网络安全态势感知技术范文
发布时间:2024-01-16 10:17:35
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇网络安全态势感知技术范例,将为您的写作提供有力的支持和灵感!
篇1
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
篇2
中图分类号:tp311.52文献标识码:a文章编号:10053824(2013)04002504
0引言
信息通信技术(information and communication technology, ict)随着技术的进步和应用的拓展,将给人类社会的生产与生活带来一场深刻的变革。目前,通信网络作为信息通信技术的重要基础分支,已经从人到人(person to person,p2p)的通信发展到人与机器(或物体)间以及机器到机器间(m2m)的通信,并朝着无所不在(ubiquitous)的网络(即泛在网络)方向演进 [1]。无线通信技术在近几十年内呈现出异常繁荣的景象,也带来了多种类型无线通信网络的发展和共存,这些无线通信网络可以统一称为泛在无线网络。
1泛在无线网络概述
泛在化已经成为未来无线网络演进的主题特征。泛在无线网络扩展了无线通信系统的外延,也丰富了系统的内涵。因此,这种高速化、宽带化、异构化、泛在化的网络无论从内部结构,还是所处外部环境,都具有如下两大主要基本特点:
1)异构性。构成泛在无线网络的不是单一或同构的网络实体,而是由功能、结构和组织形态各异的各类无线网络融合而成。同时,由于实体所处的地理位置、对资源的使用权限、网络社会环境中的角色和关系、信息的获取能力等因素的差异性,使得各个网络实体所处的环境以及获取的环境信息具有非对称性。
2)复杂性。网络实体之间,以及网络与环境的联系广泛而紧密,且互相影响。网络具有多层次、多功能的结构,其在发展和运动过程中能够不断地学习,并对其层次结构与功能结构进行重组与完善。网络与环境有密切的联系,能与环境相互作用,并能不断向更好地适应环境的方向发展变化。
泛在无线网络的异构性和复杂性从本质上改变了网络系统的内外部安全要素及其相互作用机理,使得人类对其特征做出有价值描述的能力大为降低[2]。这就要求降低网络系统对人的依赖,通过智能、综合的威胁分析和全面、协作的安全管理,将各个安全功能融合成一个无缝的安全体系。在这方面,目前国内外学术界已经开展了相关研究。其中,基于网络态势感知(cyberspace situation awareness, csa)的网络安全机制研究作为异构、复杂网络的主流研究方法之一,得到了学术界广泛的关注与研究。所谓网络安全态势感知是指在一定的时空条件下,对影响网络安全的各种要素进行获取和理解,通过数据的整合处理与分析来判断网络安全性的现状,预测其未来的发展趋势,并最终形成匹配趋势的自主安全行为机制[3]。
2分布式态势感知
目前学术界关于网络安全态势感知的研究已经形成一些初步的成果,但这些研究方法主要针对有线网络,难以匹配泛在无线网络的特征,同时本身也具有较大的局限性。
这些局限性的具体表现之一为:集中式感知体系与无线泛在网络的异构性和复杂性不匹配。在目前的研究中,感知体系具有底层分布式和顶层集中式架构。即感知信息的获取与融合具有分布式特征,而在感知知识理解以及态势预测方面都采用集中式的决策方式。在这种体系下,必然有一个全网的中心控制实体,用于形成态势感知的顶层功能。泛在无线网络庞大的规模和异构性必然导致集中决策功能的计算、存储和协议传输开销过于复杂,难于实现,而且过于集中化也不能较好地体现安全要素和安全功能的局部化、本地化特征。
为了解决这一问题,本文提出了一种新型的态势感知理论。一般来说,大规模系统中的各个子系统拥有各自的态势感知信息,这些态势感知信息和其他主体的感知信息尽管是兼容的,但也可能是非常不同的。通常情况下,由于各个主体的目的不同,我们并不总是希望或者总是必须共享这些态势感知信息,于是可以把态势感知看作是一个动态的和协作的过程,这个过程能够把各个主体在同一个任务下每时每刻地联系在一起。基于这样一个观点,一种创新理论—
分布式态势感知(distributed situation awareness,dsa)应运而生[4]。
2.1分布式态势感知与集中式态势感知的比较
