時間:2023-10-11 10:08:11
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全態勢評估范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
中圖分類號:TP309.2 文獻標識碼:A
網絡安全態勢量化評估模型是指以網絡安全態勢的定量計算為目的而建立的模型。網絡安全態勢量化評估模型基于網絡安全態勢感知模型之上。首先介紹下網絡安全態勢感知的研究歷程。
網絡安全態勢感知的概念是Tim Bass在1999年首次提出的,而圖中網絡安全態勢感知的研究歷程是從1999年之前開始的,這主要是因為Tim Bass在提出的IDS數據融合模型和IDS數據挖掘模型中應用了已有的OODA(Observe Orient Decision Act)模型,而且IDS數據融合模型的層次及層次之間的關系與已有的JDL模型異曲同工。到了2006年,網絡安全態勢感知模型的研究已經趨于成熟,模型主要包括:JDL模型、DFIG(Data Fusion Informaion Group)模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等,其中的JDL功能模型和Endsley模型已在網絡安全態勢感知的研究中被普遍認可,為網絡安全態勢量化評估模型的研究奠定了基礎。自2006年之后,對網絡安全態勢感知模型的研究開始衰退,而作為網絡安全態勢感知的核心內容,網絡安全態勢量化評估模型的研究一直進行著。下面介紹幾種典型的網絡安全態勢量化評估模型。
2006年,陳秀真中提出了層次化網絡安全態勢量化評估模型,如圖1所示。
根據圖1可知,層次化網絡安全態勢量化評估模型的數據源是攻擊信息或者脆弱性信息,因此它是面向攻擊的網絡安全態勢量化評估模型或是面向脆弱性的網絡安全態勢量化評估模型。它采取“先下后上,從局部到整體”的評估策略,整個局域網的安全態勢值是局域網內所有主機的安全態勢值的融合,每臺主機的安全態勢值是主機所包含的所有服務的安全態勢值的融合,而每個服務的安全態勢值是服務所遭受的所有攻擊的威脅等級的融合或是服務所具有的所有脆弱性的危害程度的融合。
基于信息融合的網絡安全態勢量化評估模型是通過日志信息運用D-S證據理論計算出某種攻擊的發生支持概率,而后將該攻擊所依賴的漏洞和網絡中主機的漏洞進行匹配從而得到攻擊成功的支持概率,進而與該攻擊的威脅等級進行綜合得到該攻擊的安全態勢值。雖然該過程與脆弱性有著密不可分的關系,但是它最終還是通過融合各個攻擊的安全態勢值來得到節點態勢值,因此基于信息融合的網絡安全態勢量化評估模型是面向攻擊的網絡安全態勢量化評估模型。基于信息融合的網絡安全態勢量化評估模型也是層次化的模型,網絡安全態勢值融合的是網絡中所有主機的安全態勢值,而主機安全態勢值融合的是主機所遭受的所有成功攻擊的安全態勢值。
馬建平提出了分層的網絡安全態勢量化評估模型,如圖2所示。
根據圖2可知,分層的網絡安全態勢量化評估模型的數據源是網絡性能指標,因此它是面向服務的網絡安全態勢量化評估模型。分層的網絡安全態勢量化評估模型將網絡的性能指標進行分層,將復雜的性能指標細化,細化的指標是底層設備可以直接獲取的統計值,將獲取的性能指標進行有規則的融合從而得到二級指標,最終將二級指標根據決策規則進行融合用于評估網絡是否安全。分層的網絡安全態勢量化評估模型也是層次化的模型。
除了以上介紹的模型,還有許多網絡安全態勢量化評估模型都是層次化的模型。雖然隨著網絡規模的越來越大,在網絡安全的研究中引入了云模型以表示復雜的巨型網絡,但是直到目前,大多數評估方法還在運用層次化的模型來建立量化評估模型,這說明層次化的模型在網絡安全研究中的應用還沒有過時,還有其獨具的優勢。其優點在于:一是將龐大而復雜的網絡系統進行簡化,便于理解;二是將復雜問題分層處理,便于量化。因此,本文所提出的網絡安全態勢評估方法都基于層次化的網絡安全態勢評估模型。
參考文獻
[1] 卓瑩.基于拓撲-流量挖掘的網絡態勢感知技術研究[D].長沙:國防科學技術大學研究生院,2010.
[2] Blasch E,Plano S.DFIG Level 5(User Refinement)issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion(FUSION),2005:35-43.
[3] Tadda G,Salerno J,Boulwarea D,Hinmana M, Gorton S. Realizing Situation Awareness in a Cyber Environment[C].Belur V,Multisensor,Multisource Information Fusion:Architectures,Algorithms, and Applications 2006, Proceedings of SPIE Vol.6242,624204(2006):1-8.
【關鍵詞】網絡安全態勢評估 網絡安全態勢趨勢感知
在網絡安全越來越受到重視的今天,網絡安全已被大多數學者定為一個重要的研究課題。面對網絡安全所帶來的一系列問題,世界各國都作出了很多努力,然而網絡安全依然不能被解決,始終困擾著這個信息網絡快速發展的社會。世界各地接踵而至的一些列的網絡安全問題充分說明了,從全球來看當前的網絡安全態勢并不樂觀。
1 網絡安全態勢評估研究的概念
網絡安全態勢宏觀反應網絡運行狀況,反映當前和過去網絡安全的狀況,從而可以更好地來預測后面可能出現的網絡狀態。網絡安全態勢的研究課題比較綜合,在現有安全管理技術基礎上發展形成的。主要包括以下幾個方面的內容:(1)對原始事件的采集技術;(2)對事件的關聯和歸并分析技術;(3)網絡安全態勢的算法;(4)網絡安全態勢評估方法;(5)網絡安全態勢結果的展現技術;(6)將復雜、海量、存在冗余的數據進行歸并融合處理,并表現出特征信息的鮮明特色;(7)數據歸并簡化后,減少化沖數據占用的時間,有助于利用緩沖數據對網絡過去狀況進行分析研究;(8)通過對數據和網絡事件之間內在聯系的分析,幫助網絡管理員預測接下來可能出現的安全問題,提早預防。
2 網絡安全態勢的評估技術
2.1 網絡安全態勢值的計算
網絡安全態勢技術的重要作用是通過網絡安全態勢值來表現的。然而網絡安全態勢值又是通過數學方法處理,將海量的網絡安全信息融合成一組或者幾組數值,這些數值的大小會隨之產生特征性的變化,通過分析這些數值可以準確的判斷網絡是否安全。 網絡安全態勢值可以通過以下幾種分類形式:(1)按照態勢值表示的范圍分:宏觀、圍觀、綜合、子網安全態勢指數等。(2)按照態勢值表示的意義分:病毒疫情、攻擊威脅、主機安全態勢指數等。(3)按照態勢值的計算方法分:匯聚和非匯聚態勢指數。(4)還有一些輔的安全態勢數據:病毒傳播速度、病毒發生頻率、安全設備可用率、網絡節點的連通度等。
2.2 網絡安全態勢評估方法
告知可能發生怎樣的危險,是網絡安全態勢技術的另一個重要作用,并通過網絡安全態勢評估體現出來。所謂的網絡安全態勢評估,就是指將網絡原始時間進行預處理,運用數學模型和先驗知識,對是否真發生安全事件給出可信的評估概率值。
