论文部分内容阅读
摘要:随着社会经济的高速运转,生产力及生产水平的日益提升,使我国逐步进入信息化时代。信息化技术在各行业领域中得到了广泛的应用,但当前我国针对网络资源的管理环节存在一定的缺陷,即难以通过资源图体现出网络资源的微妙变化及对网络系统中各个节点的多方面影响。因此,在资源分析过程中采用新型的评估分析方法具有重要意义。
关键词:变点检测;网络移动目标;应用;措施
时下,我国信息化技术得到了长足的进步,且已成为部门企事业单位进行工作的重要工具,因其方便快捷、节省人力的特点,使其在各行业领域中得以广泛应用。因此,新型网络评估分析方法在保障网络安全的工作中显得尤为重要。
一、我国当前网络环境发展现状
21世纪我国生产力与生产水平呈逐年上升趋势,人民生活水平日益提升,经济产业机构的合理化调整,加之各类新型技术的投资科研力度增强,使我国经济水平得到了长足的进步。我国当前互联网、计算机、信息化技术覆盖领域较大,且计算机技术与传统技术相比更易掌握,这也导致了我国网络安全问题频发,传统的网络安全技术手段已难以满足日益增长的网络环境需求。除此以外,利用计算机网络技术进行网络攻击的低沉本、低入门使得网络黑客攻击事件频频发生,在对计算机用户的主机进行侵入,恶意窃取、破坏、更改其内部数据信息;个别不法分子利用计算机病毒勒索软件等对用户电脑进行攻击;境外不法分子利用黑客技术试图侵入我国政府部门的数据库,窃取机密信息等现象,严重威胁了我国网络安全环境。且时下我国的计算机网络存在一定的局限性,且各个网络漏洞间存在共同点,这也使网络不法分子有机可乘,利用同种技术即可侵入不同的计算机系统中,对系统内部进行破坏,同时能够轻易地对整体网络系统展开全面入侵。各类网络入侵方法日益多样,现有的计算机网络防御技术显得捉襟见肘。
根据当前网络系统的防御相对脆弱的特点,我国网络安全领域逐步研发了移动目标防御技术,此项技术的内在含义在于,通过高频率、新内容、多种类型的防御系统进行动态防御,转变传统网络系统防护措施的被动性与单一性,使网络入侵、破坏行为的难度增加,有效降低系统存在的漏洞,减少各个漏洞间的一致性特点,采用多层次、立体化、动态画的防御体系。此项技术的具体工作重心在于,不断更新变化防御体系,以多样化、复杂化的防御措施及多变的防御内容增强网络系统整体的防入侵、防破坏的能力。值得注意的是,此项技术问世时间较短,研发起步阶段较晚,缺乏历史经验的指导,其防御水平与安全性能尚有待考察,但仍不失有效降低网络攻击现象的有效措施。
二、网络系统资源
(一)网络攻击图与网络资源图
网络攻击图(AG,attackgraph)是一种通过图形表达可能的攻击路径、系统状态转移关系的方法,用以描述潜在入侵路径。现有攻击图主要分为状态攻击图和属性攻击图这2类。状态攻击图的每个节点代表系统全局状态,随着网络规模的增大,它存在创建效率低、易引发组合空间爆炸的问题。
(二)通用脆弱性评分系统
通用脆弱性评分系统[20](CVSS,commonvul-nerabilityscoringsystem)是一個由公共发起的,旨在度量和量化脆弱性及其影响的平台。CVSS通过提供全部评估参数细节,让使用者了解总体度量的由来,实现评估架构的广泛开放;通过采用无关应用的框架结构让所有脆弱性度量都可以采用同一个框架,实现评分标准的规范统一;通过动态度量集合结合脆弱性的实际环境,实现对资源脆弱性本体利用难易度的量化。如图1所示,CVSS主要由基本度量集合(BMG,basemetricgroup)、时变度量集合(TMG,temporalmetricgroup)和环境度量集合(EMG,environmentalmetricgroup)3个部分组成。其中,BMG度量了资源脆弱性固有的基本属性,它不随时间和环境的改变而改变;TMG和EMG则分别度量了资源脆弱性随时间和环境变化而变化的属性。
三、基于分层资源图的变点检测与标准化度量算法
