时间:2023-07-14 09:43:59
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全事件定义范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
【关键词】
网络安全态势感知;本体;知识库;态势场景
现代网络环境的复杂化、多样化、异构化趋势,对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题,如何从网络入侵检测、网络威胁感知中来提升安全目标,防范病毒入侵,自有从网络威胁信息中进行协同操作,借助于网络安全态势感知领域的先进技术,实现对多源安全设备的信息融合。然而,面对网络安全态势问题,由于涉及到异构格式处理问题,而要建立这些要素信息的统一描述,迫切需要从网络安全态势要素知识库模型构建上,解决多源异构数据间的差异性,提升网络安全管理人员的防范有效性。
1网络安全态势要素知识库模型研究概述
对于知识库模型的研究,如基于XML的知识库模型,能够从语法规则上进行跨平台操作,具有较高的灵活性和延伸性;但因XML语言缺乏描述功能,对于语义丰富的网络安全态势要素知识库具有较大的技术限制;对于基于IDMEF的知识库模型,主要是通过对入侵检测的交互式访问来实现,但因针对IDS系统,无法实现多源异构系统的兼容性要求;对于基于一阶逻辑的知识库模型,虽然能够从知识推理上保持一致性和正确性,但由于推理繁复,对系统资源占用较大;基于本体的多源信息知识库模型,不仅能够实现对领域知识的一致性表达,还能够满足多源异构网络环境,实现对多种语义描述能力的逻辑推理。如AlirezaSadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息,以降低IDS误报率;IgorKotenko等人利用安全指标本体分析方法,从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面,对安全细心及事件管理系统进行安全评估,并制定相应的安全策略;王前等人利用多维分类攻击模型,从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用;吴林锦等人借助于入侵知识库分类,从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体,能够实现对入侵知识的复用和共享。总的来看,对于基于本体的网络安全态势要素知识库模型的构建,主要是针对IDS警报,从反应网络安全状态上来进行感知,对各安全要素的概念定义较为模糊和抽象,在实际操作中缺乏实用性。
2网络安全态势要素的分类与提取
针对多源异构网络环境下的网络安全状态信息,在对各要素进行分类上,依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则,主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境,主要是构建网络安全态势的基础环境,如各类网络设备、网络主机、安全设备,以及构建网络安全的拓扑结构、进程和应用配置等内容;对于网络漏洞,是构成网络安全态势要素的核心,也是对各类网络系统中带来威胁的协议、代码、安全策略等内容;这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击,主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象,如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中,并非是直接获取,而是基于相关的网络安全事件,从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件,往往被记录到网络系统的运行日志中,如原始事件、日志事件。
3构建基于本体的网络安全态势要素知识库模型
在构建网络安全态势要素知识库模型中,首先要明确本体概念。对于本体,主要是基于逻辑、语义丰富的形式化模型,用于描述某一领域的知识。其次,在构建方法选择上,利用本体的特异性,从本体的领域范围、抽象出领域的关键概念来作为类,并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系;将网络安全态势要素知识进行分类,形成知识领域本体、应用本体和原子本体三个类别。
3.1态势要素知识领域本体
领域本体是构建网络安全态势要素知识库的最高本体,也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类,即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系,如isExploitedBy表示为被攻击者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件发生在网络环境中;cause表示攻击引发的事件;is-a表示为子类关系。
3.2态势要素知识应用本体
对于领域本体内的应用本体,主要是表现为网络安全态势要素的构成及方式,在描述上分为四类:一是用于描述网络拓扑结构和网络配置状况;二是对网络漏洞、漏洞属性和利用方法进行描述;三是对攻击工具、攻击属性、安全状况、攻击结果的描述;四是对原始事件或日志事件的描述。
3.3态势要素知识原子本体
对于原子本体是可以直接运用的实例化说明,也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑,以实现语义的精确描述。对于网络拓扑中的网络节点、网关,以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点,可以拥有一个地址,属于某一网络。对于网络漏洞领域内的原子本体,主要有漏洞严重程度、结果类型、访问需求、情况;漏洞对象主要有代码漏洞、配置漏洞、协议漏洞;对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例,可以设置为高、中、低三层次;对于访问需求可以分为远程访问、用户访问、本地访问;对于结果类型有破坏机密性、完整性、可用性和权限提升等。
网络安全事件预警系统的体系结构如图1所示,其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分,并非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。
2系统处理流程
如图1所示,以检测流经路由器R1的流量为例,介绍系统的处理流程。
(1)路由器R1生成流记录,并将记录输出到流检测服务器。流记录符合IPFIX格式,流以五元组(SrcIP、SrcPort、DestIP、DescPort、Protocol)标识。
(2)流检测服务器采用基于流特征的检测方法对流量进行检测,将流量分成正常流量和安全事件流量,并将分类结果发送系统中心。
(3)系统中心根据安全事件策略库中的监控策略分析检测结果,这里会出现三种情况。流量正常不需要控制,系统显示检测结果;检测结果达到控制标准,发出预警或通知。需要深度包检测,通知配置服务器镜像R1上特定流量。
(4)配置服务器向R1发出相关镜像配置命令。
(5)R1执行镜像命令,通过镜像链路镜像相应流量。
(6)载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。
(7)显示检测结果,对安全事件发出预警或通知服务器。
网络预警系统检测方法研究
1流特征检测方法
