APP下载

网络安全态势感知及主动预警技术研究

2017-11-06李井泉刘惠颖陈连栋

河北电力技术 2017年5期
关键词:预警系统态势信息安全

李井泉,刘惠颖,张 纬 ,陈连栋

(1.国网河北省电力公司信息通信分公司,石家庄 050000;2.国网河北省电力公司电力科学研究院,石家庄 050021)

2017-05-21

李井泉(1979-),男,高级工程师,主要从事信息技术工作。

网络安全态势感知及主动预警技术研究

李井泉1,刘惠颖2,张 纬1,陈连栋1

(1.国网河北省电力公司信息通信分公司,石家庄 050000;2.国网河北省电力公司电力科学研究院,石家庄 050021)

介绍网络安全态势感知技术,研究安全态势感知模型及指标体系,提出了安全态势感知及主动预警系统的设计方案,从数据采集、大数据存储优化技术、关联分析实现等方面分析该系统的关键技术,并说明该系统的应用效果。

安全防护;网络安全态势感知;主动预警

随着电力系统信息化水平的提高与信息安全工作的推进,电力企业信息安全防护已经从单一威胁防护阶段进入到综合安全管理阶段,在全面部署各类安全防护产品基础上,电力企业越来越关注安全态势的感知以及安全事件的预测与预防。当前网络空间安全对抗的形势非常严峻。电网信息安全保障异常严峻,迫切要求提升电网信息安全的对抗能力。为此结合网络安全态势感知理论,研究面向大规模电力信息网络的态势感知及主动预警技术具有十分重要的意义。

1 网络安全态势感知技术介绍

网络安全态势感知(Network Security Situational Awareness,NSSA)指在大规模网络环境中,对能够引起网络安全态势发生变化的安全要素进行提取、理解、显示并预测未来发展趋势[1]。

网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施[2]。实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应[3-5]。

2 安全态势感知模型及指标体系

2.1 安全态势感知模型

研究和建立安全态势感知模型,用于实现安全态势分析与预警技术。从而能在掌握全网安全态势的基础上,得到详细的预警信息,能够根据预警信息及时调整安全策略,解决潜在的安全风险、安全隐患。安全态势感知模型包括以下模型。

a. IP地址熵模型。信息熵是信息论中用于度量信息量的一个概念。一个系统越是有序,分布越集中,信息熵就越低;反之,一个系统越是混乱,分布越分散,信息熵就越高。许多大规模网络安全事件均反应在IP地址分布的异常上,通过观测特征事件IP地址分布状况可反映网络安全运行状况。研究通过判断IP地址熵值是否正常,建立IP地址熵模型,用来检测网络中是否存在大规模安全事件的可能[6-9]。

b. 三元组模型。在网络攻击行为中,源地址、目的地址、攻击类型三要素体现了攻击的本质,这三个要素在特征事件的属性中均有记录。 三要素任意指定和组合,都反应了有意义的网络攻击态势,通过统计固定时间间隔内三要素的TopN值,可以反应当前流行的网络攻击态势。其与熵模型结合,还可用来检测网络异常时对异常原因、攻击源、目标进行定位。

c. 热点事件传播模型。对于Internet蠕虫等大规模网络事件,最明显的特征是其历史发展趋势。该模型通过观测热点事件的发展趋势,帮助SOC用户依据热点事件发展态势分析来判断其是否会发展成为大规模网络安全事件的可能。

d. 协议流量智能基线分析模型。针对网络中应用某种协议传播的大规模网络安全事件通常会引起协议流量的异常原理,采集网络流量,检测TCP、UDP、ICMP3种协议比例随时间的变化趋势,当发生明显异常时及时发出报警信息。应用机理:在学习阶段建立3种协议流量智能基线分析模型,在SOC运行阶段将采样值与基线进行比较。

e. 主机行为异常模型。在学习阶段,建立1台主机的正常访问模型,例如固定统计间隔内的流数量、连接的主机数量、每个流所包含的数据包数量等。对于重点关注的主机,比较该类主机的统计参数,与正常值的偏差程度,进行异常判断。

f. 异常Flow流检测模型。研究应用机理:正常情况下,一个Netflow流中应包含TCP标识符的全部信息,缺少标识符的Flow流的数量不应太大。通过研究建立异常Flow流检测模型,统计只含SYN标识、RST标识的流数量,检测网络上是否存在扫描、DDoS攻击等大规模网络异常。