基于变点检测的网络移动目标防御效能评估方法将分层的思想引入网络资源图,定义了分层网络资源图(MRG,multi-layernetworkresourceraph),算法以分层网络资源图为基础,通过检测和度量变点的改变量进而分析实施NMTD的效能。其整体架构如图2所示,它由分层资源图构建与更新、变点检测与标准化度量以及效能评估3个部分组成。
(一)分层网络资源图的构建与更新
对资源脆弱性的改变和节点安全状态转换之间缺乏映射关系的问题,定义了分层资源图的概念。它将网络资源图分为资源层和节点层,资源层描述了恶意敌手在一个节点内利用脆弱性入侵的所有可能偏序关系;节点层描述了由于恶意敌手入侵或者NMTD跳变导致的网络节点状态转移。网络逻辑拓扑示例如图3所示。
(二)移动目标防御措施分析
针对现有NMTD效能评估方法存在的评估过程失真和评估结果存在偏差的问题,本文提出了一种新的网络移动目标防御效能评估方法。该方法基于资源脆弱性的变点检测,通过分层网络资源图将网络资源图抽象为节点层和资源层,在建立资源脆弱性改变和节点安全状态转换关联关系的同时,保证了网络资源图构建和更新的高效。该评估方法设计了变点检测与标准化度量算法,通过对目标网络中任务模板和攻击模板的变点进行实时检测,并将攻防双方对资源脆弱性的影响因素加入到可变特性中进行动态度量,从而提高评估的准确性。
四、结语
综上所述,将移动目标防御措施应用于网络安全系统维护中是当前网络环境发展的内在要求,同时也是净化网络环境,优化网络系统的重要举措。上文中所列举的不同类型的评估措施均具有其各自的优势及劣势,通过对其优越性能进行强化,对其缺陷出予以修正,能够有效降低网络系统防御的投入成本,提升整体的系统防御性能。在保障变点检测过程中防御体系安全性能的同时,有效解决我国网络的安全问题,从而为净化网络环境,优化网络体系打下坚实的基础。
参考文献:
[1]雷程,马多贺,张红旗,等.基于变点检测的网络移动目标防御效能评估方法[J].通信学报,2017,38(1):126-140.
[2]马多贺.网络移动目标防御模型及其关键技术研究[D].中国科学院大学,2015.
[3]马迁.基于灰色关联分析的数据链网络效能评估方法[J].科技创新与应用,2015(24):30-31.
关键词:变点检测;网络移动目标;应用;措施
时下,我国信息化技术得到了长足的进步,且已成为部门企事业单位进行工作的重要工具,因其方便快捷、节省人力的特点,使其在各行业领域中得以广泛应用。因此,新型网络评估分析方法在保障网络安全的工作中显得尤为重要。
一、我国当前网络环境发展现状
21世纪我国生产力与生产水平呈逐年上升趋势,人民生活水平日益提升,经济产业机构的合理化调整,加之各类新型技术的投资科研力度增强,使我国经济水平得到了长足的进步。我国当前互联网、计算机、信息化技术覆盖领域较大,且计算机技术与传统技术相比更易掌握,这也导致了我国网络安全问题频发,传统的网络安全技术手段已难以满足日益增长的网络环境需求。除此以外,利用计算机网络技术进行网络攻击的低沉本、低入门使得网络黑客攻击事件频频发生,在对计算机用户的主机进行侵入,恶意窃取、破坏、更改其内部数据信息;个别不法分子利用计算机病毒勒索软件等对用户电脑进行攻击;境外不法分子利用黑客技术试图侵入我国政府部门的数据库,窃取机密信息等现象,严重威胁了我国网络安全环境。且时下我国的计算机网络存在一定的局限性,且各个网络漏洞间存在共同点,这也使网络不法分子有机可乘,利用同种技术即可侵入不同的计算机系统中,对系统内部进行破坏,同时能够轻易地对整体网络系统展开全面入侵。各类网络入侵方法日益多样,现有的计算机网络防御技术显得捉襟见肘。
根据当前网络系统的防御相对脆弱的特点,我国网络安全领域逐步研发了移动目标防御技术,此项技术的内在含义在于,通过高频率、新内容、多种类型的防御系统进行动态防御,转变传统网络系统防护措施的被动性与单一性,使网络入侵、破坏行为的难度增加,有效降低系统存在的漏洞,减少各个漏洞间的一致性特点,采用多层次、立体化、动态画的防御体系。此项技术的具体工作重心在于,不断更新变化防御体系,以多样化、复杂化的防御措施及多变的防御内容增强网络系统整体的防入侵、防破坏的能力。值得注意的是,此项技术问世时间较短,研发起步阶段较晚,缺乏历史经验的指导,其防御水平与安全性能尚有待考察,但仍不失有效降低网络攻击现象的有效措施。
