面向下一代电信网的安全态势评估系统设计

杨肖北京邮电大学网络与交换技术国家重点实验室，北京(100876)E-mail：yangxiao0101@gmail.com摘要：本文提出了一个面向下一代电信网的安全态势评估系统的设计，并给出了一个典型的态势评估流程。本文主体分为三部分：总体设计，系统设计模型以及典型的态势评估流程。在这个设计中有两个核心点：一是以当前的信息系统安全风险评估为框架，二是融合了下一代电信网的业务特征，即提出了业务影响关联图这个概念。典型的态势评估流程部分则给出了一个基于该设计的一般的评估流程。关键词：下一代电信网，风险评估，影响关联图中图分类号：TP3931.引言网络安全态势评估是一种网络安全动态评估技术，是信息安全领域的一个新方向。从评估过程的性质来分，可以分为静态评估和动态评估两大类。静态安全评估方法在评估时将评估的对象作为一个静止待估对象，不同的评估方法针对待估对象从不同的角度进行分析与评估，并给出整个对象的安全程度。动态安全评估则将待估对象作为一个动态变化的过程，针对动态过程中所呈现的安全相关特征建立相应的实时动态提取分析模型，通过连续的数据分析来实现对待估对象的安全态势评估。其中静态评估也就是一般意义上的风险评估,即依据一定的标准[4][2],基于威胁、脆弱性和资产价值三个指标定性或定量地评估网络的安全风险状况[2]。动态评估也就是是态势评估。它将风险与环境紧密结合,动态地把握风险在特定环境下的演化。这里的环境主要指网络运行状况、安全防护状况和用户安全特性等。所谓网络态势，是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。在网络态势评估领域，国外的研究主要采用集成化的思想，建立特定的网络安全态势感知系统框架结构。而国内相关研究主要是围绕网络安全态势评估、网络预警等来展开的[1]。2.必要性首先，下一代电信网的安全态势评估系统提高了网络的安全运维能力。目前来讲，下一代电信网被划分成了若干个不同的安全域，每个安全域之间安全策略和安全机制相对独立。安全域之间通过安全网关进行互通。每个安全域内部根据各自安全域的等级保护要求和运营策略制定各自的安全策略和安全机制。运营商通过保证每个安全域的安全实现全网的安全运行。但是，电信网络是一个整体，当一个安全域受到攻击之后，必然会影响周边的安全域。作为网络的管理人员，为了实现网络的安全运行，需要能够根据当前1本课题得到国家高技术研究发展计划（863计划）项目“面向下一代电信网的安全测试评估技术及工具”的资助。（课题编号：2006AA01Z448）的安全情况动态地调整一个或多个安全域的安全策略。因此，在现有网管系统的基础之上引入针对整个网络的安全态势评估系统是十分必要的。其次，下一代电信网的安全态势评估系统的设计和实现有助于从信息安全风险评估角度来对下一代电信网进行管理和优化。下一代电信网的安全态势评估系统是一个动态的网络风险评估系统，它来源于又高于静态的网络风险评估，因此，它的引入的意义在以下几方面得以体现：1)度量信息系统的资产、保护核心资产、提高资产的使用价值；2)从动态角度出发，更好的把握了系统的脆弱性的提取和分析；3)从动态角度出发，更好的把握了系统所受威胁的提取和分析；4)既评估了当前网络的信息安全情况，又能把握当前网络的安全态势，从被动的防御向主动的防御迈出了重要一步。3.总体设计3.1总体功能需求实现一个基于网络的动态风险评估系统，根据整体网络视图进行风险评估，将资产、漏洞和威胁紧密结合，对网络设备及结构的脆弱性、安全威胁水平进行量化评估，使用户能够清楚地看到单个设备资产、整个网络资产存在的风险，还能够看到资产、脆弱性、威胁等的详细统计信息（如网络中漏洞的分布情况、风险级别排名较高的资产等），帮助用户对网络中存在的风险有一个整体、直观的认识。