信息安全态势感知系统论文.doc

信息安全态势感知系统论文 中国政治密码现代计算机技术快速的在电力系统发展网络攻击和入侵行为正向着规模化、复杂化、分布化、间接化等趋势发展虽然已经采取了各种网络安全防护措施但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性无法满足从宏观角度评估入侵威胁安全性的需求信息安全安全态势感知系统的研究就是在这种背景下产生的它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势并在一定条件下对网络安全态势的发展趋势进行预测和展示 目前随着互联网的发展普及网络安全的重要性及企业以及其对社会的影响越来越大网络安全问题也越来越突出并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域它不仅契合所有可获取的信息实时评估网络的安全态势还包括对威胁事件的预判为网络安全管理员的决策分析和溯源提供有力的依据将不安全因素带来的风险和对企业带来的经济利益降到最低网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义 那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向然而由于网络已经发展成一个庞大的非线性复杂系统具有很强的灵活性使得网络安全态势要素的摄取存在很大难度目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等其中静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息1 电力企业作为承担公共网络安全艰巨任务的职能部门通过有效的技术手段和严格的规范制度对本地互联网安全进行持续有效的监测分析掌握网络安全形势感知网络攻击趋势追溯恶意活动实施主体为重要信息系统防护和打击网络违法活动提供支撑保卫本地网络空间安全 态势感知的定义：一定时间和空间内环境因素的获取理解和对未来短期的预测1网络安全态势感知是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势 国外在网络安全态势感知方面很早就已经做着积极的研究比较有代表性的如Bass提出应用多传感器数据融合建立网络空间态势感知的框架通过推理识别入侵者身份、速度、威胁性和入侵目标进而评估网络空间的安全状态Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究并提出基于模块化的技术无关框架结构其他开展该项研究的个人还有加拿大通信研究中心的DeMontignyLeboeuf、伊利诺大学香槟分校的Yurcik等3 1安全态势感知系统架构 网络安全态势感知系统的体系架构(如图一)由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成 网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置态势展示则结合上述三个模块的数据进行综合的展示身份认证子模块为各子平台或系统的使用提供安全运行保障威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下进行网络安全事件关联分析和威胁情报的深度挖掘形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索通报处置模块实现数据上报、数据整理通报下发调查处置与反馈等通报工作态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示 1.1数据采集层 数据采集系统组成图(如图二)由采集集群与数据源组成采集集群由管理节点工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成 1.2基础数据管理 基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三)数据存储访问组件式基础数据平台的多源数据整合组件整合流量安全事件、非流量平台接入数据、互联网威胁数据等网络安全态势感知分析与预警涉及的数据较广有效地态势分析与预测所需资源库需要大量有效数据的支撑因此通报预警数据资源须根据态势分析与预警需要不断进行建设基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务 1.3威胁线索分析 网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎在业务层面通过威胁分析任务的形式调度各分析引擎作业包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四) 1.4网络安全态势分析 态势分析功能(如图五)应从宏观方面分析整个互联网总体安全状况包括给累网络安全威胁态势分析和展示;微观方面提供对特定保护对象所遭受的各种攻击进行趋势分析和展示包括网站态势、重点单位态势、专项威胁态势和总体态势其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示此外态势分析应提供网络安全总体态势的展示和呈现 1.5攻击反制 通过分析发现的安全事件根据目标的IP地址进行攻击反制利用指纹工具获得危险源的指纹信息(如图六)如操作系统信息、开放的端口以及端口的服务类别漏洞扫描根据指纹识别的信息进行有针对性的漏洞扫描4发现危险源可被利用的漏洞根据可被利用的漏洞进行渗透测试如果自动渗透测试成功进一步获得危险源的内部信息如主机名称、运行的进程等信息;如果自动渗透测试失败需要人工干预手动进行渗透测试 通过攻击反制可以进一步掌握攻击组织/攻击个人的犯罪证据为打击网络犯罪提供证据支撑 1.6态势展示 图七：态势展示图 态势展示依赖一个或多个并行工作的态势分析引擎(如图七)基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出数据分析结果通过大数据可视化技术进行展示5 2安全态势感知系统发展 网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势众所周知网络安全态势感知的发展具有较大不确定性而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况以直觉逻辑基础人为的对网络安全态势进行预测时间序列分析方法指依据历史数据与时间的关系对下一次的系统变量进行预测6由于该方法仅考虑时间变化的系统性能定量因此比较适合应用在依据简单统计数据随时间变化的对象上因果预测方法指依据系统变量之间存在的因果关系确定某些因素影响造成的结果建立其与数学模型间的关系根据可变因素的变化情况对结果