網絡安全態勢評估中要涉及大量的數據,并且計算評估方法有一定復雜度,而且還要解決虛假信息問題,所以誰安全態勢評估是一門比較高要求的綜合技術。數據挖掘和數據融合是現有理論和技術中我們可以用到的兩大類技術。其中數據挖掘指的是,在數據庫中抽取隱含的,并且具有潛在應用價值的信息的這么一個過程。把這種技術應用到網絡安全態勢評估中,可以使我們從緩沖信息中獲得有用的價值信息。更一個方法數據融合目前還沒有對他得出確切的定義,他在各領域都有它獨有的一種說法。數據融合主要完成對來自多個信息源的數據進行自動監控、關聯的處理。
2.3 網絡安全態勢評估的模型種類
網絡安全態勢是由計算和網絡安全態勢評估組成的,通過安全態勢給管理員產生告警信息,是管理員了解到具體的威脅,從而找到解決方法。告知網絡系統是夠安全,以及告知網絡系統可能存在怎樣的問題,通過這兩大功能實現了網絡安全態勢技術。
3 網絡安全態勢趨勢感知
網絡安全態勢感知指的是,在一定的時空范圍內,認知、理解環境因素,并對未來的發展趨勢進行預測。傳統的態勢感知主要應用在航空領域,但是隨著信息社會的發展,態勢感知正在被引入到網絡安全領域。
網絡安全態勢的提取,是網絡安全態勢感知研究的基礎。然而,現實中網絡已經發展成為龐大的非線性復雜系統,靈活性強,使提取工作遇到了很大的難度。目前網絡的安全態勢主要包括靜態的配置信息、動態的運行信息、網絡的流量信息等。所以我們通過研究發現,網絡安全態勢要素的提取主要存在以下問題:(1)信息采集不全面;(2)由于無法獲得全面信息,研究過程中無法實現個因素之間的關聯性,導致信息的融合處理存在很大的難度;(3)缺乏有限的驗證,無法涵蓋更廣更全面的網絡安全信息。
網絡是一個非線性的系統,描述起來本身就存在很大的難度。網絡攻擊呈現出一個復雜的非線性過程。以后的研究中,我們要注意安全態勢要素機器關聯性,對網絡安全態勢建立形式化的描述。但是由于理論體系的龐大,使用的復雜程度高,將會在后期的研究中再做詳細的研究。采用單一的數據同和方法監控整個網絡的安全態勢存在很大的難度,原因是因為不同的網絡節點采用不同的安全設備。要結合網絡態勢感知多源數據融合的特點,具體問題具體分析,對各種數據融合方法進行改進、優化。簡單的統計數據預測存在較大的誤差。未來研究要建立在因果關系分析的基礎之上,通過分析因果關系找出影響結果的因素,然后來預測整個網絡安全態勢的變化。從而將網絡安全態勢更好的應用于態勢預測之中。
4 結束語
隨著網絡規模的不斷擴大,信息技術對我們的日常生活越來越重要,信息傳遞和采集也更加靈活豐富。然而在這些優點的背后卻始終存在一個日益嚴峻的問題-網絡安全問題。所以我們要把網絡安全管理從被動變為主動,更好的掌控網絡安全。通過對網絡安全態勢評估與趨勢感知的分析,網絡管理工作人員可以準確的判斷出網絡安全所處的狀態趨勢,可以預防信息的丟失,更好的預防了網絡被攻擊,從而達到主動防衛的目的,網絡安全態勢評估與趨勢感知的分析研究正處在剛起步階段,需要我們繼續在算法、體系結構、使用模型等方面做更深入的研究。
參考文獻
[1]蕭海東.網絡安全態勢評估與趨勢感知的分析研究[D].上海交通大學,2007.
[2]陳秀真,鄭慶華,管曉宏,林晨光.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006.
[3]肖道舉,楊素娟,周開鋒,陳曉.網絡安全評估模型研究[J].華中科技大學學報(自然科學版),2002.
關鍵詞:軍事網絡;安全威脅;評估;層次分析;模糊矩陣
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599(2012)02-0000-02
Network Security Threats Situation Assessment and Analysis Technology Study
Wang Qingfeng1,Fan Yanhong2
(Educational Technology Center of Military Transportation University,Tianjin300161,China)
Abstract:In recent years,network security and gradually developed into one of the outstanding problems of the Internet in the field,the global annual military network security breaches and leaks upward trend. How real-time grasp the dynamic changes of network security threats,the threat that might occur to make the early warning and timely response to become one of the urgent problems faced by our military network security field. In this paper,the trend of security threats,assess the introduction of elements,and explore the current path of research and analysis of network security threats.
Keywords:Military network;Security threats;Assessment;Analytic hierarchy;Fuzzy matrix
隨著互聯網技術和通信技術的不斷發展,網絡攻擊技術也不斷提升,網絡安全事件時有發生,如我們所經歷的熊貓燒香、IM通訊病毒、網銀釣魚木馬等等。能否妥善應對網絡安全威脅不僅關系到軍隊內網的正常運轉及安全可控,而且直接影響到軍隊網絡信息化戰略目標的實現和國家利益。
一、網絡安全威脅的概念
網絡安全威脅主要包括病毒侵襲和黑客入侵兩個方面。網絡病毒是軍事網絡建設中最常遇到的網絡安全威脅,傳播速度快,影響范圍廣。它一般隱藏在下載文件或隱藏代碼中,伺機在軍隊系統中進行大量復制,并可以通過U盤、網絡、光盤等多種途徑廣泛傳播。針對網絡病毒,利用常見殺毒軟件一般都可以防治,如360、瑞星等,但也不能因此盲目隨從殺毒軟件,必須對網絡病毒的危害引起足夠的重視。相對前者,黑客入侵的危害范圍則要大許多,嚴重可導致系統網絡癱瘓、增加維護成本甚至因數據丟失而造成不可挽回的損失。黑客入侵根據入侵的形式和特點可以分為非法入侵和拒絕服務(DOS)攻擊兩種,非法入侵指黑客通過系統網絡漏洞潛入軍隊系統內部網絡,對數據資源進行刪除、毀壞等一系列攻擊行為;拒絕服務目的性非常明顯,一旦發生便可導致各兵種單位電腦甚至網絡系統癱瘓,主要是阻止軍隊局域系統使用該服務或影響正常的生產經營活動。除了影響兵種單位和軍隊網絡的正常工作外,從發展角度來說,網絡安全威脅對于異構網絡空間的信息傳遞、軍隊的指揮作戰效能及軍事情報的信息交流都有潛在的不利影響。
