网络安全态势感知系统结构研究

网络安全态势感知系统结构研究ComputerEngineeringand2008,44(1)Applications计算机工程与应用◎网络、通信与安全◎摘要:网络安全态势感知是实现网络安全监测和预警的一种新技术,融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究后,建立了一个网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定理论的基础。关键词:网络态势感知;安全评估;安全预警随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价,实时监测和预警的一种新的安全技术。论文研究工作主要是围绕网络安全态势感知系统模型,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定了理论的基础。1相关研究工作网络安全态势感知是应网络安全监控需求而出现的一种新技术,目前正处于起步阶段。态势感知源于航天飞行的相关研究,目前广泛应用于航天飞机、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控,因此迫切需要一项新方法来完成该项任务,于是提出了网络安全态势感知系统研究。1999年,Bass等人首次提出了网络态势感知概念[1],即网络安全态势感知,并将网络态势感知和空中交通监管(ATC)态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去,随后提出了基于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出了基于模块化的技术无关框架结构。美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“SpinningCubeofPotentialDoom”系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI领导的CERT/NetSA开发了SILK[2],旨在对大规模网络安全态势感知状况进行实时监控,在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警,给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分析,并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT欲通过开发一个安全事件融合工具的集成框架,为Internet提供安全可视化。目前该机构已开发的Internet安全态势感知系统有NVisionIP,VisFlowConnect-IP等。NVisionIP通过系统状态可视化来获取Internet的安全态势;Vis-FlowConnect-IP通过连接分析可视化来获取Internet的安全态势。美国2006年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防高级规划署(DARPA)等军方机构也正投资开展安全态势感知的研究[3]。在国内方面,关于网络安全态势感知的研究还限于科研院校的研究阶段,目前的工作主要集中在组织架构和业务体系的建立,离实际的应用距离还很远。2网络安全态势感知系统模型网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究,建立网络安全态势感知概念模型,如图1。该模型将安全态势感知分为四层:特征提取、安全评估、态势感知、预警。特征提取是态势感知的前提,该层主要采用已有成熟技术从海量数据信息中提取网络安全态势信息。安全评估是态势感知的核心,通过漏洞扫描,安全审计等获得安全信息后,同时和已有的网络安全机制相结合,对已安装的入侵检测系统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提取数据,采用合适的安全评估模型,对网络的威胁和脆弱性进行评估。安全评估将信息反应到态势感知层,态势感知层通过识别信息中的安全事件,确定它们之间的关联关系,并依据所受到的威胁程度生成相应的安全态势图,来反映整个网络的安全态势状况。态势预警要求不但能对即将发生的安全事件提前告知,给出应急的处理措施,而且能够依据历史网络安全态势信息和当前网络安全态势信息预测未来网络安全趋势,使决策者能够据此掌握更高层的网络安全状态趋势,为未来的安全管理制定合理的决策提供依据。通过对四层概念模型的分析,拟设计如图2所示的网络安全态势感知系统体系结构。网络安全态势感知系统由网络拓扑发现,安全拓扑生成、安全评估模型、漏洞扫描、威胁评估、事件关联、预警、结果可视化等模块构成。在下面的内容中,将对系统组件之间的关联关系、因果关系进行分析研究。的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法价[6]。基于模型的评估方法虽然能对整个计算机网络进行有效的安全性评估,但在基于模型的评估方法中,规则的抽取过于复杂,这种评估方法不能从不同层次对网络安全状态进行评估。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。贝叶斯网络作为一种描述不确定信息的专家系统,在构造风险评估模型时,模型能够综合最新的证据信息和先验信息,从而评估结果不仅反映了当前的信息,而且综合了历史和先验知识,是种较好的办法。人工神经网络也能有效地运用于风险评估中。采用神经网络中的LVQ和SOM网络对各个指标形成的高维向量进行有监督的学习,先通过对专家的知识进行学习和训练,当模型稳定时,就可以对当前的评价指标向量进行分类处理,输出结果为对当前的安全等级的描述。人工神经网络也有助于提高网络态势感知系统的自学习和自适应能力。决策树、模糊Petri网等方法也可用于网络的安全性能评估。在威胁评估中,拟将网络分为LAN、主机、服务和攻击/漏洞4个层次,从服务、主机、系统LAN的三个角度对网络系统的安全状况进行综合评估。