论文部分内容阅读
本文在已获得的网络安全事件报警信息、拓扑测量信息、IP地址信息、传播路径信息等基础上,实现了大规模网络安全事件综合预警系统的异常事件综合分析子系统,重点探讨了层次化的安全态势威胁量化、控制策略生成和基于介数的控制执行部件部署等关键技术,最后分析结果经可视化处理,取得了较好的应用效果。
关键词:网络拓扑;安全态势;综合预警;安全事件;控制策略
中图分类号:TP393.02
1.绪论
Internet正在持续快速地发展,在应用上进入崭新的多元化阶段,已融入到人们生产、生活、工作、学习的各个角落。然而,网络技术的发展在带来便利的同时,也带来了巨大的安全隐患,特别是Internet大范围的接入,使得越来越多的系统受到入侵攻击的威胁。因此,如何评估网络系统安全态势和及早发现并有效控制网络安全事件的蔓延,已成为目前国内外网络安全专家的研究热点。在此背景下,本文本着主动测量和异常检测相结合的思路,基于网络拓扑设计实现了大规模网络安全事件综合预警系统,评估网络安全态势,解决控制执行部件部署问题并给出控制策略以及对其进行效果评价,有效指导了管理员对网络安全的控制。第二章介绍综合预警系统设计框架;第三章提出控制策略;第四章实现系统提出实现方法。
2.网络综合预警系统概述
NSAS实现以上重要功能是因为构成的四个子系统相互协助,下面将分别介绍四个子系统。
网络安全事件侦测点:分布放置于多个网络出入口,负责检测本地网络的异常事件,并将引发流量异常相关的主机地址、事件类型、严重程度等报警信息写入本地数据库并发送给综合分析子系统。拓扑发现子系统:负责对全局范围内的网络进行拓扑信息收集,并生成路由IP级的网络拓扑连结关系图,该过程应保证低负荷、无入侵性、图生成的高效性。最后,将网络拓扑信息发送至综合分析子系统和可视化子系统。
异常综合分析子系统:综合分析报警信息,量化网络安全威胁指数,提出控制策略,解决控制执行部件如何部署问题。
可视化显示子系统:基于网络拓扑信息和网络事件综合分析结果,显示各级网络拓扑图、网络安全事件宏观分布图、控制點分布图、事件最短传播轨迹图、安全态势趋势图等,以便于网络管理者进行决策。
3.网络安全控制策略生成与评价
3.1基本定义
在层次化安全威胁量化和控制策略生成技术中用到一些基本名词,下面给出定义。
定义1安全事件:一次大规模、恶意网络安全攻击行动,如蠕虫事件。
定义2安全事件预警:在目标网络受到有威胁的安全攻击前进行报警,提醒目标网络进行防护,使目标网络免于或降低损失。
定义3预警响应:及时作出分析、报警和处理,杜绝危害的近一步扩大,也包括审计、追踪、报警和其他事前、事后处理。
定义4安全态势感知与评估:考察网络上所发生的安全事件及其对网络造成的损害或影响;识别、处理、综合发生在重要设施或组织上的关键信息元素的能力;具体过程分解为判断是否发生攻击、发生哪种攻击、谁发起的攻击、所采取的响应效果如何等。
定义5异常事件:引发IDS报警并记录下来的异常行为。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分别表示事件标识符,安全类型,端口号,根据EventTypeID可以从异常事件属性表中得到该事件的破坏程度。SIP,DIP表示源和目的端IP地址,PktNum,ByteNum表示涉及的数据包数量和数据字节数,AlerTime表示报警时间。异常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime<=EndTime}
定义6安全事件损害指数DSE:根据安全事件属性表分类与优先级划分异常事件的攻击损害度。
定义7异常主机AH和异常路由器AR:AH指已经被感染或被攻击的主机。AH(h)={h|h.ip=se.DIP,se ∈SES}。异常路由器是指当且仅当存在主机h,AH(h)而且r=GR(h)。
定义8网关路由器和下属主机:主机h接入Internet的第一条路由器叫做网关路由器,用r=GR(h)表示,而对应的主机h叫做网关路由器r的下属主机,用h=AttachH(r)表示。
定义9边界路由器:路由器r连接两个及以上位于不同自治域系统路由器。
3.2控制点选取算法