基于流记录特征的流量分析技术主要应用NetFlow技术,对网络中核心设备产生的NetFlow数据进行分析、检测分类、统计。NetFlow协议由Cisco公司开发,是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中,当满足预设的条件后,将缓存数据发送到指定的服务器。一个信息流可以通过七元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口)唯一标识。
数据流检测的数据流程主要为:操作人员启动采集,程序通过libpcap对相应端口中的NetFlow数据进行接收,先缓存直内存中,达到一定数量后压缩存储直对应的文件中,进行下一次接收,同时定时启动分析模块,调入NetFlow规则库并调取相应的压缩NetFlow数据文件,对数据进行处理后,将NetFlow数据内容与规则库进行匹配,获得相应的处理结果存入数据库中,再次等待下一次分析模块启动。
2深度包检测方法
深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头,但是这种检测对隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的是检测数据包应用载荷,并与指定模式匹配。当IP数据包、TCP或UDP数据流通过基于DPI技术的管理系统时,该系统通过深入读取IP数据包载荷中的内容来对应用层信息进行重组,从而得到整个应用程序的通信内容,然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储载荷的特征信息,符合载荷特征的数据包即视为特定应用的数据包。
深度包检测的数据流程主要为:操作人员启动采集,程序先调入相应的协议规则,程序通过libpcap对相应网络端口中对应协议的数据进行抓包捕获,对数据包进行协议分析拆包处理后,调入正则规则并进行优化处理,将数据包内容与优化过的规则进行多线程匹配,获得相应的处理结果存入数据库中,再次进行下一步处理。
3复合型检测方法研究与分析
复合型检测,既结合了基于流特征的检测,从宏观上检测整个网络的安全状态,又结合了深度包检测的方法,对某些安全事件进行包内容的详细特征检测,可以极大的提高安全事件检测的准确度,减少误报率和漏报率,并可有效地提高深度包检测的效率,大幅降低深度包检测对系统的配置要求。
根据复合型规则的定义,来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式,即可实现两种检测方法同时进行,也可先进行流检测符合相应规则后,再进行深度包检测,最后判定是否为此安全事件。
复合型规则中,数据流规则与深度包规则的对应关系是M:N的关系。既一个数据流规则可以对应多个深度包规则,这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起,需要多个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则,这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。
1.2安全配置
从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。VPN系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。
1.3安全事件
所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。
1.4安全事故
安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。
1.5用户身份管理
在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。
2企业网络安全方案研究
本文以某卷烟厂网络安全方案为例,针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业,其网络安全部署图具体如图1所示。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用Internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对Internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对Internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLAN加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
目前随着互联网的发展普及,网络安全的重要性及企业以及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势,还包括对威胁事件的预判,为网络安全管理员的决策分析和溯源提供有力的依据,将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。
那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中,静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。
电力企业作为承担公共网络安全艰巨任务的职能部门,通过有效的技术手段和严格的规范制度,对本地互联网安全进行持续,有效的监测分析,掌握网络安全形势,感知网络攻击趋势,追溯恶意活动实施主体,为重要信息系统防护和打击网络违法活动提供支撑,保卫本地网络空间安全。
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面很早就已经做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。
1安全态势感知系统架构
网络安全态势感知系统的体系架构(如图一),由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。
网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上,进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置,态势展示则结合上述三个模块的数据进行综合的展示,身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下,进行网络安全事件关联分析和威胁情报的深度挖掘,形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理,通报下发,调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。
1.1数据采集层
数据采集系统组成图(如图二),由采集集群与数据源组成,采集集群由管理节点,工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。
1.2基础数据管理
基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三),数据存储访问组件式基础数据平台的多源数据整合组件,整合流量安全事件、非流量平台接入数据、互联网威胁数据等,网络安全态势感知,分析与预警涉及的数据较广,有效地态势分析与预测所需资源库需要大量有效数据的支撑,因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作,并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。
