《安全态势感知信息模型-态势感知》由会员分享,可在线阅读,更多相关《安全态势感知信息模型-态势感知(7页珍藏版)》请在金锄头文库上搜索。
1、安全态势感知信息模型:态势感知 安全态势感知信息模型王东霞1黄晓燕2方兰1冯学伟1摘要:信息模型是安全态势感知系统各部分协同工作的公共数据基础,也是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了含有层次式结构的安全态势感知信息模型,该模型规范的定义了网络空间中哪些安全元素组成了态势信息,对安全事件、攻击行为、态势评定和使命影响等不一样层次的态势元素给予了表示,同时以IDMEF为基础定义了信息之间的交换格式,最终对相关的存放结构进行了说明。 关键字:安全态势感知 信息模型 态势评定一、引言网络安全是一个动态过程,是经过在网络空间这个战场上进行网络对抗并取得优势取得的。要掌握网络战
2、场主动权,实施机动灵活卓有成效的管理或指挥,必需立即掌握战场的状态,也就是说需要不停了解网络的安全状态,立即指挥对入侵做出反应,保障信息网络处于可接收的安全状态。安全态势感知指安全管理员形成网络空间安全状态“全局视图”的过程。二、安全态势感知信息模型态势感知系统遵照从数据到信息再到知识的过程,能够抽象为针对目标对象进行数据处理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间正确的传输,并实现和预警和应急响应等系统之间的信息共享,必需建立公共的安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义,要给出结构化的安全态势信息描述方法及规范,以此作为安全态势感知系统处理分析的数据
3、基础,和态势感知和应急响应等多个系统联动的公共数据基础。态势信息模型包含含有不一样的抽象层次,不一样粒度的信息。低层次的安全态势信息关键是各类安全传感器采集的原始安全数据,这些数据需要传输给上级安全分析器。这部分信息交换的内容及格式关键是参考IMDEF,依据安全传感器能够获取的数据进行设计。规范化表示各原始安全数据后形成安全事件,将安全事件上报给安全分析器;安全分析器关联、融合各个安全事件,从中提炼出各个网络实体的行为信息。单纯对攻击所触发的安全事件进行关联分析不足以形成完整、正确的安全态势,安全态势的分析、评定还依靠于被监察区域的网络结构、安全防护能力、网络和节点存在的脆弱性、网络流量、运行
4、的各类服务等原因。我们需要定义各网络实体的语义,而且形式化的表述她们。取得各网络实体的行为信息后,在态势评定层需要分析清楚各个实体之间的相互影响、作用关系,这种影响关系就是这一层的宏观态势信息,将其以规范化的形式统计保留。最终结合网络的使命任务判定出目前态势对作战使命任务的影响。综上,我们认为安全态势信息关键含有以下层次,图1所表示。使命任务影响:这是最高层次的态势信息,表明了结合作战意图描述安全态势对使命任务的影响;态势评定信息:综合各个安全实体的行为信息,评定出目前网络空间的安全态势,形成态势汇报;网络实体行为信息:对网络空间中的各动态实体进行建模、追踪,得到各安全实体的行为信息。网络空间
5、中的安全实体包含:攻击活动,运行的服务,防护策略,网络漏洞等。 原始安全数据:各个安全设备产生原始的安全数据和相关的基础数据。如入侵检测系统给出的安全告警,主机的安全日志,主机的配置信息,网络的流量信息,网络的漏洞信息,网络的联通性等等。信息模型的设计关键考虑了以下部分标准: 结合安全态势感知的全过程,信息模型的设计兼顾信息的采集、交换、存放和表示。 安全态势信息的交换采取XML格式,便于信息的结构化,而且和信息的表示无关,同时也便于解析处理和存放。安全态势信息交换规范参考IDMEF标准,并依据需要进行扩展,支持该标准的安全产品也能够作为安全传感器集成到安全态势感知系统中。三、安全态势信息定义
6、原始安全信息安全态势的分析评定是对特定监察区域内影响信息系统安全状态的各安全元素进行定性和定量的分析评定,给出这些安全元素之间的相互影响关系,而且深入得到网络空间内敌我双方攻防对抗的态势。所以安全态势的分析评定必需依靠于被监察区域的网络结构、网络所遭受的攻击威胁、网络和节点存在的漏洞、网络流量、安全日志等基础数据,图2所表示。这些数据并不由安全态势感知系统进行搜集,而是假定经过网络管理系统或其它手段能够而且已经取得。安全态势感知系统只是在分析评定和显示过程中对这些信息加以分析、利用。为了便于安全态势感知系统利用这些数据,我们利用数据库管理系统对这些信息进行组织和管理。需要的基础数据包含:节点和
