论文部分内容阅读
摘 要:论文从实用角度出发,通过安全态势感知系统发现安全事件的脉络,并对其溯源;提供网络攻击的发展趋势信息;并且辅助决策优先处理网络中的薄弱环节,加固硬件防护,保障客户的业务连续性。
关键字:安全态势感知;关联分析;数据挖掘;
中图分类号:TP393.08 文献标识码:A 文章编号:1674-098X(2016)5(c)-0000-00
0 引言
随着计算机与通信技术的飞速发展,用户需求日益增加,促使无处不在的计算机网络规模越来越庞大,安全事件屡见不鲜,这使得计算机网络面临着严峻的考验。传统单一的网络安全设备已经不能抵御如今复杂的网络攻击,网络安全态势感知(NSSA)技术应运而生,该技术综合网络中各方面因素,客观、全面的反应网络现行状态,并能够根据该状态进行预测、预警,为网络安全性的提高,提供可靠的参考数据。目前针对网络安全态势的研究已经成为网络安全领域的热点。
1 安全态势感知技术
态势感知的定义:一定时间内,在规模大的系统环境中,获取能够引起系统变化的环境因素,并通过理解、显示这些因素,预测系统未来的发展趋势。
对网络安全态势感知的研究,国外研究者相对比较积极,比较出名的有,学者Bass提出的基于多传感器数据融合技术建立网络安全空间态势感知的框架,该框架通过对入侵者身份、速度、威胁性和入侵目标的推理、识别,能够评估当前网络的安全状态。学者Shiffiet提出的基于模块化的框架结构,通过采用本体论,对网络安全态势感知及相关概念进行了分析与比较得出该框架。加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[1] 也都参与了网络安全态势感知研究。
相对于国外的积极研究,国内起步较晚。众所周知的有,对我军网络与信息安全领域有较深研究的冯毅,他阐述了在军事领域中网络安全态势感知技术的重要作用,同时指出了两项关键技术的应用——多元传感器技术以及数据挖掘技术;北京理工大学机电工程与控制国家重点实验室网络安全分室提出了基于模糊矩阵博弈的网络安全威胁评估模型,并给出了分析方法、计算实例以及研究展望,该模型是通过分析博弈论中的模糊矩阵和网络空间威胁评估机理得出来的;国防科技大学提出的大规模网络的入侵检测技术;国内相关的其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的,这为开展网络安全态势感知研究奠定了基础[2]。
2 网络安全态势感知系统的总体设计
本文中网络安全态势感知系统的数据主要通过扫描蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统获取,其中手机病毒检测主要是感染手机号和疑似URL信息;DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源;僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息;扫描器能够提供主机和网站脆弱性等信息,并可以部分验证;攻击源、样本以及攻击目标和行为来源于蜜网。通过关联分析技术对以上数据分析并生成各类关联分析后事件,把事件通过安全策略管理和任务调度管理进行分配,最终通过管理门户呈现。系统的结构描述如下。
管理门户主要包括:仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。
策略管理主要包括安全策略管理和指标管理。
关联分析根据采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。
任务管理包括任务生成、配置、下发和核查等功能。
数据库部分存储原始事件、关联分析后事件、各种策略规则及安全知识。
3 系统组成结构
安全态势感知系统的结构如下图所示:
3.1 管理门户
管理门户集成了系统的一些摘要信息,主要包括:态势仪表盘(Dashboard)、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。
态势仪表盘以地图形式展现监控范围内的整体安全态势,显示信息包含:安全威胁、弱点和风险情况;扫描任务完成情况和发现漏洞情况,系统层面的扫描和web扫描分开,展示新设备上线及其漏洞情况。
个人工作台关联事件以全国地图的形式向用户展现当前系统内关联事件的分布情况——显示各地域不同级别(按最高)的关联事件情况,并以列表形式展现关联事件。
综合查询视图包含关联事件查询和漏洞查询。通过指定的字段对相关信息进行查询。漏洞查询条件包括时间段、IP段(可支持多个段同时查询)、漏洞名称、级别等;结果以IP为列表,点击详情可按时间倒序查询历史扫描。