二、網絡安全威脅態勢評估內容及要素
(一)網絡安全威脅態勢評估內容
網絡安全態勢反映了軍事網絡過去和現在的安全狀況,并通過對搜集數據的研究處理來預測下階段可能受到的威脅攻擊,對網絡運行狀況有一個宏觀的把握。網絡安全威脅的研究內容主要包括三個方面:一是搜集兵種單位各安全設備中的消息、警告信息等安全資料,將這些復雜的數據進行關聯分析并歸納處理成為統一格式的安全信息;二是通過計算準確得出網絡安全威脅態勢值,將網絡實際狀況完整地表現出來。當分析的安全信息與系統主體的期望行為出現差異時,即被標注為潛在的威脅態勢;三是利用相應的評估方法對態勢值進行分析預測,為軍事網絡管理員了解安全問題、制定解決方案提供參考依據。
(二)網絡安全威態勢脅評估要素
在進行評估之前,首先要進行的工作是威脅識別。威脅識別分為威脅分類及威脅賦值兩個步驟。威脅信息根據形成原因可歸類為人為因素和環境因素,經過識別后要開始威脅賦值的工作,即將分散的、抽象的信息轉化為可以定量分析的信息,用等級(分為5級)來表示威脅的發生頻率。等級越高,表示發生機率越高,威脅越大。
風險=R(A,T,V),R:風險計算函數;A(ASSET):信息成本價值;T(THEAT):威脅評估等級;V(VULNERABILITY):網絡脆弱等級。
通過公式,我們可以發現信息成本價值、安全威脅及安全漏洞是安全威脅態勢評估的三個要素。安全漏洞的大小在一定程度上反映了成功攻擊的概率,信息成本價值即實現成功攻擊后對軍事網絡的整體影響。
信息成本價值體現了安全信息的重要性,漏洞與成本價值緊密相聯,安全威脅即有可能造成軍隊系統、成本和數據損壞等一系列安全泄密事件的環境因素。威脅可利用系統漏洞造成對內網信息的損害,因此我們可以通過彌補安全漏洞來降低系統風險。由以上可知,風險評估就是在信息成本分析、威脅和漏洞識別的基礎上,通過科學計算確定風險等級,并提出安全解決方案的過程。
三、威脅評估分析方法
(一)威脅評估指標
網絡安全威脅可直接導致軍隊安全泄密事故,其獲取手段主要包括以下六種:1.模擬入侵測試;2.顧問訪談;3.人工評估方式;4.安全信息審計;5.策略及文檔分析;6.IDS取樣。評估指標包括:1.確定重要的信息價值及安全要求;2.分析軍隊內網的薄弱部分并確定潛在威脅類型;3.評估威脅可以造成的實際損壞能力;4.分析威脅成功攻擊的概率;5.推算遭受攻擊所付出的代價;6.根據攻擊范圍計算安全措施費用。
(二)網絡安全威脅態勢分析技術
1.數據融合技術
數據融合的主要任務是將來自多個方面的安全數據經過關聯分析、估計組合等一系列多層次處理,完成對軍隊網絡當前狀態運行狀況及威脅重要程度的身份估計和位置確認,得到準確和可靠的結論。系統網絡通過多個分布信息點的安全設備搜集不同格式的安全信息,為數據融合提供操作環境。數據融合技術可分為數據級融合、特征級融合和決策級融合三個級別,數據集融合信息處理量大,數據精度高,對系統硬件配置要求較高。而到了決策級融合,信息處理量少了許多,傾向于抽象和模糊層次分析,精度較差一些。目前,在網絡安全威脅的跟蹤分析過程中,數據融合技術為下一步的高層次態勢感知和威脅估計工作做出了突出貢獻。比較知名的數據融合技術主要有貝葉斯網絡推理和DS證據理論。
2.威脅態勢值分析
由之前介紹得知,風險評估的原理即:風險=資產成本*威脅等級*漏洞。為了準確計算威脅態勢值,必須將各組成要素進行量化,轉換成一定值域范圍內的數據來表示網絡當前運行狀況及安全威脅發生的頻率。通過態勢值圖表可以直觀、實時地觀察網絡系統是否安全,威脅嚴重程度大小等,使網絡管理者對系統安全狀況有一個全面的了解和回顧。態勢值分析主要有層次分析法、模糊層次分析法。
(1)層次分析法
層次分析法最初由美國運籌學家Santy于20世紀提出,至今為止已經在許多決策領域得廣泛運用和發展。這種方法的優點是簡化分析和計算過程,通過引入判斷矩陣給予決策者精確的比較分析,以保持決策者思維過程的一致性。層次分析法原理清晰、簡單,而且結構化、層次化明顯,能夠將復雜問題轉換為具有層次關系的簡單問題。但缺點也十分明顯:一是當同一層次的數據較多時,通過判斷矩陣難以使指標達成一致,容易干擾決策者的判斷;二是判斷矩陣與決策者的思維存在差異,計算得出的經驗數據缺乏有效的科學證明。基于這兩個問題,對層次分析法進行改進,從而產生了更加實用的模糊層次分析法。
(2)模糊層次分析法
模糊層次分析法集模糊學、層次分析和權衡理論于一體,相對于層次分析法簡化了判斷的復雜程度,利用模糊矩陣實現數據的定量轉換,使之前的問題得到有效解決。模糊層次分析主要包括四個步驟:
1)確定隸屬函數。隸屬函數表示隸屬度的概念,用來確定軍事環境中的模糊界限。在實踐過程中需要為每一個評估因子確定隸屬函數,威脅信息和漏洞的隸屬函數可以根據具體情況進行自定義設定。
2)建立模糊矩陣。R=(資產,漏洞,威脅),通過風險計算函數對各評估因素分別進行評價。R可以看作各單項指標的集合,風險級別由低到高可分為5個等級,對軍事評估系統中的各個單項因素進行評價,然后通過相對的隸屬函數分別對自身指標的風險級別進行確定。
3)權重模糊矩陣。通常來說,高風險因子造成的綜合風險級別較高,因此單項因素中風險級別較高的因子應得到更大的重視,即權重模糊矩陣。
4)模糊綜合評價計算方式。進行單項因素評價并確認權重以后,可以得到兩個模糊矩陣,通過模糊綜合評價模型(Y=B x R)計算得到最后的模糊評價結果,使安全分析實現量化。
參考文獻:
[1]蕭海東.網絡安全態勢評估趨與趨勢感知的分析研究[D].上海交通大學,2007
[2]劉鐸.軍隊計算機網絡信息安全與防范對策[J].計算機技術與應用進展,2008
[3]王桂娟,張漢君.網絡安全的風險分析[J].計算機與信息技術,2001
[4]翟志明,徐繼騁等.軍隊網絡安全探析[J].尖端科技,2010
[5]韓立巖,汪培莊.應用模糊數學[M].首都經濟貿易大學出版社,1998
[作者簡介]
關鍵詞:網絡安全態勢評估 網絡流特征 層次化
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
1引言
網絡安全態勢評估是一種新型的網絡安全技術,能夠從宏觀上提供清晰的網絡安全狀態信息,并對安全狀態的發展趨勢進行預測。與傳統的基于告警記錄的態勢評估相比,基于網絡流的態勢評估通過對全網流量信息采取合適特征進行描述,分析發現網絡中存在的異常行為,能夠更快更準確地把握當前的網絡安全狀態,具有良好的應用價值。
2層次化網絡安全態勢評估方法
現有的基于網絡流的態勢評估大都以單臺主機或單個局域網為核心實施對網絡流的監控,通過某個一維時間序列的異常變化來檢測異常行為,但某些異常行為(如DDoS)在單個序列上并不一定具有明顯的表現。如果將多個序列作為一個整體進行研究時,異常就有可能顯現出來。基于這一思想,本文提出了一種層次化的網絡安全態勢評估方法,將網絡劃分為主機層、子網層和全網層三個層次,依次評估網絡安全態勢。隨著網絡規模擴大,將各子網安全態勢分開檢測評估,再綜合得到整體安全態勢,能夠有效提高安全態勢評估的精度和效率。
