论文部分内容阅读
【摘 要】在计算机网络技术不断发展的今天,网络安全管理日趋为人们所重视,态势感知为管理者提供了一种宏观安全管理,由于该领域尚处于初级阶段,因此缺乏统一的规范和认知。本文主要是在Endsley研究成果的基础上,对可扩展网络安全态势感知模型进行分析,在态势数据处理中,引用时空知识库进行规范态势提取,并进行建模。通过大量实验证明,该模型具有一定的实用性和效率性。
【关键词】可扩展;网络安全;态势;优化设计
现在,网络安全态势感知还是缺乏一个标准进行规范,由于各研究领域对态势感知的理解不同,使得态势感知实现方式呈现出多元化的现象。本文主要对业内成熟的Endsley态势模型在网络安全领域的作用,加以改进使之成为态势感知领域内实用的网络安全方案。
1、基本概念
本文主要用三个概念对态势提取的过程进行规范:定义1:时空知识库:将态势提取过程中的时间和空间专家知识的表示,存储形式是哈希表。定义2:严重度知识库:是态势提取过程中的入侵或攻击的专家描述,存储形式为哈希表。定义3:权重分配函数:是对定义1及定义2的专家的知识函数表现。利用攻击严重度指标、Timelndex和Spacelndex为参数,从而获得权重系数。
2、态势模型分析及框架设计
2.1态势模型与过程框架
网络安全领域中的底层事件和ESM处理的事件是不同的,但是ESM数据处理的过程可以借鉴到网络安全态势分析中。ESM对环境对象定义为威胁单元,多个威胁单元构成一个组,该组包括感兴趣的参数。许多威胁单元共同用作态势提取的模块,与历史态势进行比对,从而获取态势信息。按照ESM的运行过程,提出网络安全态势提取框架,如图1.
对态势分析的过程中,根据攻击的严重度可以讲网络攻击分为高危、中危、低危及位置威胁,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4类威胁单元来划分表示,四类威胁单元共同构成网络安全的总体态势,则有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上两式中,t表示评估时序;Count表示评估时间内的统计值;Timelndex与Spacelndex则表示攻击的时间与空间要素。则有某威胁单元特定时段内的态势:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)与Ws(Spacelndcx)是时间与空间权重系数分配函数结果。根据以上计算过程,得出态势的提取过程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受网络攻击程度的影响,一次高危攻击的危害要比三次低级别攻击的危害大。那么态势提取的过程是符合实际情况的,即(4)可以变化为:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域划分及指标分配
根据信任等级的不同,常常对网络系统划分不同的安全域或建立信任级别。在不同安全域受到攻击的视乎,对网络造成的危害是不一样的。一般用威胁单元中的Spacelndex表示不同的安全域,也用这一参数来作为WCAF的输入,然后获取不同安全域的重要性指标。根据以上内容,可以划分不同的安全域,其规则如表1:
2.3告警融合模块
网络中存在一些系統固件在以往运行中会产生大量的冗余低危报警。如果不将这些冗余信息处理掉,在大量的低危告警的存在下,系统对高危攻击的态势分析就会失去准确的辨别能力。本文主要介绍滑动时间窗的方式来过滤掉冗余的低危告警信息,这种方式是根据不同长度时间窗的比较来去除冗余的效果,这样就可以保证在对冗余信息进行消除的同时而保留有用的信息。
3、实验仿真及评估
3.1数据采集及预处理
根据以上设计进行仿真实验,如图2所示,局域网可以和互联网直接相连,并且有OA、Web及Proxy等服务内容。根据主机资源及部署的服务的重要性,就可以对该网段进行安全域的划分,可以划分其为两个安全域,标记为安全域1和安全域2,分别表示为SZ-1和SZ-2。