执行任务状态,给出最近(一日、一天或一周)执行的扫描任务(系统)以及关联事件验证任务(扫描和爬虫等)的执行情况。
系统管理包括用户管理、授权管理、口令管理三部分。用户分为三种:系统管理员、操作员、审计员。系统可以通过对角色操作功能的授权管理,最终实现用户授权管理。口令管理主要对用户口令策略的管理,包括口令长度、组成情况(数字、字母、特殊字符的组成)、过期的时间长度、是否能和最近3次的口令设置相同等。
3.2 知识库
知识库包括事件特征库、关联分析库、僵木蠕库、漏洞库、手机病毒库等,可对其中的信息进行更新维护。知识库可以与事件、漏洞、告警等信息关联,获得对以上信息的说明及处理建议。
事件特征库中,可以对威胁、事件进行定义,详述了其特征、影响、严重程度、处理建议等。
关联分析库提供大量可以直接使用的内置关联规则(经过验证可以解决某类安全问题的成熟规则);也可以对这些内置关联规则进行各种组合生成新的、复杂的关联规则。
僵木蠕库是专门针对僵尸网络、木马、蠕虫的知识库,对其特征进行定义,并提出处理建议。 手机病毒库,实现病毒库的管理。
IP信誉库数据包含恶意IP地址、恶意URL等
安全漏洞信息库提供漏洞定义,并详述了其特征、影响、严重程度及处理建议等。
3.3 任务调度管理
任务调度管理,首先对本地安全策略制定任务计划,并通过配置,实现任务的下发、执行等管理功能,最终实现自动调度任务。
主要流程:任务生成—>任务配置—>任务下发—>任务执行—>任务核查。
任务调度的功能:各种信息展示机功能入口,直观地显示任务调度执行情况。
任务生产:通过根据安全策略自动生成和手动创建两种方式生成任务。
任务配置:配置项要有执行时间、执行周期、类型等内容。
任务下发和执行:将调度任务通过任务下发和返回接口将不同类型的安全任务下发给不同的处理器,例如入侵检测系统、漏洞扫描器等。
任务核查:对任务运行结果进行分析、判断以及汇总。核查结果包括:任务名、结果(成功或者失败)、执行时间、运行状态、进度、出错原因等内容。
3.4 策略管理
策略管理包括安全策略管理和指标管理两部分,策略管理针对重要关联分析后安全事件和重要安全态势分析后扩散事件以及发现新上线设备等维护安全策略,目标是当系统关注的重点关联分析后事件和大规模扩散病毒发生后或者新上线设备匹配安全策略自动生成任务;指标管理维护平台中不同类型重点关注关联分析后事件的排名和权重等指标[3]。
模块框架如下图所示:
策略管理对系统的安全策略进行维护,包括针对重要关联分析后事件、重要安全态势分析后扩散事件、发现新上线设备的安全策略,当系统中有匹配安全策略的重要关联分析后事件生成时调用安全任务管理模块自动触发安全调度任务。
指标管理对系统接收的各类安全事件、漏洞、手机病毒等进行关联分析处理,生成关联分析后事件,并对其排名和权重等指标进行维护管理。
3.5 关联分析
安全分析功能利用统计分析、关联分析、数据挖掘等技术,从宏观和微观两个层面,对网络与信息安全事件监测数据进行综合分析,实现对当前的安全事件、历史事件信息进行全面、有效的分析处理,通过多种分析模型为信息安全管理提供决策依据。对于宏观安全态势监测,需要建立好各种分析模型,有针对性的模型才能把宏观安全态势监测做到实处,给用户提供真正的价值。同时也不能只关注“面”而放弃了“点”的关注,在实际应用中,我们更需要对系统采集到的各类安全信息进行关联分析,并对具体IP的事件和漏洞做分析和处理[4]。
关联分析:对网络安全各种关联进行分析,将系统中的原始安全事件进行归纳为不同的典型的网络安全事件,进而能够快速、全面、准确地识别当前安全事件。网络安全态势感知系统提供三种关联分析类型:基于规则的事件关联分析,统计关联分析以及漏洞关联分析。根据此关联分析模块的功能,结合事件的特征和安全监测策略,制定相关的特定关联分析规则。
4 结束语
本文主要对信息安全建设中的安全态势感知系统进行了具体设计,详细定义并设计了系统的基本功能和各个模块的实现方式。通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型等模型的研究,来实现平台对安全态势与趋势分析、安全防护预警与决策[5]。
根据系统组成与网络结构初步分析,安全态势感知平台将系统安全事件表象归类为业务数据篡改、业务数据删除、业务中断等,并对可能造成此现象的安全事件进行分析,请见下表内容:
参考文献
[1] 李硕;戴欣;周渝霞; 网络安全态势感知研究进展 计算机应用研究
[2] 解读网络安全态势感知研究进展 计算机应用研究
[3] 马洪梅 基于流量特征的网络可用性量化评估与控制 计算机应用研究
