御的功能,而且要通过对历史的网络安全态势感知数据和当前的网络安全态势感知数据进行比较和分析,预判未来的安全态势趋势,为以后的网络安全管理提供决策和参考。
(五)网络安全态势可视化显示。
传统的文本数据形式不能直观明了的将网络安全态势结果反馈给用户。将大量抽象数据以动态图形化显示当前网络安全态势数据,方便用户查看。
(六)过程优化控制和管理。
对网络安全态势体系结构的整个流程进行优化控制和管理,将可视化结果反馈到过程优化和管理控制模块中,实现整个系统的动态优化。
四、网络安全态势评估
网络安全态势评估是网络安全态势技术在网络安全管理中重要的一项内容,是达到网络安全主动防御的重要技术。它可以更加高效的实施网络安全监控,准确、实时的掌握网络安全态势。 (一)网络安全态势评估的主要作用。
1.计算态势值,判断网络运行是否处于安全状态。
实时的对网络设备的报警信息进行数据关联分析,通过数据融合和挖掘技术得到反映网络安全运行状态的态势值反馈给网络管理员。网络安全态势值能够反映当前网络运行的特性,是对某些网络安全事件发生概率的估计。[5]当安全事件发生的频率、威胁程度发生变化时,态势值也会随之发生特征性的变化。通过对网络正常状态下的态势值和当前的态势值进行对比或者通过计算它们两者数据值之间的差别,网络管理员可以通过态势值的变化来判断网络是否受到攻击和威胁以及威胁的程度。
2.态势预测。
通过网络安全评估方法和安全态势值相结合的方法,已知在N时刻发生的网络事件,预测N+1……N+N可能发生的网络事件,并分析整理出网络安全态势报告和态势图,告知管理员可能发生的安全问题,并且提供相应的解决方案。
3.威胁评估。
威胁评估是建立在网络态势评估的基础上,主要是评估恶意的攻击行为对网络安全造成的威胁和破坏程度。和网络评估构成了网络安全评估的整体。
(二)网络安全态势的评估方法。
评估方法的优劣是影响评估结果准确性的重要因素之一。目前,关于网络安全态势的评估方法有很多种。但是,它们之间比没有根本性的好坏之分。评估方法的选择关键是要根据网络的规模、应用系统的复杂度、要实现的安全目标等元素来决定。因此,网络安全态势的评估方法可分为定性、定量、综合、基于模型四类评估方法。
1.定性的评估方法。
主要通过一些非量化的材料,以对调查对象调查后做出的记录为基本资料,利用理论推导的方式对资料进行整理,对当前的网络状态做出评判。优点是评估的结果全面准确,但是评估结果的主观性比较强,对评估者有较高的要求。
2.定量的评估方法。
通过数据对网络的安全态势进行评估。它可以对网络攻击事件发生的概率、当前网络的安全状态、网络系统的脆弱性进行量化分析。这种评估方式的優点是用客观的数值以直观的方式对网络的评估结果进行展示。
3.综合评估方法。
当网络系统结构比较复杂时,采用单一的定量或定性的评估方法可能得不到全面、准确的评估结果。而通过定量和定性相结合的方法能够充分的利用两者的优点,有效的减少各自的缺陷,得到理想的结果。
4.基于模型的评估方法。
基于模型的评估也是一种常用的网络态势评估方法。这种方法不仅可以评估出系统本身体系结构中存在的危险因素,而且也可以发现系统与外界交互的过程中的异常行为,最终完成网络系统脆弱性和安全性的评估。常见的应用形式有基于角色访问的控制模型、信息流模型等。这种评估方法的缺点是规则的提取较为复杂,在一定程度上限制了应用的推广。
五、网络安全态势评估数学建模
根据网络系统提供的所有网络系统服务的数量和每一种服务所受到的网络攻击、威胁程度的不同,对网络安全态势建立评估模型。在t(根据系统处理数据的能力,t尽量的小)时间段内,网络系统所提供的N种数量的服务用标示(1≤i≤n)。第Si种服务在网络系统提供服务所占比例Bi的集合(1≤i≤n)。每种网络服务所受到的攻击种类数用C标示,如Si 受到X种类型的攻击则用 Cip表示(1≤p≤x)。第I种网络服务所受到Cip攻击的次数用Nip标示。Cip的威胁程度用Tip表示,其值由攻击所属类型决定。
定义:函数F(S、B、C、N、T)=
在函数中1≤i≤n,1≤p≤x。为了更好的反映出网络态势的威胁等级,用10Tip 计算攻击的威胁程度。函数F(S、B、C、N、T)的值越大,表明网络受到的威胁程度越高。管理员应该加以重视。
参考文献:
[1] 席荣荣,云晓春,金舒原等;网络安全态势感知研究综述[J];计算机应用,2012(01):1-4
[2] 赖积保,王慧强,金爽;基于Netflow的网络安全态势感知系统研究[J];计算机应用研究,2007(08):167-169
[3]ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society,1988:97-101.
