网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎
摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据 信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。
关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻 击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。
1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、 Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意 识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监 控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet 采用本体论对网络安全态势感知相 关概念进行了分析比较研究, 并提出了基于模块化的技术无关框架结构。美国 国家能源研究科学计算中心( NERSC) 所领导的劳伦斯伯克利国家实验室于2003 年开发了“Spinning Cube of PotentialDoom”系统, 该系统在三维空间中用 点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI 领导的CERT/NetSA开发了SILK[2], 旨在对大规模网络安全态势感知状况进行实 时监控, 在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应 以及预警, 给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分 析, 并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT 欲通过开发一个安全事件融合工具的集成框架,为Internet 提供安全可视化。 目前该机构已开发的Internet 安全态势感知系统有NVisionIP,VisFlowConnect - IP 等。NVisionIP通过系统状态可视化来获取Internet 的安全态势; Vis- FlowConnect- IP 通过连接分析可视化来获取Internet 的安全态势。美国2006 年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防 高级规划署( DARPA) 等军方机构也正投资开展安全态势感知的研究[3]。在国 内方面, 关于网络安全态势感知的研究还限于科研院校的研究阶段, 目前的工 作主要集中在组织架构和业务体系的建立, 离实际的应用距离还很远。
2 网络安全态势感知系统模型 网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、 安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未 来的变化趋势进行预测。深入分析国内外相关研究, 建立网络安全态势感知概 念模型, 如图1。该模型将安全态势感知分为四层: 特征提取、安全评估、态势 感知、预警。特征提取是态势感知的前提, 该层主要采用已有成熟技术从海量 数据信息中提取网络安全态势信息。安全评估是态势感知的核心, 通过漏洞扫 描, 安全审计等获得安全信息后,同时和已有的网络安全机制相结合, 对已安装 的入侵检测系统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提取 数据, 采用合适的安全评估模型, 对网络的威胁和脆弱性进行评估。安全评估 将信息反应到态势感知层, 态势感知层通过识别信息中的安全事件, 确定它们 之间的关联关系, 并依据所受到的威胁程度生成相应的安全态势图, 来反映整 个网络的安全态势状况。态势预警要求不但能对即将发生的安全事件提前告知, 给出应急的处理措施, 而且能够依据历史网络安全态势信息和当前网络安全态 势信息预测未来网络安全趋势, 使决策者能够据此掌握更高层的网络安全状态 趋势, 为未来的安全管理制定合理的决策提供依据。通过对四层概念模型的分 析, 拟设计如图2 所示的网络安全态势感知系统体系结构。网络安全态势感知 系统由网络拓扑发现, 安全拓扑生成、安全评估模型、漏洞扫描、威胁评估、 事件关联、预警、结果可视化等模块构成。在下面的内容中, 将对系统组件之 间的关联关系、因果关系进行分析研究。 3 关键模块分析 在网络安全态势感知系统中, 特征提取、安全估计、态势感知、安全预警 是四个核心模块, 分别代表网络安全态势感知四个不同的阶段。在这些模块中、 数据挖掘、模式识别、人工神经网络、机器学习等人工技术被广泛运用。下面 将对这四个核心组成部分进行具体介绍。