由于传统的控制点选取算法存在控制代价过高的问题,所以本文针对异常路由器做大规模扩散控制,提出一种能有效减少控制代价即控制点数量的算法。当路由器r下属主机h感染蠕虫后,r可以通过AccessList访问控制列表限制源IP地址为h的数据包通过来遏制蠕虫的传播,所以异常路由器本身也可以作为控制路由器。当两个异常路由器有一个共同出口时,可以在这个出口做AccessList配置直接控制这两个异常点,这样能减少一个控制点,出于这种的思想,提出一种公共控制点(Commonality Control Route简称CommCtrlRt)算法。
以教育网拓扑信息为背景,应用上述算法,图4-1给出应用效果。黑色节点代表共同控制路由器,红色节点代表异常路由器,灰色点代表异常路由器同时本身也是该点的控制路由器,很显然只要在红色节点和灰色节点上限制异常节点的访问,就可以限制异常事件如蠕虫的传播和扩散。
3.3控制策略
选取控制点只是控制策略的第一步,而在控制点上如何控制更是关键所在。本节将详细介绍在控制路由器上如何部署才能有效控制异常点的传播与扩散。
3.3.1路由器访问控制
Cisco等路由器可以针对上下文做访问控制,即利用AcessList命令拒绝某些IP的通过。例如当需要在路由器上禁止已经被感染的机器192.168.1.2发送有害信息的话,只需要执行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
当需要在路由器上禁止某网段所有机器发送的IP包时,只要执行下述命令就可以禁止网络地址192.168.1.0网络掩码255.255.255.0的256个主机通过路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集中最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。
3.3.2 CBCA控制应用
当网络侦测点报警信息的源IP地址为主机h(P为异常事件攻击端口)时,先通过网络拓扑找到异常主机h的网关路由器r,然后在r上做访问控制,凡是源IP地址为h且端口号为P的所有数据包被拒绝通过,这样就能防止h上异常事件的进一步扩散或者蔓延,假定封锁时间(2007-6-1)为一天,则控制策略为:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range时间过后,该条访问控制自动解封,这减轻了管理员手动解封的负担,而当网络安全态势严重时,可以增加封禁时间。路由器作为网络层最重要的设备,提供了许多手段来控制和维护网络,基于时间的访问表不仅可以控制网络的访问,还可以控制某个时间段的数据流量。
4.系统实现
NSAS主要分为后台异常综合分析Analysis和前台结果可视化FrameVisual两部分。
4.1后台
在RedHat Linux 7.2下采用标准C实现了Analysis和GraphPartion,编译器为gcc,数据库访问接口为Pro*c.
Analysis为开机自动运行的后台程序。它结合网络逻辑拓扑图,分析报警数据库中某种安全事件在网络上的分布状况,根据IP定位信息,显示某种安全事件在地理位置的分布状况,并给出危害程度、传播路径和控制策略。
4.2前台
在WindowsXP下采用VC++6.0实现FrameVisual,用户接口为图形界面,其中,数据输入部分来自Linux的Analysis。FrameVisual把平面可视化的拓扑信息以矢量图的形式显示出来,并实现漫游、放缩;同时可视化Analysis的分析结果。在图形用户界面下,用戶可以进行任务的配置、添加与删除,异常事件的浏览与同步更新,后台程序的启动、暂停、继续以及停止等。
结论
本文主要基于拓扑测量,针对大规模爆发的网络安全事件如蠕虫,探讨如何及早发现并有效控制类似事件的发生、扩散等问题,解决了网络预警系统中异常综合分析子系统的异常事件分析、威胁量化、控制策略生成等关键问题。由于该预警系统不受网络规模的限制,将在大规模网络控制和管理上发挥重要作用,具有广泛的应用前景。
参考文献
[1]黄梅珍.基于分布式入侵检测系统的校园网络安全解决方案.计算机与信息技术,信息化建设,2006,101-104
