（计算机科学与技术专业论文）下一代电信网安全态势评估系统设计.pdf

北京邮电大学硕士学位论文 摘要 下一代电信网安全态势评估系统设计 摘要 网络安全态势评估是一种网络安全动态评估技术，是信息安全领 域的一个新方向，对下一代电信网进行网络安全态势评估更是一个新 的领域。下一代电信网安全态势评估系统的设计与实现有利于对下一 代电信网进行动态的风险评估，有利于对下一代电信网的资产进行有 效保护和利用，有利于整个系统的风险管理。它直接关系到网络运营 商能否有效的监控网络上各种脆弱性和威胁，直接关系到整个网络的 安全运维。因此，设计下一代电信网安全态势评估系统是非常必要的。 北京邮电大学网络与交换技术国家重点实验室在承担国家高技 术研究发展计划( 8 6 3 计划) 项目“面向下一代电信网的安全测试评 估技术及工具 ( 课题编号：2 0 0 6 a a 0 1 2 4 4 8 ) 过程中，对下一代电 信网安全态势评估系统进行比较深入的研究，本文即依托于该项目而 展开的。 本文首先阐述了相关的研究背景，接着对下一代电信网安全态势 评估的研究要点做了进一步的介绍，指出了设计面向下一代电信网的 安全态势评估系统的意义所在。接下来，又给出了系统的需求分析及 总体设计并且对风险评估子系统进行了较为深入的研究分析。本文的 最后对动态预警功能进行了模拟实验并给出了相关的示例展示。 关键字下一代电信网安全态势评估风险影响关联图 北京邮电大学硕士学位论文 t h ed e s i g n0 fn e x tg e n e r a r i o n t e l e c o mn e t w o r ks e c u r i t y s i t u a r i o na s s e s s m e n ts y s t e m n e t w o r ks e c u r i t ys i t u a t i o na s s e s s m e n t ，w h i c hi san e wa r e ao f i n f o r m a t i o ns e c u r i t y , i sak i n do fd y n a m i ca s s e s s m e n tt e c h n o l o g y s e c u r i t y s i t u a t i o na s s e s s m e n to r i e n t e dt h en e x tg e n e r a t i o nt e l e c o m n e t w o r k ( n g 聊i s a l s oan e wa r e a t h ed e s i g na n di m p l e m e m t a t i o no ft h e s y s t e mw i l lh e l pt h ea s s e s s m e n to fn g na n dt h er i s km a n a g e m e n to f a s s e t ，s e r v i c ea n dt h es y s t e m i ti sd i r e c t l yr e l a t e dt h a tw h e t h e rt h e o p e r a t o r sw i l lm o n i t o ra l lk i n d so fv u n r a b i l i t ya n dt h r e a te f f e c t i v l ya n d o p e r a t eo ft h ew h o l en e t w o r ks u c c e s s f u l l y s o i t s v e r yi m p o r t a n tt o d e s i g n ag o o ds e c u r i t ys i t u a t i o na s s e s s m e n ts y s t e mf o r t h en e x t g e n e r a t i o nt e l e c o mn e t w o r k s o m er e s e a r c ha b o u ts e c u r i t ya s s e s s m e n ts y s t e mo fn g ni sg o i n go n i nt h en a t i o n a lh i g h - t e c hr e s e a r c hd e v e l o p m e n tp l a n ( t h e8 6 3p r o g r a m ) c a l l e d s e c u r i t ys i t u a t i o na s s e s s m e n tt e c h n o l o g ya n dt o o l so r i e n t e dn e x t g e n e r a t i o nt e l e c o mn e t w o r k ( p r o g r a mn u m b e r ：2 0 0 6 a a 0 1 2 4 4 8 ) i ns t a t e k e yl a b o r a t o r yo fn e t w o