《网络安全态势感知技术》由会员分享,可在线阅读,更多相关《网络安全态势感知技术(4页珍藏版)》请在金锄头文库上搜索。
1、全国抗恶劣环境计算机第十七届学术年会论文集安全 网络安全态势感知技术王东霞,赵刖,李远玲,马国庆( 北京系统工程研究所四室北京9 7 0 2 信箱1 9 号1 0 0 1 0 1 ,D o n g x i a w a n g 1 2 6 c o r n )摘要:安全态势感知是形成网络空间安全状态“全局视图”的过程。本文重点讲述了安全态势感知技术的发展,实现网络安全态势感知系统的思路以及各项关键技术的解决途径。关健诃:安全态势;态势感知;安全传感器;关联分析1引言 安全防护技术的发展已经历了三代,第一代安全防护技术( 信息保护与隔离) 主要目的是防止入侵,第二代安全技术( 信息保障技术) 主要目
2、的是检测入侵,限制损伤。第三代安全技术( 生存性技术) 强调系统在恶意环境下的生存性,即系统在遭受攻击、出现故障或发生意外事故时,依然能够及时完成其任务的能力。代表性的技术主要有攻击视图、安全态势感知、缓慢降级等容侵技术,安全态势感知是第三代安全技术代表之一。2 安全态势感知技术的来源及研究进展上世纪8 0 年代末,由于现代飞行座舱中可获得大量的传感器信息,关于飞行员如何对飞行中同时发生的复杂、动态事件形成认识,以及这些信息如何用来指导将来的行动的问题引起了研究人员的兴趣,“态势感知”一词用来描述飞行员对当前态势形成头脑模型的注意、感知、决策过程,并在人因学( H u m a nF a c t
3、 o r s ) 领域得到广泛的研究。目前在该领域主要研究形成态势感知的认知模型,相关的研究可以借鉴参考。在指控控制领域,多年以来信息就被看作是指挥控制的“倍增器”,在所有和信息优势相关的讨论中都将态势感知作为其中重要的元素。这里的态势感知采取的形式包括统一的作战视图( C O P ) 、一致的战术图( C T P ) 、单一的集成化空间图( S I A P ) 以及其它战场态势的表示。当前网络空间成为了主要的作战空间之一,为支持信息化战争,维护网络空间的安全,同样对网络安全态势感知提出了新的需求。安全态势感知成为网络战指挥控制的重要研究内容。其中对态势感知的要求包括形成公共网络空间作战视图、
4、攻击状态显示以及脆弱性状态显示等。近年来,国外针对网络安全及网络对抗中指挥控制的需求,结合安全技术的发展,设立许多安全态势感知相关的研究项目。美国希望在未来获得信息优势、决策优势和全面优势,开展了全球信息栅格( G I G ) 和网络中心战( N C W ) 环境建设。其中,美军认为信息安全保障( I A ) 贯穿G I G 各层面,具有支撑性的作用。在G I G I A 计划中提出了有保证的信息共享、高可用的企业设施、C y b e r 态势感知与网络防御、有保证的企业设施管理与控制四种G I G 信息保证能力。其中,强调了C y b e r 态势感知,相关实施计划正在研究制定当中。美军提出
5、了N e t O p s ,N e t O p s 是为了操作和保护G I G 以支持网络中心战而提出的作战概念,目的是实现保证的系统及网络可用性、保证的信息发送和保证的信息保护,从而支持D o D所有的作战、情报和企业军事行动。而共享的态势感知是其五个关键属性之一。C y b e rP a n e l 是D A R P A 和空军研究实验室( A F R L ) 支持的计划( 即D A R P A 的I S O 的C Y B E L C 2 ) ,其目的是保护关键使命信息系统免受战略协同攻击。该项目是将深度防御思想贯穿于可生存性的一个技术框架,综合威胁感知、分析、响应执行等功能于一身,提供对