該方法在流程上可分為網絡流劃分、特征提取、異常檢測和安全態勢指數聚合四個階段。
2.1 網絡流劃分
基本過程是:
步驟一:利用部署在網絡中的流量監測設備獲取網絡流數據。這里的網絡流指的是一組具有相同五元組取值的分組序列。
步驟二:依據網絡流數據完成子網劃分。本文采用CPM算法識別網絡中的子網:將網絡終端(主機、服務器、各種有IP地址的設備)視為節點,節點與節點之間的連接關系(設備間的網絡流)視為邊,則網絡可被抽象成一個由點和邊組成的圖。假設網絡簇由多個相鄰的k-團組成,相鄰的兩個k-團至少共享k?1個節點,每個k-團唯一地屬于某個網絡簇,但屬于不同網絡簇的k-團可能會共享某些節點。對給定的參數K,計算出網絡中的全部k-團(k≤K)以建立團-團重疊矩陣,并利用該矩陣計算出重疊網絡簇,重疊網絡簇即所劃分的子網。
步驟三:依據子網結構將網絡流分為與子網相關的流。如果流的源和目的地址都在某子網中,則被劃分為該子網內部流;若只有源或目的地址在子網中則被劃分為外部流。
2.2 特征提取
基本過程是:從子網內部流與外部流中分別提取子網內部特征和外部特征,用于檢測子網內部和外部之間的異常。
本文主要提取了五類網絡流特征:
(1)計數型特征:某屬性在單位時間內出現的不重復值的個數,如單位時間內出現的不同源地址個數。
(2)流量特征:單位時間各種屬性對應的數據包數或字節數之和,如單位時間內的總數據包數,某協議對應的總字節數等。
(3)度型特征:某屬性的特定值對應的另一屬性的特征值個數。對子網來說就是子網的出入度,即向子網發起(或接收子網發起)鏈接的不同地址(端口)的個數,如子網的源地址出度,即是單位時間內以子網內部IP為源地址的鏈接的個數。
(4)均數型特征:單位時間某屬性對應的平均數據包或字節數。
(5)復合型特征:將前述特征通過簡單統計得到。如IP地址、端口等信息熵。
2.3 異常檢測
基本過程是:對網絡流進行異常檢測,計算主機層及子網層安全態勢指數,并分析引起異常的具體時間和來源。
本文采用基于層次聚類的異常檢測方法。其基本思想是:對于已標記過異常流量的網絡流樣本集,首先計算每個特征的特征熵與特征比,把平均流大小、平均分組大小、每個特征的特征熵和特征比作為特征屬性,用來刻畫異常事件的類型,即每個樣本由一個包含m項網絡流特征的屬性向量來表示。把屬性向量間的相關系數作為相似性度量方式,在相似性最大的原則下進行類的合并,迭代直到所有對象在一個類中或滿足某個終止條件。通過訓練已標記的異常流量構建分類樹,在相似性最大的原則下進行類的合并,并利用特征屬性的學習建立分類模型。
異常檢測算法利用建立的分類樹把相似的異常嵌入在子樹中,并輸出與子樹中其他葉子節點相同的標記類型,從而完成異常事件的檢測。對單臺主機或子網流量進行流量異常檢測即可以得到其安全態勢指數。
2.4 安全態勢指數聚合
基本過程是:把各層子網的安全態勢指數聚合成為全網的安全態勢值,再根據各子網的重要程度對同一層次子網安全態勢指數值進行加權得到高一級的安全態勢值,最終得到全網的安全態勢指數。
3結語
網絡安全態勢評估是針對大規模的多源異構網絡,綜合各方面的安全要素,從整體上動態反映網絡安全狀況,把原始“數據”轉化為人能夠理解的“知識”的過程。本文針對網絡規模擴大、原始“數據”爆炸性增長給態勢評估帶來困難這一問題,依據流特征將網絡劃分為主機層、子網層、全網層,通過時間序列分析、節點態勢融合和子網態勢融合依次計算安全態勢,從而實現全網安全態勢的量化分析,方法具有客觀性、適用性的特點。
參考文獻
關鍵詞:網絡安全態勢;層次分析法(AHP);評估方法
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)32-1079-03
Research on the Evaluation Method of the Network Security Situation Based on AHP
WANG Ting-bo, XU Shi-chao
(Ordnance Engineering College, Shijiazhuang 050003, China)
Abstract: The research of the network security situation evaluation is a very complicated task.In this paper,applies Analytic Hierarchy Process (AHP) method to the situation evaluation, constructs a hierarchy model and a judgment matrix, gets the weight of each index, finally, gets the network security situation.
Key words: network security situation; analytic hierarchy process (AHP); evaluation method
1 引言
當前,網絡安全態勢評估已經成為信息安全領域的一個重要的研究方向。網絡安全態勢評估按照數據源可以分為靜態評估和動態評估兩大類。靜態評估即風險評估,依據一定的標準,基于威脅、脆弱性和資產價值3個指標定性或定量地評估網絡的安全風險狀況。動態評估是真正意義上的態勢評估,它將風險與環境緊密結合,動態地把握風險在特定環境下的演化。這里的環境主要指網絡運行狀況、安全防護狀況、用戶安全特性等。
網絡安全態勢評估非常復雜,這是因為系統的評估為多目標評估;系統的評估指標不僅有定量的指標,而且有定性的難以度量的指標;系統的評估在很大程度上受到人的價值觀的影響,評估基準不易確定;系統的評估受社會發展而變化,具有動態性。為實現網絡安全,需要進行成本分析,估計在安全上的花費是否能從提高資源的安全、減少損失得到應有的補償。另外,不同用戶對安全的需求是不同的,對態勢的認識也不同。有些用戶可能會趨向于低安全,有些用戶可能會趨向于高安全,這就需要系統的設計者根據系統所處理的業務的性質、人員的素質、事務的處理方式等因素,在兩個極端之間尋找一個安全平衡點,以求在系統風險、代價和效率之間取得良好的折中。尋找安全平衡點的五條基本原則如下:分清系統中需要保護的資產;識別對資產的安全威脅;找出安全漏洞;考慮風險的存在;采取保護措施。
層次分析法(AHP法)是一種多方案多評估因素的評估方法。它適用于評估因素難以量化且結構復雜的評估問題。AHP法的基本做法是,首先把評估因素分成若干層次,接著自上而下對各層次的諸評估因素兩兩比較,得序或系統的優劣情況,供決策者參考。
系統的評估步驟為:明確評估目標和評估內容確定評估因素確定指標評估體系確定評估準則確定評估方法綜合評估。
2 網絡安全態勢評估體系及兩兩比較判斷矩陣的建立