r k i n ga n ds w i t c h i n gt e c h n o l o g yo fb e i ji n g u n i v e r s i t yo fp o s t s & t e l e c o m m u n i c a t i o n s ( b u z o t h em a i nw o r k c a r r i e do u to ft h i sp a p e ri sb a s e do nt h i sp r o g r a m t h ep a p e rf i r s ti n t r o d u c e st h er e s e a r c hb a c k g r o u n da n dt h e ng i v e sa m o r ed e t a i l e di n t r o d u c t i o no ft h ep o i n t so fs e c u r i t ys i t u a t i o na s s e s s m e n t o ft h en e x tg e n e r a t i o nt e l e c o mn e t w o r k ，a n da l s og i v e st h em e a n i n go ft h e d e s i g no ft h es y s t e m t h ef o l l o w i n gp a s s a g eg i v e st h er e q u i r e m e n t a n a l y s ea n dt h ew h o l ed e s i g no ft h es y s t e ma n df o c u s e so i lt h er i s k a s s e s s m e n ts u b s y s t e m a tl a s t ，t h ep a p e rp r e s e n t sar e p o r to ft h e e x a m p l e so ft h ed y n a m i cf o r e c a s tm o u d u l ee x p e r i m e n t m k e yw o r d s ：n e x tg e n e r a t i o nt e l e c o mn e t w o r k ，s e c u r i t ys i t u a t i o n a s s e s s m e n t ，r i s k ，i m p a c tr e l a t i o n s h i pg r a p h 1 v 北京邮电火学硕士学位论文声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 盈垒：鸷日期：兰! 翌：呈：三7 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。 本人躲j 塑吼型：三：三乞 导师签名：抽妇眵 日期： 北京邮电大学硕士学位论文 第一章绪论 1 1 国内外研究现状 第一章绪论 网络安全态势评估是一种网络安全动态评估技术，是信息安全领域的一个新 方向。从评估过程的性质来分，可以分为静态评估和动态评估两大类。静态安全 评估方法在评估时将评估的对象作为一个静止待估对象，不同的评估方法针对待 估对象从不同的角度进行分析与评估，并给出整个对象的安全程度。动态安全评 估则将待估对象作为一个动态变化的过程，针对动态过程中所呈现的安全相关特 征建立相应的实时动态提取分析模型，通过连续的数据分析来实现对待估对象的 安全态势评估。 其中静态评估也就是一般意义上的风险评估，即依据一定的标准，基于威胁、 脆弱性和资产价值三个指标定性或定量地评估网络的安全风险状况【l j 【2 j 。 动态评估也就是是态势评估。它将风险与环境紧密结合，动态地把握风险在 特定环境下的演化。这里的环境主要指网络运行状况、安全防护状况和用户安全 特性等。所谓网络态势，是指由各种网络设备运行状况、网络行为以及用户行为 等因素所构成的整个网络的当前状态和变化趋势。态势是一种状态，一种趋势， 是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。网络态势 感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获 取、理解、显示以及预测未来的发展趋势。 目前国内外的网络安全态势评估研究领域的工作已经从各个角度，各个层次 系统、逐步的展开起来，可以分为三大领域，一是指标体系的建立1 3 l ，二是一般 的网络安全态势评估模型的建立，三是相应的关键技术的研究。 指标体系的建立领域，主要有以下几个方面的内容：一是建立不同层次的网 络安全指标：二是建立对不同使用对象的网络安全指标；三是建立使用不同检测 监控手段的网络安全指标。 在一般的网络安全态势评估模型的建立领域，国外的研究主要采用集成化的 思想，建立特定的网络安全态势感知系统框架结构1 1 6 l 【1 7 1 。而国内相关研究主要 是围绕网络安全态势评估、网络预警等来展开的。 