諸葛濤

曲阜師范大學信息網(wǎng)絡中心 山東 273165

0 引言

隨著網(wǎng)絡和通信技術的發(fā)展，各個大學的校園網(wǎng)絡越來越大，結構也越來越復雜，安全問題也越來越嚴重。特別是復合式攻擊、分布式攻擊和來自內網(wǎng)的攻擊對網(wǎng)絡安全管理提出了嚴峻的挑戰(zhàn)。IDS，F(xiàn)irewall，蜜罐等安全工具滿足了部分安全需求，卻存在網(wǎng)絡安全布防重復、布防漏洞和缺乏協(xié)同解決復合攻擊能力等問題。本文利用態(tài)勢感知理論對網(wǎng)絡安全體系中的各個設備的配置和性能進行評估，提供給網(wǎng)絡安全管理員直觀的網(wǎng)絡安全設備工作效果，并通過網(wǎng)絡安全態(tài)勢調整系統(tǒng)的安全策略，有力的提高網(wǎng)絡系統(tǒng)的安全性能。

1 網(wǎng)絡安全態(tài)勢評估概述

1999年，T.Bass等人首次提出了網(wǎng)絡態(tài)勢感知(cyberspace situation awareness,network situation awareness)概念，即網(wǎng)絡安全態(tài)勢感知，并對網(wǎng)絡態(tài)勢感知與空中交通監(jiān)管(Air Traffic Control，ATC)態(tài)勢感知進行了對比，旨在把ATC態(tài)勢感知的成熟理論和技術推廣到網(wǎng)絡態(tài)勢感知中。網(wǎng)絡安全態(tài)勢是對網(wǎng)絡運行狀況的宏觀反映，它反映了一個網(wǎng)絡過去和當前的狀況，并預測下一個階段可能的網(wǎng)絡狀態(tài)。我們可以對網(wǎng)絡原始事件和安全設備報警日志進行預處理，把具有一定相關性、反映某些網(wǎng)絡安全事件的特征的信息提取出來，通過一系列數(shù)學方法處理，將網(wǎng)絡安全特征信息歸并融合成有意義的數(shù)值。

國內外對網(wǎng)絡態(tài)勢感知的研究目前還停留在學術理論階段，多是圍繞網(wǎng)絡安全態(tài)勢評估模型、網(wǎng)絡預警等來開展的，在技術上主要通過對IDS等設備數(shù)據(jù)源進行數(shù)據(jù)挖掘實現(xiàn)。模型方面美國國防部JDL (Joint Director of Laborato-ries)給出的JDL模型和Endsley所給出的態(tài)勢感知模型具有很好的代表性。在國內，西安交通大學實現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡安全監(jiān)控平臺，國防科技大學的胡華平等人提出了面向大規(guī)模網(wǎng)絡的入侵檢測與預警系統(tǒng)的基本框架。這些研究還無法形成成熟的網(wǎng)絡產(chǎn)品，但是其中某些技術可以應用于網(wǎng)絡設備配置評估和建議中。本文通過網(wǎng)絡安全態(tài)勢感知的結果、網(wǎng)絡設備的能力和網(wǎng)絡拓撲信息給出網(wǎng)絡安全配置評估和調整建議。

2 網(wǎng)絡安全配置評估主要功能

（1）漏洞發(fā)現(xiàn)。目前校園網(wǎng)中攻擊相當一部分是來自內網(wǎng)的攻擊，而網(wǎng)絡布防的時候往往會將防御設置在網(wǎng)絡外出口上。網(wǎng)絡安全配置評估應當能夠發(fā)現(xiàn)重要主機的防御漏洞。

（2）重復布防發(fā)現(xiàn)。許多網(wǎng)絡設備要耗費很大的系統(tǒng)資源，而不同網(wǎng)絡安全設備往往具有相同功能，在保證網(wǎng)絡體系安全的情況下，應當盡量減少系統(tǒng)的重復布防。

（3）可協(xié)同布防發(fā)現(xiàn)。單一的安全設備很難發(fā)現(xiàn)復雜攻擊，通過網(wǎng)絡安全配置評估生成可協(xié)同布防的網(wǎng)絡設備清單和最佳的協(xié)同布防位置。

3 校園網(wǎng)安全配置評估模型

如圖1所示，模型分為以下幾個主要部分：

（1）網(wǎng)絡元素信息采集：在本評價體系中，采集的網(wǎng)絡元素信息主要包含來自主機的信息、來自安全設備的信息和來自網(wǎng)絡設備的信息。采集的網(wǎng)絡信息包含設備資產(chǎn)信息、設備管理的 LAN信息、設備特征、設備資源性能和運行狀態(tài)信息、各種告警、警報、事件、日志，等等。直接采集的信息格式并不統(tǒng)一不能直接入庫，必須采用XML語言進行標準化。標準化過程中同時進行歸一化處理：對采集上來的各種要素信息進行事件標準化、歸一化。在事件歸一化過程中最重要的就是統(tǒng)一網(wǎng)絡對象的特征、事件的嚴重等級和事件的意圖及結果。事件歸一化為后續(xù)的事件分析提供了準備。