信息安全態勢主要包括以下幾方面:可用性、機密性、完整性、抗否認性和有效性。一個安全的計算機信息系統對這幾個目標都支持。換句話說,一個安全的計算機信息系統將保護它的信息和計算機資源不被未授權訪問、篡改和拒絕服務。而網絡攻擊主要是破壞以上這幾方面的安全屬性。例如,拒絕服務攻擊,它將會影響網絡帶寬、文件系統空間容量、CPU時間等;Web攻擊可以修改網頁,即破壞數據的完整性;獲取操作系統根權限的攻擊,可以使攻擊者利用獲取到的權限對信息進行非法操作,等等。因此,系統的安全屬性就可以充分地反映系統的安全狀態。
一個復雜的網絡安全態勢評估體系可分解為稱之元素的各個組成部分,即目標、準則、子準則和指標,按照屬性的不同把這些元素分組形成互不相交的層次,上一層次的元素對相鄰的下一層次的全部或部分元素起著支配作用,形成按層次自上而下的逐層支配關系。
網絡安全態勢評估的目標是使網絡風險最小,其準則是高技術、低成本、高效率、安全管理優化,根據網絡安全態勢的分析,建立評估指標為:技術成熟度;技術先進性;性能價格比;保護資源合理性;信息時效性;安全措施合理性。
網絡安全態勢評估層次結構圖如圖1所示。
判斷矩陣就是在上一層次的某一元素Ck的約束條件下,對下一層次的一組元素A1, A2,…,An之間的相對重要性的比較結果。即在準則Ck之下按它的相對重要性賦予A1, A2,…,An相應的權重。用表1的形式表示。
在進行比較時,使用專門的1-9標度作為比較的標準。標度的含義見表2。
具體構造時,采用Delphi法,邀請有關方面的專家給出矩陣的元素值,并用幾何平均值的方法綜合給出各專家的判斷。具體實施步驟是:專家選擇;預測調查表設計;調查表的發送與回收;預測數據的處理。
專家們對指標的預測數據可以按大小排列為:
Z1QZ2QZ3Q…QZn;
由于數列的中位數可代表專家的集中意見,上、下四分點可表示專家的分散程度。中位數的的確定式是:
當n=2k+1時,Ai=Zk+1;當n=2k時,Ai=(Zk+Zk+1)/2
上四分點的確定式是:
當n=2k+1,k為奇數時,A上=Z(3k+3)/2;
當n=2k+1,k為偶數時, A上=(Z1+3k/2+Z2+3k/2)/2;
當n=2k,k為奇數時, A上=Z(3k+1)/2;
當n=2k,k為偶數時,A上=(Z3k/2+Z1+3k/2)/2
下四分點的確定式是:
當n=2k+1,k為奇數時,A下=Z(k+1)/2;
當n=2k+1,k為偶數時, A下=(Z1+k/2+Z2+k/2)/2;
當n=2k,k為奇數時, A下=Z(k+1)/2;
當n=2k,k為偶數時,A下=(Zk/2+Z1+k/2)/2
3 計算單一準則下元素的相對權重及各層元素的組合權重
這里主要解決在準則Ck之下,n個元素A1, A2,…,An的權重計算問題,并進行一致性檢驗,對于A1, A2,…,An,通過兩兩比較得到判斷矩陣A,解特征根問題Aw =λmaxw,所得到的w經歸一化后作為元素A1, A2,…,An在準則Ck下的權重。關于λmax和w的計算,采用方根法,其步驟為:計算判斷矩陣A的每一行元素的乘積;所得的乘積分別開n次方;將方根向量歸一化得權重向量w;計算判斷矩陣的最大特征根λmax。
λmax=∑(Aw)i/nwi,式中(Aw)i表示Aw的第i個元素。
為進行單一準則權重的一致性檢驗,需計算一致性指標
CI=(λmax-n)/(n-1)
為了得到網絡安全態勢評估的遞階層次結構模型中的每一層次中所有元素相對于總目標的權重,需要把上一步的計算結果進行適當的組合,并進行總的一致性檢驗。這一步是自上而下逐層進行的。最終計算結果是得出最底層元素,即評估指標的相對權重和整個系統評估的遞階層次結構模型的判斷一致性檢驗。
假定已經計算出了第(k-1)層次元素相對于總目標的組合權重向量為ak-1=(a1k-1,a2k-1,…,amk-1)T,第k層在第(k-1)層第j個元素作為準則下元素的權重向量為
bj=( b1jk,b2jk,…,bnjk)T
其中不受支配[即與(k-1)層第j個元素無關]的元素權重為零,令
Bk=(B1k,B2k,…,Bmk)
則第k層n個元素相對于總目標的組合權重向量由下式給出
ak=Bk×ak-1
更一般地,有組合權重公式
ak = Bk×…×B3×a2
式中a2為第二層元素的權重向量。3QkQh,h為層數。
對于系統評估的遞階層次結構模型的組合判斷一致性檢驗,需要類似的逐層計算。若分別得到第(k-1)層次的計算結果CIk-1,RIk-1和CRk-1,則第k層的相應指標為
CIk=(CIk1,…,CIkm)ak-1
RIk=( RIk1 ,…,RIkm) ak-1
CRk= CRk-1+ CIk/ RIk
式中CIki和RIki分別為在第i個準則下判斷矩陣的一致性指標和平均隨機一致性指標。當CRkQ 0.1時,認為系統評估的遞階層次結構模型在k層水平上整個判斷有滿意的一致性。這樣計算的最終結果是得到相對于總目標各評估指標的權重所依據的整個遞階層次結構所有判斷的總的一致性指標。
4 網絡安全態勢綜合評估
網絡安全態勢綜合評估是在各單項指標評價的基礎上所進行的整體評價,其任務是對各單項指標進行綜合,得出對網絡安全態勢的總體結論,最后判斷網絡系統安全是否達到網絡系統風險的要求。采用加權平均法的乘法規則對各單項指標進行綜合,即用下列公式來計算系統的綜合評價值,則
S=∏(f(Xi))Wi
式中,Wi――第i項評價指標的權重,Xi――第i項評價指標的評分。
設第i項評價指標的必保要求分為Ci,則
當第i項評價指標是定量指標時, Ci=f(Xi);
當第i項評價指標是定性指標時, Ci=60。
令S*是網絡系統風險的各項評價指標值均等于必保要求時的綜合評價值,則
S*=∏(Ci)Wi
于是根據單項指標的評價將系統的綜合評價也劃分為4個等級,根據行綜合評估值S有如下結論:
網絡系統風險較小:85QSQ100;
網絡系統有風險:75QSQ85;
網絡系統風險較大: S*QSQ75;
低于必保要求:S=0
用加權平均法的乘法規則是要求各單項評價指標盡可能取得較好水平,才能使總的評價較高。只要有一項指標的得分為零,即低于必保要求,總的評價指標都將是零,即系統低于必保要求。
5 結束語
該文主要探討了基于層次分析法的網絡安全態勢評估方法,幫助安全管理人員準確地把握網絡安全狀況及趨勢,為其決策提供支持。
參考文獻:
[1] 姚淑平.攻防對抗環境下的網絡安全態勢評估技術研究[J].科技導報,2007,25(7):10-11.
[2] 張強,網絡安全評估模型研究[J].山東大學.2006(4):59-60.
關鍵詞:智能Agent;網絡安全態勢;評估系統
中圖分類號:TP393.08
從網絡安全態勢評估的基本概念和范疇可以知道,其主要對是對網絡安全設備所處理的數據流盡心更高層次提取和處理的過程,跟人類的思維過程存在諸多相似性,其在評估過程中會考慮到諸多因素和參數;同時,網絡上的各種信息源其本身就帶有不確定性和隨機性,所以在具體的評估過程中,其所采用的各類運算都是基于知識和模擬人類大腦思維模式的一種符號推理過程。所以,各種智能化技術由于所具備的優勢,在該領域的得到了廣泛應用。其中,基于Agent技術的多層次網絡安全態勢評估就是現在人們的研究熱點。
1 系統外部結構設計
1.1 網絡安全態勢評估系統設計思想
1.現有網絡安全系統的缺點