分布式态势感知是面向系统的,而非面向个体的。我们的目标是研究分布式态势感知的措施,使其能够在某些领域支持对系统行为的预测和对观测现象的解释。例如,说明可能出现的错误,或者比较组织间指挥与控制的不同。在过去的20年中,很多的研究者在不同层次之间的相互关系和结构与功能之间的相互作用等方面都有着突出的贡献。通过回顾当代团队合作的研究,paris等人发现在一般的系统理论中,大多数的理论、模式和分类都包含着这样一种3步走方法,即输入—处理—输出[5],这似乎对预测模型的开发是一种有效的区分方法。事实上,系统理论方法应该能够提供一种适用于在不同分层描述预测信息的方法。
在分布式态势感知中,认知过程发生在整个系统中,而不是某个特定的分层。endsley于1995年提出了3层态势感知模型[6],即态势获取、态势理解和态势预测,这些可以恰当地映射为输入—处理—输出这样一个3步走方法。我们可以把endsley的感知模型应用在表1所示的入侵检测系统(ids)中。在这个例子中,信息收集设备一般为放置在不同网段的传感器,或者是由不同主机的来收集信息。检测引擎检测收集到的信息,当检测到某一异常时,会产生一个告警并发送给控制台。控制台按照告警产生预先确定的响应措施,如重新配置路由器或防火墙等。 这是一个简单的例子,因为它是线性的。在一定程度上,信息收集设备的输出是检测引擎的输入,检测引擎的输出又是控制台的输入。但是有两点说明对于本文研究的方法是非常重要的:第一点,构成分布式态势感知的认知信息是分布在整个系统的;第二点,是信息的隐式通信,而不是思维模型的详细交换。在表1的例子中,检测引擎通过一个告警来显示系统安全已经存在异常。因此,正如一些影响个体认知行为的重要的因素会涉及到信息的表征、转换和处理,即态势要素从获取到理解再到决策,同样的,整个系统层也要来面对和解决这些因素。
2.2分布式态势感知的特点
这些态势感知的基本理念分布在整个系统,引导我们提出一系列可以形成一个理论的基础原则。这些原则如下:
1)态势感知要素被人类或者非人类主体拥有。在表1中,技术设备和操作人员(控制台可能由人为控制)一样在某种程度进行了态势感知,如在这里是检测异常数据的存在。
2)在同一情景阶段下,不同的主体拥有不同的视角。就像在表1中,在态势要素获取、理解和预测阶段,信息收集设备、检测引擎和控制台拥有各自不同的视角和见解。
3)一个主体的态势感知是否与另外的一个重叠取决于他们各自的目的。尽管他们同属于一个入侵检测系统,信息收集设备的目的是收集可能存在异常的数据,检测引擎的目标是确定系统所处环境是否存在安全威胁,而控制台的目的在于为系统的安全做出适当的决策。基于endsley的态势感知模型,不同的主体代表态势感知的不同阶段,而他们自己并不是整个态势感知的缩影,如信息收集设备负责态势获取,检测引擎负责态势理解,控制台负责态势决策,这是分布式态势感知和传统态势感知模型很大的不同之处。
4)各个主体之间的通信可能通过非语言行为、习惯或者实践(这可能对非原生系统用户构成问题)来进行。例如,控制台通过检测引擎发送的一个告警信号,即了解到系统安全可能正受到威胁。
5)态势感知把松耦合系统联系在一起。通过对系统中异常数据的存在在不同阶段的感知和适当的响应,将信息收集设备、检测引擎和控制台三者联系在一起。
6)态势要素可以在各个主体间共享。例如,一个检测引擎可能不了解该系统中的安全威胁等级,但是它可以被信息收集设备、另一个检测引擎或控制台告知。
对于这类事件,我们可以依据klein提出的自然决策观点[7]进行考虑,也就是说,在某一领域的主体能够利用他们的经验和专长,使快速诊断和执行有效的行动在一个非常有限的时间框架内完成。类似的,smith和hancock两人提出,态势感知可以即时理解任务的相关信息,并能在压力之下做出适当的决策[8]。我们的理论是面向系统的,所以我们要对个体和共享态势感知采用不同的视角。我们认为分享态势感知的方法会把我们的注意力误导到任务并不十分重要的方面。在分布式团队工
作中,态势感知在短暂的时期可能是重叠的。分布式的态势感知需求和分享式的态势感知需求是不一样的。分享式的态势感知意味着分享的需求和目的是相同的,然而分布式态势感知意味着需求和目的是不同的,但是潜在兼容各自的需求和目的。因此,我们认为,对于一个系统中的特定任务,分布式态势感知可以定义为具有活性的认知。这与bell和lyon提出的观点相似,他们认为,态势感知可以定义为关于环境要素的认知[9]。从而,当把这一观点运用在分布式认知时,我们提出,态势需要充分利用适当的认知(被个体感知或者被设备获取等),这些认知信息与环境的状态和随着态势改变而发生的变化有关。对于本文提到的模型,认知的“所有权”首先是面向系统的,而不是个体的。这一观点可以进一步扩展到包括“态势感知元”的系统中,某个主体的认知信息包含于系统中,这样当其他的主体需要这些认知信息时,就可以知道去哪里找到。
