大规模网络安全态势感知——需求、挑战与技术

大规模网络安全态势感知—需求、挑战与技术

贾焰教授

国防科大计算机学院网络所

2009年10月22日

态势感知定义（续）

Adam, 1993

SA is simply “knowing what is going on so you can figure out what to do”。

态势感知可简单理解为“了解将要发生的事以便做好准备”。

Moray, 2005

SA is a shorthand description for “keeping track of what is going on around you in a complex, dynamic

environment”。

态势感知可简单描述为“始终掌握你周边复杂、动态环境的变化”。

幻灯片 5

雨林木风2 更加简短的定义

雨林木风, 2009-10-19

发源于孙子兵法

首次提出于一战

首次提出于一战在越战和朝鲜战争中系统研究

马德里晚高峰交通态势
美国工作岗位态势 台海军事态势

报告内容
什么是态势感知？ „ 网络安全态势感知研究意义 „ 网络安全态势感知关键技术 „ YH-SAS
„
一个新型的网络安全态势感知系统
„
机遇和挑战

已有的防御手段
骨干网

运营商
电信
移动
网通

重要信息系统

骨干网
运营商
IDS
FW VDS
重要信息系统
主机防 御系统

防御手段单维度性
IDS FW VDS
网络或系统的异常访问行为 检查 用于加强访问控制的软硬件 保护设施 基于网络的病毒查杀工具 基于主机的病毒查杀工具
主机防 御系统

海量、冗余的告警信息
Snort 报警数据 Nagios服务监控 Ntop流量监控 Nessus扫描结果 CheckPoint 报警数据

网络安全态势感知定义
„ Tim
Bass,1999
…Cyber空间态势感知(Cyberspace
Situation Awareness),是指在大规模网 络环境中，对能够引起网络态势发生变 化的安全要素进行获取、理解、显示以 及预测未来的发展趋势。

态势感知在网络安全监控中的地位和作用

态势评估模型—研究现状与存在的问题Endsley的理论模型

Endsley的理论模型

专家数据集成

专家数据集成

防火墙日志数据

数据集成—问题描述IDS 数据

（数据库格

式）

服务检测（日志数据）

弱点扫描（XML 格式日志数据）

？

数据表示和存储形式各异，如何统一处理？

数据集成—研究现状

¾基于模式映射的异构数据集成Information Manifold 系统是最早出现的异构数据集成系统之一，基于模式映射为多数据源提供一个统一的查询接口¾基于XML 中间表示的异构数据集成

斯坦福大学的数据集成项目Active XML ，基于XML 进行数据表示，基于Web 服务实现对动态更新的数据源的访问。¾基于本体进行异构数据集成

E. Mena 等人实现的基于本体的字典异构解决方案

OBSERVER ，利用已经存在的领域本体对数据源进行描述，查询重写以本体之间的映射关系为基础进行。

挑战

网络安全产品层出不穷，模式转换需要在线扩展。

探针产生的海量流数据，需要进行实时的抽取转换。

数据集成—取得的成效

已经对20余种网络安全产品进行了集成研究，包括：

入侵检测：Snort

防火墙：CheckPoint

弱点扫描：Nessus

服务监控：Nagios

流量监控：Ntop

拓扑扫描：Nmap

……

专家数据集成

关联分析—问题描述 IDS产生大量误报和重复报警

关联分析—研究现状

¾加利福尼亚州SRI 研究中心的Valdes.A 利用报警信息特征的相似性

来对来自不同类型IDS 的报警信息进

行综合关联分析

¾麻省理工学院林肯实验室的M.Dain

提出基于于攻击场景构建的概率关联

方法

挑战单维度的关联

基于类似的特征前后场景的高度依

赖

关联分析—取得的效果

有效减少误报、重复报警，约1/200

根据原始网络安全事件数据，通过关联分析发现新的网络安全攻击告警

对网络安全事件的严重程度进行定级

专家数据集成

指标体系与量化评估—问题和挑战

如何确定影响指标体系的各个要素？

如何保证指标体系的动态可配置性？

如何建立科学的量化模型和聚集模型？ 如何是指数可接受、可理解？

指标体系与量化评估—研究现状

¾优利（Unisys ）公司的提供优利安全指数（Unisys Security Index ）对国家安全、财务安全、互联网安全和个人安全进行量化，主要方法是问卷调查的方法

¾电信网网络安全评估指标体系，是工信部电信研

究院针对电信网络安全提出的，包括电信网物理安全、传输网络安全、业务网络安全的电信网络安全评估指标

¾Silk Road 的Tim Bass 在提出网络安全态势感知

概念后，针对局域网的特征特出了一系列的网络安

全态势量化评估的方法

挑战尚缺乏网络安全因素全面考虑的互联网安全态势的国家指标体系

已有的量化评估方法大多针对局域网