1.3威胁线索分析
网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业,包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。
1.4网络安全态势分析
态势分析功能(如图五)应从宏观方面,分析整个互联网总体安全状况,包括给累网络安全威胁态势分析和展示;微观方面,提供对特定保护对象所遭受的各种攻击进行趋势分析和展示,包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件,网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外,态势分析应提供网络安全总体态势的展示和呈现。
1.5攻击反制
通过分析发现的安全事件,根据目标的IP地址进行攻击反制,利用指纹工具获得危险源的指纹信息(如图六),如操作系统信息、开放的端口以及端口的服务类别。漏洞扫描根据指纹识别的信息,进行有针对性的漏洞扫描[4],发现危险源可被利用的漏洞。根据可被利用的漏洞进行渗透测试,如果自动渗透测试成功,进一步获得危险源的内部信息,如主机名称、运行的进程等信息;如果自动渗透测试失败,需要人工干预手动进行渗透测试。
通过攻击反制,可以进一步掌握攻击组织/攻击个人的犯罪证据,为打击网络犯罪提供证据支撑。
1.6态势展示
图七:态势展示图
态势展示依赖一个或多个并行工作的态势分析引擎(如图七),基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析,借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出,数据分析结果通过大数据可视化技术进行展示[5]。
2安全态势感知系统发展
网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析,凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势。众所周知,网络安全态势感知的发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同。根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测[6]。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。
3结语
一、贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、信息网络安全事件定义 :
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、单位网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
3、单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
三、设置网上应急小组,组长由单位有关领导担任,成员由信息中心人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。
四、单位网络信息工作
1、加强网络信息审查工作,若发现单位主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。
2、信息服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息中心对单位网实施24小时值班责任制,开通值班电话,保证与上级主管部门、相关网络部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
六、加强突发事件的快速反应。单位信息中心具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后及时向应急小组及上一级领导报告。 (2)保护现场,立即与网络隔离,防止影响扩大。 (3)及时取证,分析、查找原因。 (4)消除有害信息,防止进一步传播,将事件的影响降到最低。 (5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
七、做好准备,加强防范。信息中心成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
八、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
九、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
0 引言
对电力企业信息内网海量安全事件进行高效、准确的关联分析是实现电力企业网络安全设备联动的前提,而如何设计与实现一个高效的电力企业安全事件关联分析引擎正是电力企业信息内网安全事件关联分析应该解决的关键问题。
1 安全事件关联分析研究现状及存在的问题
关联分析在网络安全领域中是指对网络全局的安全事件数据进行自动、连续分析,通过与用户定义的、可配置的规则匹配来识别网络潜在的威胁和复杂的攻击模式,从而发现真正的安全风险,达到对当前安全态势的准确、实时评估,并根据预先制定策略做出快速的响应,以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力,并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下几个问题:
1)为避免产生虚警,将单个报警事件与可能的安全场景联系起来;
2)为避免重复报警,对相同、相近的报警事件进行处理;
3)为达到识别有计划攻击的目的,增加攻击检测率,对深层次、复杂的攻击行为进行挖掘;
4)提高分析的实时性,以便于及时进行响应。
2 安全事件关联分析引擎的设计
安全事件关联分析方法包括离线分析和在线分析两种。离线分析是在事件发生后通过对日志信息的提取和分析,再现入侵过程,为入侵提供证据,其优点是对系统性能要求不高,但是实时性比较低,不能在入侵的第一时间做出响应。在线分析是对安全事件进行实时分析,虽然其对系统性能要求比较高,但是可以实时发现攻击行为并实现及时响应。由于电力工业的特点决定了电力企业信息内网安全不仅具有一般企业内网安全的特征,而且还关系到电力实时运行控制系统信息的安全,所以对电力企业安全事件的关联分析必须是实时在线的,本文所研究的安全事件关联分析引擎是一个进行在线分析的引擎。
2.1 安全事件关联分析系统
安全事件管理系统是国家电网网络安全设备联运系统的一个子系统,它是将安全事件作为研究对象,实现对安全事件的统一分析和处理,包括安全事件的采集、预处理、关联分析以及关联结果的实时反馈。
内网设备:内网设备主要是电力企业信息内网中需要被管理的对象,包括防病毒服务器、邮件内容审计系统、IDS、路由器等安全设备和网络设备。通过端收集这些设备产生的安全事件,经过预处理后发送到关联分析模块进行关联分析。
事件采集端:主要负责收集和处理事件信息。收集数据是通过Syslog、SNMP trap、JDBC、ODBC协议主动的与内网设备进行通信,收集安全事件或日志信息。由于不同的安全设备对同一条事件可能产生相同的事件日志,而且格式各异,这就需要在端将数据发送给服务器端前对这些事件进行一些预处理,包括安全事件格式的规范化,事件过滤、以及事件的归并。
关联分析:其功能包括安全事件频繁模式挖掘、关联规则生成以及模式匹配。关联分析方法主要是先利用数据流频繁模式挖掘算法挖掘出频繁模式,再用多模式匹配算法与预先设定的关联规则进行匹配,产生报警响应。