网络安全态势评估领域涉及到很多技术，主要分为以下数据采集、数据挖掘、 数据融合、态势可视化等技术。数据采集部分，目前来看主要包括n e t f l o w 技术， i d s 技术1 1 5 j 和防火墙技术。数据挖掘主要是从海量数据中发现有用的可理解的数 据模式，便于检测未知攻击和自动构建检测模型。数据融合主要是用于提高网络 北京邮电人学硕十学位论文 第一章绪论 安全态势感知系统的检测率和分辨率。这里所研究的数据融合技术是指对来自网 络环境中的具有相似或不同特征模式的多源信息进行互补集成，从而获得对当前 网络状态的准确判断。态势可视化关注的是将海量数据以图形图像的方式直观地 呈现给决策者，以便于决策者作出合理准确的决策。当然，网络安全态势评估领 域涉及到的技术还有很多，如数据简约技术、数据校准技术、响应与预警技术、 入侵追踪技术等。 1 2 研究目标 i t u 认为，下一代电信网是以业务驱动为特征的网络，将业务从承载网中剥 离出来，灵活地构建于一个承载业务的平台，它能同时提供话音、数据、多媒体 等多种业务的综合性的、全开放的网络体系，能够提供现有宽带通信网、数字电 视网、互联网三网所提供业务的一种基础的网络，能满足人的信息通信交互、传 输、广播特征的需求。目前认为，下一代电信网具有一个基于分组的核心网络， 能够提供包括电信业务在内的多种业务，它支持多种宽带能力和按q o s 需求进 行传送的技术，实现业务功能与底层传送技术的分离。 目前对于下一代电信网的研究还是一个比较新的领域，对于下一代电信网的 安全问题研究方向也和传统的信息安全问题研究有较大的差距。本文提出的对下 一代电信网的安全态势评估，就是针对下一代电信网，并充分借鉴了传统的信息 系统安全风险评估方法，用系统的观念来对下一代电信网进行安全态势评估。 以3 g p p 的对于下一代网络( 3 g 网络) 的整体安全策略层面的设计来看， 3 g 网络被划分成了若干个不同的安全域，每个安全域之间安全策略和安全机制 相对独立，安全域之间通过安全网关进行互通。每个安全域内部根据各自安全域 的等级保护要求和运营策略制定各自的安全策略和安全机制。运营商通过保证每 个安全域的安全实现全网的安全运行。但是，电信网络是一个整体，当一个安全 域受到攻击之后，必然会影响周边的安全域。作为网络的管理人员，为了实现网 络的安全运行，需要能够根据当前的安全情况动态地调整一个或多个安全域的安 全策略。因此，在现有网管系统的基础之上引入针对整个网络的安全态势评估系 统是十分必要的。 虽然在一定程度上电信网络与i n t e r a c t 有一定的相似性，但是与i n t e r n e t 相 比，电信网络结构复杂、业务种类多样，是一个巨复杂网络。因此在对电信网络 进行安全态势评估时，一方面可以借鉴已有的态势评估技术，但另一方面，还要 针对电信网的具体情况对这些技术进行改进，以满足电信网在网络运营、管理上 的要求。 借鉴当前网络安全态势评估的最新发展成果，针对电信网的特殊要求，在对 2 北京邮电大学硕十学位论文 第章绪论 其进行安全态势评估时，本文作者提出了以下三个改进目标： 第一，建立安全态势评估指标体系 针对电信网络的安全态势评估缺少相关的标准支持。因此，在对3 g 网络进 行安全态势评估之前，首先要建立结合了电信业务特征和网络等级保护体系的评 估指标体系。该指标体系结合目前i n t e m e t 的评估指标，综合考虑国家对信息系 统等级保护的要求以及电信业务的特殊要求，从诸如网络层、业务层等多个层次 提出一套多维度的、适用于下一代电信网的安全态势评估指标体系。 第二，建立面向下一代电信网的安全态势评估模型 随着现有电信网络复杂度的逐步增加，网络实体之间依赖的程度越来越大， 网络中一个实体受到安全攻击后，很可能会导致其他网络实体受到影响。例如， 如果安全域的安全网关因为受到攻击而丧失安全屏蔽功能，就会导致安全域内的 其他网络实体之间暴露在攻击者的威胁之下。因此，在对下一代电信网进行安全 态势评估的时候，要考虑到网络实体之间的这种依赖关系。从依赖关系的来源看， 这种依赖关系一方面是由于网络结构上实体之间存在一定的依赖关系( 如安全网 关对安全域的屏蔽功能) ；另一方面是由于电信业务流程引入的对某些网络实体 的依赖关系( 如在i m s 中，为了完成一次呼叫的建立，c s c f 与h s s 之间的依 赖关系) 。从网络实体业务之间的依赖关系入手，建立一个能反映这种依赖关系 的安全态势评估模型，同时要充分借鉴该领域现在国外的研究现状，将这种安全 态势评估模型进行深化实验，以期不断的将其完善，从而建立起适应下一代电信 网的安全态势评估模型。 第三，深化安全态势可视化技术的研究 安全态势评估系统是网络管理人员了解网络当前安全状况、维护网络正常运 行的辅助工具。当前网络攻击的特点是攻击速度快、扩散范围广。网络管理人员 为了维护网络的正常运行，需要在网络遭受攻击后最短的时间内对攻击行为做出 响应。因此，网管人员必须实时地、直观地了解网络遭受攻击的时间和空间特点。 只有实时地了解网络当前的安全态势，网络管理人员才能迅速地对网络攻击做出 反映，将损失减少到最低限度。因此，作为安全态势评估技术的一个分支，态势 可视化技术在整个网络管理行为中起到了很重要的作用。 