3.1 数据预处理和特征选择 网络安全态势感知系统首先从防火墙、安全审计、防病毒软件等中获取到 大量的日志数据, 由于这些数据中存在大量的冗余的信息, 不能直接用于安全 评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并 进行相应的预处理工作, 为接下来的安全评估、态势感知、安全预警做好准备。
数据预处理和特征选择处于网络安全态势感知系统的底层。 当系统从防火墙、安全审计、防病毒软件等中获取到大量日志数据后, 首 先需对数据格式进行统一, 并依靠专家系统对数据进行约减, 合并, 直观地从 大量数据中排除与安全态势感知无关的噪声数据, 将重复的属性数据进行合并。
特征选择能够为特定的应用在不失去数据原有价值的基础上选择最小的属 性子集, 去除不相关的和冗余的属性, 在网络态势感知系统表现为选取与网络 安全联系最紧密的属性[4];特征选择还将提高数据的质量, 加快安全评估的速 度, 处于最低层的数据预处理和数据特征提取是网络态势感知系统高效运行的 前提。特征选择是模式识别和数据挖掘的重要环节, 网络态势感知系统的很多 模块中均采用模式识别和数据挖掘进行数据处理, 一些用于模式识别和数据挖 掘的特征提取算法也可应用在网络态势感知中。特征选择算法可从搜索方向、 搜索策略、评价方法和停止标准4 个方面考察, 使用4 个方面的不同组合可以 得到不同的特征选择算法。特征选择方法可以分为Filter 和Wrapper 两种[5], 有代表性的算法有ABB 算法、Relief算法和LVW算法。近年来遗传算法、模拟退 火算法也被运用在特征选择算法中。
3.2 安全评估算法 网络安全评估系统根据已知的安全漏洞集合, 对本辖区网络系统进行全面 测试, 并对测试结果进行分析, 从而对该系统给出总体评价, 最后对该系统存 在的漏洞提出应急方案。网络安全评估可分为以下三个部分: 漏洞扫描、评估 模型、威胁评估。 漏洞扫描子模块包括漏洞信息的收集, 漏洞的扫描, 以及漏洞结果评估。 通过对网络所提供服务进行漏洞扫描得到结果, 分析出此服务的风险状况, 得 到不同服务的风险值。安全漏洞的存在是导致安全风险的内部因素, 应从不同角度进行安全漏洞的确定和赋值。 国内外现有的风险评估方法很多, 大部分学者认为可以分为四大类: 定量 的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以 及基于模型的评估方法价[6]。基于模型的评估方法虽然能对整个计算机网络进 行有效的安全性评估, 但在基于模型的评估方法中, 规则的抽取过于复杂, 这 种评估方法不能从不同层次对网络安全状态进行评估。单纯的采用定性评估方 法或者单纯的采用定量评估方法都不能完整地描述整个评估过程, 定性和定量 相结合的风险评估方法克服了两者的缺陷, 是一种较好的方法。贝叶斯网络作 为一种描述不确定信息的专家系统, 在构造风险评估模型时, 模型能够综合最 新的证据信息和先验信息, 从而评估结果不仅反映了当前的信息, 而且综合了 历史和先验知识, 是种较好的办法。人工神经网络也能有效地运用于风险评估 中。采用神经网络中的LVQ 和SOM网络对各个指标形成的高维向量进行有监督的 学习, 先通过对专家的知识进行学习和训练, 当模型稳定时, 就可以对当前的 评价指标向量进行分类处理, 输出结果为对当前的安全等级的描述。人工神经 网络也有助于提高网络态势感知系统的自学习和自适应能力。决策树、模糊 Petri 网等方法也可用于网络的安全性能评估。 在威胁评估中, 拟将网络分为LAN、主机、服务和攻击/漏洞4个层次, 从服 务、主机、系统LAN 的三个角度对网络系统的安全状况进行综合评估。每个层 次的安全状况, 都可以分解为其下层各个节点的安全状况的“和”, 从而将下 层的各个孤立点结合起来, 形成对其上层节点的安全状况的综合评估结果。与 威胁有关的信息可以通过IDS 取样、模拟入侵测试、人工评估、策略及文档分 析和安全审计等获得。这些信息记录了过去一段时间内的网络系统的安全状况。 选定一个时间段内的与威胁有关的信息为原始数据, 结合攻击效果, 发现各个 主机系统所提供服务存在的漏洞情况, 评估各项服务的安全状况。各层次的安 全性评价均采用风险指数描述, 风险指数越高, 风险越大。由于获取数据量大, 必须借助一个人工智能神经网络的方法对数据进行分析处理, 并以图形方式显 示分析结果, 并给出评估报告。