根据实验目的,对数据首先进行采集,以五天为一个采集单元,共获取305000条数据信息。对五天的数据随机挑选三天的数据进行分析,分别表示为Day1#、Day2#和Day3#,然后对原始数据进行冗余处理,再对数据进行预处理。表2为预处理前的数据分布。如果选择20s与30s当作时间窗长度,那么数据约减的效果不是很明显。所以选择20s作为时间窗的长度。
在态势分析中,TimeIndex与Spaeelndex按照安全域划分与评估间隔来定,此次实验将评估周期定为1天,按照小时来划分Timelndex分配,即1至24,然后将评估间隔的重要度按照网络流量的等级划分为3个等级。
表3为评估间隔重要性等级,WC表示归一化的量化权重系数,安全域的划分参照表1。
3.2仿真结果
Day1#中严重度系数分配的前后如图3a和图3b显示。因为Day1#中出现的高危攻击要比相应间隔的中低危告警要少的多,也就是说,图3a中的低危态势表现要严重与高危和中危态势。这就说明,在对统计值进行建立时,对网络攻击中的严重度无法准确的进行评估。图3b反应了网络安全态势的严重度系数分配突出高危攻击的影响。
与图3表述相一致,图4中a和b也表示严重度系数,不同的是安全域是SZ-2,与图3a面临的问题相似,图4a也反应了低危攻击比高危和中危攻击严重,例如在Day1#数据中,第10、15与19小时都发生了高危攻击,但是,这些高危攻击在图4a中,完全淹没在低危告警中,图4b中则完全显示出高危态势的变化。
在将SpaceIndex引入SZ-1和SZ-2前后,总体安全态势如图5a和图5b的变化。在周期评估时,比较接近的是SZ-1中的攻击分布和攻击数量和SZ-2比较接近。所以在引入SpaceIndex之前,二者的态势曲线是最为接近的,但是不同的是SZ-1中的主机和服务要比SZ-2中的主机和服务重要,因此,如果对两个安全域同时进行攻击时,两个安全域所在的网络系统受到的影响是完全不同的,只有在引入Spacelndex后,才能体现出态势的变化,如图5b。
图6a中,主要是对Day2#总体态势变化和不同安全域的态势变化进行比较,从图中可以看出,总体态势的变化主要是有SZ-2所决定的。在特定时段内,SZ-2的变化并未引起SZ-1的态势变化而被忽视。该思想在图6b中Day3#数据中也被验证。
4、结论
根据以上实验,结果符合初衷,可是效果也有利于用户发现风险。在大量中低危告警中,高危告警还是能决定态势变化,所以,高级别态势变化对整体态势变化还是有着决定性的作用。
参考文献
[1]董守玲,谭彦,张凌.一个通用可扩展的网络安全策略管理系统[J].大连理工大学学报.2005(z1).
【关键词】可扩展;网络安全;态势;优化设计
现在,网络安全态势感知还是缺乏一个标准进行规范,由于各研究领域对态势感知的理解不同,使得态势感知实现方式呈现出多元化的现象。本文主要对业内成熟的Endsley态势模型在网络安全领域的作用,加以改进使之成为态势感知领域内实用的网络安全方案。
1、基本概念
本文主要用三个概念对态势提取的过程进行规范:定义1:时空知识库:将态势提取过程中的时间和空间专家知识的表示,存储形式是哈希表。定义2:严重度知识库:是态势提取过程中的入侵或攻击的专家描述,存储形式为哈希表。定义3:权重分配函数:是对定义1及定义2的专家的知识函数表现。利用攻击严重度指标、Timelndex和Spacelndex为参数,从而获得权重系数。
2、态势模型分析及框架设计
2.1态势模型与过程框架
网络安全领域中的底层事件和ESM处理的事件是不同的,但是ESM数据处理的过程可以借鉴到网络安全态势分析中。ESM对环境对象定义为威胁单元,多个威胁单元构成一个组,该组包括感兴趣的参数。许多威胁单元共同用作态势提取的模块,与历史态势进行比对,从而获取态势信息。按照ESM的运行过程,提出网络安全态势提取框架,如图1.