控制台:主要由风险评估、资产管理、报表管理和应急响应中心组成。风险评估主要是通过对日志事件的审计以及关联分析结果,对企业网络设备及业务系统的风险状态进行评估。应急响应中心是根据结合电力企业的特点所制定的安全策略,对于不同的报警进行不同的响应操作。资产管理与报表管理分别完成对电力企业业务系统资产的管理和安全事件的审计查看等功能。另外,对于关联分析模块匹配规则、端过滤规则等的制定和下发等也在控制成。
数据库:数据库包括关联规则库、策略库和安全事件数据库三种。关联规则库用来存储关联分析所必须的关联规则,策略库用来存储策略文件,安全事件数据库用来存储从端获取用于关联的数据、进行关联的中间数据以及关联后结果的数据库。
2.2 关联分析引擎结构
事件关联分析引擎作为安全事件关联分析系统的核心部分,由事件采集、通信模块、关联分析模块和存储模块四部分组成。其工作原理为:首先接收安全事件采集发送来的安全事件,经过预处理后对其进行关联分析,确定安全事件的危害程度,从而进行相应响应。引擎结构如图1所示。
2.3 引擎各模块功能设计
1)事件采集模块。事件日志的采集由事件采集来完成。事件采集是整个系统的重要组成部分,它运行于电力企业内网中各种安全设备、网络设备和系统终端上,包括采集模块、解析模块和通信模块三个部分。它首先利用Syslog、trap、JDBC、ODBC协议从不同安全设备、系统中采集各种安全事件数据,由解析模块进行数据的预处理,然后由通信模块发送到关联分析引擎。
2)事件预处理。由于日志数据来源于交换机、路由器、防火墙、网络操作系统、单机操作系统、防病毒软件以及各类网络管理软件,可能包含噪声数据、空缺数据和不一致数据,这将严重影响数据分析结果的正确性。而通过数据预处理,则可以解决这个问题,达到数据类型相同化、数据格式一致化、数据信息精练化的目的。
事件预处理仍在事件采集中完成,主要包括事件过滤、事件范化和事件归并三部分。
3)事件关联分析模块。事件的属性包括:事件分类、事件严重等级、事件源地址、源端口、目的地址、目的端口、协议、事件发生时间等,这些属性在关联分析时需要用到,故把规则属性集设置为:
各字段分别表示:规则名称、源IP地址、目的IP地址、源端口号、目的端口号、协议、设备编号、事件发生时间、事件严重等级。
该模块将经过处理的海量日志信息数据流在内存中利用滑动窗口处理模型,经过关联分析算法进行关联规则挖掘后,采用高效的模式匹配算法将得到的关联规则与规则库中预先设定的规则进行不断的匹配,以便实时地发现异常行为,为后续告警响应及安全风险分析等提供依据。
3 结束语
本文首先基于引擎的设计背景介绍了引擎的总体结构以及关联分析流程,然后分别给出了事件采集、事件关联分析模块的设计方案,包括模块功能、模块结构以及规则库的设计方案。
参考文献:
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0111-01
随着信息化建设的加快,计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,网络安全问题越来越突出,需要良好的技术来保障网络安全,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求,也需要新的方法和设备来进行更新。
建立信息安全体系统来进行网络安全的管理是应对这些困难的重中之重。应该考虑网络安全帐号口令管理安全系统建设,实现终端安全管理系统的扩容,同时完善网络设备、安全管理系统、网络审计系统、安全设备、主机和应用系统的部署。此阶段需要部署一套合理化、职能化、科学化的帐号口令统一管理系统,有效实现一人一帐号。这个过程完成以后基本上能够保证全网安全基本达到规定的标准,接下来就需要进行系统体系架构图编辑等工作以实现安全管理建设,主要内容包括专业安全服务、审计管理、授权管理、认证管理、账号管理、平台管理等基本内容,各种相应的配套设施如安全服务顾问、管理部门等也要跟上。
目前的网络病毒攻击越来越朝着混合性的方向发展,网络安全建设管理系统需要在各分支节点交换进行边界防护,部署入侵检测系统,主要的应用技术是网络边界防病毒、网络边界入侵防护、网络边界隔离、内容安全管理等。加强对内部流量的检测,对访问业务系统的流量进行集中的管控。但是因为深度检测和防御的采用还并不能保证最大化的效果,可以实现静态的深度过滤和防护,目前很多的病毒和安全威胁是动态变化的,入侵检测系统要对流量进行动态的检测,将入侵检测系统产生的事件进行有效的呈现。此外还可以考虑将新增的服务器放置到服务器区域防护,防护IPS入侵进行intemet出口位置的整合。
任何的网络安全事件都不确定的,但是在异常和正常之间平滑的过渡,我们能够发现某些蛛丝马迹。在现代的网络安全事件中都会使用模糊集理论,并寻找关联算法来挖掘网络行为的特征,异常检测会尽可能多对网络行为进行全面的描述。
首先,无折叠出现的频繁度研究中,网络安全异常事件模式被定义为频繁情节,并针对这种情节指出了一定的方法,提出了频繁度密度概念,其设计算法主要利用事件流中滑动窗口,这改变了将网络属性划分不同的区间转化为“布尔型”关联规则算法以及其存在的明显的边界问题,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。这种算法利用网络安全防火墙建保护内外网的屏障,采用复合攻击模式方法,利用事件流中滑动窗口设计算法,对算法进行科学化的测试。
其次,在入侵检测系统中,有时候使用网络连接记录中的基本属性效果并不明显,必要时采用系统连接方式检测网络安全基本属性,这可以提高系统的灵活性和检测精度,这种方式是数据化理论与关联规则算法结合起来的方法,能够挖掘网络行为的特征,既包含低频率的模式同时也包含着频率高的模式。
不同的攻击类型产生的日志记录分布情况也不同,某些攻击只产生一些孤立的比例很小记录,某些攻击会产生占总记录数的比例很大的大量的连续记录。针对网络数据流中属性值分布,采用关联算法将其与数据逻辑结合起来用于检测系统能够更精确的去应对不均匀性和网络事件发生的概率不同的情况。实验结果证明,设计算法的引入显著提高了网络安全事件异常检测效率,减少了规则库中规则的数量,不仅可以提高异常检测的能力。
最后,建立整体的网络安全感知系统,提高异常检测的效率。作为网络安全态势感知系统的一部分,为了提高异常检测的效率,建立整体的网络安全感知系统能够解决传统单点的问题、流量分析方法效率低下以及检测对分布式异常检测能力弱的问题。主要的方式是基于netflow的异常检测,过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是速度快、数据持续到达、规模宏大。因此,目前需要解决的重要问题是如何在大规模网络环境下提供预警信息,进行检测网络异常。可以结合数据流挖掘技术和入侵检测技术,设计大规模网络数据流频繁模式挖掘和检测算法,可以有效的应对网络流量异常的行为。
一、引言
随着网络化和信息化的高速发展,网络已经逐渐成为人们生活中不可缺少的一部分,但网络信息系统的安全问题也变得日益严峻。网络攻击、入侵等安全事件频繁发生,而这些事件多数是因为系统存在安全隐患引起的。计算机系统在硬件、软件及协议的具体实现或系统安全策略上存在的这类缺陷,称为漏洞。漏洞(Vulnerability)也称为脆弱性。安全漏洞在网络安全中越来越受到重视。据统计,目前,全世界每20秒就有一起黑客事件发生,仅美国每年因此造成的经济损失就高达100多亿美元。所以,网络安全问题已经成为一个关系到国家安全和、社会的稳定、民族文化的继承和发扬的重要问题。它一旦被发现,就可以被攻击者用以在未授权的情况下访问或破坏系统。不同的软硬件设备、不同的系统或者同种系统在不同的配置下,都会存在各自的安全漏洞。
二、计算机网络安全漏洞
(一)计算机网络安全漏洞研究内容
1、计算机网络安全漏洞相关概念的理论研究,如网络安全漏洞的定义、产生原因、特征与属性、网络安全漏洞造成的危害等,并对网络安全漏洞的分类及对网络安全漏洞攻击的原理进行了探讨。
