网络安全态势感知系统结构研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
高
网络安全态势感知系统
态势感知
预警
安全评估
特征提取
数据信息
特征信息
感知信息
态势信息
多源异构数据( IDS, 防火墙, 防病毒, 安全审计等)
图 1 网络安全态势感知概念模型
态势可视化显示
预警
态势感知
安全拓扑生成 安全评估
拓扑发现
特征提取
事件关联
海量数据处理 评估模型 漏洞扫描 威胁评估
数据源集成平台
作者简介: 陈彦德( 1967- ) , 男, 博士生, 研究方向: 网络安全, 模式识别; 潘志松( 1973- ) , 男, 副教授, 研究方向: 网络安全, 模式识别。
陈彦德, 赵陆文, 王 琼, 等: 网络安全态势感知系统结构研究
2008, 44( 1) 101
知状况进行实 时 监 控 , 在 潜 在 的 、恶 意 的 网 络 行 为 变 得 无 法 控 制 之 前 进 行 识 别 、防 御 、响 应 以 及 预 警 , 给 出 相 应 的 应 付 策 略 , 该系统通过多种策略对大规模网络进行安全分析, 并能在保 持较高性能的前提下提供整个网络的安全态势感知能力。 NCSA/SIFT 欲 通 过 开 发 一 个 安 全 事 件 融 合 工 具 的 集 成 框 架 , 为 Internet 提 供 安 全 可 视 化 。 目 前 该 机 构 已 开 发 的 Internet 安 全 态 势 感 知 系 统 有 NVisionIP, VisFlowConnect - IP 等 。 NVi- sionIP 通 过 系 统 状 态 可 视 化 来 获 取 Internet 的 安 全 态 势 ; Vis- FlowConnect- IP 通过连接分析可视化来获取 Internet 的 安 全 态 势。美国 2006 年的国防部防务评审报告中指出将加强信息安 全和网络安全的研究 。 美 国 国 防 高 级 规 划 署( DARPA) 等军方 机构也正投资开展安全态势感知的研究[3]。在国内方面, 关于网 络安全态势感知的研究还限于科研院校的研究阶段, 目前的工 作主要集中在组织架构和业务体系的建立, 离实际的应用距离 还很远。
基金项目: 国家自然科学基金( the National Natural Science Foundation of China under Grant No.60603029) ; 江苏省自然科学基金( the Natural Sci- ence Foundation of Jiangsu Province of China under Grant No.BK2005009) 。
论文研究工作主要是围绕网络安全态势感知系统模型, 分 析 研 究 构 成 网 络 安 全 态 势 感 知 系 统 的 数 据 的 特 征 提 取 、网 络 安 全评估、网络应急响应、网络安全预警等重要组成部分 , 这将为 下一步安全态势感知系统的实现奠定了理论的基础。
1 相关研究工作
网络安全态势感知是应网络安全监控需求而出现的一种 新技术, 目前正处于起步阶段。态势感知源于航天飞行的相关 研究, 目前广泛应用于航天飞机、军事战场、空中交通监管等领
摘 要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系 统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分析国内外相关研究后, 建立了一 个网络安全态势感知概念模型和体系结构, 分析研究构成网络安全态势感知系统的数据的特征提取、网 络 安 全 评 估 、网 络 应 急 响 应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 文章编号: 1002- 8331( 2008) 01- 0100- 03 文献标识码: A 中图分类号: TP309
Abstr act: Network situation awareness is a kind of new technology in network security system, which syncretize the information of firewall, anti - virus software, Intrusion Detecting System ( IDS) and security audit system, and evaluate the currently status of whole network.After thoroughly analyzing the relative research in and abroad, a conception model of network security situation ap- perceiving is presented.In the paper we analyze the main element such as the feature selecting, network security assessment, net- work emergency response and network security warning in advance, which establishes the academic base for the realizing of Net- work Situation Awareness System( NSAS) . Key wor ds: network situation awareness; security assessment; security warning