網絡應用的不斷深入,網絡安全問題成為影響網絡應用發展的關鍵,而現在普遍采用的網絡安全系統,大多數都是通過比較單一的獨立結構來完成對大量數據的收集和分析。這種單一的結構,網絡數據的審查則主要通過單個主機的審計來承擔,當然,還可以通過網絡上的數據包的監控來實現對數據的監控和收集。然后,還應該借助于獨立的分析模塊和技術來對收集的數據進行收集。從這種處理方式的過程可以發現傳統網絡安全系統的一些缺陷:(1)相對集中的分析器更容易存在單點失敗問題。這樣,如果出現單個網絡入侵將分析器工作癱瘓的話,會使得這個系統的功能都喪失;(2)系統的擴展性能受到了限制。如果在實現過程中僅利用單個主機來對信息進行處理,則只能適用于網絡規模較小的情況。如果對網絡規模擴大后的規模進行綜合考慮,則集中形式的分析器就難以勝任信息量增加的情況;(3)難以為現有的網絡安全系統配置新功能。現在,所能夠采用的增加或者改變網絡配置的方法,概括起來主要有:針對配置文件的編輯、在表中增加新的模塊;(4)在對網絡運行中的數據進行分析中,其結果容易出現偏差。因此,僅僅通過一臺主機來實現對其他主機網絡信息的收集,就會給入侵者造成留下漏洞,使其可能逃避系統檢測。因為,在這種情況下,網絡入侵者就會通過不同主機網絡協議棧所存在的漏洞來逃避檢測。
2.基于智能Agent技術的網絡安全態勢系統的優勢
在現有的網絡安全態勢評估系統構造過程中,通過Agent技術來構建,主要存在如下的優勢,即:(1)便于剪裁:在通過大小不一樣的Agent實現對系統行為的監測,就可以根據實際情況和系統需要,針對系統來定制有效的監測體系;(2)可訓練性:具備了可訓練性后,就可以讓系統操作員在完成對監測威脅的確定之后,通過Agent的指導,確保其能夠將所有的威脅進行識別。在將威脅成功識別的基礎上,就可以對其進行處理操作。
1.2 網絡安全態勢評估系統
基于智能Agent的網絡安全態勢評估系統主要采用多層結構來實現,這樣,整個系統的中的所有層中的任何Agent都能夠針對其下層Agent行為進行控制和監測,同時,該Agent也被其上層Agent所控制。在充分利用系統層次結構的基礎上,就能夠有效發揮集中控制和網絡控制的優勢。通過層內的集中控制,以及層間的網絡控制策略來完成系統的集成。對于此種結構的性能,則具備更高的靈活性和可擴展性,因為多層的控制結構能夠為Agent直接通過松散耦合來集成多Agent系統,從而使得系統的局部變化不會對其他層次功能產生影響,可以認為是一種很好的體系結構。
2 系統內部核心設計
2.1 智能Agent內核
在基于Agent技術的多層次網絡安全態勢評估系統中,針對Agent的設計,主要采用一種“插件式”的構造方法來實現。雖然隨著網絡安全態勢評估系統的不同,Agent的功能也存在差異,但是,這些Agent之間還存在諸多共性。所以,在對不同模塊進行分離的基礎上,就可以實現對Agent內核進行構建和設計的目的。此外,還可以在Agent內核上對接口進行定義,從而將應用在網絡安全態勢評估過程中的態勢理解、覺察和預測等多個模塊被布置到Agent內核中。
通常,任何Agent都是有通用的Agent內核和多個功能模塊而構成。而Agent的內核則由相應的內部數據庫、黑板、執行機等多種態勢功能模塊所構成,這些模塊的功能主要為:(1)系統的內部數據庫:將與Agent相關的各種信息和模型進行存儲;(2)黑板:其功能概括起來就是為Agent的內部模塊之間的通信提供支持和服務;(3)執行機:其功能就是實現針對消息的分配、各種功能模塊的執行與控制。
在Agent中的各個功能模塊都是彼此獨立的實體,通過執行機的啟動來實現并行執行,在通過黑板了協調彼此之間的工作。這樣,就能夠方便的實現多層次的復合式結構Agent。其中的態勢理解模塊、態勢覺察模塊和態勢預測模塊等都可以通過模塊的形式添加到Agent中,這些模塊還可以通過編程語言和數據結構來實現。
2.2 Agent與功能模塊之間的接口
前面也介紹過,Agent內核與功能模塊之間的通信主要是通過黑板來實現。通過這種方式,就可以在內核和系統的功能模塊之間構建一種標準化的接口,使得各種功能模塊和Agent之間的通信更加便利。這樣,可以在原有程序的基礎上進行簡單修改,作為任何Agent的功能模塊。更加重要的就是,系統如果在構建過程中所累積的功能模塊數據足夠大,就有可能形成一種更加高級的功能庫。而所有的模塊都可以隨意組合到Agent內核上,進而構成具備某種功能的Agent。
2.3 Agent系統通信
從系統的多層次分布式通信角度而言,安管和監察系統的通信的構架如圖1中所示:
公共通信的實體主要由服務程序和嵌入到用戶程序中的接口所構成,而這兩者在其所屬的安管和監察系統可以通用。公共通信可以通過獨立的進程來運行,實現通信數據包的轉發。而用戶接口則通過Java函數的接口來實現,能夠對各級安管和監察系統的核心代碼進行調用,負責實現協議包封裝與拆解,以及共同通信服務程序之間的數據交換。
3 結束語
在本文中,通過對現有網絡安全系統缺陷和網絡安全態勢評估系統的分析,對智能Agent在網絡安全態勢評估系統中的應用進行深入研究。在此基礎上,可以利用對不同模塊的分離來構建對所有Agent相同的Agent內核。
參考文獻:
[1]王汝傳,徐小龍,黃海平.智能Agent及其在信息網絡中的應用[M].北京:北京郵電大學出版社,2006:83-145.
[2]陳亮.網絡安全態勢的分析方法及建立相關模型[D].上海交通大學碩士論文,2005:12-13.
關鍵詞:網絡安全態勢感知技術;關鍵技術結構;安全
現階段,各類信息傳播速度逐漸提高,網絡入侵、安全威脅等狀況頻發,為了提高對網絡安全的有效處理,相關管理人員需要及時進行監控管理,運用入侵檢測、防火墻、網絡防病毒軟件等進行安全監管,提高應用程序、系統運行的安全性。對可能發生的各類時間進行全面分析,并建立應急預案、響應措施等,以期提高網絡安全等級。
1網絡安全態勢感知系統的結構、組成
網絡安全態勢感知系統屬于新型技術,主要目的在于網絡安全監測、網絡預警,一般與防火墻、防病毒軟件、入侵檢測系統、安全審計系統等共同作業,充分提高了網絡安全穩定性,便于對當前網絡環境進行全面評估,可提高對未來變化預測的精確性,保證網絡長期合理運行。一般網絡安全態勢感知系統包括:數據信息搜集、特征提取、態勢評估、安全預警幾大部分。其中,數據信息搜集結構部分是整個安全態勢感知系統的的關鍵部分,一般需要機遇當前網絡狀況進行分析,并及時獲取相關信息,屬于系統結構的核心部分。數據信息搜集方法較多,基于Netow技術的方法便屬于常見方法。其次,網絡安全感知系統中,特征提取結構,系統數據搜集后,一般需要針對大量冗余信息進行管理,并進行全面合理的安全評估、安全監測,一般大量冗余信息不能直接投入安全評估,為此需要加強特征技術、預處理技術的應用,特征提取是針對系統中有用信息進行提取,用以提高網絡安全評估態勢,保證監測預警等功能的順利實現。最終是態勢評估、網絡安全狀態預警結構,常用評估方法包括:定量風險評估法、定性評估法、定性定量相結合的風險評估方法等,一般可基于上述方法進行網絡安全態勢的科學評估,根據當前狀況進行評估結果、未來狀態的預知,并考慮評估中可能存在問題,及時進行行之有效的監測、預警作業。
