网络安全态势感知系统的研究
2018-01-09于滢
于滢
摘要:近年来各种网络安全事件频繁发生,人们越发关注网络安全防御体系的建设,对安全防护工作愈发重视,坚强的网络安全防御体系已经成为众多企事业单位构建信息内网的目标。网络安全态势感知是信息安全管理方面的一项重要技术,是多项安全技术的复合与增强,它强调对网络安全态势变化的实时捕获,并据此评估网络安全情况。具体来说,是通过技术手段从时间和空间维度来感知并获取安全相关元数据,通过数据信息的融合分析动态反映网络安全状况并预测其未来的发展趋势,最终为增强网络安全性提供可靠的决策支持。
关键词: 网络安全态势感知;多源数据融合;态势评估;态势预测
中图分类号:TP181 文献标识码:A 文章编号:1009-3044(2017)34-0012-04
Abstract:After analyzing and comparing the existing security situation assessment method, the author proposes a network security situation assessment method Based on time dimension, which focused on the necessity of using different method for short-term and long-term assessment. The short-term assessment Based on the alarm information that came from security device such as firewall and Intrusion Detection Systems (IDS), and got the whole short-term situation according the score of destination host. Long-term assessment system included result of short-term assessment and static index which the weight of it was determined with entropy method. This model has divided network security situation into short-term and long-term, and has made up for the lack of setting situation assessment boundaries in terms.
Key words:network security situation awareness; multi-source data fusion; situation assessment; situation forecast
1 概述
随着计算机和通信技术的不断发展,计算机网络向着更大规模、更高复杂度的方向演进,与此同时,针对计算机与网络系统的攻击行为也向着自动化、分布式方向发展,这就对信息安全管理提出了进一步的要求。各种网络安全技术相继出现,如防火墙技术、入侵检测技术(Intrusion Detection Technology)、可信计算技术、漏洞扫描等,但是这些技术也并不能完全保证网络系统的万无一失,它们仅面向某一特定方面的安全问题,仅对部分安全数据进行了采集和处理,未能实现对全局网络安全状况的全面保护。
网络安全态势感知技术是上述提到的多项安全技术的复合与增强[1],它依靠其他安全设备、软件系统,同时凌驾其上,对信息安全管理技术进行了扩展。它能够实时地、主动地监测网络状态,得到更为精准的攻击威胁行为的描述,并对网络进行全面的安全状态估计,使得信息安全工作人员能够在攻击发生或造成进一步损失之前,对攻击威胁进行预测,从而预先采取相应的措施来提高网络的安全等级[2]。
2 相关研究
2.1 数据融合技术
数据融合,即多传感器数据融合,又称为信息融合(Information Fusion),是利用计算机技术对按时间顺序得到的多个传感器的信息在一定的规则下自动分析、综合以完成所需的决策任务而进行的数据信息处理过程。数据融合的概念最早应用在军事领域,80年代以后,基于多傳感器的数据融合技术得到了众多应用领域的关注,包括:机器人与智能系统、目标检测、多源数据融合等。