（2）安全評估：安全評估主要通過漏洞掃描技術和聚類技術實現(xiàn)。安全掃描是自動探測遠程主機或本地主機安全脆弱性的技術。它從外部通過一定的方式查詢網(wǎng)絡服務端口，根據(jù)其反饋信息來探測，然后將收集到的信息與已知的安全漏洞相比較，如果匹配，則找出了其中存在的安全隱患。聚類分析是安全評估的重要環(huán)節(jié)。通過基于攻擊類型、LAN類型和主機類型的聚類結果橫向對比給出布防重復報告和布防漏洞報告。

（3）態(tài)勢評估：主要通過數(shù)據(jù)挖掘中的關聯(lián)分析發(fā)現(xiàn)復雜攻擊的中子攻擊的時序性和因果性，通過來自不同網(wǎng)絡安全設備的攻擊間時序關系和因果關系的確立形成網(wǎng)絡協(xié)同布防報告，并通過專家建議和橫向對比給出協(xié)同布防建議。

圖1 校園網(wǎng)安全配置評估模型

4 網(wǎng)絡安全配置評估關鍵技術

（1）數(shù)據(jù)挖掘技術：數(shù)據(jù)挖掘在評估模型中使用了4種分析方法：關聯(lián)分析、序列模式分析、分類分析和聚類分析。關聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，起到加強報警確認度的作用，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關聯(lián)分析相似，但側重于分析數(shù)據(jù)間的前后(因果)關系，在模型中用于尋找復雜攻擊協(xié)同解決網(wǎng)絡策略，常用算法有DynamicSome算法、AprioriSome算法等。分類和聚類分析主要是為網(wǎng)絡漏洞分析和布防重復提供橫向比較資源。

（2）數(shù)據(jù)融合技術：為了加強對分散的協(xié)同攻擊的發(fā)現(xiàn)，網(wǎng)絡評估引入了數(shù)據(jù)融合技術。它通過對對來自網(wǎng)絡環(huán)境中的具有相似或不同特征模式的多源信息進行互補集成，從而獲得對當前網(wǎng)絡狀態(tài)的準確判斷。目前用于數(shù)據(jù)融合領域的典型算法有貝葉斯網(wǎng)絡和D-S證據(jù)推理。貝葉斯網(wǎng)絡是神經(jīng)網(wǎng)絡和貝葉斯推理的結合。它使用節(jié)點和弧來代表域知識，節(jié)點之間可通過弧來傳播新的信息。網(wǎng)絡中保存的知識可以由專家指定，也可以通過樣本進行學習。D-S證據(jù)理論用概率上下限來表示實際問題中的不確定性。它允許人們對不精確和不確定性問題進行建模、推理，為融合不確定信息提供了一條思路。

（3）拓撲發(fā)現(xiàn)技術：網(wǎng)絡配置評估中要將網(wǎng)絡安全事件和網(wǎng)絡安全設備關聯(lián)在一起分析，而網(wǎng)絡安全事件的來源非常復雜。網(wǎng)絡評估認為同一子網(wǎng)中發(fā)生的網(wǎng)絡事件和網(wǎng)絡設備是關聯(lián)在一起的，這種關聯(lián)的驗證需要通過拓撲發(fā)現(xiàn)技術來驗證。這種驗證可以在網(wǎng)絡接入層實現(xiàn)。南京航空航天大學提出一種基于地址轉發(fā)表的網(wǎng)絡拓撲發(fā)現(xiàn)算法，利用簡單網(wǎng)絡管理協(xié)議獲得網(wǎng)橋MIB中的地址轉發(fā)表信息，從而推導出連接關系。它不要求各個網(wǎng)橋轉發(fā)表的信息是完備的，也無須進行大量比較，能夠準確地計算出整個被管網(wǎng)絡的二層拓撲結構。

5 結論及展望

網(wǎng)絡安全態(tài)勢評估具有對網(wǎng)絡安全設備性能和配置強大檢驗能力，特別是對發(fā)現(xiàn)復雜攻擊漏洞和來自內網(wǎng)的攻擊漏洞具有十分重要的意義。但是，國內目前對NSAS研究才剛剛起步，相關理論和技術還很不成熟，特別是復雜網(wǎng)絡安全設備態(tài)勢評估的標準、利用態(tài)勢評估激發(fā)安全策略的自動調整和觸發(fā)多種設備的協(xié)同防御等方面均有許多問題需要研究。

[1]Bass T,Gruber D,A glimpse into the future of id.http://www.usenix.org/publications/login/1999-9 /features/future.html.1999.

[2]D.L.Hall Mathematical Techniques in Multisensor Data Fusion [M].Bosston:Artech House.2004.

[3]陳秀真.網(wǎng)絡化系統(tǒng)安全態(tài)勢評估的研究.西安交通大學學報.2004.

[4]胡華平等.面向大規(guī)模網(wǎng)絡的入侵檢測與預警系統(tǒng)研究.國防科技大學學報.2003.

[5]Braun J J. Dempster-Shafer Theory and Bayesian Reasoning in Multisensor Data Fusion in Sensor Fusion:Achitectures. Algorithms.and Applications IV.Dasarathy B V,eds.In: Proceedings of SPIE.Vol 4051.2000.

[6]薛珊珊.基于SNMP的鏈路層拓撲發(fā)現(xiàn)算法.計算機工程.2009.