2、计算机网络安全漏洞防范措施的理论研究,从数据备份、物理隔离网闸、防火墙技术、数据加密技术、网络漏洞扫描技术等五个方面阐述了计算机网络安全漏洞的防范措施。
3、操做人员的网络安全防范意识研究,从操作人员在日常计算机操作中使用的网络安全技术 和如何防范网络上常见的几种攻击两个方面对操作人员的网络安全防范意识进行了研究。
(二)计算机网络安全漏洞概述
漏洞(Vulnerability)也称为脆弱性。它是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。其代表性的定义形式包括:模糊概念、状态空间、访问控制。
1、基于模糊概念的定义
Dennis Longley和Michael Shain的“Data & Computer Security-Dictionary of Standards Concepts and Terms”一书中对漏洞的定义是:(a)在计算机安全中,漏洞是指系统安全过程、管理控制以及内部控制等中存在的缺陷,它能够被攻击者利用,从而获得对信息的非授权访问或者破坏关键数据处理;(b)在计算机安全中,漏洞是指在物理设施、管理、程序、人员、软件或硬件方面的缺陷,它能够被利用而导致对系统造成损害。漏洞的存在并不能导致损害,漏洞只有被攻击者利用,才成为对系统进行破坏的条件;(c)在计算机安全中,漏洞是指系统中存在的任何错误或缺陷。
2、基于状态空间的定义
Matt Bishop和David Bailey在“A Critical Analysis of VulnerabilityTaxonomies”一文中提出计算机系统由一系列描述该系统各个组成实体的当前状态所构成。系统通过应用程序的状态转换来改变它的状态。所有状态都可以通过初始状态转换到达,这些过程状态可以分为授权状态和非授权状态,而根据已定义的安全策略,所有这些状态转换又可以分为授权的或是非授权的转换。一个有漏洞状态是一个授权状态,从有漏洞状态经过授权的状态转换可以到达一个非授权状态,这个非授权状态称为最终危及安全状态。攻击就是从授权状态到最终危及安全状态的转换过程。因此,攻击是从有漏洞状态开始的,漏洞就是区别于所有非受损状态的、容易受攻击的状态特征。
3、基于访问控制的定义
Denning D.E在“Cryptography and Data Security”一书中,从系统状态、访问控制策略的角度给出了漏洞的定义。他认为,系统中主体对对象的访问是通过访问控制矩阵实现的,这个访问控制矩阵就是安全策略的具体实现,当操作系统的操作和安全策略之间相冲突时,就产生了漏洞。
网络安全漏洞的具体特征如下:
(1)网络安全漏洞是一种状态或条件,是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。网络安全漏洞存在的本身并不能对系统安全造成什么危害,关键问题在于攻击者可以利用这些漏洞引发安全事件。这些安全事件有可能导致系统无法正常工作,给企业和个人造成巨大的损失。
(2)网络安全漏洞具有独有的时间特性。网络安全漏洞的更新速度很快,它的出现是伴随着系统的使用而来的,在系统之后,随着用户的深入使用,系统中存在的漏洞便会不断被发现。用户可以根据供应商提供的补丁修补漏洞,或者下载更新版本。但是在新版本中依然会存在新的缺陷和不足。
(3)网络安全漏洞的影响范围很大,主要存在于操作系统、应用程序中,即在不同种类的软硬件设备、同种设备的不同版本之间、由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。这使得黑客能够执行特殊的操作,从而获得不应该获得的权限。
(三)网络安全漏洞的基本属性
网络安全漏洞类型,网络安全漏洞对系统安全性造成的损害,网络安全漏洞被利用的方式和环境特征等。
1、网络安全漏洞类型:指网络安全漏洞的划分方式,目前对网络安全漏洞这一抽象概念的划分并无统一的规定。主要的划分方式有网络安全漏洞的形成原因,网络安全漏洞造成的后果,网络安全漏洞所处的位置等。不同的划分方式体现了人们对网络安全漏洞理解的角度,但是可以看到人们对于网络安全漏洞的分类方式存在着概念重叠的现象。
2、网络安全漏洞造成的危害:一般来说,网络安全漏洞对系统的安全性造成的损害主要包括有效性、隐密性、完整性、安全保护。其中安全保护还可以分为:获得超级用户权限、获得普通用户权限、获得其他用户权限。
3、网络安全漏洞被利用的方式:在实际攻击状态中,黑客往往会采用多种手段和方式来利用网络安全漏洞,从而达到获取权限的目的。主要的利用方式有:访问需求、攻击方式和复杂程度。
(四)计算机网络安全漏洞种类
网络高度便捷性、共享性使之在广泛开放环境下极易受到这样或那样威胁与攻击,例如拒绝服务攻击、后门及木马程序攻击、病毒、蠕虫侵袭、ARP 攻击等。而威胁主要对象则包括机密信息窃取、网络服务中断、破坏等。例如在网络运行中常见缓冲区溢出现象、假冒伪装现象、欺骗现象均是网络漏洞最直接表现。
三、计算机网络安全漏洞攻击原理
(一)拒绝服务攻击原理
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了。 如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻(如图1所示),以比从前更大的规模来进攻受害者。
图1 DDoS攻击原理图
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
(二)如何防范网络上常见的几种攻击
1、防范密码攻击措施:
(1)禁止使用名字、生日、电话号码等来做密码或跟用户名一样这样的密码。
(2)上网时尽量不选择保存密码。
(3)每隔半个月左右更换一次密码,设置密码时最好具有大小写英文字母和数字组成。
2、预防木马程序应从以下几方面着手:
(1)加载反病毒防火墙。
(2)对于不明来历的电子邮件要谨慎对待,不要轻易打开其附件文件。
(3)不要随便从网络上的一些小站点下载软件,应从大的网站上下载。
3、防范垃圾邮件应从以下方面入手:
(1)申请一个免费的电子信箱,用于对外联系。这样就算信箱被垃圾邮件轰炸,也可以随时抛弃。
(2)申请一个转信信箱,经过转信信箱的过滤,基本上可以清除垃圾邮件。
(3)对于垃圾邮件切勿应答。
(4)禁用Cookie。Cookie是指写到硬盘中一个名为cookies.txt文件的一个字符串,任何服务器都可以读取该文件内容。黑客也可以通过Cookie来跟踪你的上网信息,获取你的电子信箱地址。为避免出现这种情况,可将IE浏览器中的Cookie设置为“禁止”。
四、结束语
本文研究了计算机网络安全漏洞的特征、分类以及对其进行攻击的原理。并且从数据备份、物理隔离网闸、防火墙技术、数据加密技术和扫描技术等五个方面讨论了计算机网络安全漏洞的防范措施。
参考文献:
[1]张玉清,戴祖锋,谢崇斌.安全扫描技术[M].北京:清华大学出版社.2004:10-11.
[2]郑晶.计算机软件漏洞与防范措施的研究[J].吉林农业科技学院学报,2010(2):104-106.
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考虑价格。通常我们做事情都会有意识或无意识的考虑价格或者代价,就是去考虑所做事情是否值得的问题。如果收获比付出大,就是值得的;相反的收益较低,那就不值得做。
在网络安全上,我们同样也需要考虑价格和代价。这一思想,从整体网络安全的角度上看,就是目前提出的“适度安全”的概念。所谓“适度安全”,就是在信息安全风险和投入之间取得平衡。例如,如果一个企业在信息安全风险方面的预算是一年100万元,那么,可以肯定的是它在信息安全上的投入不会是1000万元。