7、接口的基础信息、网络流量信息、网络漏洞信息、连接信息、资产信息等。利用数据库管理系统组织存放这些信息,必需定义这些信息的结构化表述方法。除了基础数据外,由安全传感器采集的安全事件是态势感知原始信息中的关键元素,网络中的攻击活动会触发安全传感器上报安全事件。安全事件的结构化定义要求:能够为每个安全事件汇报提供全局唯一的标识,能够经过该标识识别产生汇报的安全传感器,能够灵活支持不一样完备程度的事件汇报,即明确一个有效事件的最少信息,一个事件必需提供传感器、产生时间、类型等信息,支持引用事件相关的外部信息,包含人可读的描述信息,描述事件包括的源和目标信息,安全事件分类信息,对事件影响的评定信息,提供
8、统计事件上报/处理过程的机制,提供一定的事件归类/关联机制,支持攻击活动不一样程度的抽象表示。我们关键参考了IDMEF信息交换标准,并在其基础上依据安全态势信息交换的需要进行扩展和修改,给出的安全事件的定义图3所表示。网络空间中各安全实体在态势信息模型第二层中,我们从原始安全数据抽象、提炼出了网络空间中各个安全 实体的行为信息,这些安全实体形成了网络空间中的不一样力量,相互之间相互作用、相互影响。安全实体是较高层概念,强调的是怎样将底层安全数据关联、融合成含有生命特征的动态实体,并对其行为进行建模、追踪。我们关键考虑网络空间中下面多个和态势相关的安全实体,图4所表示,详细的XML表示可参考我们
9、的汇报。攻击实体经过信息模型第一层的规范化定义,各攻击活动所触发的安全事件已经根据标准格式存放在数据库中,这些事件代表着各攻击活动不一样阶段的行为信息,现在我们需要将这些离散事件代表的攻击活动还原出来,并对攻击活动的行为进行建模、追踪,最终将攻击活动以一个实体的形式展现给管理员,让管理员能够看到攻击者的入侵场景,而不是去查询琐碎、庞杂的安全事件。 服务实体服务是网络空间中被保护的实体,网络空间中的服务含有生命周期,服务的运行情况直接影响到使命任务的完成,通常攻击活动全部是以各个服务为直接攻击目标,从而间接的破坏使命任务的完成。网络中漏洞实体原始安全数据中我们提到了漏洞,借助于Nessus,CV
10、E,OSVDB等我们能够得到被保护系统的漏洞信息,不过这些漏洞信息基础全部是静态文本的,我们需要将网络中出现的和可能出现的漏洞组织起来,挖掘出不一样漏洞和漏洞和事件之间的关联关系,这么才能使得态势的评定、分析愈加正确和高效。防护实体我们需要从防护角度下手,确保网络空间的安全性。防护力量是态势层面另一关键力量,和攻击活动所代表的攻击力量成对抗关系。我们要对防护进行建模,给予其行为,让她成为一个动态实体。防护力量是根据保护区域来构建的,依据管理员的需要能够为每一个局域网构建一个防护实体,或为一个内部子网构建一个防护实体等。态势评定信息态势信息模型的第三层给出了网络空间的宏观态势,其表现为各安全实体
11、间相互作用、相互影响的关系。评定引擎对各安全实体进行综合分析后,给出态势评定信息,态势评定信息表现为多种对比关系。安全态势分析器对各安全实体综合评定后得到本区域内的安全态势信息。现在考虑:安全态势信息的标识,安全态势信息所属的等级,安全态势信息的时间区间,安全态势感知的区域,安全态势信息的描述,区域该时段安全态势等级,区域该时段内安全告警等级及数量统计,区域内风险最高的节点列表,区域内风险最高的服务列表,关键攻击源列表,给出时间相关的态势图表的URL等。使命任务能够完成的实时可能性在态势信息模型的第四层,我们需要定义网络目前安全态势对使命任务的影响。我们考虑用在目前的网络情况下使命任务能够完成的实时可能性Pt表示, 这种可能性属于区间0,1,是概率的形式。Pt是时间t,使命任务mission和评定信息assessmentInfo的函数,即Pt=f。其中mission可能是若干服务的集合,这取决于被保护网络的关键用途,评定信息assessmentInfo是第三层态势信息的若干关键属性。这两层的信息可描述以下:四、 结束语安全态势信息除用于整个分布式系统各部件间的数据交换外,还需要存放于数据库中,便于分析器生成用户所需的态势图表和汇报,也便于对安全事件的检索、统计。建立安全态势信息模型是安全态势感知研究的基础,经过对信息模型的完善可更加好地指导安全态势关联、分析及可视化工作的研究。