6、当前网络安全状态感知和管理控制功能。可以这样形象地描述C y b e rP a n e l :它就像一个巨大的整个G I G 系统的仪表控制面板,管理者既可以从面板上得到整个系统的态势信息,又可通过控制面板来操作系统的中任何组件。该计划下资助了多个课题,其中研究内容涉及态势感知的包括:传感器的开发、告警关联和减少、态势评估以及专门的可视化工具。目前该计划已经取得多项研究成果。2 0 0 5 年,C y b e rP a n e l 计划下的部分研究成果进行了集成和演示。3 安全态势感知关健技术实现网络安全态势感知的思路是在广域网环境内部署大量、多种安全传感器,这些传感器收集、监测目标的安全状态
7、,通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的形势,包括攻击的来源、规模、速度、危害性等等,明确目前网络的安全状态,并通过可视化等手段显示给安全管理人员,从而支持安全管理人员对安全态势的了解和掌握,做出正确地响应。圈1安全态势知系统倌童渡程圈应安全态势感知过程可以抽象为一个针对目标对象进行数据处理的过程:建立安全态势数据模型是研究的基础;在此之上开展安全态势感知技术研究,解决安全态势传感器网络、安全态势分析与生成、安全态势的表示与可视化等关键问题。( 1 )公共的安全态势信息模型目前关于信息系统安全状态究竟由哪些元素来反映,各元素的具体含义是什么并没有标准定义。从各种不同的安
8、全设备采集的安全数据、各种安全事件信息,到对安全事件信息进行处理后产生的对所识别攻击的描述,以及安全状态评估的结果等,这些不同层次的信息共同构成了安全态势信息,是安全态势感知系统各部分处理、交换的公共基础,也是安全态势感知系统和其它安全相关系统( 如应急响应系统) 进行数据交换的基础。其中从下向上看,正确获得多种传感器数据的关键是规范的安全事件格式和语义。解决这一问题的一种思路是,在研究入侵检测消息交换格式( I D M E F ) 和事件对象描述和转换格式( I O D E F ) 等标准的基础上,定义规范的安全事件格式;参考公共信息模型( C I M ) ,结合当前安全研究中对安全事件、攻
9、击描述的研究成果,对安全事件信息的语义进行定义,实现多源安全数据的规范化处理。从上向下看,安全管理员关心的是在当前的网络安全状态下如何实现使命任务,信息模型必须描述安全状态对使命任务的影响。对此,一种初步考虑是通过不同安全状态下网络资源的变化建立使命任务与安全状态的关系。因此,安全态势信息模型的高层元素将包括网络使命任务、网络资源的描述,以及网络资源与使命任务之间的依赖关系等。 建立的安全态势感知信息模型可采用扩展标记语言( X M L ) 进行结构化描述。( 2 )安全传感器网络安全传感器检测、收集安全相关的原始信息,是态势感知的信息来源。安全传感器包括部署的各种安全设备或软件,防火墙、入侵
10、检测设备、扫描器、日志监控器、蜜网等。 对大规模网络尤其国家级网络,需要部署多种、大量传感器,这些传感器构成了传感器网络,形成态势感知中网络安全数据采集平台。在布局位置上,传感器需要部署在网络访问点、骨干、区域边界、主机、应用等,在未来面向服务( S O A ) 的信息系统中,需要部署在各种服务中,获取全面的安全数据信息。在优先级策略方面,将考虑作战的优先级需求、使命任 务的关键性过程和基础设施的优先级要求、高价值或特殊威胁环境的要求、关键设施、关键网络服务、投资回报等因素。 如图2 所示,是四级网络安全传感器部署示意图。各传感器将提供符合规范的安全事件信息,或者通过转换得到符合规范的安全事件
11、信息。通过主动上报、查询等方法实现安全事件信息的快速采集。( 3 )安全态势分析与生成安全态势的分析与生成是个多层次的处理过程,包括:对网络中多源、多类型的安全数据进行正误判断、冗余消除;对相互关联的安全事件进行归并处理;对标准化安全事件进行数学计算和逻辑推理;对安全数据中的攻击特征进行提取和识别;对安全数据进行统计和规律发现;对安全态势进行评估和预测。网络安全态势感知系统的数据源经历了从数据到信息再到知识三个逻辑抽象层次,形成了认知域的安全态势。一1 1 2 一第0 层数据提取层,对数据进行标准化、格式化和过滤;第l 层对象提炼层,对安全数据在时间和空间上进行分类、聚集,数据按照相对重要性被