[4]陈彦德,赵陆文,王琼等;网络安全态势感知系统结构研究[J];计算机工程与应用,2008,44(1):100-102
[5] 贾美娟,于海涛,蒋庆丰等;态势感知技术在网络安全中的应用[J];科技创新与应用,2012(01):56
作者简介:徐岩(1983-),男,河南驻马店市人,驻马店技师学院助理讲师。
关键词:网络安全;态势感知;系统结构;态势评估
中图分类号:TP393 文献标识码:A 文章编号:1671-864X(2016)05-0299-02
近年来,随着威胁网络安全的事件频繁发生,大量的计算机被病毒和木马入侵,计算机网络的安全性面临严峻挑战,网络安全形势不容乐观。为了增强计算机网络的安全性和防护能力,网络管理人员通过部署入侵检测系统、防火墙、防病毒软件等措施构筑起一道道安全防线。但是,随着网络的复杂性和不确定性的增加,这些防护单元只是被动的从某个方面或用单一方法进行孤立的防护,并且无法进行协同工作,很难在大规模网络中有好的防护效果。同时在防护过程中会不断产生大量的安全日志和报警信息,这使管理人员无法快捷、高效的分析出网络安全的重要变化情况,也无法预测未来的攻击和潜在的威胁。如何在动态复杂的网络中使被动网络安全防护转变为积极的主动防御,能够迅速有效的分析评估网络安全的变化情况,是未来网络安全研究的重点。针对以上情况,本文将集数据融合和数据挖掘技术的网络安全态势感知应用到网络安全管理中,网络管理者通过安全态势感知技术了解网络安全变化趋势,及时有效的做出安全决策,为管理者增强网络安全防护性提供参考依据,改善当前网络安全管理的不足,减轻了网络管理的代价。
一、网络态势感知简介
态势感知最早发源于《孙子兵法》的“知己知彼,百战不殆”理念。首次提出于一战,在越战和朝鲜战争中被美国空军研究。网络态势感知被应用于信息安全领域始于20世纪90年代。目前广泛应用于军事、电力、通讯、网络信息安全等领域。
态势感知就是在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测[1],网络态势感知是指在大规模网络系统中,对能够引起网络态势发生变化的安全因素进行获取、理解、显示以及预测未来的发展趋势。在具体的网络应用中,网络态势感知可以理解为通过数据融合、数据挖掘等技术对网络攻击入侵行为进行检测,通过网络态势感知评估体系,从宏观整体上动态的反映出当前的网络状态,对未来的网络安全状况发展趋势进行预判,并对可能的安全威胁做到提前预防。
二、网络安全态势中的关键技术
(一)数据简约。
原始数据中包含大量的虚假报警信息和冗余数据,為了精简在网络中传输的数据总量,防止数据泛滥,提高态势系统的分析、处理数据效能,通过数据简约技术去除一些无用的冗余信息。数据简约包括数据属性简约、数据值简约、数据属性值域缩减等内容。
(二)数据挖掘。
数据挖掘就是从大量模糊、不完全的原始数据中发现有规律、有实际应用价值的信息过程。在网络安全态势中应用数据挖掘技术可以从海量的数据中发现有用的潜在信息,便于检测出潜在的网络安全威胁。数据挖掘实际上是一种数据属性的归纳,将底层的数据信息按照一定的属性向上归并。常用的数据挖掘方法有:分布式、基于遗传算法、粗糙集等挖掘方式。在对数据进行挖掘处理过程中,需要耗费一定的时间和资源,因此在保证实时性方面有一定的难度。
(三)数据融合。
