网络安全态势感知系统结构研究

网络安全态势感知系统结构研究ComputerEngineeringand2008,44(1)Applications计算机工程与应用◎网络、通信与安全◎摘要:网络安全态势感知是实现网络安全监测和预警的一种新技术,融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究后,建立了一个网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定理论的基础。关键词:网络态势感知;安全评估;安全预警随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价,实时监测和预警的一种新的安全技术。论文研究工作主要是围绕网络安全态势感知系统模型,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定了理论的基础。1相关研究工作网络安全态势感知是应网络安全监控需求而出现的一种新技术,目前正处于起步阶段。态势感知源于航天飞行的相关研究,目前广泛应用于航天飞机、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控,因此迫切需要一项新方法来完成该项任务,于是提出了网络安全态势感知系统研究。1999年,Bass等人首次提出了网络态势感知概念[1],即网络安全态势感知,并将网络态势感知和空中交通监管(ATC)态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去,随后提出了基于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出了基于模块化的技术无关框架结构。美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“SpinningCubeofPotentialDoom”系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI领导的CERT/NetSA开发了SILK[2],旨在对大规模网络安全态势感知状况进行实时监控,在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警,给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分析,并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT欲通过开发一个安全事件融合工具的集成框架,为Internet提供安全可视化。目前该机构已开发的Internet安全态势感知系统有NVisionIP,VisFlowConnect-IP等。NVisionIP通过系统状态可视化来获取Internet的安全态势;Vis-FlowConnect-IP通过连接分析可视化来获取Internet的安全态势。美国2006年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防高级规划署(DARPA)等军方机构也正投资开展安全态势感知的研究[3]。在国内方面,关于网络安全态势感知的研究还限于科研院校的研究阶段,目前的工作主要集中在组织架构和业务体系的建立,离实际的应用距离还很远。2网络安全态势感知系统模型网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究,建立网络安全态势感知概念模型,如图1。该模型将安全态势感知分为四层:特征提取、安全评估、态势感知、预警。特征提取是态势感知的前提,该层主要采用已有成熟技术从海量数据信息中提取网络安全态势信息。安全评估是态势感知的核心,通过漏洞扫描,安全审计等获得安全信息后,同时和已有的网络安全机制相结合,对已安装的入侵检测系统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提取数据,采用合适的安全评估模型,对网络的威胁和脆弱性进行评估。安全评估将信息反应到态势感知层,态势感知层通过识别信息中的安全事件,确定它们之间的关联关系,并依据所受到的威胁程度生成相应的安全态势图,来反映整个网络的安全态势状况。态势预警要求不但能对即将发生的安全事件提前告知,给出应急的处理措施,而且能够依据历史网络安全态势信息和当前网络安全态势信息预测未来网络安全趋势,使决策者能够据此掌握更高层的网络安全状态趋势,为未来的安全管理制定合理的决策提供依据。通过对四层概念模型的分析,拟设计如图2所示的网络安全态势感知系统体系结构。网络安全态势感知系统由网络拓扑发现,安全拓扑生成、安全评估模型、漏洞扫描、威胁评估、事件关联、预警、结果可视化等模块构成。在下面的内容中,将对系统组件之间的关联关系、因果关系进行分析研究。3关键模块分析在网络安全态势感知系统中,特征提取、安全估计、态势感知、安全预警是四个核心模块,分别代表网络安全态势感知四个不同的阶段。在这些模块中、数据挖掘、模式识别、人工神经网络、机器学习等人工技术被广泛运用。下面将对这四个核心组成部分进行具体介绍。3.1数据预处理和特征选择网络安全态势感知系统首先从防火墙、安全审计、防病毒软件等中获取到大量的日志数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态势感知系统的底层。