一般来讲,数据融合就是对信息进行综合、处理的过程,即为了完成某一个特定的决策与评估目标,而对来自不同系统、不同模式、不同时间及不同表示方式的数据信息按照一定的规则进行综合分析,最后得到该特定目标的更为精确地描述。
在多传感器数据融合中,数据融合主要是对来自不同数据源的多源数据进行分层级处理,每一个层级都代表了对原始数据的不同程度的抽象。按照数据抽象程度的不同,可以将融合层级分为三层:数据层(像素层)融合、特征层融合和决策层融合[3]。如图1所示数据融合一般模型,本文提出的信息安全数据融合模型也是基于此通用框架。框架中的层次对应于Rotle提出的数据融合演进图(图2)中的一步,其粒度由细到粗,由最低层次的数据存在性合并到最终的态势分析。
2.2 网络安全态势评估技术
网络安全态势评估模型及关键技术是目前信息安全领域的研究热点,国内外的研究人员已经取得一些进展,无论是在态势评估方法上还是评估指标体系的构建上都有比较优秀的模型提出;这些方法为网络安全态势评估的研究提供了更高的起点,为实用性模型的构建奠定了良好的理论基础[4]。
将现有的网络安全态势评估方面取得的研究成果进行分类,按照评估数据源可以分为基于配置信息与基于运行信息两类,所谓基于配置信息是指网络构建、设备配置,漏洞情况等;基于运行信息是指系统所受动态攻击的情况,主要来自于流量信息、设备日志信息等[5]。endprint
基于系统配置的网络安全态势评估是目前态势评估的重要研究内容,这方面研究成果比较多。Ortalo使用Markov模型计算攻击者攻击成果所需付出的代价,以定量的方式计算系统安全情况,并给出了系统安全的演化图。冯登国对信息安全风险评估领域的模型、标准、方法、工具等进行了综合阐述,但主要集中在使用漏洞扫描等技术手段上 [6]。肖道举等人提出了一种综合评估模型,模型主要基于主机提供的服务在网络系统中的重要程度以及主机漏洞威胁程度。
基于运行信息的网络安全态势评估方法也在近些年引起了大范围的关注。Bass提出利用多源传感器的数据融合建立网络空间态势意识的框架,通过推理识别攻击者身份、攻击目标以及攻击威胁性,进而评估网络体系的安全态势,但Bass并没有将理论实现具体原型系统。Porras提出基于系统任务影响的报警优先级评估方法,结合报警造成的损失的严重性、攻击目标的关键性等因素,为报警流中的每个报警进行优先级排序。但是此方法只是孤立地分析每条日志、每个告警。陈秀真等人提出了一种层次化网络安全态势量化评估方法,结合服务、主机自身的重要性,采用自上而下的层次化安全威胁态势量化评估模型能够提供服务、主机和网络系统三个层次的安全威胁态势[7],但是她没有从整体性上对攻击进行分析,没有考虑攻击之间的联系。
通过对现有网络安全态势评估方法的比较分析,发现其中均存在一些不足之处:
1) 将短期的网络安全态势评估与中期、长期网络安全态势评估方法不予区分,笼统的使用同一种方法;
2) 评估数据源过于单一,综合性差,导致评估结果偏于片面;忽略多个数据源之间的内在联系,致使评估结果不够精准;
3) 建立的评估指标体系中,静态指标(如设备数量等长期不变的指标)比重过大,难以实现对网络状态的动态性的掌控;
4) 并未对网络安全状况进行持续性的评估及预测。
这些问题极大削弱了网络安全态势评估模型的准确性及实用性,导致构建的模型并不能够对网络安全态势进行完整有效的描述。针对上述不足之处,本文提出了一种层次化的网络安全态势评估模型,模型将短期态势评估和长期态势评估区分开来,对于短期态势评估着重强调评估结果能够对网络安全态势的变化进行高灵敏度的反应,评估指标应具有波动性强、实时性好的特点。而对于网络安全态势长期评估模型更强调安全态势评估的整体性,突出入侵、攻击等安全事件对网络系统的综合影响分析,侧重对网络稳定性、可靠性的描述。
在网络安全体系建设过程中,网络中会部署各种不同功能的安全防护设备,如防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)、漏洞扫描、堡垒主机等,这些设备针对不同的网络安全问题从多个侧面对网络运行情况进行了描述,产生的告警数据、监测数据等能够基本囊括网络全方位信息,但是由于缺乏不同设备间的互联分析机制,导致这些数据的分析挖掘并不到位。本文构建的网络安全态势感知框架将多源信息放到统一的平台上进行分析处理,将此分析结果作为短期评估的数据基础;在进行中长期评估时首先将短期评估数据全部引入,在此基础上加入更多的静态指标和全局指标,全方位的对网络安全态势进行评分。