网络安全态势可视化技术在下一代电信网的应用，其主要的研究点和创新点 有以下三个： ( 1 ) 从时间、空间两个角度反映当前网络的安全态势的变化情况 当前的态势可视化技术主要应用与战场指挥等军事领域，偏重于空间维度的 态势展示。针对下一代电信网的安全态势可视化方案将提供时间、空间两个角度 的可视化方案。这种可视化方案在保证了态势展示的实时性要求的基础上，为管 3 北京邮电大学硕上学位论文 第一章绪论 理员提供了整个态势演变经过的仿真过程。为管理员从整体上把握全网安全运行 的变化情况提供了更有效的手段。 ( 2 ) 提供跨运营商的可定制的态势显示策略 下一代电信网是由多家运营商的网络互联互通之后组成的。因此，在网络监 管和控制的范围上，存在区域性和独立性。这种区域性和独立性不利于网络的统 一管理和安全策略的统一实施。针对下一代电信网的安全态势可视化方案考虑到 了这一现实问题。提供了可定制的态势显示策略。网络管理员可以定制态势显示 的策略，观察不同运营商网络的态势变化情况，并且可以重点显示不同运营商网 络边缘节点的安全态势情况。这样一来就打破了不同运营商之间的网络限制，为 网络监管者从全网角度出发制定网络安全策略和安全响应方案提供了技术支持。 ( 3 ) 将态势显示与预警机制相结合，提供分级别的态势显示和预警方案 态势可视化作为整个态势评估系统的一个子系统，可以与后台的网络预警机 制相结合。在提供态势显示的同时，可以参照管理员定制的等级保护策略，对当 前网络安全态势提供预警机制，提高了网络管理人员对安全事件的响应速度。 1 3 论文意义 首先，下一代电信网的安全态势评估系统能够提高了网络的安全运营维护能 力。 目前来讲，下一代电信网被划分成了若干个不同的安全域，每个安全域之间 安全策略和安全机制相对独立。安全域之间通过安全网关进行互通。每个安全域 内部根据各自安全域的等级保护要求和运营策略制定各自的安全策略和安全机 制。运营商通过保证每个安全域的安全实现全网的安全运行。 但是，电信网络是一个整体，当一个安全域受到攻击之后，必然会影响周边 的安全域。作为网络的管理人员，为了实现网络的安全运行，需要能够根据当前 的安全情况动态地调整一个或多个安全域的安全策略。因此，在现有网管系统的 基础之上引入针对整个网络的安全态势评估系统是十分必要的。 其次，下一代电信网的安全态势评估系统的设计和实现有助于从信息安全风 险评估角度来对下一代电信网进行管理和优化。 下一代电信网的安全态势评估系统是一个动态的网络风险评估系统，它来源 于又高于静态的网络风险评估，因此，它的引入的意义在以下几方面得以体现： 1 ) 度量信息系统的资产、保护核心资产、提高资产的使用价值； 2 ) 从动态角度出发，更好的把握了系统的脆弱性的提取和分析； 3 ) 从动态角度出发，更好的把握了系统所受威胁的提取和分析； 4 北京邮电大学硕士学位论文第一章绪论 4 ) 既评估了当前网络的信息安全情况，又能把握当前网络的安全态势，从 被动的防御向主动的防御迈出了重要一步。 1 4 论文组织结构 本文的组织与结构如下： 第一章，绪论，即本章。对本文的研究背景进行了介绍，并介绍了课题的主 要工作和本文的组织结构。 第二章，n g n s s a l 系统需求分析。对下一代电信网安全态势评估系统的需 求进行了分析说明。 第三章，n g n s s a 系统设计。本章根据需求提出了一个新的软件模块设计， 并对软件架构，系统的基本工作流程进行了设计，并且提出了系统的组网与部署 思路。 第四章，风险评估子系统的设计。本章对安全态势评估系统中的核心子系统 风险评估子系统进行了进一步的深化，对其业务流程，重要系统用例进行了分析， 并且对重要模块的类和主要的数据结构进行了设计。 第五章，给出了动态预警模块的实验仿真和部分测试用例分析。 第六章，结束语。总结本文的成果，同时也列出一些需要进一步研究和改进 的问题。 最后列出了参考文献和致谢。 文章共有六个章节，其中主体为第二、三、四、五章。 1n e x tg e n e r a t i o nt e l e c o mn e t w o r ks e c u r i t ys i t u a t i o n a s s e s s m e a t 下一代电信网安全态势评估 5 北京邮电人学硕i 二学位论文 第一- - 4 章n g n s s a 系统需求分析 2 1 术语定义 第二章n g n s s a 系统需求分析 定义1 资产：通过信息化建设积累起来的信息系统、信息、生产或服务能 力、人员能力和赢得的信誉等。 定义2 脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性 也常常被称为弱点或漏洞。 定义3 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属 性来刻画：威胁的主体、能力、资源、动机、途径、可能性和后果。 定义4 风险：风险由意外事件发生的可能性及发生后可能产生的影响两种 指标来衡量。风险是在考虑事情发生的可能性及其可能造成的影响下，脆弱性被 威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数，前者指威胁 源利用一个潜在脆弱性的可能性，后者指不利事件对组织机构产生的影响。 