随着网络规模的不断壮大, 网络结构的日益复杂, 网络病 毒、Dos/DDos 攻击等构 成 的 威 胁 和 损 失 越 来 越 大 , 传 统 的 网 络 安全管理模式仅仅依靠防火墙、防病毒 、IDS 等 单 一 的 网 络 安 全防护技术来实现被动的网络安全管理, 已满足不了目前网络 安全的要求, 因此迫切需要新的技术来对网络安全状况进行实 时 监 控 和 预 警 。安 全 态 势 感 知 技 术 就 是 对 当 前 和 未 来 一 段 时 间 内的网络安全状态进行定量和定性的评价, 实时监测和预警的 一种新的安全技术。
2 网络安全态势感知系统模型
网 络 态 势 感 知 系 统 通 常 是 融 合 防 火 墙 、防 病 毒 软 件 、入 侵 监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个 网络的当前状况进行评估, 对未来的变化趋势进行预测。深入 分析国内外相关研究, 建立网络安全态势感知概念模型, 如图 1。该模型将安全态势感知分为四层: 特征提取、安全评估、态势 感知、预警。特征提取是态势感知的前提, 该层主要采用已有成 熟 技 术 从 海 量 数 据 信 息 中 提 取 网 络 安 全 态 势 信 息 。安 全 评 估 是 态势感知的核心, 通过漏洞扫描, 安全审计等获得安全信息后, 同时和已有的网络安全机制相结合, 对已安装的入侵检测系 统 、防 火 墙 、漏 洞 扫 描 等 系 统 的 日 志 数 据 库 数 据 进 行 分 析 后 提 取数据, 采用合适的安全评估模型, 对网络的威胁和脆弱性进 行评估。安全评估将信息反应到态势感知层, 态势感知层通过 识别信息中的安全事件, 确定它们之间的关联关系, 并依据所 受到的威胁程度生成相应的安全态势图, 来反映整个网络的安 全 态 势 状 况 。态 势 预 警 要 求 不 但 能 对 即 将 发 生 的 安 全 事 件 提 前 告知, 给出应急的处理措施, 而且能够依据历史网络安全态势 信息和当前网络安全态势信息预测未来网络安全趋势, 使决策 者能够据此掌握更高层的网络安全状态趋势, 为未来的安全管 理制定合理的决策提供依据。通过对四层概念模型的分析, 拟 设计如图 2 所示的网络安全态势感知系统体系结构。网络安全 态势感知系统由网络拓扑发现, 安全拓扑生成、安全评估模型、 漏 洞 扫 描 、威 胁 评 估 、事 件 关 联 、预 警 、结 果 可 视 化 等 模 块 构 成 。 在 下 面 的 内 容 中 , 将 对 系 统 组 件 之 间 的 关 联 关 系 、因 果 关 系 进 行分析研究。
100 2008, 44( 1)
Computer Engineering and Applications 计算机工程与应用
◎网络、通信与安全◎
网络安ห้องสมุดไป่ตู้态势感知系统结构研究
陈彦德 1, 赵陆文 1, 王 琼 2, 潘志松 2, 周志杰 1 CHEN Yan- de1, ZHAO Lu- wen1, WANG Qiong2, PAN Zhi- song2, ZHOU Zhi- jie1
域。随着网 络 的 不 断 壮 大 和 普 及 应 用 , 网 络 病 毒 、Dos/DDos 攻 击等构成的威胁和损失越来越大, 很多研究人员和机构已经开 始意识到仅仅依赖于现有的网络安全产品是无法实现对整个 网络安全态势的实时监控, 因此迫切需要一项新方法来完成该 项任务, 于是提出了网络安全态势感知系统研究。1999 年, Bass 等人首次提出了网络态势感知概念[1], 即网络安全态势感知, 并 将网络态势感知和空中交通监管( ATC) 态势感知进行了类 比 , 旨在把 ATC 态势感知的成熟理论和技术借鉴到网络态势 感 知 中去, 随后提出了基于多传感器数据融合的网络安全态势感知 框 架 模 型 。很 多 研 究 者 和 研 究 机 构 也 开 始 研 究 网 络 安 全 态 势 感 知系统。Shifflet 采用本体论对网络安全态势感知相关概念进行 了分析比较研究, 并提出了基于模块化的技术无关框架结构。 美 国 国 家 能 源 研 究 科 学 计 算 中 心( NERSC) 所 领 导 的 劳 伦 斯 伯 克 利 国 家 实 验 室 于 2003 年 开 发 了“Spinning Cube of Potential Doom”系 统 , 该 系 统 在 三 维 空 间 中 用 点 来 表 示 网 络 流 量 信 息 , 极大地提高了网络安全态势感知能力。2005 年, CMU/SEI 领导 的 CERT/NetSA 开 发 了 SILK[2], 旨 在 对 大 规 模 网 络 安 全 态 势 感
1.解放军理工大学 指挥自动化学院, 南京 210007 2.解放军理工大学 通信工程学院, 南京 210007 1.Institute of Command Automation, PLA University of Science and Technology, Nanjing 210007, China 2.Institute of Communication Engineering, PLA University of Science and Technology, Nanjing 210007, China
NetFlow 防病毒 IDS … 防火墙 安全审计
图 2 网络安全态势感知系统体系结构图
3 关键模块分析
在网络安全态势感知系统中, 特征提取、安全估计、态势感 知 、安 全 预 警 是 四 个 核 心 模 块 , 分 别 代 表 网 络 安 全 态 势 感 知 四 个 不 同 的 阶 段 。 在 这 些 模 块 中 、数 据 挖 掘 、模 式 识 别 、人 工 神 经 网 络 、机 器 学 习 等 人 工 技 术 被 广 泛 运 用 。 下 面 将 对 这 四 个 核 心 组成部分进行具体介绍。
CHEN Yan - de, ZHAO Lu - wen, WANG Qiong, et al.Summar y of networ k r estor ation based on topological infor mation. Computer Engineer ing and Applications, 2008, 44( 1) : 100- 102.