每个层次的安全状况,都可以分解为其下层各个节点的安全状况的“和”,从而将下层的各个孤立点结合起来,形成对其上层节点的安全状况的综合评估结果。与威胁有关的信息可以通过IDS取样、模拟入侵测试、人工评估、策略及文档分析和安全审计等获得。这些信息记录了过去一段时间内的网络系统的安全状况。选定一个时间段内的与威胁有关的信息为原始数据,结合攻击效果,发现各个主机系统所提供服务存在的漏洞情况,评估各项服务的安全状况。各层次的安全性评价均采用风险指数描述,风险指数越高,风险越大。由于获取数据量大,必须借助一个人工智能神经网络的方法对数据进行分析处理,并以图形方式显示分析结果,并给出评估报告。3.3态势感知模块在获得网络区域各层次的评估结果后,在态势感知模块将这些结果进行关联综合,综合考虑整个网络攻击危害程度、区域安全防护能力,并将结果以图形可视化形式直观地提供给用户。态势感知模块从各安全评估模块中获取的数据很多,这些数据特征属性大致相同,在进行事件关联前,需要采用特征提取等海量数据的处理技术对数据特征进行优化。海量数据的处理技术必须考虑实时处理能力,以提高态势感知计算的效率和态势可视化的实时性。主成份分析方法(PCA)、粗糙集理论等可用于数据的特征提取。事件关联是该模块的核心。当网络分为LAN、主机、服务和攻击/漏洞4个层次对网络系统的安全状况进行评估时,各安全评估系统之间是孤立,无联系的。由于来自不同地域、不同来源的网络攻击、网络技术数据,具有不确定性、不完整性、模糊性、模糊性和多变性的特点,通过采用事件聚类和融合,减少区域安全评估系统提交给态势感知系统的安全数据,有利于网络态势感知状况的分析。模糊神经网络的方法引入到态势感知模块,进行有关规则的推理,以得到合理的判断。事件关联技术还可采用决策树,贝叶斯网络等。态势可视化是本模块的一个重要组成部分。由于目前网络规模巨大,结构复杂,网络数据还存在实时可变的特征,网络态势的可视化是实现网络态势感知系统的难点。基于主机的数据显示和基于网络的数据显示是态势可视化的两大方面,可视化的结果既要反应区域内主机网络安全威胁等级,也要从宏观上对整个网络的安全态势进行描绘。可视化还需考虑人机交互的可操作性。基于多数据源、多视图的可视化系统才能满足态势可视化要求。C.P.Lee等人提出的VisualFirewall系统[7],使用Java语言实现,借助于JOGL和JFreechart实现图形的可视化,分别显示了networktraffic、packetflow、through-put、可疑行为的视图显示,为网络的整体态势提供了一个全面的显示。3.4安全预警技术预警技术也是网络安全态势感知系统的重要组成部分。预警及在安全事件发生前提前通知网络管理者,并给出安全事件发生时的应急处理方案。系统中的应急方案主要依靠专家系统给出。网络安全解决方案要求除了能够检测已知的安全威胁以外,还要能对未知和将来可预测的威胁进行有效的管理,即拥有主动防护的能力,为网络管理员制定决策和防御措施提供依据,做到防患于未然。现有的大多数网络安全解决方案在威胁预测上还存在缺陷,只能对已发生过的威胁进行预测,网络态势感知系统应提供对网络威胁进行预测的功能,找出时间序列观测值中的变化规律与趋势,然后通过对这些规律或趋势的外推来确定未来的预测值。网络安全态势值可以看作一个时间序列进行处理,假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,⋯,L},网络威胁预测可采用时间序列预测模型进行,通过序列的前N个时刻的态势值,预测出以后的M个态势值。时间序列预测方法有经典的统计方法、神经网络和机器学习方法等。HMM(隐马尔科夫模型)是一种采用双重随机过程的统计模型[8],可用于事件序列预测上。HMM内含一个不可见的(隐藏的)从属随机过程的随机过程,此不可见的从属随机过程只能通过另一套产生观察序列的随机过程观察得到。假定计算机在正常运行情况下的某个进程在一个时段内产生的长为T的系统调用序列定义为观察值O={o1,o2,⋯,ot,⋯,oT},ot为t时刻产生的系统调用,系统调用序列对应的隐含状态序列为Q={q1,q2,⋯,qt,⋯,qT},qt为t时刻所处状态。利用该观察值序列和隐含状态序列训练HMM模型,然后用HMM来预测未来一段时间内的状态序列,从而实现对网络风险的预测。预警的结果最终也要以图形可视化的形式提供给网络管理人员,随着时间的变化,预警结果在网络态势图上进行显示。4总结为了保障网络信息安全,开展大规模网络态势感知是十分必要的。网络态势感知对于提高我国网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义,对于未来的军事信息战意义更重大。国内目前对态势感知系统的研究才刚刚起步,相关理论和技术还很不成熟。本文在深入分析国内外相关研究后,建立了网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分。网络态势感知中诸如海量网络数据的实时处理、数据融合、态势评估、威胁评估、态势可视化等方面均有许多问题需要研究。(收稿日期:2007年9月)参考文献:[1]BassT,GruberD.Aglimpseintothefutureofid[EB/OL].(1999).http:///publications/login/199929/features/future.html.[2]CarnegieMellon’sSEI.SystemforInternetLevelKnowledge(SILK)[EB/OL](2005).http://silktools.source.[3]OfficeofTheSecretaryofDefense(OSD)deputydirectorofDefenseResearch&EngineeringDeputyUnderSecretaryofDefense(Science&Technology).SmallBusinessInnovationResearch(SBIR)FY2005.3ProgramDescription,USA.[4]LIUHuan,SetionoR.Aprobabilisticapproachtofeatures