2.3 网络安全态势预测技术
网络安全态势预测是信息安全管理的最高表现形式,准确有效地预测安全态势,能够使得信息安全管理由被动变为主动。态势预测可以使网络管理人员判断网络当前的状态以及未来的趋势,能在網络受到大规模攻击或造成更严重损失之前及时采取措施,加强网络设备和安全设备的安全策略,着重监测敏感网段,真正达到网络安全主动防御的目的。
对于网络安全态势的预测方法目前并没有统一的方法和模型,但是对于预测已经有非常成熟的方法,例如灰色预测、神经网络、支持向量机预测等,它们有各自的特点和适用范围。我们需从众多预测算法中找到适用于网络安全态势预测特性的算法,并针对态势预测的特点进行相应的调整和改进。
3 多源数据融合模型研究
目前,网络安全态势研究的关键技术主要有多源传感器数据融合、态势评估、态势预测、数据挖掘、威胁可视化等,如图3为网络安全态势感知框架的一般性结构,也是本文使用的态势感知框架结构。本章将首先构建框架的第一部分:多传感器数据融合模型。
安全设备、网络设备的系统日志、配置信息、流量信息、运行信息等为数据基础,通过梳理这些网络安全业务应用系统的数据流及其内在数据传导机制,参考不同生产厂商的技术规范,统一安全日志的格式,将这些数据进行集中的分析汇总,提取关键信息,去除冗余信息,提供一个统一的数据展示平台接口。通过该数据接口,构建多源数据融合模型。
3.1 多源数据融合模型的构建
由“数据融合”的概念可知,数据融合是一个在多个级别上对数据进行综合处理的过程,每个处理级别都反映了对原始数据不同程度的抽象。图4为本文在图1通用模型的基础上构建的网络安全多源数据融合模型。此模型以内网安全设备、网络设备等提供的日志信息、运行信息、配置信息等为输入,进行多级的融合分析,最终实现由数据到知识的过渡。
本文将融合分析过程抽象为零级数据预处理→一级数据融合→二级数据分析→三级威胁示警的过程,数据融合后生成目标库,数据分析后生成状态库,最终实现威胁示警及知识积累(进入信息安全知识库)。
数据融合的目标是为了获取更高质量的信息,而对于网络安全态势感知来说,更高品质意味着图5所示的四个重要目标。
在实际操作我们根据图4的演绎路线,将数据融合分为低、中、高三个层次的融合,融合粒度由细到粗,如图6为数据融合的具体步骤。
低级数据融合主要是对多源数据进行预处理,统一格式,同时使用规则过滤减少数据量;中级数据融合主要使用多样化的融合手段如抑制、计数、细化、概括等实现高优先级、高信息量信息的提取;高级数据融合则是指关联分析,是数据融合最关键的一步,其最终挖掘出隐含的高级信息,也就是本文所指的“超告警”。下面详细阐述三个级别的数据融合模型。endprint
3.2 低级数据融合
第一步是低级数据融合,也就是对数据的预处理过程,这一部分主要是根据收集数据的规则过滤掉部分数据,并将所有数据的格式进行统一。
这里提到的收集规则是指根据需求限定收集数据的IP段、告警等级等,将一些告警等级低、无关IP地址的数据剔除,这样可以大量减少分析数据的数量,加快融合程序计算速度。如图7为数据规则过滤流程图,接收到一条数据后,其分别与规则库中的所有规则进行比对,当所有比对全部匹配时保留数据,否则剔除数据。
统一数据格式是数据分析的基础,多源传感器数据统一数据格式,主要保留关注字段,去除冗余或信息不足的字段,例如对于任意两个同一厂商的防火墙安全日志信息S1(sid,fw,recorder,src,dst,sport,dport,smac,dmac,proto),S2(sid,fw,recorder,src,dst,sport,dport,smac,dmac,proto),如果其属性{fw,recorder,src,dst,sport,dport,smac,dmac,proto}的值相同,并且|S1.starttime-S2.starttime|<ε,(ε是事先规定的阈值),则称S1和S2满足重复关系。即把最新的产生的安全日志信息替换掉原来的安全日志信息。
3.3 中级数据融合