2.2 宏观态势感知指标体系

在进行安全态势评估时,通过构造一系列能够反映网络安全状态的基准指标,将具体的网络流量和各类攻击数据量化为直观的指标值,并以此评估当前的网络安全状态[10-12]。依据抽象层次的不同,指标体系可分为2个层次。

a. 基础指标。基础指标是指从观测数据中直接统计即可获得的指标,这里的观测数据可以是各类安全报警事件,也可以是网络流量。通过分析日常采集到的统计数据建立基础指标体系,可以掌握网络的安全基准状况、流量分布状况以及全网通信的正常基线,以此为依据对可能出现的异常进行评估。基础指标统计的维度可以是空间信息,如路由器、物理端口、IP地址(段)、AS号、地域名称等;也可以是时间信息,如时间戳、持续时间、结束时间、所在时段等;还可以是描述信息,如协议类型、事件类型等。

b. 衍生指标。衍生指标是指无法直接获取,必须依赖于对基础指标统计或运算后才能得到的参数。常见的运算方法包括:均值、期望、几何平均,反映参数平均水平的统计量;熵运算,反映参数分布状况的统计量;方差、标准差,反映参数偏离程度的统计量;对数,在参数波动幅度较大时,通过对数运算可以降低其量级;增长速率、降低速率,反映参数变化趋势的统计量;极差(全距),各时段不同应用流量最高值和最低值的差值或比值。

3 安全态势感知及主动预警系统的设计

在研究的基础上,国网河北省电力公司研发了一套安全态势感知及主动预警系统,体系架构总体设计方案见图1。

图1 体系架构总体设计方案

3.1 面向服务的技术架构(SOA)

安全态势感知及主动预警系统在总体技术架构上采用面向服务的体系架构和WEB Services技术,用户界面全部采用B/S结构,系统各组件之间松耦合,整个系统架构灵活可扩展[13]。平台能够全面结合多种信息安全产品和管理技术,在信息和信息系统整个生命周期中实现安全管理方面人、技术和流程的结合,同时该平台提供多种对外接口,实现与众多第三方平台类产品的融合,以最大化的保障网络、系统和应用的整体安全性。

3.2 一体化功能结构设计

安全态势感知及主动预警系统主要由以下部分组成:资产信息管理模块、安全事件/业务监控管理模块、脆弱性管理模块、漏洞关联分析和基于规则的关联分析模块、风险评估管理模块、安全策略管理模块、统一安全预警模块、综合显示和报表报告系统、响应管理系统、安全信息管理、系统健康管理和用户管理模块组成。

系统实现信息安全管理体系的PDCA循环,为其计划阶段提供风险评估和安全策略功能,为执行阶段提供安全对象风险管理以及流程管理功能,为检查阶段提供系统安全监控、事件审计、残余风险评估功能,为改进阶段提供安全事件管理功能。

系统设计依据各个公共功能构件的关联关系,实现统一的平台技术体系架构,以解决信息安全风险分析预警系统在应用需求中的共性问题。系统功能体系结构见图2。

图2 系统功能体系结构示意

4 关键技术实现

4.1 数据采集

安全态势感知及主动预警系统监控的IT资源和系统应用日志包括:安全设备、网络设备、服务器等。

系统实时不间断地采集网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期日志管理。

4.2 大数据存储优化技术

安全态势感知及主动预警系统的核心数据架构是事件分表,事件分表的核心思想在于利用日志数据的特点,将海量日志数据进行合理的分块存储。分表存储分析逻辑如图3所示。

图3 分表存储分析逻辑示意

根据日志采集事件的时序特征,中间层将事件表按照时间周期进行划分,依靠网络将采集上来的海量数据按照规则分布式的存储到不同的物理介质上。从而通过网络将数据存储能力做了深度的扩展。

4.3 关联分析实现

通过将防火墙、IDS、漏扫和防病毒系统等设备的日志和事件的集中收集、统一分析来协助解决安全措施不完善、安全信息孤岛等问题,通过关联来自不同地点、不同时间、不同层次、不同类型的安全事件,来发现真正的安全风险,提高安全报警的信噪比,对收集上来的安全事件进行关联性分析,发现事件之间的关联性,以便进行有效的响应。

4.4 图形化业务监控视图

以总体的业务监控视图的图形化方式,将单个资产的监控以业务链条的方式组合起来,对组成业务系统的关键资产统一组合监控。动态显示客户计算环境中业务的依赖关系和运行状态,直观展现业务的结构和逻辑关系,实时反映业务的健康状态,传递业务总览信息,从而反映某个业务系统整体的运行状况。

