前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的態(tài)勢感知體系下網(wǎng)絡安全論文,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
網(wǎng)絡安全態(tài)勢感知是針對網(wǎng)絡安全隱患提出的新型技術,其研究歷史也是由來已久。20世紀90年代,網(wǎng)絡安全態(tài)勢感知是由Bass等網(wǎng)絡信息專家首次提出,通過為了深入研究這項技術,借鑒了空中交通監(jiān)管態(tài)勢感知,并其中的理論知識和相關技術運用到網(wǎng)絡網(wǎng)絡安全態(tài)勢安全態(tài)勢感知體系中,并為其發(fā)展創(chuàng)造了良好的開端。進入到21世紀初期,網(wǎng)絡安全態(tài)勢感知引入了SILK系統(tǒng),其作用規(guī)模性的監(jiān)測對網(wǎng)路安全態(tài)勢感知。同時,很多網(wǎng)絡信息計算方面的專家對以后網(wǎng)絡安全的發(fā)展方向作出了預測,使網(wǎng)絡安全隱患處在了一個可控的范圍內。根據(jù)目前我國網(wǎng)絡安全實際情況,關于網(wǎng)絡安全態(tài)勢感知體系正做著積極地研究,但其實際應用的普及度還亟待提高。
2網(wǎng)絡安全態(tài)勢感知體系結構
(1)體系主要技術
網(wǎng)絡安全態(tài)勢感知對網(wǎng)絡安全信息的管理有著很好的效果,其效果的實現(xiàn)是結合了多種網(wǎng)絡網(wǎng)信息安全技術,比如防火墻、殺毒軟件、入侵檢測系統(tǒng)等技術,其作用主要表現(xiàn)在對網(wǎng)絡安全的實時檢測和快速預警。通過實時檢測,網(wǎng)絡安全態(tài)勢感知可以對正在運行的網(wǎng)路安全情況進行相應的評估,同時也可以預測網(wǎng)絡以后一定時間的變化趨勢。
(2)體系組成部分
網(wǎng)絡安全態(tài)勢感知體系可以劃分成四個部分。第一部分是特征提取,該層的主要作用是通過防火墻、入侵檢測系統(tǒng)、防病毒、流控、日志審計等系統(tǒng)整理并刪選網(wǎng)絡系統(tǒng)中眾多的數(shù)據(jù)信息,然后從中提取系統(tǒng)所需要的網(wǎng)絡安全態(tài)勢信息;第二部分是安全評估,該部分屬于網(wǎng)絡安全態(tài)勢感知體系的核心部分,其作用是分析第一部分所提出的信息,然后結合體系中其他網(wǎng)絡安全技術(防火墻、入侵檢測系統(tǒng)等)評估網(wǎng)絡信息安全的運行狀況,給出評估模型、漏洞掃描和威脅評估;第三個部分就是態(tài)勢感知,這一部分的作用是識別網(wǎng)絡安全評估的信息和信息源,然后明確雙方之間存在的聯(lián)系,同時根據(jù)評估的結果形成安全態(tài)勢圖,借此來確定網(wǎng)絡安全受威脅的程度,并直觀反映出網(wǎng)絡安全實時狀況和發(fā)展趨勢的可能性;最后一部分是預警系統(tǒng),這個部分是結合安全態(tài)勢圖,對網(wǎng)絡運行中可能受到的安全威脅進行快速的預警,方便安全管理人員可以及時的檢查網(wǎng)絡安全的運行狀況,然后通過針對性的處理措施解決網(wǎng)絡安全隱患。
3網(wǎng)絡安全態(tài)勢感知關鍵技術
(1)數(shù)據(jù)挖掘技術
隨著網(wǎng)絡信息技術的成熟,網(wǎng)絡中的信息量也在不斷增多,同時又需要對這些數(shù)據(jù)進行快速的分析。針對這種問題,數(shù)據(jù)挖掘技術就應運而生,其目的是在大量的安全態(tài)勢信息中找出有價值且能使用的數(shù)據(jù)模式,以便檢測不確定的攻擊因素和自動創(chuàng)建檢測模型。數(shù)據(jù)挖掘廣義上理解就是挖掘網(wǎng)絡中眾多的信息,但挖掘出來的信息是人們所需要的,而按照專業(yè)人士的解釋,數(shù)據(jù)挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、人們事先未知的,但又有潛在有用的并且最終可理解的信息和知識的非平凡過程。其中提出的信息和知識由可以轉換為概念、模式、規(guī)則、規(guī)律等形式。在知識的發(fā)現(xiàn)中數(shù)據(jù)挖掘是非常重要的環(huán)節(jié),目前這項技術開始逐漸進入到網(wǎng)絡安全領域,并與入侵檢測系統(tǒng)進行了結合,其中運用的分析方法主要包含4種,即關聯(lián)分析、聚類分析、分類分析以及序列模式分析。