第二步是中级数据融合,经过低级融合,多源数据已经具有统一的格式,这是中级数据融合的基础,这一级融合主要是进行冗余归并的工作。
本文将滑动窗口模型应用于多源数据冗余归并,如图8所示为滑动窗口冗余归并模型流程图。具体来说,系统一直维持一个N条数据的窗口,将实时新数据与窗口中的N条数据依次比对,根据比对结果来确定对新数据的处理方式是进行归并还是加入窗口,若加入窗口为保持窗口值不变则必须舍弃一条数据使窗口向前滑动,若进行归并则使用新数据更新窗口中的数据。文中所提到的窗口值N也就是冗余归并的计算范围,当N值越大时归并程度越深,相应的归并速度会显著降低,当对实时处理速度要求较高时N值必须为一个恰当的值,既能够保证实时性的要求又能够具有较高的处理精度。
由上面的描述可知滑动窗口模型的重点在于第二步“新的数据于指针指向的数据进行比对”,这是确定窗口是否向前滑动的关键。本文采用相似度关联算法对告警数据进行处理,其功能是融合反映物理世界中同一个安全事件的多个告警为一个告警记录,在减少告警数量的同时剔除误报,其主要步骤如下:
(1) 为主要攻击种类设置期望相似度,最小相似度阈值;
(2) 计算新数据与指针指向数据的属性相似度;
(3) 判断是否满足最小相似度阈值。
3.4 高级数据融合
第三步是高级数据融合,也就是关联分析。如果以人类自身的生理功能作类比,多源数据关联分析技术如同把通过人类感觉传感器(视觉、听觉、味觉、嗅觉、触觉)获得的信息,例如画面、声音、气味等组合起来,并使用先验知识去理解、判断周围情景和正在发生的事情。相对于单一传感器,多传感器可以从事物的多个角度、多个层面获取更丰富的数据信息,也就是经过综合关联分析挖掘出全面、真实的结论[8]。
这一步主要是将告警数据上升到攻击信息的层次,挖掘不同设备产生的告警之间所存在的内在联系。不同的网络安全设备,对于同一个安全事件的反馈信息可能是不同的(如图9所示)。将这些信息关联起来,能够更准确定位告警原因。单一设备有可能出现误报或者漏报;多种设备告警的相互印证,多角度的分析,才有可能准确的甄别告警、定位攻击[36]。
本文使用交叉关联方法进行关联分析,此方法将告警信息与流量信息、漏洞信息、网络拓扑信息、网络配置信息进行关联,从而实现对告警成功率和威胁度的计算,最终实现对真实威胁的甄别以及对误告警的过滤。如图10所示为高级数据融合关联分析步骤,从中级数据融合产生的日志信息中获取攻击类型及目的主机,将攻击依赖环境信息、漏洞信息等与目的主机信息、漏洞信息相比对,并结合拓扑、流量等信息计算告警可信度,按照告警可信度排序输出,排在最前面的表示威胁值最高,破坏力最大的告警。
本文定义高级数据融合输出的最终告警称为“超告警”,并将超告警表示成
4 结论
本文梳理了现有网络安全技术以及网络安全态势评估、多源数据融合模型建立,针对网络运行中的实际问题,建立了多维度的安全态势感知技术框架和评估预测模型,最终研制了相应的网络安全态势感知系统支撑平台,将模型付诸实现,以更直观、更易理解的方式对网络安全态势进行展示。
参考文献;
[1] 胡威. 网络安全态势感知若干关键性问题研究[D]. 上海: 上海交通大学, 2007.
[2] 王军英, 马国青. 企业信息安全分析分析及对策[J]. 农电网络信息, 2010(7):71-73.
[3] 韦勇, 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型[J]. 计算机学报, 2009, 32(4):763-771.
[4] 王晋东, 沈柳青, 王坤. 网络安全态势预测及其在智能防护中的应用[J]. 计算机应用, 2010, 30(6):1480-1488.
[5] 朱丽娜, 张作昌, 冯力. 层次化网络安全威胁态势评估技术研[J]. 计算机应用研究, 2011, 28(11):4303-4306.
[6] 王慧强, 赖积保, 胡明明. 网络安全态势感知关键实現技术研究[J]. 武汉大学学报信息科学版, 2008, 33(10):995-998.
[7] 赵国生, 王慧强, 王健. 基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统, 2006, 27(10):1861?1864.
[8] 朱周华. 电子政务网络与信息安全保障体系设计[J]. 微计算机信息, 2009(9).