二、网络系统资源
(一)网络攻击图与网络资源图
网络攻击图(AG,attackgraph)是一种通过图形表达可能的攻击路径、系统状态转移关系的方法,用以描述潜在入侵路径。现有攻击图主要分为状态攻击图和属性攻击图这2类。状态攻击图的每个节点代表系统全局状态,随着网络规模的增大,它存在创建效率低、易引发组合空间爆炸的问题。
(二)通用脆弱性评分系统
通用脆弱性评分系统[20](CVSS,commonvul-nerabilityscoringsystem)是一個由公共发起的,旨在度量和量化脆弱性及其影响的平台。CVSS通过提供全部评估参数细节,让使用者了解总体度量的由来,实现评估架构的广泛开放;通过采用无关应用的框架结构让所有脆弱性度量都可以采用同一个框架,实现评分标准的规范统一;通过动态度量集合结合脆弱性的实际环境,实现对资源脆弱性本体利用难易度的量化。如图1所示,CVSS主要由基本度量集合(BMG,basemetricgroup)、时变度量集合(TMG,temporalmetricgroup)和环境度量集合(EMG,environmentalmetricgroup)3个部分组成。其中,BMG度量了资源脆弱性固有的基本属性,它不随时间和环境的改变而改变;TMG和EMG则分别度量了资源脆弱性随时间和环境变化而变化的属性。
三、基于分层资源图的变点检测与标准化度量算法
基于变点检测的网络移动目标防御效能评估方法将分层的思想引入网络资源图,定义了分层网络资源图(MRG,multi-layernetworkresourceraph),算法以分层网络资源图为基础,通过检测和度量变点的改变量进而分析实施NMTD的效能。其整体架构如图2所示,它由分层资源图构建与更新、变点检测与标准化度量以及效能评估3个部分组成。
(一)分层网络资源图的构建与更新
对资源脆弱性的改变和节点安全状态转换之间缺乏映射关系的问题,定义了分层资源图的概念。它将网络资源图分为资源层和节点层,资源层描述了恶意敌手在一个节点内利用脆弱性入侵的所有可能偏序关系;节点层描述了由于恶意敌手入侵或者NMTD跳变导致的网络节点状态转移。网络逻辑拓扑示例如图3所示。
(二)移动目标防御措施分析
针对现有NMTD效能评估方法存在的评估过程失真和评估结果存在偏差的问题,本文提出了一种新的网络移动目标防御效能评估方法。该方法基于资源脆弱性的变点检测,通过分层网络资源图将网络资源图抽象为节点层和资源层,在建立资源脆弱性改变和节点安全状态转换关联关系的同时,保证了网络资源图构建和更新的高效。该评估方法设计了变点检测与标准化度量算法,通过对目标网络中任务模板和攻击模板的变点进行实时检测,并将攻防双方对资源脆弱性的影响因素加入到可变特性中进行动态度量,从而提高评估的准确性。
四、结语
综上所述,将移动目标防御措施应用于网络安全系统维护中是当前网络环境发展的内在要求,同时也是净化网络环境,优化网络系统的重要举措。上文中所列举的不同类型的评估措施均具有其各自的优势及劣势,通过对其优越性能进行强化,对其缺陷出予以修正,能够有效降低网络系统防御的投入成本,提升整体的系统防御性能。在保障变点检测过程中防御体系安全性能的同时,有效解决我国网络的安全问题,从而为净化网络环境,优化网络体系打下坚实的基础。
参考文献:
[1]雷程,马多贺,张红旗,等.基于变点检测的网络移动目标防御效能评估方法[J].通信学报,2017,38(1):126-140.
[2]马多贺.网络移动目标防御模型及其关键技术研究[D].中国科学院大学,2015.
[3]马迁.基于灰色关联分析的数据链网络效能评估方法[J].科技创新与应用,2015(24):30-31.