当系统从防火墙、安全审计、防病毒软件等中获取到大量日志数据后,首先需对数据格式进行统一,并依靠专家系统对数据进行约减,合并,直观地从大量数据中排除与安全态势感知无关的噪声数据,将重复的属性数据进行合并。特征选择能够为特定的应用在不失去数据原有价值的基础上选择最小的属性子集,去除不相关的和冗余的属性,在网络态势感知系统表现为选取与网络安全联系最紧密的属性[4];特征选择还将提高数据的质量,加快安全评估的速度,处于最低层的数据预处理和数据特征提取是网络态势感知系统高效运行的前提。特征选择是模式识别和数据挖掘的重要环节,网络态势感知系统的很多模块中均采用模式识别和数据挖掘进行数据处理,一些用于模式识别和数据挖掘的特征提取算法也可应用在网络态势感知中。特征选择算法可从搜索方向、搜索策略、评价方法和停止标准4个方面考察,使用4个方面的不同组合可以得到不同的特征选择算法。特征选择方法可以分为Filter和Wrapper两种[5],有代表性的算法有ABB算法、Relief算法和LVW算法。近年来遗传算法、模拟退火算法也被运用在特征选择算法中。3.2安全评估算法网络安全评估系统根据已知的安全漏洞集合,对本辖区网络系统进行全面测试,并对测试结果进行分析,从而对该系统给出总体评价,最后对该系统存在的漏洞提出应急方案。网络安全评估可分为以下三个部分:漏洞扫描、评估模型、威胁评估。漏洞扫描子模块包括漏洞信息的收集,漏洞的扫描,以及漏洞结果评估。通过对网络所提供服务进行漏洞扫描得到结果,分析出此服务的风险状况,得到不同服务的风险值。安全漏洞的存在是导致安全风险的内部因素,应从不同角度进行安全漏洞的确定和赋值。国内外现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法价[6]。基于模型的评估方法虽然能对整个计算机网络进行有效的安全性评估,但在基于模型的评估方法中,规则的抽取过于复杂,这种评估方法不能从不同层次对网络安全状态进行评估。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。贝叶斯网络作为一种描述不确定信息的专家系统,在构造风险评估模型时,模型能够综合最新的证据信息和先验信息,从而评估结果不仅反映了当前的信息,而且综合了历史和先验知识,是种较好的办法。人工神经网络也能有效地运用于风险评估中。采用神经网络中的LVQ和SOM网络对各个指标形成的高维向量进行有监督的学习,先通过对专家的知识进行学习和训练,当模型稳定时,就可以对当前的评价指标向量进行分类处理,输出结果为对当前的安全等级的描述。人工神经网络也有助于提高网络态势感知系统的自学习和自适应能力。决策树、模糊Petri网等方法也可用于网络的安全性能评估。在威胁评估中,拟将网络分为LAN、主机、服务和攻击/漏洞4个层次,从服务、主机、系统LAN的三个角度对网络系统的安全状况进行综合评估。每个层次的安全状况,都可以分解为其下层各个节点的安全状况的“和”,从而将下层的各个孤立点结合起来,形成对其上层节点的安全状况的综合评估结果。与威胁有关的信息可以通过IDS取样、模拟入侵测试、人工评估、策略及文档分析和安全审计等获得。这些信息记录了过去一段时间内的网络系统的安全状况。选定一个时间段内的与威胁有关的信息为原始数据,结合攻击效果,发现各个主机系统所提供服务存在的漏洞情况,评估各项服务的安全状况。各层次的安全性评价均采用风险指数描述,风险指数越高,风险越大。由于获取数据量大,必须借助一个人工智能神经网络的方法对数据进行分析处理,并以图形方式显示分析结果,并给出评估报告。3.3态势感知模块在获得网络区域各层次的评估结果后,在态势感知模块将这些结果进行关联综合,综合考虑整个网络攻击危害程度、区域安全防护能力,并将结果以图形可视化形式直观地提供给用户。态势感知模块从各安全评估模块中获取的数据很多,这些数据特征属性大致相同,在进行事件关联前,需要采用特征提取等海量数据的处理技术对数据特征进行优化。海量数据的处理技术必须考虑实时处理能力,以提高态势感知计算的效率和态势可视化的实时性。主成份分析方法(PCA)、粗糙集理论等可用于数据的特征提取。事件关联是该模块的核心。当网络分为LAN、主机、服务和攻击/漏洞4个层次对网络系统的安全状况进行评估时,各安全评估系统之间是孤立,无联系的。由于来自不同地域、不同来源的网络攻击、网络技术数据,具有不确定性、不完整性、模糊性、模糊性和多变性的特点,通过采用事件聚类和融合,减少区域安全评估系统提交给态势感知系统的安全数据,有利于网络态势感知状况的分析。模糊神经网络的方法引入到态势感知模块,进行有关规则的推理,以得到合理的判断。事件关联技术还可采用决策树,贝叶斯网络等。态势可视化是本模块的一个重要组成部分。由于目前网络规模巨大,结构复杂,网络数据还存在实时可变的特征,网络态势的可视化是实现网络态势感知系统的难点。基于主机的数据显示和基于网络的数据显示是态势可视化的两大方面,可视化的结果既要反应区域内主机网络安全威胁等级,也要从宏观上对整个网络的安全态势进行描绘。可视化还需考虑人机交互的可操作性。基于多数据源、多视图的可视化系统才能满足态势可视化要求。C.P.Lee等人提出的VisualFirewall系统[7],使用Java语言实现,借助于JOGL和JFreechart实现图形的可视化,分别显示了networktraffic、packetflow、through-put、可疑行为的视图显示,为网络的整体态势提供了一个全面的显示。3.4安全预警技术预警技术也是网络安全态势感知系统的重要组成部分。预警及在安全事件发生前提前通知网