關聯(lián)分析的作用是挖掘各種數(shù)據(jù)存在的某種聯(lián)系,就是通過給定的數(shù)據(jù),挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信的關聯(lián)規(guī)則。序列模式分析與關聯(lián)分析類似,但其分析更多的是數(shù)據(jù)之間的前后聯(lián)系,即使通過給定的數(shù)據(jù),找出最大序列,而這個序列必須是用戶指定,且屬于最小支持度。分類分析對集中的數(shù)據(jù)進行分析和歸類,并根據(jù)數(shù)據(jù)的類別分別設置不同的分析模型,然后再分類其它數(shù)據(jù)庫的數(shù)據(jù)或者信息記錄,一般用的比較多的模型主要包括神經(jīng)網(wǎng)絡模型、貝葉斯分類模型和決策樹模型。聚類分析與分類分析都是屬于數(shù)據(jù)的分類,但兩者的區(qū)別在于前者不需要對類進行提前定義,其分類是不確定的。具體細分下來聚類分析法又包括以密度為基礎的分類、模糊聚類、動態(tài)聚類。關聯(lián)分析與序列分析大多用在模式的發(fā)展以及特征的構建,分類分析與聚類分析大多用在模型構建完成之后的檢測環(huán)節(jié)。現(xiàn)階段,雖然數(shù)據(jù)挖掘已應用到網(wǎng)絡安全領域,也具備較好的發(fā)展趨勢,但使用過程中還是有一些問題需要解決。比如,獲得數(shù)據(jù)挖掘需要的數(shù)據(jù)途徑較少,數(shù)據(jù)挖掘的信息量過大,效率較低,費時又費力,難以實現(xiàn)實時性。
(2)信息融合技術
信息融合技術也叫做數(shù)據(jù)融合技術,或者是多傳感器數(shù)據(jù)融合,它是處理多源數(shù)據(jù)信息的重要工具和方法,其作用的原理是將各種數(shù)據(jù)源的數(shù)據(jù)結合在一起然后再進行形式化的描述。就信息論而言,相比于單源的數(shù)據(jù)信息,多源數(shù)據(jù)信息在提供信息量具有更好的優(yōu)勢。信息融合的概念在很早以前就提出,而由于近些年高級處理技術和高效處理硬件的應用,信息的實時融和逐漸成為網(wǎng)絡信息技術領域研究的新趨勢,其研究的重點就是對海量的多源信息的處理。正是基于這種研究,信息融合技術的理論研究以及實際應用取得顯著的效果。就信息融合的標準而言,美國數(shù)據(jù)融合專家組成立之初就進行了相應的工作,且創(chuàng)建了數(shù)據(jù)融合過程的通用模型,也就是JDL模型,該模型是目前數(shù)據(jù)融合領域常用的概念模型。這個模型主要有四個關于數(shù)據(jù)融合處理的過程,即目標提取、態(tài)勢提取、威脅提取和過程提取。這些過程在劃分上并不是根據(jù)事件的處理流程,每個過程也并沒有規(guī)定的處理順序,實際應用的時候,這些過程通常是處于并行處理的狀態(tài)。目標提取就是利用各種觀測設備,將不同的觀測數(shù)據(jù)進行收集,然后把這些數(shù)據(jù)聯(lián)合在一起作為描述目標的信息,進而形成目標趨勢,同時顯示該目標的各種屬性,如類型、位置和狀態(tài)等。態(tài)勢提取就是根據(jù)感知態(tài)勢圖的結果將目標進行聯(lián)系,進而形成態(tài)勢評估,或者將目標評估進行聯(lián)系。威脅提取就是根據(jù)態(tài)勢評估的結果,將有可能存在威脅的建立威脅評估,或者將這些結果與已有的威脅進行聯(lián)系。過程提取就是明確怎樣增強上述信息融合過程的評估能力,以及怎樣利用傳感器的控制獲得最重要的數(shù)據(jù),最后得出最大限度提高網(wǎng)絡安全評估的能力。
(3)信息可視化技術
信息可視化技術就是利用計算機的圖像處理技術,把數(shù)據(jù)信息變?yōu)閳D像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術實現(xiàn)網(wǎng)絡信息的處理。在計算技術不斷發(fā)展的條件下,信息可視化的的研究也得到了不斷的開拓。目前信息可視化研究的領域不再局限于科學計算數(shù)據(jù)的研究,工程數(shù)據(jù)以及測量數(shù)據(jù)同樣也實現(xiàn)了信息的可視化。利用信息可視化技術,可以有效地得知隱藏在數(shù)據(jù)信息中的規(guī)律,使網(wǎng)路信息的處理能獲得可靠的依據(jù)。就計算機安全而言,目前網(wǎng)絡安全設備在顯示處理信息結果上,只是通過簡單的文字描述或者圖表形式,而其中的關鍵信息常常很難被提取出來。