定义5 业务：业务是网络中的功能模块，它是由网络提供者或运营者作为 网络内部的一个成分来提供的，同时它是由资产组成的。 定义6 资产价值：根据资产在业务中的重要性等因素估算出来的数值，定 义为1 到1 0 的数值，数字越大说明资产越重要。 定义7 脆弱性值：根据资产已发现的漏洞评估其脆弱性，表示为1 到5 ，数 字越大说明资产越重要。 定义8 威胁值：根据外部攻击对资产造成的损失、攻击发生概率及资产本 身价值等因素评估资产威胁，表示为1 到5 ，数字越大说明资产越重要。 定义9 资产子项值：为了计算量化风险，规定所有单个资产面临的单个威 胁下的风险子项值为0 到1 5 0 之间的数值。该值由资产价值、脆弱性值和威胁值 量化计算得来。当风险子项值为【o 弓0 】时风险等级为极低，【3 1 6 0 】为低，【6 1 9 0 】 为中，【9 l 一1 2 0 1 为高，【1 2 0 一l s o l y 寸极高。 定义1 0 资产风险值：资产面临的所有威胁下的资产子项值之和为资产风险 值 定义n 业务风险值：根据每一项业务的支撑资产的风险值相加算出该业务 的风险值 定义1 2 安全基线：该安全基线是资产某一固定风险值，具体数值可根据实 际情况确定，它的主要用途在于风险值超过该线时系统报警。系统、业务和资产 都有各自的安全基线，它有一系统默认值，同时可供用户修改。 6 北京邮电大学硕上学位论文第二章n g n s s a 系统需求分析 2 2 功能需求说明 实现一个基于网络的安全态势评估系统，根据整体网络视图进行风险评估， 将资产、漏洞和威胁紧密结合，对网络设备及结构的脆弱性、安全威胁水平进行 量化评估，使用户能够清楚地看到单个设备资产、整个网络资产存在的风险，还 能够看到资产、脆弱性、威胁等的详细统计信息( 如网络中漏洞的分布情况、风 险级别排名较高的资产等) ，帮助用户对网络中存在的风险有一个整体、直观的 认识。并通过对安全信息的深度挖掘和信息关联，对网络攻击行为进行预测，在 网络安全事件发生之前，为用户提供一个比较准确的网络安全状态发展趋势，使 用户能够及早采取安全措施，防范于未然。 从宏观上来看，实时动态评估在功能上要体现出两个功能点：一个是时间连 续性要求，二是实时处理要求。下面主要从这两个角度来分析系统的功能属性。 ( 1 ) 时间连续要求 简单而言，动态的评估方法应该是一个连续的不断循环的评估过程。动态的 风险评估方法要求在进行完初次评估之后，在时间轴上继续收集风险数据，周期 性重复风险评估过程。动态评估方法的核心是实现评估方法的自反馈功能，要能 够在不断的评估过程中修正评估结果。 ( 2 ) 实时处理要求 实时处理能力要求整个系统的在进行数据处理时对时间高度敏感，评估流程 要有明显而严格的时间周期。 从面向用户的角度，最基本的功能要求如下： 按层次结构显示整个系统中业务及相应资产的风险值； 系统参数必须能够显示，并为管理员修改系统参数提供支持； 应该提供数据备份功能，包括自动和手动备份功能，在需要时可将备份 数据恢复； 对操作人员有授权限制，保证只有授权人员才能进行相应等级的操作； 应提供打印设置和打印功能； 系统应该对所有登陆及操作提供日志功能； 当资产或业务或系统的风险值超过一定范围时应向系统管理员报警； 应该对系统安全态势具有一定预测功能，为资产风险排序。 对于一个系统来说，仅提供上述需求是远远不够的，本文结合当前国内外信 息安全风险评估领域的一些成果，从多角度对系统的功能进行进一步的分析。下 面采用水平划分与垂直划分相结合的方式来对系统的功能进行描述。 7 北京邮电大学硕l 学位论文 第二章n g n s s a 系统需求分析 2 2 1 基本功能划分 水平功能划分基于业界通用的风险评估模型，主要从资产、脆弱性和威胁三 个维度对网络风险评估进行功能区分；垂直功能划分主要以处理流程为主线进行 功能区分。 在横向上，基于业界通用的风险评估模型4 1 ，从资产、脆弱性和威胁三个维 度对网络风险进行动态评估，从多个视角对风险进行深入的定量分析，并通过图 形化方式将风险分析结果展示给用户，如图2 - 1 系统横向基本功能块划分所示。威 胁评估功能主要监控各网络设备、操作系统的日志信息，以便及时发现网络蠕虫 攻击、非授权漏洞扫描、网络入侵等安全事件；脆弱性评估功能掌握全网各系统 中的安全漏洞情况。风险评估是系统的功能核心，能够接收来自威胁评估功能产 生的事件，依据资产管理和脆弱性评估进行综合的事件协同关联分析，并基于资 产进行风险评估分析1 5 j 1 6 j 。 图2 - 1 系统横向基本功能块划分 在纵向上，从数据处理流程角度对系统功能进行划分。图2 - 2 系统纵向基本功 能划分包括数据采剿9 1 、信息分析、可视化显示等主要功能。在该模型中，主要 处理流程如下： 图2 - 2 系统纵向基本功能划分 ( 1 ) 从各种信息源中采集安全相关信息数据，并进行预处理，完成数据筛 8 一回回圃圆日竺 北京邮电大学硕士学位论文 第一二章n g n s s a 系统需求分析 选、数据简约、数据格式转换以及数据存储等功能。 ( 2 ) 对数据从时间、空间、协议等多个方面进行关联，识别出各种安全事 件和安全特征，得出初步的分析结果；对安全事件和安全特征向量进行融合，分 析网络安全状态，对一段时间内的网络安全状况进行整体评估；并对未来一段 时间内的安全态势进行预测分析，从整体上明确安全威胁的真正所在。 ( 3 ) 基于安全信息分析结果，为管理员提供方便直观的可视化显示。 2 2 2 总体功能需求 根据上文系统基本功能的划分，可以进一步的提出面向下一代电信网的安全 态势评估系统的总体需求： 图2 - 3 总体需求框图 如上图所示，系统的总体功能需求，简单的说要满足两面，三层，三流程。 两面，指的是公共服务层面和管理操作层面。公共服务层面是指整体系统运 行的支撑环境，是公共服务的提供者。主要有以下方面内容： 1 ) 数据库，首先指的是数据库中的数据，即公用的数据表、相应的分析知 识和规则，它包括各种数据表单，脆弱性库，脆弱性分析规则库，威胁库，威胁 分析规则库等等，其次是在数据库之上的统一的数据库读写引擎； 2 ) 系统日志告警，用于记录各个功能模块的日志告警和整个系统的日志告 警； 3 ) 系统公用的接口函数，如提供定时，计时的统一接口； 4 ) 通信机制，它主要指的是各个子系统之间的通信机制，子系统分布式部 署之间所需的通信机制，如资产管理部分和脆弱性评估之间的通信机制，脆弱性 评估与威胁评估之间的通信机制，脆弱性评估数据采集探头与数据分析服务器之 9 北京邮电入学硕士学位论文 第二章n g n s s a 系统需求分析 间的通信机制等等。 管理操作层面是指整个系统的管理操作平台，是系统对于用户的接1 ：3 。主要 包括以下几个方面内容： 1 ) 数据库的管理，包括系统内的各种数据表单的数据操作管理，如基本的 数据表项的增加、删除、修改、访问； 2 ) 配置管理，包括系统整体，各个子模块的参数配置管理，同时为了系统 用户的使用方便，可以进一步对相关配置进行统一优化，进行策略管理，从系统 的评估对象的抽样力度，评估分析的精确程度，评估展示结果的显示粒度等方面 进行策略上的优化配置： 3 ) 资产管理，对系统的资产的进行管理； 4 ) 其他方面，主要指的是对公共服务层面上的模块进行管理。 三层，指的是从数据工作流上来看，整个系统由下而上可以分为以下三层： 最下面一层是数据采集层，主要是数据的输入部分，包括数据来源和数据预处理； 中间一层是数据分析层，该层主要指的是对下层采集上来的数据进行分析处理； 位于上层的是数据展现层，该层的目的在于可视化，它包括系统中各种数据的显 示。 三个流程指的是在安全评估中三个重要的处理流程，包括脆弱性评估、威胁 评估和风险评估。这三个流程贯穿了上面提到的三层，每个流程都有自己的数据 采集层，数据分析层和数据展现层，同样每个流程都有自己的相应的公共服务和 操作管理。这三个流程在处理过程中，并没有直接的交叉影响，所以直观的可以 设计三个相应的子系统来进行分别处理。 下面就分别对脆弱性评估、威胁评估、风险评估三个流程，从数据的采集、 分析、显示三个层次分别予以简要的说明。 2 2 3 脆弱性评估功能需求 一、脆弱性扫描 在脆弱性评估中，数据的采集可以使用脆弱性扫描来完成。由于这个系统的 目标对象是一个基于计算机的网络，所以在脆弱性评估中，脆弱性评估子系统需 要支持网络扫描，主机扫描两种手段，从技术实现上来看，要满足主动扫描和被 动扫描两种方式。因此，脆弱性评估子系统的数据采集s e n s o r 可以设为三个： 分别是用于主机扫描的s e n s o r ，用于网络扫描的s e n s o r ，用于被动扫描的s e n s o r ， 前两种扫描属于主动扫描。 主机扫描主要是通过在主机上植入s c a n a g e n t ，这种扫描可以应用于网络中 的关键资产。用于主机扫描的s e n s o r 可以基于开源软件程序c o p s 实现，目前 1 0 北京邮电大学硕士学位论文第二章n g n s s a 系统需求分析 c o p s 的扫描目标是类u n i x 系统，c o p s 是一个免费的开源程序集，其中每个程 序完成一定的工作。所有程序通过一个u n i x 脚本调用。可以用于检查u n i x 中的 弱点，检查功能包括文件检查器，敏感文件，弱口令检查器等等。同时也可以基 于t r i p w i r e 文件完成，用于跟踪u n i x 系统的文件完整性。 用于网络扫描的s e n s o r 可以基于开源软件n e s s u s 实现。用户通过使用n e s s u s 客户端，配置n e s s u s 服务器端，选择所用插件对网络进行脆弱性扫描。扫描力 度依据插件的容量。客户端和服务器端可以部署在同一台机器上，也可以部署在 不同的机器上，但是服务器端必须部署在l i n u x 环境下。 用于被动扫描的s e n s o r 可以基于s n i f f e r 的开源工具实现，如l i b p c a p 。s n i f f e r 工具主要用来监听网络中的数据流量。对数据流量中所抓到的包进行呈现。被动 扫描的s e n s o r 可以部署在某一台主机上，将网卡配置成杂乱模式即可进行监听。 但是为了保证网络中的数据流量监听的全面性，需要部署在网关之上。 二、脆弱性分析 脆弱性分析主要包括两个部分，首先对脆弱性信息进行初始赋值，采用c v s s 通用标准体系进行初始赋值。