[2]何慧,胡铭曾,云晓春,张宏莉.网络延迟聚类的宏观预警的检测点放置.通信学报2006,2,27:2 119-124
注:文章内所有公式及图表请以PDF形式查看。
关键词:网络拓扑;安全态势;综合预警;安全事件;控制策略
中图分类号:TP393.02
1.绪论
Internet正在持续快速地发展,在应用上进入崭新的多元化阶段,已融入到人们生产、生活、工作、学习的各个角落。然而,网络技术的发展在带来便利的同时,也带来了巨大的安全隐患,特别是Internet大范围的接入,使得越来越多的系统受到入侵攻击的威胁。因此,如何评估网络系统安全态势和及早发现并有效控制网络安全事件的蔓延,已成为目前国内外网络安全专家的研究热点。在此背景下,本文本着主动测量和异常检测相结合的思路,基于网络拓扑设计实现了大规模网络安全事件综合预警系统,评估网络安全态势,解决控制执行部件部署问题并给出控制策略以及对其进行效果评价,有效指导了管理员对网络安全的控制。第二章介绍综合预警系统设计框架;第三章提出控制策略;第四章实现系统提出实现方法。
2.网络综合预警系统概述
NSAS实现以上重要功能是因为构成的四个子系统相互协助,下面将分别介绍四个子系统。
网络安全事件侦测点:分布放置于多个网络出入口,负责检测本地网络的异常事件,并将引发流量异常相关的主机地址、事件类型、严重程度等报警信息写入本地数据库并发送给综合分析子系统。拓扑发现子系统:负责对全局范围内的网络进行拓扑信息收集,并生成路由IP级的网络拓扑连结关系图,该过程应保证低负荷、无入侵性、图生成的高效性。最后,将网络拓扑信息发送至综合分析子系统和可视化子系统。
异常综合分析子系统:综合分析报警信息,量化网络安全威胁指数,提出控制策略,解决控制执行部件如何部署问题。
可视化显示子系统:基于网络拓扑信息和网络事件综合分析结果,显示各级网络拓扑图、网络安全事件宏观分布图、控制點分布图、事件最短传播轨迹图、安全态势趋势图等,以便于网络管理者进行决策。
3.网络安全控制策略生成与评价
3.1基本定义
在层次化安全威胁量化和控制策略生成技术中用到一些基本名词,下面给出定义。
定义1安全事件:一次大规模、恶意网络安全攻击行动,如蠕虫事件。
定义2安全事件预警:在目标网络受到有威胁的安全攻击前进行报警,提醒目标网络进行防护,使目标网络免于或降低损失。
定义3预警响应:及时作出分析、报警和处理,杜绝危害的近一步扩大,也包括审计、追踪、报警和其他事前、事后处理。
定义4安全态势感知与评估:考察网络上所发生的安全事件及其对网络造成的损害或影响;识别、处理、综合发生在重要设施或组织上的关键信息元素的能力;具体过程分解为判断是否发生攻击、发生哪种攻击、谁发起的攻击、所采取的响应效果如何等。
定义5异常事件:引发IDS报警并记录下来的异常行为。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分别表示事件标识符,安全类型,端口号,根据EventTypeID可以从异常事件属性表中得到该事件的破坏程度。SIP,DIP表示源和目的端IP地址,PktNum,ByteNum表示涉及的数据包数量和数据字节数,AlerTime表示报警时间。异常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime<=EndTime}
定义6安全事件损害指数DSE:根据安全事件属性表分类与优先级划分异常事件的攻击损害度。
定义7异常主机AH和异常路由器AR:AH指已经被感染或被攻击的主机。AH(h)={h|h.ip=se.DIP,se ∈SES}。异常路由器是指当且仅当存在主机h,AH(h)而且r=GR(h)。
定义8网关路由器和下属主机:主机h接入Internet的第一条路由器叫做网关路由器,用r=GR(h)表示,而对应的主机h叫做网关路由器r的下属主机,用h=AttachH(r)表示。
定义9边界路由器:路由器r连接两个及以上位于不同自治域系统路由器。
3.2控制点选取算法