[4] 网络安全事件异常问题检测方案 计算机与网络
[5] 基于信息融合的网络安全态势评估模型 计算机研究与发展
关键字:安全态势感知;关联分析;数据挖掘;
中图分类号:TP393.08 文献标识码:A 文章编号:1674-098X(2016)5(c)-0000-00
0 引言
随着计算机与通信技术的飞速发展,用户需求日益增加,促使无处不在的计算机网络规模越来越庞大,安全事件屡见不鲜,这使得计算机网络面临着严峻的考验。传统单一的网络安全设备已经不能抵御如今复杂的网络攻击,网络安全态势感知(NSSA)技术应运而生,该技术综合网络中各方面因素,客观、全面的反应网络现行状态,并能够根据该状态进行预测、预警,为网络安全性的提高,提供可靠的参考数据。目前针对网络安全态势的研究已经成为网络安全领域的热点。
1 安全态势感知技术
态势感知的定义:一定时间内,在规模大的系统环境中,获取能够引起系统变化的环境因素,并通过理解、显示这些因素,预测系统未来的发展趋势。
对网络安全态势感知的研究,国外研究者相对比较积极,比较出名的有,学者Bass提出的基于多传感器数据融合技术建立网络安全空间态势感知的框架,该框架通过对入侵者身份、速度、威胁性和入侵目标的推理、识别,能够评估当前网络的安全状态。学者Shiffiet提出的基于模块化的框架结构,通过采用本体论,对网络安全态势感知及相关概念进行了分析与比较得出该框架。加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[1] 也都参与了网络安全态势感知研究。
相对于国外的积极研究,国内起步较晚。众所周知的有,对我军网络与信息安全领域有较深研究的冯毅,他阐述了在军事领域中网络安全态势感知技术的重要作用,同时指出了两项关键技术的应用——多元传感器技术以及数据挖掘技术;北京理工大学机电工程与控制国家重点实验室网络安全分室提出了基于模糊矩阵博弈的网络安全威胁评估模型,并给出了分析方法、计算实例以及研究展望,该模型是通过分析博弈论中的模糊矩阵和网络空间威胁评估机理得出来的;国防科技大学提出的大规模网络的入侵检测技术;国内相关的其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的,这为开展网络安全态势感知研究奠定了基础[2]。
2 网络安全态势感知系统的总体设计
本文中网络安全态势感知系统的数据主要通过扫描蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统获取,其中手机病毒检测主要是感染手机号和疑似URL信息;DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源;僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息;扫描器能够提供主机和网站脆弱性等信息,并可以部分验证;攻击源、样本以及攻击目标和行为来源于蜜网。通过关联分析技术对以上数据分析并生成各类关联分析后事件,把事件通过安全策略管理和任务调度管理进行分配,最终通过管理门户呈现。系统的结构描述如下。
管理门户主要包括:仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。
策略管理主要包括安全策略管理和指标管理。
关联分析根据采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。
任务管理包括任务生成、配置、下发和核查等功能。
数据库部分存储原始事件、关联分析后事件、各种策略规则及安全知识。
3 系统组成结构
安全态势感知系统的结构如下图所示:
3.1 管理门户
管理门户集成了系统的一些摘要信息,主要包括:态势仪表盘(Dashboard)、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。
态势仪表盘以地图形式展现监控范围内的整体安全态势,显示信息包含:安全威胁、弱点和风险情况;扫描任务完成情况和发现漏洞情况,系统层面的扫描和web扫描分开,展示新设备上线及其漏洞情况。
个人工作台关联事件以全国地图的形式向用户展现当前系统内关联事件的分布情况——显示各地域不同级别(按最高)的关联事件情况,并以列表形式展现关联事件。
综合查询视图包含关联事件查询和漏洞查询。通过指定的字段对相关信息进行查询。漏洞查询条件包括时间段、IP段(可支持多个段同时查询)、漏洞名称、级别等;结果以IP为列表,点击详情可按时间倒序查询历史扫描。
执行任务状态,给出最近(一日、一天或一周)执行的扫描任务(系统)以及关联事件验证任务(扫描和爬虫等)的执行情况。