并通过对安全信息的深度挖掘和信息关联，对网络攻击行为进行预测，在网络安全事件发生之前，为用户提供一个比较准确的网络安全状态发展趋势，使用户能够及早采取安全措施，防范于未然。从宏观上来看，实时动态评估在功能上要体现出两个功能点：一个是时间连续性要求，二是实时处理要求。下面主要从这两个角度来分析系统的功能属性。（1）时间连续要求简单而言，动态的评估方法应该是一个连续的不断循环的评估过程。动态的风险评估方法要求在进行完初次评估之后，在时间轴上继续收集风险数据，周期性重复风险评估过程。动态评估方法的核心是实现评估方法的自反馈功能，要能够在不断的评估过程中修正评估结果。（2）实时处理要求实时处理能力要求整个系统的在进行数据处理时对时间高度敏感，评估流程要有明显而严格的时间周期。3.2基本功能划分对上述实际发生过的和潜在的威胁进行分类。与资产分类的目的类似，对威胁进行分类可以简化后续分析，赋值和计算等活动的工作量。系统功能采取水平划分与垂直划分相结合的方式进行描述。水平功能划分基于业界通用的风险评估模型，主要从资产、脆弱性和威胁三个维度对网络风险评估进行功能区分；垂直功能划分主要以处理流程为主线进行功能区分。在横向上，基于业界通用的风险评估模型[1]，从资产、脆弱性（漏洞）和威胁三个维度对网络风险进行动态评估，从多个视角对风险进行深入的定量分析，并通过图形化方式将风险分析结果展示给用户，如图1所示。威胁评估功能主要监控各网络设备、操作系统的日志信息，以便及时发现网络蠕虫攻击、非授权漏洞扫描、网络入侵等安全事件；漏洞评估功能掌握全网各系统中的安全漏洞情况。风险评估是系统的功能核心，能够接收来自威胁评估功能产生的事件，依据资产管理和漏洞评估进行综合的事件协同关联分析，并基于资产（CIA属性+价值）进行风险评估分析。图1系统横向基本功能划分在纵向上，从数据处理流程角度对系统功能进行划分。图2是系统垂直功能划分示意图，包括数据采集、信息分析、可视化显示等主要功能。在该模型中[3]，主要处理流程如下：图2系统纵向基本功能划分（1）从各种信息源中采集安全相关信息数据，并进行预处理，完成数据筛选、数据简约、数据格式转换以及数据存储等功能。（2）对数据从时间、空间、协议等多个方面进行关联，识别出各种安全事件和安全特征，得出初步的分析结果；对安全事件和安全特征向量进行融合,分析网络安全状态,对当前一段时间内的网络安全状况进行整体评估；并对未来一段时间内的安全态势进行预测分析,从整体上明确安全威胁的真正所在。（3）基于安全信息分析结果，为管理员提供方便直观的可视化显示。资产评估资产信息脆弱性评估脆弱性信息动态动态风险评估风险信息威胁评估威胁信息数据采集数据预处理一级处理二级处理态势数据库态势评估三级处理威胁估计事件关联目标识别威胁数据库可视化显示信息分析过程控制与数据管理下一代电信网安全态势评估模型下面介绍一下其中几个重要的模块：4.1展现引擎展现引擎的目的在于可视化，目前，可视化技术可以按近实时地显示多达2.5个B类IP地址空间内主机(约65532×2.5=163830)的网络行为。但随着网络规模的不断扩大，攻击行为的隐蔽性日益提高，对可视化技术又提出了许多新的要求。如何将基于主机的数据和基于网络的数据显示方法进行有机的结合，确定态势显示的统一规范，提高显示的实时性，增大系统可显示的规模，增强人机交互的可操作性等都是可视化技术需要进一步解决的问题。在我们的试验平台中，采取了一个免费的开源的工具prefuse来进行可视化工作。prefuse是一个用户界面包用来把有结构与无结构数据以具有交互性的可视化图形展示出来。这包括的数据有任何可以被描述成一组实体(或节点)或者可以被连接在一起的一些关系(或边缘)。