2.3dsa理论的3个主要部分
分布式态势感知理论包括3个主要的部分:第一部分,获取操作过程中各个阶段和各个主体的认知信息,为完成这一任务我们使用关键决策理论;第二部分,从关键决策方法得到的结果中提取出认知对象,这里要用到内容分析方法;第三部分也是最后一部分,表述认知对象之间的关系,并识别它们是在哪些阶段被激活的。命题网络被用于此任务,包括利用“主题”、“关系”和“对象”网络结构的系统所需的知识来描述任何给定的情况。具体如下:
1)第一部分,获取各个部分的认知信息。
近年来,研究真实世界中的情况决策已经得到了极大的关注。虽然在检测方面做出了很多的工作,但还是要强调通过访问方法的使用来收集信息。klein提出的关键决策方法是一种针对关键事件的技术。按照klein的理论,关键决策方法是一种回顾性访问策略,应用一组认知探针来探测实际发生的非常规事件,需要专家判断和决策。在这种方法中,访问收益通过以下4个阶段:简洁和初始的事件回顾,确定特定事件的决策点,探测决策点和校验。
2)第二部分,提取认知对象。
为了把关键决策的分析表格转换成命题,我们采用内容分析的方法。在第一个部分,仅仅是从海量信息中分离出关键内容。例如,威胁的性质、情报可用性的程度和气候状况可以缩减为如下认知对象:“威胁”、“情报”和“天气”。通过检查以确保重复的最小化,然后用于构造命题网络。
为了解释这一系列的活动,我们确定一个认知对象的网络。我们定义认知对象作为世界上人们可以探测、分类和操作的实体。例如,认知对象可以包含自己和敌人领土的认知、空气和海洋的资产(和这些资产的有用度)、目标、重点、雷达带宽、计划和策略等。世界上所有的现象,都可用作潜在的认知对象。通过这种方式,我们把作战空间作为一个认知对象的网络,而不是一个技术网络。这不是否认技术网络的重要性,而是为了说明认知网络的正确使用可以确保整个系统有效地执行。
3)第三部分,表述认知对象与它们活动之间的关系。
命题网络就像语义网络,它们包含节点(包含文字)和节点之间的联系,但在两个方面有所不同。首先,这些词不一定是随机添加到网络的,而是涉及到定义的命题。一个命题是一个基本的声明,也就是说命题是最小的单元,其意义可以用来判断真伪。第二,词之间的链接被标记用来定义命题之间的关系。这些关系可能是关于主体和对象(从语法的角度)之间相对应的联系。基于以上的描述,我们认为可以引出像字典定义一样的概念。这些概念是基于基本命题的应用。 命题的派生是从关键决策方法再到内容分析得出的。我们可以构建一个初始命题网络来展示与此相关时间的认知信息。这个命题网络由一系列的节点来表示与特定操作者相关联的对象,例如,信息的来源和主体等。通过这个网络,应该可以识别与此事件相关的需求信息和可能选项。
综上所述,通过分析分布式态势感知的理论特点,并且结合泛在无线网络存在的安全难题,我们可以得到如下结论:分布式态势感知技术可以很好地解决泛在无线网络的异构性和复杂性问题,同时能够较好地体现安全要素和安全功能的局部化和本地化特征。
3结语
泛在网是全球新兴战略性产业,是“感知中国”的基础设施,此项事业光荣而艰巨,任重而道远。而泛在无线网络作为其重要组成部分,其安全问题正
到越来越广泛的关注。本文的主要目的是介绍一个新型的态势感知理论,即分布式态势感知。希望利用分布式态势感知的理论特点来解决泛在无线网络的一些具体难题,如复杂性和异构性问题。
虽然网络安全态势感知的研究已经得到了国内外越来越多的关注,但仍处于研究的探索阶段。尤其是对于无线泛在网络而言,除了要解决本文提到的“集中式感知体系与无线泛在网络的异构性和复杂性不匹配”问题,还需要注意到以下3个方面的问题:
1)安全态势演化模型无法耦合网络中各实体行为的复杂、非线性关联作用机理;
2)精准且高效的态势感知过程必须受网络实体的存储和计算能力以及带宽约束,尤其是在分布式态势感知体系下,各网络实体完成协作式态势感知过程时引入高效的协议交互,以及分布式决策的收敛性和收敛速度都有待研究;