12、赋予权值。第2 层态势提炼层,根据安全数据的协同行为、依赖性、 共同的起始点、共同的协议、共同的目标、相关的攻击率或其它高层的属性进行关联处理,形成态势信息。第3 层威胁评测,融合其它情报等相关信息,结合安全策略、任务目标,对当前态势的做出评估,对未来态势做出预警。整个过程通过第4 层资源管理层进行管理。主千冈地区t 千同地区一甩户一核一核赡一蚴箕蘸 篓百卧交换机,宦鼢墨霹曼ilIV P N1扫描l 麓赫 心型二! 里鼍譬闷( ,蜜网格,蜜网、)内嗣 由器石区安全传泰谂、美弋潲怂l 载平衡器、 E m a i l 扫描器广、l 氍i i弋夕I应用带V L A N 的交换机l 茹蠢嚣墨迫岁固重2
13、 安全传暑一络示意墨攻击检测知识1 碉?l l 獬卜叫t 箱衄仕。1叫第2 I第 4对象库 层信息资f 源1 第层对燃管7 l , ,酣,习q 师 棚J -素数据安全传感器圈3 安全蠢羹知层次化模基实现上述模型的关键是多源数据关联分析。目前有三种研究较多的关联分析方法对网络中的大量安全信息进行分析。第一种是基于安全策略规则的关联,通过从多个传感器中接收的事件来激活“时间警觉型”安全策略规则,将虚警报与可能十分重要的安全事件区别开来。根据模式匹配和排序,利用有限状态机来识别正常行为、可接受的行为和攻击行为。基于规则的关联的优点是提供了一个在任何环境下建立安全事件模型的灵活方法,能够发现已知攻击。
14、其局限性在于依赖已有的规则,只能检测出有限的在系统中已经定义的情况。第二种是统计关联,将安全事件归类为不同安全事件类型( 事件类型的范围包括侦察攻击、病毒攻击、拒绝服务攻击) 等等,并在一定时间段内,根据各种类型的数量、权值等连续计算出威胁分数。统计关联优点在于它是一种实施前不要求定义规则的技术,能找出基于规则的关联机制不能检测到的那些异常情况。第三种是漏洞关联,该方法根据系统中的存在的实际漏洞来进行评分,漏洞评分越高,系统对攻击的敏感性就越大。漏洞关联将安全事件与漏洞相关联,确保能根据所观察到的事件和相关的漏洞从噪声中发现针对系统的真正威胁。这使管理员关注于那些最容易遭攻击的系统产生的事件,
15、可将漏洞数据实时关联到资产价值和威胁,进而使操作员看到具体事件的实际影响。( 4 )安全态势的表示与可视化经过态势分析与生成阶段,获得的态势以抽象的数据形式存在。如何经过恰当的表示,使得安全管理员能够直观、正确地理解安全态势,辅助安全态势头脑模型的形成,需要对安全态势进行有效的表示。对此,可考虑利用人的视觉处理能力,采取可视化手段,减少人们在认识全局或局部结构时所面临的认知上的负担,从而使安全管理员能从众多数据中迅速、准确地作出分析和判断。已有安全的研究中,可视化表示主要集中在统计图上。例如,发现了多少漏洞,各级别漏洞所占的比例,出现了多少告警信息等,采用的是曲线、饼图等方式,这对于全网安全状
16、态的表示还很不够。我们从全网安全的表示入手,考虑如下可视化方式:态势评估曲线图:安全态势作为安全的全局视图,首先应向安全管理员提供安全的整体状态概念,即目前我们的网络是否安全。因此,需要一个总体态势评估的数据表示,通过该表示,安全管理员能够对全网的安全状态得出整体的判断。基于网络逻辑图的安全状态分布图:作为全网的安全态势,安全管理员需要了解全网各部分的安全状态。节点链路图是表现网络逻辑拓扑最常见的方式,同时应在网络拓扑图的基础上表现网络各部分的安全状态。基于网络地理图的安全状态分布图:在实际作战中,网络对抗是整个作战行动的一部分,因而把网络对抗各要素点和实际物理分布结合起来,在实际的指挥控制中十分有意义。因此,要考虑在网络物理分布图的基础上表现网络各部分的安全状态。详细的安全属性图:上述三种表现的是全局安全状态,安全管理员在形成准确的指控决策时,还需要特定设备上具体的安全属性信息。因此,要提供各种安全属性的曲线图,根据安全管理员的选择、查询等要求给予表现,并支持多角度、多尺度、可定制的显示。安全态势