其次是利用脆弱性分析算法对扫描到的脆弱性进行 模型构建，对模型进行分析，获得网络中的脆弱性的关联情况以及可能存在的攻 击路径的描述。由于脆弱性分析的时间复杂度较大，因此采用离线分析的方式。 三、脆弱性展示 脆弱性显示可以使用w e b 技术进行，使用户可以通过w e b 界面对各部分进 行设置，并查看脆弱性的状态。采用w e b 技术的另一个好处是具有平台无关性， 使得用户可以在任何操作系统上进行操作。 2 2 4 威胁评估功能需求 一、威胁扫描 威胁评估子系统采用威胁s e n s o r 获取其数据来源。威胁检测方式主要分基 于主机的检测和基于网络的检测两种。基于主机的入侵检测通常从主机的审计记 录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，例如文件 系统属性、进程状态等，再此基础上完成检测攻击行为的任务。然而这需要s e n s o r 适应不同的操作系统，不同的主机，采集技术难度较大。 基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通 过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。目前s n o r t 是一个很好的解决方案。s e n s o r 可以部署在重要网段的某台主机上，将网卡配置 成混杂模式，利用s n o r t 的数据包嗅探功能，获取该网段中的数据包，并进行分 析发现其中的威胁行为。 北京邮电人学硕十学位论文 第二章n g n s s a 系统需求分析 二、威胁分析 威胁分析同时涉及在线分析和离线分析。在线分析对各s e n s o r 上报的威胁 事件及时的进行整合处理，生成统一的报表上报。离线分析利用在线分析上报的 威胁事件，进行更深入的分析。由于离线分析的方式可以是人工操作，也可以根 据算法进行自动分析。目前，由于没有有效的算法，所以在系统实现过程中，倾 向于人工分析的方法。 三、威胁显示 威胁显示可以使用w e b 技术进行，使用户可以通过w e b 界面对各部分进行 设置，并查看威胁的状态。同样，采用w e b 技术的另一个好处是具有平台无关 性，使得用户可以在任何操作系统上进行操作。设置或显示的内容有： s n o r t 相关配置：s n o r t 的配置写在s n o r t c o n f 文件中，包括系统变量、加载 的预处理器、加载的规则。由于对文件的直接修改不方便，所以可以将其抽取， 采用图形化的方式进行配置。 各s e n s o r 的状态：监视各s e n s o r 的状态，随时掌握因故障而引起的网络中 断。 威胁事件实时显示：威胁事件需要实时显示。可以采用实时刷新列表的方式。 目前w e b 技术应能较好的实现此功能。 威胁事件分析结果：经过分析的结果显示。可以采用图表的方式进行显示。 2 2 5 风险评估功能需求 风险评估的数据来源于资产，脆弱性以及威胁的评估结果，数据输出为系统 的安全态势分析，至少需要实现基于历史的安全态势分析，明确动态预警部分的 功能和流程，给出动态预警部分的模型。 风险评估子系统的设计和实现重点分为三个部分，设计实现对接收到的外部 子系统的消息的处理，设计实现与数据库的读写逻辑，设计实现风险分析的过程。 对于风险评估的展示可以从资产、业务和系统三个粒度进行展示。 2 3 其他需求说明 下一代电信网是一个巨复杂的网络，设计和实现面向下一代电信网的安全态 势评估系统是一个十分复杂的问题，也是一个在实际网络运营中不断更新的过 程，其需求分析的过程也应该是一个在实际中不断的探索和发现的过程。目前， 只能认为其是一个电信级的设备，它应该满足一般电信级设备的基本的要求，现 阶段在性能需求、运行需求和设计需求上只能根据已有的电信设备的一般需求， 1 2 北京邮电火学硕上学位论文第二章n g n s s a 系统需求分析 提出一些参考意见，在实际的设计和实现过程中，可以先不考虑这些非功能性的 需求，本文只将其列出作为参考。 一、性能、运行需求相关参考 支持多用户的并发访问： 系统一年中停止服务的时间累计不超过1 0 个小时，应保证一年中平均 无故障运行时间不少于3 0 0 天； 报警事件和配置事件优先采用网元时间，对于无法获得网元时间，统一 采用系统时间为标记时间，建议精确到秒为单位； 正常情况下，应满足每5 秒进行一次收据收集，进行风险计算和评估过 程； 各种系统日志文件和评估结果应保存在6 个月以上； 用户界面必须显示中文，简洁，友好及提供联机帮助； 人机接口采用窗口，图标，光标，菜单等方式； 出于安全保密的需求，屏幕应有自动保护功能，屏幕激活应通过鼠标 按键触发，最高安全级别可设置再进入激活安全口令； 系统异常终止后，不影响所进行风险评估网络的状态改变，并应向用户 反映是何种异常； 网络中断，系统应向用户提示，并自动进行重新连接； 某一用户界面异常，不影响其他用户界面与系统的正常交互使用； 系统数据丢失时，应可以通过其他介质的备份数据得以恢复。 二、设计需求相关参考 可靠性：系统应具有处理各种非正常状态和事件的能力； 开放性：应采用分层模块化结构，松耦合，模块间通过统一的接口进行 通信，任一模块的维护更新，以及追加新模块，都不应影响其它模块； 可扩展性：系统具有兼容性，通过良好的插件兼容性，提供集成新功能 的能力。