2網絡安全態勢感知系統的關鍵技術
2.1網絡安全態勢數據融合技術
互聯網中不同安全系統的設備、功能存在一定差異,對應網絡安全事件的數據格式也存在一定差異。各個安全系統、設備之間一般會建立一個多傳感環境,需要考慮該環境條件下,系統、設備之間互聯性的要求,保證借助多傳感器數據融合技術作為主要支撐,為監控網絡安全態勢提供更加有效的資料。現階段,數據融合技術的應用日益廣泛,如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等,為評估和預警網絡安全態勢提供重要參考依據。數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合,可提高數據精度、數據細節的合理性,但是缺點是處理數據量巨大,一般需要考慮計算機內存、計算機處理頻率等硬件參數條件,受限性明顯,需要融合層次較高。決策性融合中,處理數據量較少,但是具有模糊、抽象的特點,整體準確度大幅下降。功能級融合一般是處于上述兩種方法之間。網絡安全態勢數據的融合分為以下幾部分:數據采集、數據預處理、態勢評估、態勢預測等。(1)數據采集網絡安全數據采集的主要來源分為三類:一是來自安全設備和業務系統產生的數據,如4A系統、堡壘機、防火墻、入侵檢測、安全審計、上網行為管理、漏洞掃描器、流量采集設備、Web訪問日志等。(2)數據預處理數據采集器得到的數據是異構的,需要對數據進行預處理,數據內容的識別和補全,再剔除重復、誤報的事件條目,才能存儲和運算。(3)態勢感知指標體系的建立為保證態勢感知結果能指導管理實踐,態勢感知指標體系的建立是從上層網絡安全管理的需求出發層層分解而得的,而最下層的指標還需要和能采集到的數據相關聯以保證指標數值的真實性和準確性。(4)指標提取建立了指標體系后,需要對基層指標進行賦值,一般的取值都需要經過轉化。第五、數據融合。當前研究人員正在研究的數據融合技術有如下幾類:貝葉斯網絡、D-S證據理論等。
2.2計算技術
該技術一般需要建立在數學方法之上,將大量網絡安全態勢信息進行綜合處理,最終形成某范圍內要求的數值。該數值一般與網絡資產價值、網絡安全時間頻率、網絡性能等息息相關,需要隨時做出調整。借助網絡安全態勢技術可得到該數值,對網絡安全評估具有一定積極影響,一般若數據在允許范圍之內表明安全態勢是安全的,反之不安全。該數值大小具有一定科學性、客觀性,可直觀反映出網絡損毀、網絡威脅程度,并可及時提供網絡安裝狀態數據。
2.3網絡安全態勢預測技術
網絡安全態勢預測技術是針對以往歷史資料進行分析,借助實踐經驗、理論知識等進行整理,分析歸納后對未來安全形勢進行評估。網絡安全態勢發展具有一定未知性,如果預測范圍、性質、時間和對象等不同,預測方法會存在明顯差異。根據屬性可將網絡安全態勢預測方法分為定性、時間序列、因果分析等方法。其中定性預測方法是結合網絡系統、現階段態勢數據進行分析,以邏輯基礎為依據進行網絡安全態勢的預測。時間序列分析方法是根據歷史數據、時間關系等進行系統變量的預測,該方法更注重時間變化帶來的影響,屬于定量分析,一般在簡單數理統計應用上較為適用。因果預測方法是結合系統各個變量之間的因果關系進行分析,根據影響因素、數學模型等進行分析,對變量的變化趨勢、變化方向等進行全面預測。
3結語
網絡安全事件發生頻率高且危害大,會給相關工作人員帶來巨大損失,為此,需要加強網絡安全態勢的評估、感知分析。需要網絡安全相關部門進行安全態勢感知系統的全面了解,加強先進技術的落實,提高優化合理性。同時加強網絡安全態勢感知系統關鍵技術的研發,根據網絡運行狀況進行檢測設備、防火墻、殺毒軟件的設置,一旦發現威脅網絡安全的行為,需要及時采取有效措施進行處理,避免攻擊行為的發展,提高網絡安全的全面合理性。
參考文獻
關鍵詞 網絡安全 態勢評估 性能分析
中圖分類號:TP393 文獻標識碼:A
作為網絡安全態勢感知(Network Security Situation Awareness,NSSA)研究的核心內容,網絡安全態勢評估已經得到了國內外的廣泛關注。
Time Bass于1999年在文獻中首次提出網絡安全態勢感知的概念,其目的是關聯相互獨立的IDS以融合攻擊信息用于評估網絡安全。同年,Andrew Blyth在文獻中提出了通過觀察黑客的攻擊足跡從而進一步定性地評估網絡受到的安全威脅。但是他們僅限于理論上的研究,并未對理論模型進行實現。2001年,Information Extraction & Transport在研究攻擊的檢測方法和攻擊對網絡安全的影響時,為了檢測廣域計算機的攻擊和評估態勢響應,開發了一種SSARE工具,將理論方法付諸應用,但是由于該工具所用方法過于依賴專家主觀經驗,因此為了解決這個問題。
2005年,Jajdia等人以檢測網絡系統弱點為目的,設計了一種拓撲弱點分析工具TVA,該工具可以通過分析拓撲弱點來評估網絡的安全狀況。2011年,Gabreil Jakobson等人在文獻中提出了影響依賴圖的概念,設計了基于影響依賴圖的網絡安全態勢評估方法,加強了對復合攻擊的評估。2012年,Stephen E.Smith在文獻中提出綜合利用現有網絡安全工具,包括流量分析工具、脆弱性掃描工具和入侵檢測系統等,以便于全面評估和保護網絡安全,并以現有工具的集成為目的對系統進行了設計。
國內學者對網絡安全態勢評估方法的研究相對較晚,理論及應用研究均亟需進一步提高與完善。
為了綜合考慮攻擊和脆弱性對網絡安全的影響,考慮到攻擊和脆弱性之間存在對應關系,韋勇于在2009年提出了通過匹配攻擊所依賴的脆弱性信息與目標節點的脆弱性信息來獲取攻擊成功支持概率。基于對攻擊和脆弱性之間、脆弱性和脆弱性之間的關聯關系的考慮,劉剛于2012年針對網絡中節點的漏洞和攻擊層面的風險分析需求,提出了漏洞信度和攻擊信度的概念,做到了將網絡中的漏洞信息和攻擊信息進行關聯。王坤等于2016年通過對已有網絡安全態勢評估方法的分析與比較,提出了一種基于攻擊模式識別的網絡安全態勢評估方法。首先,對網絡中的報警數據進行因果分析,識別出攻擊意圖與當前的攻擊階段;然后,以攻擊階段為要素進行態勢評估;最后,構建攻擊階段狀態轉移圖(STG),結合主機的漏洞與配置信息,實現對網絡安全態勢的預測。
對以上研究現狀進行分析可知,國內外研究者一般以網絡攻擊、網絡脆弱性、網絡性能指標變化以及它們的綜合影響為側重點來研究網絡安全態勢評估方法。因此,根據研究側重點的不同可以將網絡安全態勢評估方法分為三個基礎類:面向攻擊的網絡安全態勢評估方法、面向脆弱性的網絡安全態勢評估方法和面向服務的網絡安全態勢評估方法。對三類網絡安全態勢評估方法的介紹見下表。
參考文獻
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
[5] Gorodetsky V,Karsaeyv O,Samoilov V.On-line update of situation assessment:a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems,2005,9(4):361-365.