3)缺乏针对泛在无线网络应用场景的主动防御机制及其评价体系。
参考文献:
[1]苗杰,胡铮,田辉,等.泛在网络发展趋势与研究建议[j].通信技术与标准(泛在网专刊),2010(1):49.
[2]akhtman j, hanzo l. heterogeneous networking: an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee,2010,98(2):135138.
[3]龚正虎,卓莹.网络态势感知研究[j].软件学报,2010,21(7):16051619.
[4]neville a,rebecca s,don h, et al. distributed situation awareness in dynamic systems: theoretical development and application of an ergonomics methodology[j]. ergonomics, 2006, 49(1213):12881311.
[5]paris c r,salas e,cannon b j a. teamwork in multiperson systems: a review and analysis[j].ergonomics,2000,43(8):10521075.
[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors, 1995(37):3264.
[7]klein g a. a recognitionprimed decision (rpd) model of rapid decision making[j]. decision making in actim: models and methods,1993,5(4):138147.
[8]smith k, hancock p a. situation awareness is adaptive, externally directed consciousness[j].the journal of the human factors and ergonomics society,1995,37(1):137148.
篇3
[5]韦勇, 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型[J]. 计算机学报,2009,32(4):763-771.
PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// RAID02: Proceedings of the 5th International Conference on Recent Advances in Intrusion Detection, LNCS 2516. Berlin: SpringerVerlag, 2002: 95-114.
[6]王晋东,沈柳青,王坤.网络安全态势预测及其在智能防护中的应用[J].计算机应用,2010,30(6):1480-1488.
[7]朱丽娜,张作昌,冯力.层次化网络安全威胁态势评估技术研[J].计算机应用研究, 2011,28(11):4303-4306.
[8]王慧强,赖积保,胡明明.网络安全态势感知关键实现技术研究[J]. 武汉大学学报:信息科学版,2008,33(10):995-998.
[9]赵国生,王慧强,王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统,2006,27(10):1861-1864.
[10]QU Z Y, LI Y Y, LI P. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Sceiety, 2010:496-499.
[11]SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: a survey[J]. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12):1696-1710.
[12]席荣荣,云晓春,金舒原,等. 网络安全态势感知研究综述[J]. 计算机应用,2012,32(1):1-4,59.