網(wǎng)絡安全態(tài)勢感知體系的主要作用就是通過融合和分類多源信息數(shù)據(jù),使網(wǎng)絡安全里人員在進行決策和采取措施時能及時和找準切入點。這就需要將態(tài)勢感知最后得出的結果用可視化的形式顯示計算機系統(tǒng)中,充分發(fā)揮人類視覺中感知和處理圖像的優(yōu)勢,從而保證網(wǎng)絡的安全狀態(tài)能得到有效地監(jiān)控以及預測。故而,作為網(wǎng)絡安全態(tài)勢感知體系的關鍵技術,可視化技術的發(fā)展以及實際應用有了顯著的效果,對于網(wǎng)絡安全態(tài)勢感知中的攻擊威脅和流量信息發(fā)揮重要的作用。同時,可視化技術的主要作用就是將態(tài)勢感知的結果以人們便于認識的形式呈現(xiàn)出來,那么就需要考慮到態(tài)勢信息的及時性和直觀性,最后顯示的形式不能太過復雜。此外,未來網(wǎng)絡安全態(tài)勢感知體系中可視化技術,還需要解決怎樣把具有攻擊威脅的信息與網(wǎng)絡流量信息進行一定的聯(lián)系,且為了加強顯示信息的時效性和規(guī)模性,還需要制定相關的標準,保證安全態(tài)勢的顯示能規(guī)范統(tǒng)一。
4金稅工程網(wǎng)絡安全態(tài)勢感知模型實例分析
對金稅工程網(wǎng)絡安全需求為牽引,通過數(shù)據(jù)挖掘深入感知IT資源(采集的要素信息),構建出金稅工程網(wǎng)絡安全態(tài)勢感知模型。模型分解可分解為要素信息采集、事件歸一化、事件預處理、態(tài)勢評估、業(yè)務評估、預警與響應、流程處理、用戶接口(態(tài)勢可視化)、歷史數(shù)據(jù)分析九個部分。
(1)要素信息采集:
信息采集對象包括資產(chǎn)、拓撲、弱點、性能、事件、日志等。
(2)事件歸一化:
對采集上來的各種要素信息進行事件標準化、歸一化、并對原始事件的屬性進行擴展。
(3)事件預處理:
也是對采集上來的各種要素信息進行事件標準化和歸一化處理。事件預處理尤其是指采集具有專項信息采集和處理能力的分布式模塊。
(4)態(tài)勢評估:
包括關聯(lián)分析、態(tài)勢分析、態(tài)勢評價,核心是事件關聯(lián)分析。關聯(lián)分析就是要使用采用數(shù)據(jù)融合(Da⁃taFusion)技術對多源異構數(shù)據(jù)從時間、空間、協(xié)議等多個方面進行關聯(lián)和識別。態(tài)勢評估的結果是形成態(tài)勢評價報告和網(wǎng)絡綜合態(tài)勢圖,借助態(tài)勢可視化為管理員提供輔助決策信息,同時為更高階段的業(yè)務評估提供輸入。
(5)業(yè)務評估:
包括業(yè)務風險評估和業(yè)務影響評估,還包括業(yè)務合規(guī)審計。業(yè)務風險評估主要采用面向業(yè)務的風險評估方法,通過業(yè)務的價值、弱點和威脅情況得到量的出業(yè)務風險數(shù)值;業(yè)務影響評估主要分析業(yè)務的實際流程,獲知業(yè)務中斷帶來的實際影響,從而找到業(yè)務對風險的承受程度。
(6)預警與響應:
態(tài)勢評估和業(yè)務評估的結果都可以送入預警與響應模塊,一方面借助態(tài)勢可視化進行預警展示,另一方面,送入流程處理模塊進行流程化響應與安全風險運維。
(7)流程處理:
主要是指按照運維流程進行風險管理的過程。安全管理體系中,該功能是由獨立的運維管理系統(tǒng)擔當。
(8)用戶接口(態(tài)勢可視化):
實現(xiàn)安全態(tài)勢的可視化、交互分析、追蹤、下鉆、統(tǒng)計、分布、趨勢,等等,是用戶與系統(tǒng)的交互接口。態(tài)勢感知系統(tǒng)的運行需要用戶的主動參與,而不是一個自治系統(tǒng)。
(9)歷史數(shù)據(jù)分析:
這部分實際上不屬于態(tài)勢感知的范疇。我們已經(jīng)提到,態(tài)勢感知是一個動態(tài)準實時系統(tǒng),他偏重于對信息的實時分析和預測。在安全管理系統(tǒng)中,除了具備態(tài)勢感知能力,還具備歷史數(shù)據(jù)挖掘能力。
5結束語
網(wǎng)絡安全隱患是阻礙網(wǎng)絡正常運行的重要因素,如何才能減少安全隱患危害性,關鍵是加強對網(wǎng)絡信息的管理和分析。網(wǎng)絡安全態(tài)勢感知技術中的數(shù)據(jù)挖掘技術和信息融合技術可以有效地管理信息,且利用可視化技術可以方便管理人員發(fā)現(xiàn)信息中的規(guī)律,可以及時的預防和采取針對性處理網(wǎng)絡中安全隱患問題。
作者:陳娜 單位:蘭州工業(yè)學院