数据融合就是通过对网络中的多源信息数据进行监控、关联、重组、分析等综合处理,从而得到更为准确的网络安全状态信息。通过数据融合技术可以很好的解决入侵检测系统的误报率高的缺陷的问题,并加强了DDoS[2]检测率。和数据挖掘不同,数据融合具有对数据的实时处理的功能。
三、网络安全态势体系结构
网络安全态势体系结构的建立是应用网络安全态势技术应用的关键,直接影响网络安全态势系统性能的应用效果。通过结合JDL模型和Endsley[3]所给定的网络安全态势感知模型,以及对体系结构组件间的关联管理进行定量的研究,本文设计了网络安全态势感知的系统框架结构[4]。该体系结构以层次化结构为主,直观简单,主要分为6部分。
(一)原始数据的采集和预处理。
网络安全态势感知系统从分布在网络系统中的防火墙、入侵检测系统和防病毒软件等各种网络防护软件中获取采集各种日志数据。但这些数据中包含大量的冗余数据和错误、虚假报警信息,并且数据格式各不相同,预处理技术要对这些数据信息进行筛选、简约、异构数据格式的转换和存储,为以后的安全评估和预警做好数据准备。
(二)事件关联。
利用数据融合和挖掘技术对收集到的数据进行关联分析,消除冗余的数据信息,提取和整合出对网络安全存在威胁的相关联数据信息。
(三)网络安全态势评估。
是网络安全态势感知的核心。采用适合网络系统本身的评估模型,通过网络攻击、威胁事件发生的频率和受到的威胁程度对当前和今后的网络安全态势进行分析和预测,反映网络系统的安全态势情况,安全为管理员提供安全参考信息。
(四)响应和预警。
根据网络安全态势给出的态势结果,不仅对即将发生网络安全事件做出相应的响应和防御措施,达到主动防御的功能,而且要通过对历史的网络安全态势感知数据和当前的网络安全态势感知数据进行比较和分析,预判未来的安全态势趋势,为以后的网络安全管理提供决策和参考。
(五)网络安全态势可视化显示。
传统的文本数据形式不能直观明了的将网络安全态势结果反馈给用户。将大量抽象数据以动态图形化显示当前网络安全态势数据,方便用户查看。
(六)过程优化控制和管理。
对网络安全态势体系结构的整个流程进行优化控制和管理,将可视化结果反馈到过程优化和管理控制模块中,实现整个系统的动态优化。
四、网络安全态势评估
网络安全态势评估是网络安全态势技术在网络安全管理中重要的一项内容,是达到网络安全主动防御的重要技术。它可以更加高效的实施网络安全监控,准确、实时的掌握网络安全态势。 (一)网络安全态势评估的主要作用。
1.计算态势值,判断网络运行是否处于安全状态。
实时的对网络设备的报警信息进行数据关联分析,通过数据融合和挖掘技术得到反映网络安全运行状态的态势值反馈给网络管理员。网络安全态势值能够反映当前网络运行的特性,是对某些网络安全事件发生概率的估计。[5]当安全事件发生的频率、威胁程度发生变化时,态势值也会随之发生特征性的变化。通过对网络正常状态下的态势值和当前的态势值进行对比或者通过计算它们两者数据值之间的差别,网络管理员可以通过态势值的变化来判断网络是否受到攻击和威胁以及威胁的程度。
2.态势预测。
通过网络安全评估方法和安全态势值相结合的方法,已知在N时刻发生的网络事件,预测N+1……N+N可能发生的网络事件,并分析整理出网络安全态势报告和态势图,告知管理员可能发生的安全问题,并且提供相应的解决方案。
3.威胁评估。