篇4
2网络安全态势感知体系结构
(1)体系主要技术
网络安全态势感知对网络安全信息的管理有着很好的效果,其效果的实现是结合了多种网络网信息安全技术,比如防火墙、杀毒软件、入侵检测系统等技术,其作用主要表现在对网络安全的实时检测和快速预警。通过实时检测,网络安全态势感知可以对正在运行的网路安全情况进行相应的评估,同时也可以预测网络以后一定时间的变化趋势。
(2)体系组成部分
网络安全态势感知体系可以划分成四个部分。第一部分是特征提取,该层的主要作用是通过防火墙、入侵检测系统、防病毒、流控、日志审计等系统整理并删选网络系统中众多的数据信息,然后从中提取系统所需要的网络安全态势信息;第二部分是安全评估,该部分属于网络安全态势感知体系的核心部分,其作用是分析第一部分所提出的信息,然后结合体系中其他网络安全技术(防火墙、入侵检测系统等)评估网络信息安全的运行状况,给出评估模型、漏洞扫描和威胁评估;第三个部分就是态势感知,这一部分的作用是识别网络安全评估的信息和信息源,然后明确双方之间存在的联系,同时根据评估的结果形成安全态势图,借此来确定网络安全受威胁的程度,并直观反映出网络安全实时状况和发展趋势的可能性;最后一部分是预警系统,这个部分是结合安全态势图,对网络运行中可能受到的安全威胁进行快速的预警,方便安全管理人员可以及时的检查网络安全的运行状况,然后通过针对性的处理措施解决网络安全隐患。
3网络安全态势感知关键技术
(1)数据挖掘技术
随着网络信息技术的成熟,网络中的信息量也在不断增多,同时又需要对这些数据进行快速的分析。针对这种问题,数据挖掘技术就应运而生,其目的是在大量的安全态势信息中找出有价值且能使用的数据模式,以便检测不确定的攻击因素和自动创建检测模型。数据挖掘广义上理解就是挖掘网络中众多的信息,但挖掘出来的信息是人们所需要的,而按照专业人士的解释,数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在有用的并且最终可理解的信息和知识的非平凡过程。其中提出的信息和知识由可以转换为概念、模式、规则、规律等形式。在知识的发现中数据挖掘是非常重要的环节,目前这项技术开始逐渐进入到网络安全领域,并与入侵检测系统进行了结合,其中运用的分析方法主要包含4种,即关联分析、聚类分析、分类分析以及序列模式分析。关联分析的作用是挖掘各种数据存在的某种联系,就是通过给定的数据,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信的关联规则。序列模式分析与关联分析类似,但其分析更多的是数据之间的前后联系,即使通过给定的数据,找出最大序列,而这个序列必须是用户指定,且属于最小支持度。分类分析对集中的数据进行分析和归类,并根据数据的类别分别设置不同的分析模型,然后再分类其它数据库的数据或者信息记录,一般用的比较多的模型主要包括神经网络模型、贝叶斯分类模型和决策树模型。聚类分析与分类分析都是属于数据的分类,但两者的区别在于前者不需要对类进行提前定义,其分类是不确定的。具体细分下来聚类分析法又包括以密度为基础的分类、模糊聚类、动态聚类。关联分析与序列分析大多用在模式的发展以及特征的构建,分类分析与聚类分析大多用在模型构建完成之后的检测环节。现阶段,虽然数据挖掘已应用到网络安全领域,也具备较好的发展趋势,但使用过程中还是有一些问题需要解决。比如,获得数据挖掘需要的数据途径较少,数据挖掘的信息量过大,效率较低,费时又费力,难以实现实时性。
(2)信息融合技术
信息融合技术也叫做数据融合技术,或者是多传感器数据融合,它是处理多源数据信息的重要工具和方法,其作用的原理是将各种数据源的数据结合在一起然后再进行形式化的描述。就信息论而言,相比于单源的数据信息,多源数据信息在提供信息量具有更好的优势。信息融合的概念在很早以前就提出,而由于近些年高级处理技术和高效处理硬件的应用,信息的实时融和逐渐成为网络信息技术领域研究的新趋势,其研究的重点就是对海量的多源信息的处理。正是基于这种研究,信息融合技术的理论研究以及实际应用取得显著的效果。就信息融合的标准而言,美国数据融合专家组成立之初就进行了相应的工作,且创建了数据融合过程的通用模型,也就是JDL模型,该模型是目前数据融合领域常用的概念模型。这个模型主要有四个关于数据融合处理的过程,即目标提取、态势提取、威胁提取和过程提取。这些过程在划分上并不是根据事件的处理流程,每个过程也并没有规定的处理顺序,实际应用的时候,这些过程通常是处于并行处理的状态。目标提取就是利用各种观测设备,将不同的观测数据进行收集,然后把这些数据联合在一起作为描述目标的信息,进而形成目标趋势,同时显示该目标的各种属性,如类型、位置和状态等。态势提取就是根据感知态势图的结果将目标进行联系,进而形成态势评估,或者将目标评估进行联系。威胁提取就是根据态势评估的结果,将有可能存在威胁的建立威胁评估,或者将这些结果与已有的威胁进行联系。过程提取就是明确怎样增强上述信息融合过程的评估能力,以及怎样利用传感器的控制获得最重要的数据,最后得出最大限度提高网络安全评估的能力。