系统管理包括用户管理、授权管理、口令管理三部分。用户分为三种:系统管理员、操作员、审计员。系统可以通过对角色操作功能的授权管理,最终实现用户授权管理。口令管理主要对用户口令策略的管理,包括口令长度、组成情况(数字、字母、特殊字符的组成)、过期的时间长度、是否能和最近3次的口令设置相同等。
3.2 知识库
知识库包括事件特征库、关联分析库、僵木蠕库、漏洞库、手机病毒库等,可对其中的信息进行更新维护。知识库可以与事件、漏洞、告警等信息关联,获得对以上信息的说明及处理建议。
事件特征库中,可以对威胁、事件进行定义,详述了其特征、影响、严重程度、处理建议等。
关联分析库提供大量可以直接使用的内置关联规则(经过验证可以解决某类安全问题的成熟规则);也可以对这些内置关联规则进行各种组合生成新的、复杂的关联规则。
僵木蠕库是专门针对僵尸网络、木马、蠕虫的知识库,对其特征进行定义,并提出处理建议。 手机病毒库,实现病毒库的管理。
IP信誉库数据包含恶意IP地址、恶意URL等
安全漏洞信息库提供漏洞定义,并详述了其特征、影响、严重程度及处理建议等。
3.3 任务调度管理
任务调度管理,首先对本地安全策略制定任务计划,并通过配置,实现任务的下发、执行等管理功能,最终实现自动调度任务。
主要流程:任务生成—>任务配置—>任务下发—>任务执行—>任务核查。
任务调度的功能:各种信息展示机功能入口,直观地显示任务调度执行情况。
任务生产:通过根据安全策略自动生成和手动创建两种方式生成任务。
任务配置:配置项要有执行时间、执行周期、类型等内容。
任务下发和执行:将调度任务通过任务下发和返回接口将不同类型的安全任务下发给不同的处理器,例如入侵检测系统、漏洞扫描器等。
任务核查:对任务运行结果进行分析、判断以及汇总。核查结果包括:任务名、结果(成功或者失败)、执行时间、运行状态、进度、出错原因等内容。
3.4 策略管理
策略管理包括安全策略管理和指标管理两部分,策略管理针对重要关联分析后安全事件和重要安全态势分析后扩散事件以及发现新上线设备等维护安全策略,目标是当系统关注的重点关联分析后事件和大规模扩散病毒发生后或者新上线设备匹配安全策略自动生成任务;指标管理维护平台中不同类型重点关注关联分析后事件的排名和权重等指标[3]。
模块框架如下图所示:
策略管理对系统的安全策略进行维护,包括针对重要关联分析后事件、重要安全态势分析后扩散事件、发现新上线设备的安全策略,当系统中有匹配安全策略的重要关联分析后事件生成时调用安全任务管理模块自动触发安全调度任务。
指标管理对系统接收的各类安全事件、漏洞、手机病毒等进行关联分析处理,生成关联分析后事件,并对其排名和权重等指标进行维护管理。
3.5 关联分析
安全分析功能利用统计分析、关联分析、数据挖掘等技术,从宏观和微观两个层面,对网络与信息安全事件监测数据进行综合分析,实现对当前的安全事件、历史事件信息进行全面、有效的分析处理,通过多种分析模型为信息安全管理提供决策依据。对于宏观安全态势监测,需要建立好各种分析模型,有针对性的模型才能把宏观安全态势监测做到实处,给用户提供真正的价值。同时也不能只关注“面”而放弃了“点”的关注,在实际应用中,我们更需要对系统采集到的各类安全信息进行关联分析,并对具体IP的事件和漏洞做分析和处理[4]。
关联分析:对网络安全各种关联进行分析,将系统中的原始安全事件进行归纳为不同的典型的网络安全事件,进而能够快速、全面、准确地识别当前安全事件。网络安全态势感知系统提供三种关联分析类型:基于规则的事件关联分析,统计关联分析以及漏洞关联分析。根据此关联分析模块的功能,结合事件的特征和安全监测策略,制定相关的特定关联分析规则。
4 结束语
本文主要对信息安全建设中的安全态势感知系统进行了具体设计,详细定义并设计了系统的基本功能和各个模块的实现方式。通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型等模型的研究,来实现平台对安全态势与趋势分析、安全防护预警与决策[5]。
根据系统组成与网络结构初步分析,安全态势感知平台将系统安全事件表象归类为业务数据篡改、业务数据删除、业务中断等,并对可能造成此现象的安全事件进行分析,请见下表内容:
参考文献
[1] 李硕;戴欣;周渝霞; 网络安全态势感知研究进展 计算机应用研究
[2] 解读网络安全态势感知研究进展 计算机应用研究
[3] 马洪梅 基于流量特征的网络可用性量化评估与控制 计算机应用研究
[4] 网络安全事件异常问题检测方案 计算机与网络
[5] 基于信息融合的网络安全态势评估模型 计算机研究与发展