prefuse支持的数据包括具有层次性(如：文件系统，组织图)，网络(网络拓扑，网站链接)，甚至是没有连接的数据集(如：时间线)等。它是一个可扩展的软件框架，它可以帮助使用java语言的开发者开发交互的信息可视化程序。它可以用来建立独立的应用程序，在大型应用中的可视化组件和webapplets。4.2专家知识库专家知识库是一个专家系统，用于提供知识和自我学习，我们的实验平台中，这个专家知识库包含两部分内容:：一个是影响关联图，一个是分析规则库。4.2.1影响关联图下一代电信网是以业务驱动为特征的网络。面向下一代网络的安全态势评估系统的设计需要充分考虑到这一特点。为此，提出了影响关联图这一概念，它指的是在下一代电信网中，以业务为出发点，考虑网络实体或者重要的网络服务之间的关联关系，并将其用图的方式表示出来。其中我们需要给出关联关系的方向性、权值两个因素，也就是说一个网络实体A和一个网络实体B，它们可能相互关联相互依赖，也有可能只有单向的依赖关系。而且这种依赖关系的程度也是不同。影响关联图就其本质也是一种推理规则，下面就从网络实体这个层次给出形式化的表示：BAP⎯→⎯公式1其中：（1）A、B代表网络实体；（2）A、B之间有连接，B提供服务给A；（3）P代表依赖权值，即A在多大程度上依赖于B（4）P的值，直观上我们可以利用业务的依赖性的数量来赋值，一般可以认为：B提供某个服务，使得A能够利用B提供地服务完成某项业务，则P的权值增加，进一步精确的可以考虑业务的重要性程度来进行赋值。通过对整个网络进行分析，最终我们得到的影响关联图，应该如下所示：图4影响关联图进一步深入分析和完善该图，我们可以从网络服务关联和网络入侵角度来说明和扩展这个问题，给出以下定义和分析说明：定义一：网络中的每一个结点(主机)可以表示为一个多维向量集合),...,(V21mVVV=，),(iiiQPV=，其中iP代表一些关键属性的名字，iQ表示相应属性的值。定义二：网络中的边可以表示为jkC=(P,jkG，jkR)，其中P代表网络服务关联的权值，jkG表示网络实体k到网络实体J之间的入侵路径及方法，需要注意的是，需要考虑其方向性，即网络的入侵若是始于k终于j，则为正值，若是始于j终于k，则为负值。jkR表示相应的k和j风险评估值。定义三：边的存在从根本上说是由于信任关系的存在，从服务层次去理解，我们可以大致将其分为两大类：1)目标实体提供的服务本身的脆弱性，如易猜测的口令或者文件的访问权限控制不当。2)系统为了实现功能，或为了提供某项业务，而对网络实体之间的一些信任关系进行确定，而这些信任关系由于彼此之间的错综复杂关系而得到不当的扩展。定义四：影响关联路径：指的是网络中的某个实体受到攻击，将显示其所可能达到了目标网络实体。如上图中红色部分显示的路径。通过以上分析，我们可以得出影响关联图具有以下几个重要的特点：1）动态性：由于初始知识不一定全面，构建的影响关联图也是不完整的，但随着对网络的深入分析，以及对相应的入侵进行检测和防护，所获得的网络系统的信息越来越多，对该网络的整体安全和局部安全的了解的深度不断加强，构建影响关联图是一个不断完善修正的过程。所以点和边都应该是动态的。2）边的信息的多样性：两个顶点之间的边，可以带有网络服务关联信息、入侵路径和方法信息、风险信息等。很明显，我们利用影响关联图、展现引擎和分析引擎可以做以下几件事：（1）展示网络的拓扑结构；（2）当有某个网络节点受到攻击的时候，可以用颜色、动态抖动等特殊效果显示；（3）显示可能的影响关联路径；（4）显示历史存在的攻击方法。4.2.2分析规则库分析规则库，即记录了哪些安全事件会对哪些网络实体产生直接影响和相应的影响值，并且记录了一些额外的规