在网络入侵响应上,我们同样面临着这样的问题。首先举一个简单的例子:一家移动运营商被黑客入侵一个关键业务,那么作为响应,他可能会在防火墙访问控制策略中添加一条严格的规则,用来防止类似事件的再次发生。然而,这样的一条规则增加,很有可能造成的后果是通信服务质量下滑。所以是否要采用这些措施,必须由经营者对潜在的安全威胁进行审议,考虑入侵带来的损失和响应造成的服务质量下降造成的损失孰重孰轻。
一个理想的入侵响应系统应该是用最小的代价来最大限度减少入侵带来的损失。入侵响应必须从实际情况出发来应对入侵事件,不惜一切代价的“响应”是不合理的。因此,入侵响应必须要考虑成本,也就是说,一个基本的思想是响应成本不能超过预期的入侵造成的损失。
目前,在入侵响应的技术研究方面主要侧重于技术上的可行性或技术上的有效性,而忽视了在实际应用方面成本。这是因为技术人员和商业用户在同一问题上的考虑重点不同,对技术人员来说,并没有把费用放在第一位。
通过以上分析讨论,可以看出,对响应的成本分析进行深入研究是非常有意义与有必要的。
1 细粒度安全事件分类描述
大量系统漏洞的存在是安全事件产生的根源,网络攻击事件更是对安全事件的研究的主体。因此与网络安全事件相关的分类研究主要包括对漏洞的分类研究和对攻击的分类研究。下面主要从这两个方面对相关分类研究进行介绍。
1.1 系统安全漏洞分类研究
系统漏洞也可以称为脆弱性,是指计算机系统在硬件,软件,协议等在设计,实施以及具体的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未经授权的用户有可能利用这些漏洞取得系统权限,执行非法操作,从而造成安全事故的发生
对漏洞分类的研究有一段时间,提出了许多分类方法,但大多数是停留在一维的分类上面。Landwehr在总结前人研究的基础上,提出了一个多层面的脆弱性分类[1]。这种脆弱性分类,主要从漏洞来源、引入时间和存在位置三个角度进行详细的分类,目的是建立一种更安全的软件系统。Landwehr的漏洞分类三维模型如图1所示。
这种分类方法的缺点是概念上存在交叉和模糊现象,在分类方法上还不够完善。但是它的意义是提出了一种多维的分类模型,同时也说明了按照事物的多个属性从多个维度进行分类的必要性。
1.2 攻击分类研究
对攻击的分类研究有助于更好地防御攻击,保护系统。攻击分类对恰当的制定攻击策略代价估算是必不可少的。
根据不同的应用目的,攻击的分类方法各有不同,与漏洞分类类似,多维的角度是共同的需求。在总结前人基础上, Linqvist进一步阐述了Landwehr的多维分类思想。他认为,一个事物往往有多个属性,分类的主要问题是选择哪个属性作为分类基础的问题。Linqvist认为,攻击的分类应该从系统管理员的角度来看,系统管理员所关注的是在一次攻击中使用的攻击技术和攻击造成的结果。因此,Linqvist以技术为基础,在攻击技术和攻击结果两个角度上对网络攻击进行了分类[2],其目的在于建立一个有系统的研究框架。Linqvist的攻击分类,如图2所示。
通过对以上这些安全事件相关分类研究的介绍,我们可以得到以下两点启发:
1) 安全事件的分类应该以事件的多个属性为依据,从多个维度进行分类。
2) 分类研究应该以应用为目的,应该满足分类的可用性要求。
所以对网络安全事件的分类研究应该是面向应急响应过程的。
1.3 细粒度事件分类
通过以上的简要介绍,我们从应急响应过程的要求出发有重点的提取分类依据,构建了一个面向响应的多维分类模型。
1.3.1 安全事件要素分析
一个安全事件的形式化描述[3]如图3所示。攻击者利用某种工具或攻击技术,通过系统的某个安全漏洞进入系统,对攻击目标执行非法操作,从而导致某个结果产生,影响或破坏到系统的安全性。最后一步是整个事件达到的目的,比如是达到了政治目的还是达到了经济目的。
以上描述指出了安全事件的多个要素,这些要素可以作为安全事件的分类依据。从而我们可以从不同维度出发,构造一个多维分类模型。
1.3.2 细粒度的分类方法
安全事件应急响应是针对一个网络安全事件,为达到防止或减少对系统安全造成的影响所采取的补救措施和行动。根据事件应急响应六阶段的方法论[4],响应过程包括:准备,检测,抑制,根除,恢复,追踪六个阶段。其中的关键步骤是抑制反应,根除和恢复。
在上述讨论的基础上,我们提出了一种面向应急响应的网络安全事件分类方法。这种方法以事件的多个要素作为分类依据,同时引入时间概念,其中每一个维度都有具体的粒度划分。在这6个维度中,又根据响应过程的要求,以系统安全漏洞和事件结果两个角度作为重点。
通过多维分类模型,我们可以从不同角度对网络安全事件进行详细分类,确定事件的多个性质或属性,从而有利于生成准确的安全事件报告,并对响应成本进行决策分析。利用此模型,我们还可以对以往的安全事件进行多维度的数据分析和知识发现。
当然,模型也有需要改进的地方,比如在每个维度的详细划分上仍然存在某些概念上的交叉与模糊,在下一步的具体应用中应逐步加以改进和完善。
2 成本因素与成本量化
以本文提出的多维度的安全事件分类为基础进行成本分析,首先需要确定与安全事故的因素有关的费用。依据经验,我们考虑的与响应相关的费用主要来自两个方面:入侵损失和响应代价。
入侵损失由既成损失和潜在损失构成。一个安全事件发生,它可能会造成一些对目标系统的损害,这是既成损失。潜在损失可以理解为如果安全事件是在系统中以继续存在可能造成的相关联的损失,记为PDC(Potential Damage Cost)。
响应代价是指针对某次入侵行为,采取相应的响应措施需要付出的代价,可以记为RC(Response Cost)。
入侵响应的目的是在检测到安全事件后,为防止事件继续扩大而采取的有效措施和行动,在此过程中我们应尽最大可能消除或减少潜在损失。因此成本分析的主要目标是对潜在损失进行分析。在入侵响应过程中考虑成本因素,其主要目的应是在潜在损失和响应成本之间寻找一个平衡点。也就是说,响应成本不能高于潜在损失,否则就没有必要进行响应。
在确定成本因素之后,成本分析的关键是成本量化问题。与此相关的研究,我们参考网络安全风险评估的方法。所谓风险评估,是指对一个企业的信息系统或网络的资产价值、安全漏洞、安全威胁进行评估确定的过程。
确定方法可以定性,也可以量化。从安全风险评估工作的角度来看,完全的,精确化的量化是相当困难的,但定性分析和定量分析结合起来是一个很好的选择。另外,与风险评估相似,我们的工作主要是给出一个成本量化的方法,具体的量化值应该由用户参与确定。因为同样的入侵行为,给一个小的传统企业带来的潜在损失可能是10万,而给一个已经实现信息化的大企业带来的潜在损失可能就是100万。
1) 潜在损失(PDC)
入侵的潜在损失可能取决于多个方面。这里我们主要从入侵行为本身和入侵目标两个方面进行考虑。入侵目标的关键性记为Criticality,关键目标的量化主要依据经验,可以通过目标系统在网络中所具备的功能或所起的作用体现出来。我们取目标关键性值域为(0, 5),5为最高值。一般的,我们可以把网关、路由器、防火墙、DNS服务器的关键性值定义为5; Web, Mail, FTP等服务器记为4;而普通UNIX 工作站可以定义为2;Windows工作站可以定义为l。当然,定义也可以根据具体的网络环境进行调整。
入侵的致命性是指入侵行为本身所具有的危害性或者威胁性的高低,记为Lethality。这个量与入侵所针对的目标无关,只是对入侵行为本身的一个描述。比如,一个可以获取根用户权限的攻击的危害程度就高于只可以获取普通用户权限的攻击的危害程度;而主动攻击的危害性也高于被动攻击的危害性。这里我们给出一个表(表2),根据经验量化了基本的几类攻击的危害性。
依据上述的描述,我们把入侵潜在损失定义为:
PDC=Criticality×Lethality
比如同样是遭受到DOS攻击,若攻击目标是Web服务器,入侵潜在损失为
PDC=4×30=120;
若攻击目标是普通UNIX工作站,则入侵损失为