在版本升级后，低版本数据应自动迁移到高版本系统中。升级 方式既要支持手工升级方式，也要支持自动升级方式。 1 3 北京邮电人学硕上学位论文 第三章n g n s s a 系统设计 第三章n g n s s a 系统设计 3 1 软件模块设计 根据总体的系统需求，将上面的图2 - 3 总体需求框图平面展开，则可以得到相 应的软件模块图，结构如下图所示： l 系统管理( j 圃( 习( 圃( 固( 二回i l 公共服务( 二圃( 二二三习( 二二三刁( 圆i 图3 一l 软件模块设计 从软件功能结构上，该系统可以分为采集、分析、显示三部分。此外，公共 服务提供整个系统所需的基本服务；系统管理对系统的数据和功能实体进行管理 和配置。 第一、采集层 在采集部分，分威胁、脆弱性、资产三类s e n s o r 。s e n s o r 的作用主要是采集 风险评估所需的各种数据。s e n s o r 可以部署在网络中各种设备上，利用扫描或监 听获取数据。s e n s o r 部署的位置，一定程度上决定了风险评估结果的精度。三类 s e n s o r 实现机制各不相同。 第二、分析层 分析部分是指对s e n s o r 采集上来的数据进行格式转换，并进行分析。根据分 析的实时性，分在线分析和离线分析。在线分析在系统中，又称之为一级分析， 主要用于威胁事件的和脆弱性的初级分析，另外，由于系统需要对紧急威胁事件 进行实时反应，所以在线分析需要实时上报威胁事件。离线分析又称二级分析， 指的是对威胁、脆弱性，风险，及其关联信息进行分析。对于威胁、脆弱性、风 险的分析，需要采用某些复杂的算法或者介入人为过程，所以放入后台进行。 1 4 北京邮电人学硕上学位论文 第三章n g n s s a 系统设计 第三、显示层 显示部分是指对资产、威胁、脆弱性、风险结果的显示，并对其进行汇总， 进行综合信息的显示。 第四、系统管理部分 此模块以界面或命令的方式向用户提供配置管理系统功能，完成系统中“用 户交互一的作用。管理模块提供的管理功能有： 1 _ ) 数据库管理 数据库管理，即拥有数据库模块的超级管理员权限。数据库管理的对象是数 据库的位置、数据库的基本配置、数据结构的设计。 劲通信管理 通信管理，简言之就是为公共服务中的通信模块提供基础的配置信息。这些 信息包括通信中参数的配置，以及系统部署下各子模块的位置信息。 3 _ ) 配置管理 配置管理，由用户配置系统扫描的配置信息，用来指导脆弱性扫描和威胁扫 描的工作。这些信息的具体内容在脆弱性扫描和威胁扫描的需求中有介绍。 铆预警管理 对风险评估中的预警功能模块的知识库进行管理。 5 ) 资产管理 资产管理是管理功能模块中的重要内容，其意义不仅仅为系统提供辅助的管 理功能，还完成了安全评估的资产信息收集和资产重要性评估这两个任务。资产 信息的采集和资产重要性评估是网络安全评估的第一步，也是整个评估过程的基 础。资产管理着重完成的两个任务便是收集资产信息和评估资产的重要性。 在资产信息收集过程中，资产管理模块根据信息的使用目的将资产信息分为 两种：资产范围和资产细节。资产范围信息是指用户指定的评估网络目标，用来 界定哪些将是系统将要评估的资产对象。采集资产范围的方法是由用户输入评估 网络的拓扑结构，以及指定以节点为单位的节点资产。资产细节信息是指在资产 范围界定下资产的详细细节和属性。采集资产细节的方法主要是通过用户输入， 以扫描发现的资产事实为辅的方式。 资产重要性评估过程，资产管理模块将根据资产细节以及用户的基本判断来 计算得到。计算的结果作为整个风险评估过程中资产价值的基本事实。 为了支持资产信息收集和资产重要性评估这两个任务，资产管理模块还支持 如下功能： 提供资产数据结构：资产数据结构包含了资产信息的组织结构和资产重要性 的计算模型，这是两个任务所依靠的关键内容。 提供资产信息修正：修正可以由用户修改，也可以由扫描信息发出与用户输 北京邮电大学硕j ：学位论文 第三章n g n s s a 系统设计 入不符或遗漏的提示信息。 第五、公共服务部分 此模块向别的模块提供日志告警、计时器和通信模块等基础服务，这些服务 并不实现系统的“功能”需求，仅仅提供支撑系统正常运行的能力。 1 1 数据库服务 提供数据库的相应服务，包括数据操作服务，存储服务等等。 劲日志告警服务 日志告警服务，是用来记载各个子模块在运行期间发生的各项操作和事件， 并对危险事件发出告警信号。 3 1 通信服务 通信模块用于支持各模块之间的直接通信需求。因为分布部署的系统各子模 块彼此间会有接口存在，因而接口信息的交流可以交给一个公共的通信模块来实 现。根据系统对通信的实时性、保密性的要求，可以考虑采用不同的技术手段来 实现。 4 ) 计时服务 计时器向系统所有模块提供统一的计时服务以及定时触发服务。因为在动态 扫描中，许多操作是周期性的，因此需要这样一个计时定时的模块来提供触发响 应。 3 2 软件架构设计 根据上面的软件模块的设计说明图3 - 1 软件模块设计，直观的可以进一步映 射出本系统的软件架构图： 图3 - 2 软件架构设计 在这个软件架构图中，分为了脆弱性s e n