由于传统的控制点选取算法存在控制代价过高的问题,所以本文针对异常路由器做大规模扩散控制,提出一种能有效减少控制代价即控制点数量的算法。当路由器r下属主机h感染蠕虫后,r可以通过AccessList访问控制列表限制源IP地址为h的数据包通过来遏制蠕虫的传播,所以异常路由器本身也可以作为控制路由器。当两个异常路由器有一个共同出口时,可以在这个出口做AccessList配置直接控制这两个异常点,这样能减少一个控制点,出于这种的思想,提出一种公共控制点(Commonality Control Route简称CommCtrlRt)算法。
以教育网拓扑信息为背景,应用上述算法,图4-1给出应用效果。黑色节点代表共同控制路由器,红色节点代表异常路由器,灰色点代表异常路由器同时本身也是该点的控制路由器,很显然只要在红色节点和灰色节点上限制异常节点的访问,就可以限制异常事件如蠕虫的传播和扩散。
3.3控制策略
选取控制点只是控制策略的第一步,而在控制点上如何控制更是关键所在。本节将详细介绍在控制路由器上如何部署才能有效控制异常点的传播与扩散。
3.3.1路由器访问控制
Cisco等路由器可以针对上下文做访问控制,即利用AcessList命令拒绝某些IP的通过。例如当需要在路由器上禁止已经被感染的机器192.168.1.2发送有害信息的话,只需要执行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
当需要在路由器上禁止某网段所有机器发送的IP包时,只要执行下述命令就可以禁止网络地址192.168.1.0网络掩码255.255.255.0的256个主机通过路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集中最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。
3.3.2 CBCA控制应用
当网络侦测点报警信息的源IP地址为主机h(P为异常事件攻击端口)时,先通过网络拓扑找到异常主机h的网关路由器r,然后在r上做访问控制,凡是源IP地址为h且端口号为P的所有数据包被拒绝通过,这样就能防止h上异常事件的进一步扩散或者蔓延,假定封锁时间(2007-6-1)为一天,则控制策略为:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range时间过后,该条访问控制自动解封,这减轻了管理员手动解封的负担,而当网络安全态势严重时,可以增加封禁时间。路由器作为网络层最重要的设备,提供了许多手段来控制和维护网络,基于时间的访问表不仅可以控制网络的访问,还可以控制某个时间段的数据流量。
4.系统实现
NSAS主要分为后台异常综合分析Analysis和前台结果可视化FrameVisual两部分。
4.1后台
在RedHat Linux 7.2下采用标准C实现了Analysis和GraphPartion,编译器为gcc,数据库访问接口为Pro*c.
Analysis为开机自动运行的后台程序。它结合网络逻辑拓扑图,分析报警数据库中某种安全事件在网络上的分布状况,根据IP定位信息,显示某种安全事件在地理位置的分布状况,并给出危害程度、传播路径和控制策略。
4.2前台
在WindowsXP下采用VC++6.0实现FrameVisual,用户接口为图形界面,其中,数据输入部分来自Linux的Analysis。FrameVisual把平面可视化的拓扑信息以矢量图的形式显示出来,并实现漫游、放缩;同时可视化Analysis的分析结果。在图形用户界面下,用戶可以进行任务的配置、添加与删除,异常事件的浏览与同步更新,后台程序的启动、暂停、继续以及停止等。
结论
本文主要基于拓扑测量,针对大规模爆发的网络安全事件如蠕虫,探讨如何及早发现并有效控制类似事件的发生、扩散等问题,解决了网络预警系统中异常综合分析子系统的异常事件分析、威胁量化、控制策略生成等关键问题。由于该预警系统不受网络规模的限制,将在大规模网络控制和管理上发挥重要作用,具有广泛的应用前景。
参考文献
[1]黄梅珍.基于分布式入侵检测系统的校园网络安全解决方案.计算机与信息技术,信息化建设,2006,101-104
[2]何慧,胡铭曾,云晓春,张宏莉.网络延迟聚类的宏观预警的检测点放置.通信学报2006,2,27:2 119-124
注:文章内所有公式及图表请以PDF形式查看。