5 应用效果

目前,该套系统已经在国网河北省电力公司中得到应用,系统自投运以来,各项功能运行正常,效果良好。通过对各大信息系统的安全审计和对业务系统的实时监控,找到面临的风险,并及时进行预警和实时告警,定期对安全运行情况进行汇总分析并输出报表,使得各业务系统安全、高效、稳定运行。

6 结论

以上研究了网络安全态势感知技术,构建了面向大规模电力信息网络的安全态势预测模型。设计了信息安全态势感知及主动预警系统体系架构总体设计方案,最终实现系统并应用。安全态势感知及主动预警系统可以获得对全网安全的可视化,洞悉业务信息系统的运行状况与安全状况;对全网的安全事件进行综合分析与审计,识别和定位外部攻击、内部违规;进行业务系统的安全风险度量、安全态势度量和安全管理建设水平度量;进行持续的安全巡检、应急响应与知识积累,不断提升电力系统安全管理的能力。

该系统为国网河北省电力公司信息安全管理系统化方面提供一种新思路、新办法,能从多个层面了解信息安全工作的当前态势,固化信息安全常态工作流程,加强了信息安全工作的系统性和有效性。但是仍然有其他问题需要深入研究,如,对识别和定位外部攻击、内部违规的高效优化,持续的安全巡检、应急响应与知识积累的增加等,有关这些方面的问题还有待更进一步的研究。

[1] Tim Bass.Intrusion Detection System and Muhi-sensor Data Fusion[J].Communications of the ACM,2000,43(4):99-105.

[2] 王慧强,赖积保,朱 亮,等.网络态势感知系统研究综述[J].计算机科学,2006,33(10):5-10.

[3] 冯学伟,王东霞,马国庆,等.网络安全态势感知中态势评估关键技术研究[J].计算机工程与应用,2011,47(19):88-92.

[4] 贾 焰,王晓伟,韩伟红,等.YHSSAS:面向大规模网络的安全态势感知系统[J].计算机科学,2011,38(2):4-8.

[5] 张利琴,张 溟,高玉琢.基于等级保护的网络反攻击技术应用研究综述[J].中国科技信息,2014(8):134-136.

[6] 王春雷,方 兰,王东霞,等,基于知识发现的网络安全态势感知系统[J].计算机科学,2012,39(1):11-18.

[7] 蒋诚智,余 勇,林为民,等,基于智能Agent的电力信息网络安全态势感知模型研究[J]. 计算机科学,2012,39(12):98-101.

[8] 李 硕,戴 欣,周渝霞.网络安全态势感知研究进展[J].计算机应用研究,2010,27(9):3227-3232 .

[9] 王选宏,肖 云.基于信息融合的网络安全态势感知模型[J].科学技术与工程,2010,10(28):689-690.

[10] 杨 菁,张鹏飞,徐晓伟,等.电网态势感知技术国内外研究现状初探[J].华东电力,2013,41(8):1575-1580.

[11] 周 军.基于D-S证据理论的多模型网络安全态势预测研究[D].西安:西安电子科技大学,2010.

[12] 谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知[J].清华大学学报:自然科学版,2013,53(12):1754-1757.

[13] 刘密霞.网络安全态势分析与可生存性评估研究[D].兰州:兰州理工大学,2008.

Study on Situation Awareness and Active Early Warning Technology of Internet Security

Li Jingquan1,Liu Huiying2,Zhang Wei1,Chen Liandong1

(1.State Grid HeBei Electric Power Information and Telecommunication Branch,Shijiazhuang 050000,China;(2.State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper proposes network security situation awareness and active warning technology.Introduces the network security situation awareness technology,and stadies the security situation prediction model,constructs security situation awareness and active warning system's design scheme,analyzes the key technologies of the system from data acquisition,large data storage,optimization technology and correlation analysis,illustnetes the application effect of the system.

security protection;network security situational awareness;early warning technology

TP393.08

B

1001-9898(2017)05-0011-04

本文责任编辑:杨秀敏

猜你喜欢

预警系统态势信息安全
民用飞机机载跑道入侵预警系统仿真验证
一种基于CNN迁移学习的井下烟、火智能感知预警系统
2019年12月与11月相比汽车产销延续了增长态势
汇市延续小幅震荡态势
基于ZigBee与GPRS的输电杆塔倾斜监测预警系统
我国天然气供需呈现紧平衡态势
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
桥、隧安全防范声光预警系统