PDC=2×30=60。
2) 响应代价(RC)
响应代价的量化主要基本的响应策略和响应机制等因素决定。响应策略不同,代价也会不一样,比如主动响应的代价就比被动响应的代价要高;而同样的响应策略,不同的响应机制也可能导致响应代价不同。
从另外一个角度讲,响应成本主要包括两部分内容:执行响应措施的资源耗费和响应措施执行以后带来的负面影响,后者在响应决策过程中往往被忽视,响应带来的负面影响是多方面的。比如,为了避免入侵带来更大的损失,必要的时候需要紧急关闭受攻击服务器,如果该服务器用于提供关键业务,那业务的中断就会带来相应的损失。再比如,有时候为了阻止攻击,可能会通过防火墙阻塞来自攻击方IP的通信流量,但是如果攻击者是利用合法用户作为跳板攻击,那响应可能就会对该合法用户造成损失。这样的损失也是响应决策过程中应该考虑的。
因此,对响应代价的完全量化是比较困难的。为了说明响应成本分析的核心思想,同样将响应代价的量化简化,我们直接给出一个经验值(见表2)。这样,在确定了事件的潜在损失与响应代价之后,我们就可以做出响应决策:
如果RC≤PDC,即响应代价小于或者等于潜在损失,则进行响应。
如果RC>PDC,即响应代价超过了潜在的损失,则不进行响应。
从前面的分析我们可以得出,在某些情况下,比如扫描、嗅探等此类的攻击,响应成本已经超过了潜在的损失,那就没有必要采取响应措施了。
3 成本分析响应算法
理想化的成本分析,只需要引入潜在损失与响应代价两个量。但是实际情况并非如此简单。我们在构建响应成本分析模型,特别是评估入侵带来的潜在损失的时候,必须从响应系统的输入,也就是入侵检测系统的输出开始考虑。
在安全事件发生后,还没有完成入侵行动的情况下进行先期响应部署时本文提出的成本分析方法的重点。引起响应的有效性因素是降低反应选择在调整这种反应行动将来使用。这种反应的选择和部署的情况下自动完成它允许任何用户干预的快速遏制入侵防御,从而使系统更加有效。本文提出的方案优点在于以下几个方面:
1) 本算法确定先发制人的部署响应。
2) 在成本敏感反应的方法的响应选择是基于经济因素,并采用由攻击成本和发生的损失作为响应的依据。
3.1 成本分析的响应算法流程
本文的研究基于这样一个假设,入侵行为在某种程度上具备相似性,入侵响应系统可以记录所有曾经在系统中出现的入侵行为,无论响应的结果是成功或者控制失败,发生更大的灾难。成本分析的自动响应模式分为以下三个步骤:
第一步是确定何时进行先期的入侵抑制响应行动。本文以上述六个维度的指标作为衡量,计算相应的数值,然后和系统所能够容忍的行为进行匹配比较,确定是否进行先期入侵抑制。也就是说攻击序列已达到系统不可接受的程度,系统在较大概率上遇到一个实际的攻击,此时进行先期抑制行为。
第二个步骤主要是确定候选的入侵响应集合,在这一步骤进行加强可以减少由于第一步抑制行为的不正确引起的错误。响应集合元素的选择基于上述的两个因素潜在损失和响应成本的估算。响应成本,代表了一个响应的影响对系统进行操作,潜在的损害成本一般量化因素资源或计算能力。设置成本因素精确测量在现阶段工程上来讲存在诸多的不足。虽然目前很难确定究竟是什么时间进行量化最为有效,至少在入侵方向上使用基于特征的入侵检测响应系统可以在量化上做出较好的工作。
在最后一步,响应系统从候选集合中选择最好的响应方案,进行响应。
下面,对具体的实行步骤进行详细的讨论:
第1步:先期响应抑制。在检测到某个序列与攻击序列的相似度达到管理员设定的阈值的时候,系统启动先期抑制响应。需要注意的是,早期阶段,对于潜在的威胁做估算,即将上任的序列可以与多次入侵模式的前缀序列相匹配。该响应也可以在一段时间后才确认入侵。
为了指导响应部署过程,本文定义一个概率阈值,表示可以接受的信任水平,某些攻击一旦进行,那么其相应的响应行动就应该被触发。因此,本文设计的先期抑制响应的条件为:一旦一个特定序列发生时,其前缀为攻击序列的概率超过预先指定的概率阈值,那么可以推断的是攻击正在进行。这个阈值称为信心水平,其公式如下:
步骤2:响应集合的确定。一旦我们决定做出反应,即威胁概率已经超出容忍限度之际,我们需要确定可部署的响应策略。正如之前提到,先期抑制响应可能导致错误发生,因为不正确的响应或由于响应过度而使得系统效率降低。因此,我们的目标在这里使用下列参数,损害成本(DC damage cost)和响应成本(RC response cost)。响应的选择满足公式如下:
DC*σ>RC
第3步:最优选择的条件。要确定最佳的响应,在步骤2中选择最佳的行动,本文考虑到两个因素:成功因子(SF success factor)及风险因子(RF risk factor)。前者是在已有的响应事件中成功响应,制止入侵行为的次数百分比,后者是响应的严格程度。所谓的严格程度,本文是指对资源的影响与对合法用户的影响。严格的响应可能停止入侵,但也是带来了不利的影响,影响系统性能和用户使用情况。从本质上讲,风险因子代表了响应成本是与响应行动有关的。本文使用期望值来对最优响应进行评估,从而确定响应策略。其计算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是阐述了成本分析的核心思想和算法,在此基础上,对现有模型进行了改进。通过分析可以看到,成本分析的关键问题还在于成本因素的合理量化,并且成本量化的问题还与企业的具体应用相关。
3.2 算法实现实例分析
典型的响应过程如下所示:
1) 假设系统的存在的序列拓扑如图4所示,响应门限设为0.5。
序列的初始设定情况,如表3所示。
2) 检测到序列{6},检测PDC是否大于0.5,因为不存在,该点,因此不做任何处理,继续进行检测;
3) 检测到序列{6,8},那么其相应的信任水平值为表4,都是低于0.5的,因此,还是不进行操作。
4) 检测到{6,8,5},{6,8,10},{6,8,9}。计算信任水平如表5。
都正好是0.5,因此都进行计算期望值,如表6所示。
5) 因此选择{6,8,9,1}的响应作为最佳的响应策略
4 成本分析有效性验证
本文通过一个模拟实验来对入侵响应的成本分析的有效性进行验证。
4.1 实验系统设计
本实验选用两种攻击模式进行攻击入侵,主要的数据如表7所示。
系统的数据来源是来自林肯实验室2005年离线评估数据。由表7所示,每一个跟攻击状态相关以损害成本的整体损失成本跟踪作为对各状态损害成本跟踪的总和。虽然本文的算法可以关联多个响应行动的一系列异常,但是,为了评估本文测试了当个序列的响应情况。
4.2 实验结果分析
首先测试了在不同的响应阈值情况下的平均潜在损失情况,其结果如图5所示。
从实验结果可以看出,比较稳定的门限值在0.4到0.7之间,在这之间内,平均损失比较固定。在门限为1的情况下,损失最低。
加入成本分析后,系统误判随着门限的不同而出现的情况如图6所示,图6是针对dos攻击的情况,从中可以看出误判的比率随着门限的降低而降低,在0.65左右,进入误差为零的状态。
参考文献:
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
一、引言
随着互联网的飞速发展,网络攻击事件多发,攻击黑客不断增加以及攻击手段愈加复杂,使来自网络的威胁猛烈地增长,网络安全遭受重大挑战。为了进一步加强网络安全,保护人们的日常工作、学习和生活,快速掌握当前安全形势,于是人们试图寻求一种评估当前环境“安全态势”的方法,以判断网络的安全性和可靠性。