威胁评估是建立在网络态势评估的基础上,主要是评估恶意的攻击行为对网络安全造成的威胁和破坏程度。和网络评估构成了网络安全评估的整体。
(二)网络安全态势的评估方法。
评估方法的优劣是影响评估结果准确性的重要因素之一。目前,关于网络安全态势的评估方法有很多种。但是,它们之间比没有根本性的好坏之分。评估方法的选择关键是要根据网络的规模、应用系统的复杂度、要实现的安全目标等元素来决定。因此,网络安全态势的评估方法可分为定性、定量、综合、基于模型四类评估方法。
1.定性的评估方法。
主要通过一些非量化的材料,以对调查对象调查后做出的记录为基本资料,利用理论推导的方式对资料进行整理,对当前的网络状态做出评判。优点是评估的结果全面准确,但是评估结果的主观性比较强,对评估者有较高的要求。
2.定量的评估方法。
通过数据对网络的安全态势进行评估。它可以对网络攻击事件发生的概率、当前网络的安全状态、网络系统的脆弱性进行量化分析。这种评估方式的優点是用客观的数值以直观的方式对网络的评估结果进行展示。
3.综合评估方法。
当网络系统结构比较复杂时,采用单一的定量或定性的评估方法可能得不到全面、准确的评估结果。而通过定量和定性相结合的方法能够充分的利用两者的优点,有效的减少各自的缺陷,得到理想的结果。
4.基于模型的评估方法。
基于模型的评估也是一种常用的网络态势评估方法。这种方法不仅可以评估出系统本身体系结构中存在的危险因素,而且也可以发现系统与外界交互的过程中的异常行为,最终完成网络系统脆弱性和安全性的评估。常见的应用形式有基于角色访问的控制模型、信息流模型等。这种评估方法的缺点是规则的提取较为复杂,在一定程度上限制了应用的推广。
五、网络安全态势评估数学建模
根据网络系统提供的所有网络系统服务的数量和每一种服务所受到的网络攻击、威胁程度的不同,对网络安全态势建立评估模型。在t(根据系统处理数据的能力,t尽量的小)时间段内,网络系统所提供的N种数量的服务用标示(1≤i≤n)。第Si种服务在网络系统提供服务所占比例Bi的集合(1≤i≤n)。每种网络服务所受到的攻击种类数用C标示,如Si 受到X种类型的攻击则用 Cip表示(1≤p≤x)。第I种网络服务所受到Cip攻击的次数用Nip标示。Cip的威胁程度用Tip表示,其值由攻击所属类型决定。
定义:函数F(S、B、C、N、T)=
在函数中1≤i≤n,1≤p≤x。为了更好的反映出网络态势的威胁等级,用10Tip 计算攻击的威胁程度。函数F(S、B、C、N、T)的值越大,表明网络受到的威胁程度越高。管理员应该加以重视。
参考文献:
[1] 席荣荣,云晓春,金舒原等;网络安全态势感知研究综述[J];计算机应用,2012(01):1-4
[2] 赖积保,王慧强,金爽;基于Netflow的网络安全态势感知系统研究[J];计算机应用研究,2007(08):167-169
[3]ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society,1988:97-101.
[4]陈彦德,赵陆文,王琼等;网络安全态势感知系统结构研究[J];计算机工程与应用,2008,44(1):100-102
[5] 贾美娟,于海涛,蒋庆丰等;态势感知技术在网络安全中的应用[J];科技创新与应用,2012(01):56
作者简介:徐岩(1983-),男,河南驻马店市人,驻马店技师学院助理讲师。