对态势分析的过程中,根据攻击的严重度可以讲网络攻击分为高危、中危、低危及位置威胁,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4类威胁单元来划分表示,四类威胁单元共同构成网络安全的总体态势,则有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上两式中,t表示评估时序;Count表示评估时间内的统计值;Timelndex与Spacelndex则表示攻击的时间与空间要素。则有某威胁单元特定时段内的态势:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)与Ws(Spacelndcx)是时间与空间权重系数分配函数结果。根据以上计算过程,得出态势的提取过程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受网络攻击程度的影响,一次高危攻击的危害要比三次低级别攻击的危害大。那么态势提取的过程是符合实际情况的,即(4)可以变化为:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域划分及指标分配
根据信任等级的不同,常常对网络系统划分不同的安全域或建立信任级别。在不同安全域受到攻击的视乎,对网络造成的危害是不一样的。一般用威胁单元中的Spacelndex表示不同的安全域,也用这一参数来作为WCAF的输入,然后获取不同安全域的重要性指标。根据以上内容,可以划分不同的安全域,其规则如表1:
2.3告警融合模块
网络中存在一些系統固件在以往运行中会产生大量的冗余低危报警。如果不将这些冗余信息处理掉,在大量的低危告警的存在下,系统对高危攻击的态势分析就会失去准确的辨别能力。本文主要介绍滑动时间窗的方式来过滤掉冗余的低危告警信息,这种方式是根据不同长度时间窗的比较来去除冗余的效果,这样就可以保证在对冗余信息进行消除的同时而保留有用的信息。
3、实验仿真及评估
3.1数据采集及预处理
根据以上设计进行仿真实验,如图2所示,局域网可以和互联网直接相连,并且有OA、Web及Proxy等服务内容。根据主机资源及部署的服务的重要性,就可以对该网段进行安全域的划分,可以划分其为两个安全域,标记为安全域1和安全域2,分别表示为SZ-1和SZ-2。
根据实验目的,对数据首先进行采集,以五天为一个采集单元,共获取305000条数据信息。对五天的数据随机挑选三天的数据进行分析,分别表示为Day1#、Day2#和Day3#,然后对原始数据进行冗余处理,再对数据进行预处理。表2为预处理前的数据分布。如果选择20s与30s当作时间窗长度,那么数据约减的效果不是很明显。所以选择20s作为时间窗的长度。
在态势分析中,TimeIndex与Spaeelndex按照安全域划分与评估间隔来定,此次实验将评估周期定为1天,按照小时来划分Timelndex分配,即1至24,然后将评估间隔的重要度按照网络流量的等级划分为3个等级。
表3为评估间隔重要性等级,WC表示归一化的量化权重系数,安全域的划分参照表1。
3.2仿真结果
Day1#中严重度系数分配的前后如图3a和图3b显示。因为Day1#中出现的高危攻击要比相应间隔的中低危告警要少的多,也就是说,图3a中的低危态势表现要严重与高危和中危态势。这就说明,在对统计值进行建立时,对网络攻击中的严重度无法准确的进行评估。图3b反应了网络安全态势的严重度系数分配突出高危攻击的影响。
与图3表述相一致,图4中a和b也表示严重度系数,不同的是安全域是SZ-2,与图3a面临的问题相似,图4a也反应了低危攻击比高危和中危攻击严重,例如在Day1#数据中,第10、15与19小时都发生了高危攻击,但是,这些高危攻击在图4a中,完全淹没在低危告警中,图4b中则完全显示出高危态势的变化。
在将SpaceIndex引入SZ-1和SZ-2前后,总体安全态势如图5a和图5b的变化。在周期评估时,比较接近的是SZ-1中的攻击分布和攻击数量和SZ-2比较接近。所以在引入SpaceIndex之前,二者的态势曲线是最为接近的,但是不同的是SZ-1中的主机和服务要比SZ-2中的主机和服务重要,因此,如果对两个安全域同时进行攻击时,两个安全域所在的网络系统受到的影响是完全不同的,只有在引入Spacelndex后,才能体现出态势的变化,如图5b。
图6a中,主要是对Day2#总体态势变化和不同安全域的态势变化进行比较,从图中可以看出,总体态势的变化主要是有SZ-2所决定的。在特定时段内,SZ-2的变化并未引起SZ-1的态势变化而被忽视。该思想在图6b中Day3#数据中也被验证。
4、结论
根据以上实验,结果符合初衷,可是效果也有利于用户发现风险。在大量中低危告警中,高危告警还是能决定态势变化,所以,高级别态势变化对整体态势变化还是有着决定性的作用。
参考文献
[1]董守玲,谭彦,张凌.一个通用可扩展的网络安全策略管理系统[J].大连理工大学学报.2005(z1).