网络安全专家Bass[1]提出了网络安全态势感知(Network Security Situation Awareness, NSSA)的概念,这种理论借鉴了空中交通监管(Air Traffic Control,ATC)态势感知的成熟理论和技术。网络态势是指由各种网络软硬件运行状况、网络事件或行为以及网络用户行为等因素所构成的整个网络某一时刻的状态和变化趋势[2]。网络安全态势感知是在复杂的大规模网络环境中,对影响网络安全的诸多要素进行提取、阐述、评估以及对其未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是以采集到的安全数据和信息进行数据挖掘,分析其相关性并从网络威胁中获得安全态势图从而产生整个网络的安全状态[4]。本文基于网络的安全信息,建立网络安全态势感知评估模型,然后通过数据挖掘,分析出当前的网络安全态势。
二、需要采集的安全信息
为了分析当前网络的安全态势,需要针对要评估的内容进行相关安全数据的采集,之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势,本课题以原子态势为基础,构建需要采集的影响原子态势的多维、深层次安全数据集,具体如图1所示。
图1主机安全态势需要采集的安全数据集
(一)原子态势
主机安全态势包含多个原子态势,是整个网络安全态势评估分析的基础和核心,由此可以推出所在主机的安全状态。
(二)需要采集的安全数据
分析各个原子态势,其中包含信息泄露类原子态势、数据篡改类原子态势、拒绝服务类原子态势、入侵控制类原子态势、安全规避类及网络欺骗类原子态势,由此可以分析出需要在主机采集的安全信息数据。因为网络安全态势是动态的,所以它随着当前的网络运行状况的变化而变化,这些变化包括网络的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素。原子态势是影响网络安全状况的基础态势,故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。图1中的原子态势一般只用于分析一个主机的安全性,如果要分析一个网络的安全性,需要对网络中各主机的安全信息进行挖掘分析,进而得出整个网络的安全态势。
三、基于安全信息的态势挖掘模型
本文中使用全信息熵理论协助网络安全态势感知评估,全信息的三要素分别代表的含义如下:语法信息是指从网络安全设备中得到某一类威胁事件,并转换为概率信息;语义信息是指该类威胁事件具体属于什么类型;语用信息是某一类威胁事件对网络造成的威胁程度。
(一)网络安全态势分析过程
根据采集操的安全数据集,进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势的一系列的过程,具体如图2所示。
详细的网络安全态势分析评估流程如下:
1.从网络安全部件中提取各种原子态势,对原子态势进行预处理后提取两个量化指标:原子态势频率和原子态势威胁程度。然后根据不同类型的原子态势,计算分析相应的原子态势情况。
图2 基于安全信息的 图3 实验网络环境
安全态势评估流程
2.将原子态势利用加权信息熵的相关理论计算原子态势值;
3.依据原子态势和原子态势值,分析计算主机安全态势和主机安全态势值;
4.根据网络中主机的安全态势状态,利用安全数据挖掘模型计算网络安全态势。
(二)原子态势分析量化
为了全面科学评价原子态势给网络带来的威胁和损失,将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。这里常采取的方法是根据指标的实际数据将指标归一化到[0,1] 之间。
原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合,用原子态势发生概率表示,设第i 个原子态势发生概率为Pi,且(m为网络系统中原子态势的总数);语义信息决定了原子态势包含的态势内涵;语用信息是某个原子态势的威胁程度,记为 w。当w =1 时,威胁程度最大;w =0 时,威胁程度最小。在描述威胁程度时,因为威胁程度表示单一态势对网络造成的危害,故类型的威胁程度之和可不为 1。
本文将原子态势威胁分为很高、高、中等、低、极低五个等级,并转换为[0,1] 区间的量化值。以最大威胁赋值 1 为标准,得五个威胁等级 0 与1 之间的赋值为 1、0.8、0.6、0.4、0.2。
原子态势的态势值由原子态势发生的个数(归一化后表示为概率)及威胁程度权重共同决定。若信息发生ai的概率为p,按照信息熵的定义,ai的自信息可通过来表示。从网络安全态势评估的角度来看,网络安全事件发生的概率越大时,对应的信息熵值应该也越大,可以用香农信息论中的自信息的倒数来表示。
故在基于原子态势的网络安全态势评估系统中,如原子态势i发生频率为pi,则对应的自信息熵值为,则原子态势i的态势值Ei可表示为
其中Wi是原子态势i所对应的威胁程度值。
(三)网络态势数据挖掘模型
网络态势的分析和计算需要原子态势数据的支持,然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类,最后进行网络态势的分析。
用表示第j个属性态势值,则,a 为属于某一属性的原子态势个数。每个属性对应不同的权值,设第j个属性的权重定义为Sj,可通过将各个属性的安全态势值加权求和,计算单位时间内主机的安全态势值。网络安全态势值是网络系统中主机态势值和主机权重的函数,即
其中,k为主机在网络中的编号(1≤k≤g),g为整个网络中主机的数目,Zk为对应主机在网络中所占的重要性归一化权重。
四、实验分析
实验进行的网络环境如图3所示。
图3中,数据库服务器不存在异常,Web服务器的Apache日志是本次事件分析的主要数据源。安全日志分析得到Web服务器在2012年1月至2012年3月之间,主要遭受6种Web 安全威胁,统计结果如表1所示。
按照属性的不同,分别计算各个属性的态势值,根据公式,对表2的数据进行统计可得:机密性态势值为1.18686;权限态势值为0.88;完整性态势值为0.21;可用性态势值0.23926;不可否认性态势值0;可控性态势值0。主机受到其各个属性的影响,包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重,以主机机密性为参照标准:机密性对比完整性比较重要,机密性对比可用性稍微重要,机密性对比权限比较重要,机密性对比不可否认性十分重要,机密性对比可控性比较重要。故经matlab计算可得机密性权重为0.4491,可用性权重为0.2309,完整性权重为0.0930,权限权重为0.0930,不可否认性权重为0.0390,可控性权重为0.0930。主机的态势值是将各个属性的态势值进行加权求和得到,故主机态势值为0.70118。
网络内主机主要分服务器和客户端两种,服务器一般保存有重要的数据资源,这里定义服务器重要性权重为3,客户端重要性权重为1,权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析,数据库服务器的日志不存在异常现象,可以认为数据库服务器的网络态势值为0,则根据格式计算可得网络安全态势值为0.51968。
若安全信息量继续增大,可按照本节的计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是对不同时间点不同主机的网络安全态势情况进行计算,故在计算的时间点较多的时候,可构建时间点与网络安全态势值形成的网络安全态势曲线,由此可以推测未来网络的安全趋势和受到的攻击类型。
五、结束语
本文提出了需要采集的多维、深层次网络安全数据集,建立了基于原子态势的安全态势分析流程和模型,并搭建了局域网的实验环境,利用网络环境中两台服务器日志数据分析了Web服务器的主机态势以及该局域网的网络安全态势,并提出了一种网络安全态势趋势预测的方法。
参考文献:
[1]傅祖芸.信息论基础理论与应用[M] .北京:电子工业出版社,2011.
[2]胡明明,等.网络安全态势感知关键技术研究[D] .哈尔滨:哈尔滨工程大学,2008.
[3]胡影,等.网络攻击效果提取和分类[J].计算机应用研究,2009(3),26(3): 1119-1122.