(3)信息可视化技术
信息可视化技术就是利用计算机的图像处理技术,把数据信息变为图像信息,使其能够以图形或者图像的方式显示在屏幕上,同时利用交互式技术实现网络信息的处理。在计算技术不断发展的条件下,信息可视化的的研究也得到了不断的开拓。目前信息可视化研究的领域不再局限于科学计算数据的研究,工程数据以及测量数据同样也实现了信息的可视化。利用信息可视化技术,可以有效地得知隐藏在数据信息中的规律,使网路信息的处理能获得可靠的依据。就计算机安全而言,目前网络安全设备在显示处理信息结果上,只是通过简单的文字描述或者图表形式,而其中的关键信息常常很难被提取出来。网络安全态势感知体系的主要作用就是通过融合和分类多源信息数据,使网络安全里人员在进行决策和采取措施时能及时和找准切入点。这就需要将态势感知最后得出的结果用可视化的形式显示计算机系统中,充分发挥人类视觉中感知和处理图像的优势,从而保证网络的安全状态能得到有效地监控以及预测。故而,作为网络安全态势感知体系的关键技术,可视化技术的发展以及实际应用有了显著的效果,对于网络安全态势感知中的攻击威胁和流量信息发挥重要的作用。同时,可视化技术的主要作用就是将态势感知的结果以人们便于认识的形式呈现出来,那么就需要考虑到态势信息的及时性和直观性,最后显示的形式不能太过复杂。此外,未来网络安全态势感知体系中可视化技术,还需要解决怎样把具有攻击威胁的信息与网络流量信息进行一定的联系,且为了加强显示信息的时效性和规模性,还需要制定相关的标准,保证安全态势的显示能规范统一。
4金税工程网络安全态势感知模型实例分析
对金税工程网络安全需求为牵引,通过数据挖掘深入感知IT资源(采集的要素信息),构建出金税工程网络安全态势感知模型。模型分解可分解为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、用户接口(态势可视化)、历史数据分析九个部分。
(1)要素信息采集:
信息采集对象包括资产、拓扑、弱点、性能、事件、日志等。
(2)事件归一化:
对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展。
(3)事件预处理:
也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。
(4)态势评估:
包括关联分析、态势分析、态势评价,核心是事件关联分析。关联分析就是要使用采用数据融合(Da⁃taFusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
(5)业务评估:
包括业务风险评估和业务影响评估,还包括业务合规审计。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
(6)预警与响应:
态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
(7)流程处理:
主要是指按照运维流程进行风险管理的过程。安全管理体系中,该功能是由独立的运维管理系统担当。
(8)用户接口(态势可视化):
实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
(9)历史数据分析:
这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。在安全管理系统中,除了具备态势感知能力,还具备历史数据挖掘能力。
篇5
【关键词】态势感知 量化 融合 网络安全 网络环境
由于网络安全事件发生机率的不断上升,信息网络安全问题再次成为了人们关注的焦点,社会各界也加大了对网络安全环境的营造力度,网络安全态势感知作为网络环境安全管理的重要手段,自然也成为了人们关注的重点。业内人士不仅加大了对网络安全B势感知量化的研究,同时为了解决网络安全事件不确定性因素较为复杂的问题,开始加大对融合感知的研究力度,并已经取得了一定的成绩。
1 网络安全态势感知