【關鍵詞】安全信息 原子態勢 安全態勢 數據分析;
一、引言
隨著互聯網的飛速發展,網絡攻擊事件多發,攻擊黑客不斷增加以及攻擊手段愈加復雜,使來自網絡的威脅猛烈地增長,網絡安全遭受重大挑戰。為了進一步加強網絡安全,保護人們的日常工作、學習和生活,快速掌握當前安全形勢,于是人們試圖尋求一種評估當前環境“安全態勢”的方法,以判斷網絡的安全性和可靠性。
網絡安全專家Bass[1]提出了網絡安全態勢感知(Network Security Situation Awareness, NSSA)的概念,這種理論借鑒了空中交通監管(Air Traffic Control,ATC)態勢感知的成熟理論和技術。網絡態勢是指由各種網絡軟硬件運行狀況、網絡事件或行為以及網絡用戶行為等因素所構成的整個網絡某一時刻的狀態和變化趨勢[2]。網絡安全態勢感知是在復雜的大規模網絡環境中,對影響網絡安全的諸多要素進行提取、闡述、評估以及對其未來發展趨勢的預測[3]。數據挖掘是從大量分散在各個空間的數據中自動發現和整合隱藏于其中的有著特殊關系性的信息的過程。網絡安全態勢評估是以采集到的安全數據和信息進行數據挖掘,分析其相關性并從網絡威脅中獲得安全態勢圖從而產生整個網絡的安全狀態[4]。本文基于網絡的安全信息,建立網絡安全態勢感知評估模型,然后通過數據挖掘,分析出當前的網絡安全態勢。
二、需要采集的安全信息
為了分析當前網絡的安全態勢,需要針對要評估的內容進行相關安全數據的采集,之后可根據網絡安全數據分析安全態勢。網絡中各種網絡安全事件中最小單位的威脅事件定義為原子態勢,本課題以原子態勢為基礎,構建需要采集的影響原子態勢的多維、深層次安全數據集,具體如圖1所示。
圖1主機安全態勢需要采集的安全數據集
(一)原子態勢
主機安全態勢包含多個原子態勢,是整個網絡安全態勢評估分析的基礎和核心,由此可以推出所在主機的安全狀態。
(二)需要采集的安全數據
分析各個原子態勢,其中包含信息泄露類原子態勢、數據篡改類原子態勢、拒絕服務類原子態勢、入侵控制類原子態勢、安全規避類及網絡欺騙類原子態勢,由此可以分析出需要在主機采集的安全信息數據。因為網絡安全態勢是動態的,所以它隨著當前的網絡運行狀況的變化而變化,這些變化包括網絡的特性及網絡安全事件發生的頻率、數量和網絡所受的威脅程度等因素。原子態勢是影響網絡安全狀況的基礎態勢,故提出原子態勢發生的頻率和原子態勢的威脅程度兩個指標去對原子態勢進行評估。圖1中的原子態勢一般只用于分析一個主機的安全性,如果要分析一個網絡的安全性,需要對網絡中各主機的安全信息進行挖掘分析,進而得出整個網絡的安全態勢。
三、基于安全信息的態勢挖掘模型
本文中使用全信息熵理論協助網絡安全態勢感知評估,全信息的三要素分別代表的含義如下:語法信息是指從網絡安全設備中得到某一類威脅事件,并轉換為概率信息;語義信息是指該類威脅事件具體屬于什么類型;語用信息是某一類威脅事件對網絡造成的威脅程度。
(一)網絡安全態勢分析過程
根據采集操的安全數據集,進行網絡安全態勢分析時會涉及到安全數據指標量化、評估原子態勢、通過原子態勢分析主機安全態勢、通過主機安全態勢分析網絡安全態勢的一系列的過程,具體如圖2所示。
詳細的網絡安全態勢分析評估流程如下:
1.從網絡安全部件中提取各種原子態勢,對原子態勢進行預處理后提取兩個量化指標:原子態勢頻率和原子態勢威脅程度。然后根據不同類型的原子態勢,計算分析相應的原子態勢情況。
圖2 基于安全信息的 圖3 實驗網絡環境
安全態勢評估流程
2.將原子態勢利用加權信息熵的相關理論計算原子態勢值;
3.依據原子態勢和原子態勢值,分析計算主機安全態勢和主機安全態勢值;
4.根據網絡中主機的安全態勢狀態,利用安全數據挖掘模型計算網絡安全態勢。
(二)原子態勢分析量化
為了全面科學評價原子態勢給網絡帶來的威脅和損失,將原子態勢評估指標按照某種效用函數歸一化到一個特定的無量綱區間。這里常采取的方法是根據指標的實際數據將指標歸一化到[0,1] 之間。
原子態勢的網絡安全態勢評估指標為原子態勢發生概率和原子態勢威脅程度。語法信息指某一個原子態勢的集合,用原子態勢發生概率表示,設第i 個原子態勢發生概率為Pi,且(m為網絡系統中原子態勢的總數);語義信息決定了原子態勢包含的態勢內涵;語用信息是某個原子態勢的威脅程度,記為 w。當w =1 時,威脅程度最大;w =0 時,威脅程度最小。在描述威脅程度時,因為威脅程度表示單一態勢對網絡造成的危害,故類型的威脅程度之和可不為 1。
本文將原子態勢威脅分為很高、高、中等、低、極低五個等級,并轉換為[0,1] 區間的量化值。以最大威脅賦值 1 為標準,得五個威脅等級 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。
原子態勢的態勢值由原子態勢發生的個數(歸一化后表示為概率)及威脅程度權重共同決定。若信息發生ai的概率為p,按照信息熵的定義,ai的自信息可通過來表示。從網絡安全態勢評估的角度來看,網絡安全事件發生的概率越大時,對應的信息熵值應該也越大,可以用香農信息論中的自信息的倒數來表示。
故在基于原子態勢的網絡安全態勢評估系統中,如原子態勢i發生頻率為pi,則對應的自信息熵值為,則原子態勢i的態勢值Ei可表示為
其中Wi是原子態勢i所對應的威脅程度值。
(三)網絡態勢數據挖掘模型
網絡態勢的分析和計算需要原子態勢數據的支持,然后在機密性、可用性、完整性、權限、不可否認性及可控性幾個方面進行歸納聚類,最后進行網絡態勢的分析。
用表示第j個屬性態勢值,則,a 為屬于某一屬性的原子態勢個數。每個屬性對應不同的權值,設第j個屬性的權重定義為Sj,可通過將各個屬性的安全態勢值加權求和,計算單位時間內主機的安全態勢值。網絡安全態勢值是網絡系統中主機態勢值和主機權重的函數,即
其中,k為主機在網絡中的編號(1≤k≤g),g為整個網絡中主機的數目,Zk為對應主機在網絡中所占的重要性歸一化權重。
四、實驗分析
實驗進行的網絡環境如圖3所示。
圖3中,數據庫服務器不存在異常,Web服務器的Apache日志是本次事件分析的主要數據源。安全日志分析得到Web服務器在2012年1月至2012年3月之間,主要遭受6種Web 安全威脅,統計結果如表1所示。
按照屬性的不同,分別計算各個屬性的態勢值,根據公式,對表2的數據進行統計可得:機密性態勢值為1.18686;權限態勢值為0.88;完整性態勢值為0.21;可用性態勢值0.23926;不可否認性態勢值0;可控性態勢值0。主機受到其各個屬性的影響,包括機密性、完整性、可用性、權限、不可否認性及可控性。利用層次分析法計算屬性權重,以主機機密性為參照標準:機密性對比完整性比較重要,機密性對比可用性稍微重要,機密性對比權限比較重要,機密性對比不可否認性十分重要,機密性對比可控性比較重要。故經matlab計算可得機密性權重為0.4491,可用性權重為0.2309,完整性權重為0.0930,權限權重為0.0930,不可否認性權重為0.0390,可控性權重為0.0930。主機的態勢值是將各個屬性的態勢值進行加權求和得到,故主機態勢值為0.70118。
網絡內主機主要分服務器和客戶端兩種,服務器一般保存有重要的數據資源,這里定義服務器重要性權重為3,客戶端重要性權重為1,權重進行歸一化后得服務器和客戶端的權重分別為0.75和0.25。本次實驗對數據庫服務器及Web服務器的日志進行了分析,數據庫服務器的日志不存在異常現象,可以認為數據庫服務器的網絡態勢值為0,則根據格式計算可得網絡安全態勢值為0.51968。
若安全信息量繼續增大,可按照本節的計算方法對其他時間點及其他主機態勢值進行計算。網絡安全態勢評估方法就是對不同時間點不同主機的網絡安全態勢情況進行計算,故在計算的時間點較多的時候,可構建時間點與網絡安全態勢值形成的網絡安全態勢曲線,由此可以推測未來網絡的安全趨勢和受到的攻擊類型。
五、結束語
本文提出了需要采集的多維、深層次網絡安全數據集,建立了基于原子態勢的安全態勢分析流程和模型,并搭建了局域網的實驗環境,利用網絡環境中兩臺服務器日志數據分析了Web服務器的主機態勢以及該局域網的網絡安全態勢,并提出了一種網絡安全態勢趨勢預測的方法。
參考文獻:
[1]傅祖蕓.信息論基礎理論與應用[M] .北京:電子工業出版社,2011.
[2]胡明明,等.網絡安全態勢感知關鍵技術研究[D] .哈爾濱:哈爾濱工程大學,2008.
[3]胡影,等.網絡攻擊效果提取和分類[J].計算機應用研究,2009(3),26(3): 1119-1122.
[4]鄭善奇,李大興.網絡安全評價模型的研究[D] .濟南:山東大學,2008 .