所谓态势感知就是以规模性系统环境为基础,对引发系统安全问题的因素进行分析、提取与预估的过程。由于其能够通过对态势感知工具的运用,科学对复杂的动态化环境的动态变化情况进行明确,从而准确做出判断,以保证环境安全性。网络态势不仅包含网络运行设备综合情况,同时用户行为因素以及网络行为因素等内容也涵盖在其中。而安全态势感知技术可以对网络系统情况实施实时监控,并会将监控结果制成全局安全视图以及局部安全视图,能够为决策者提供出更加可靠的数据支持。
2 融合网络安全态势感知量化方式
由于目前融合方式种类较多,本文在此将以DS证据理论为例,对网络安全态势感知(以下简称为态势感知)融合进行全面论述。
2.1 态势要素提取
所谓态势要素,就是安全态势属性的简称,能够对态度基本特征进行描述,并会按照要素,形成威胁态势以便后续工作的开展。通常情况下,态度要素组成内容往往会涉及到多个部分,较为综合,像安全事件威胁程度、发生频率以及事件类型等内容都包含在其中,其中威胁程度始终都是研究中的难点部分,专家往往只能依靠自己多年经验来威胁情况进行判断,这就会直接影响到要素判断的准确性,需要运用相关理论来对要素的隶属关系以及要素关系进行反复推演。笔者将以目标决策理论为基础,对正态分布实施离散化处理,且会通过对威胁因子进行收集的方式,将其和威胁因子收集目标要求进行拟合处理,并在简单层次分析环境中,对网络环境中的威胁因子进行生成,以开展后续环境监督工作。
2.2 层次量化感知处理
在得到相应的要素之后,相关人员需要对要素进行量化,进而将多种类型要素映射到统一的量纲之中,以完成感知量化的过程。而整体过程处理方式主要分为服务安全态度、主机安全态势以及网络安全态势三种。
(1)攻击强弱以及威胁因子等因素会组成服务安全态度,是以组成因素为基础,通过对多种攻击威胁因子量化权重情况,来对服务遭受攻击种类以及数目进行分析的方式,主要目的就是为了对攻击数量进行弱化,以提高相关人员对于威胁程度重要性的认知程度。
(2)顾名思义,主机安全态度和主机运行态势以及运行服务数目有着直接关联,如果将主机时间窗口设为B,将主机Hl(1≤l≤u)中的运行服务设为si,而将服务失效之后所生成的不良后果设置为?si则主机安全态势就可以表示为:
(3)网络安全态势主要是由主机数据敏感性、主机安全态势以及主机数目等内容所组成。如果网络系统中的关键数目以及资产值出现较大的变动,则就会证明系统中存在着威胁,相关人员需要对其进行准确判断,以便及时对网络系统中存在的安全问题进行解决,保证网络系统的安全运行。
3 安全态势量化感知融合仿真实验
本实验将对融合、专家加权DS理论与传统DS理论进行对比,从而分析出权值环境的适应性以及其数据的变化情况,从而准确分析出融合量化感知的优势所在。
3.1 服务安全态势
相关人员需要通过实验收集到威胁因子、攻击强弱以及攻击类型等方面的内容,其中攻击类型与攻击强度会在DS融合引擎中所获得,并会在时间窗口中对其进行统计与研究,以实现对威胁因子的计算。而仿真网络在运行一段时间之后,相关人员会开始模拟对网络进行攻击,且攻击时间由此自行进行安排,并会对攻击对象实施选择性重放处理。通过对攻击前后网络安全态势的分析发现,虽然攻击之后系统会出现异常情况,却有着一定规律,可以按照服务安全态度与发展情况对其进行合理防护,便能科学对服务问题进行控制。
3.2 主机安全态势
通过对该部分安全态势感知的分析可以发现,如果主机运行服务出现问题,就会生成不良后果,而其能够作为重要依据来对服务权重进行明确,通常权重等级主要分为高级、中级以及低级三类。通过分析可以发现,如果服务相同,则其安全态势也较为类型,且在重大问题出现前,其安全态势会出现异常的情况,管理人员可以按照这一特点,提前做好攻击防护准备,并按照威胁程度等级做出相应的处理即可。
3.3 网络安全态势
在对网络安全态势需通过对主机重要权重进行确定来进行感知,其与机密数据存在性、主机资产价值以及关键服务数目有着直接的关联,通过归一化手段处理之后,相关人员能够对一段时间内的安全态势变化情况进行明确,并可以准确分析出可能存在的攻击情况,从而及时对其做出应对,以确保网络威胁因素能够在可控范围之内。
4 结束语
基于融合理念进行的网络安全态势感知,能够通过多源融合的方式,来对网络中的异质环境内存在的威胁因素进行融合,进而形成威胁因素分子,进而对量化感知过程进行完善,确保管理者能够通过对层次关联内容进行推理的方式,来对存在的安全隐患进行确定,以便及时对其进行剖析与解决,进而切实强化环境适应能力,保证网络环境安全系数。
参考文献
