李奎
宿遷高等師范學校 計算機應用 江蘇宿遷 223800
網(wǎng)絡安全態(tài)勢感知體系初探
李奎
宿遷高等師范學校 計算機應用 江蘇宿遷 223800
隨著接入互聯(lián)網(wǎng)的設備數(shù)量的急劇增加,帶來了便利高效,節(jié)約了時間和成本,但是網(wǎng)絡復雜度增加,風險更加凸顯。為了保證信息安全,適應更嚴格的網(wǎng)絡安全管理,出現(xiàn)了網(wǎng)絡安全態(tài)勢感知技術。
網(wǎng)絡安全態(tài)勢;模型;感知
目前應用最為廣泛的IDS系統(tǒng)只是運用Agent獲取數(shù)據(jù)再經(jīng)過融合分析后檢測到相關攻擊行為,當網(wǎng)絡帶寬提高后,IDS很難檢測到攻擊內(nèi)容,同時誤報率也較高。而網(wǎng)絡安全態(tài)勢感知技術綜合了多種技術更加突出了整體特征,如IDS,殺毒軟件以及防火墻等,對網(wǎng)絡進行實時檢測和快速預警。網(wǎng)絡安全態(tài)勢感知評估運行網(wǎng)絡的安全情況并且可以做出未來一段時間的變化趨勢,提高處理安全威脅的能力。
1.1 網(wǎng)絡態(tài)勢感知定義
1988年,endsley率先提出針對航空領域人為因素的態(tài)勢感知的定義,態(tài)勢感知是指“在一定的時空范圍內(nèi),認知、理解環(huán)境因素,并且對未來的發(fā)展趨勢進行預測”。直到1999年,bass等指出,“下一代網(wǎng)絡入侵檢測系統(tǒng)應該融合從大量的異構分布式網(wǎng)絡傳感器采集的數(shù)據(jù),實現(xiàn)網(wǎng)絡空間的態(tài)勢感知。常見的網(wǎng)絡態(tài)勢主要有安全態(tài)勢、拓撲態(tài)勢和傳輸態(tài)勢等,但目前學者主要研究網(wǎng)絡的安全態(tài)勢感知的。
1.2 網(wǎng)絡安全態(tài)勢概念
所謂網(wǎng)絡安全態(tài)勢就是對在多種網(wǎng)絡設備處于工作狀態(tài)、網(wǎng)絡變化以及用戶的動作等安全態(tài)勢出現(xiàn)變化的狀態(tài)信息進行理解,分析處理及評估,從而對發(fā)展趨勢進行預測。網(wǎng)絡安全態(tài)勢強調(diào)的是一個整體的概念,包含了當前的狀態(tài),歷史的狀態(tài)和對未來的狀態(tài)預測。根據(jù)研究重點的不同,給出的概念也不盡一致。
1.3 網(wǎng)絡安全態(tài)勢感知體系構成
(1)網(wǎng)絡安全態(tài)勢要素的提取。要素的提取主要通過殺毒軟件、防火墻、入侵檢測系統(tǒng)、流量控制、日志審計等收集整理數(shù)據(jù)信息,經(jīng)篩選后提出特征信息。
(2)網(wǎng)絡安全態(tài)勢的評估。根據(jù)選擇的指標體系定性和定量分析,搜素其中的關系,得出安全態(tài)勢圖,找到薄弱環(huán)節(jié)并制定出解決方案。
(3)網(wǎng)絡安全態(tài)勢的預測。根據(jù)已有的安全態(tài)勢圖,分析原始的數(shù)據(jù)信息,預測未來一段時間的運行狀態(tài)和趨勢,給出預警方案,達到最終的網(wǎng)絡安全的目的。
由于網(wǎng)絡的龐大、復雜以及動態(tài)的變化,要素的提取面臨很大的困難,根據(jù)要素信息來源的不同進行分類提取,可以分為網(wǎng)絡環(huán)境、網(wǎng)絡漏洞和網(wǎng)絡攻擊等,生成網(wǎng)路安全態(tài)勢感知指標體系,并根據(jù)指標體系來獲取網(wǎng)絡的信息可以有效的保證信息的全面性、準確性和模型化。
安全態(tài)勢要素提取技術是態(tài)勢感知的第一步,意義重大。TimBasst首先提出了多傳感器數(shù)據(jù)融合的網(wǎng)絡態(tài)勢感知框架,進行數(shù)據(jù)精煉、對象精煉以及態(tài)勢精煉三個步驟的抽象獲取態(tài)勢感知要素??▋?nèi)基梅隆大學開發(fā)了SILK系統(tǒng),將數(shù)據(jù)轉(zhuǎn)化為高效的二進制數(shù)據(jù)用分析軟件來發(fā)現(xiàn)其中的攻擊行為。國內(nèi)此項研究起步晚,只是在聚類分析和分類分析上取得了一點進展。在提取要素過程中,屬性約簡和分類識別是這一過程中的最基礎的步驟。使用粗糙集等理論對數(shù)據(jù)進行屬性約簡,并形成了算法。針對神經(jīng)網(wǎng)絡的收斂慢,易入局部最小值等特點設計了遺傳算法來進行分類識別。
影響網(wǎng)絡網(wǎng)絡安全的評價有許多因素,各因素的作用不同且具有時變性,相互之間也不具有線性的關系,因此不能用精確的數(shù)學模型來表示。分析獲取的要素,必須要對其融合,以便得到整體的安全態(tài)勢,需要宏觀上把握網(wǎng)絡安全狀態(tài),獲得有效的綜合評價達到幫助網(wǎng)絡管理人員的目的。從上可以看出融合技術是關鍵。目前常用的數(shù)據(jù)融合技術有以下幾種:
(1)基于邏輯關系的融合方法根據(jù)信息的內(nèi)在邏輯,對信息進行融和。優(yōu)點是可以直觀地反映網(wǎng)絡的安全態(tài)勢。缺點有確定邏輯難度大,不少如單一來源的數(shù)據(jù)。
(2)基于數(shù)學模型的融合方法綜合考慮影響態(tài)勢的各項因素,構造評估函數(shù),建立態(tài)勢因素集合到態(tài)勢空間映射關系。優(yōu)點是可以輕松的確定各種態(tài)勢因素之間的數(shù)值比重關系,但是比重沒有標準。而且獲取的各個態(tài)勢因素可能還存在矛盾,無法處理。
(3)基于概率統(tǒng)計的融合方法根據(jù)經(jīng)驗數(shù)據(jù)的概率特性,結合信息的不確定性,建立的模型然后通過模型評估網(wǎng)絡的安全態(tài)勢,貝葉斯網(wǎng)絡、隱馬爾可夫模型最常見。優(yōu)點是可以融合最新的證據(jù)信息和經(jīng)驗數(shù)據(jù),推理過程清晰。但是該模型需要的數(shù)據(jù)量大易產(chǎn)生維數(shù)爆炸進而影響實時性,而且特征的提取及經(jīng)驗數(shù)據(jù)的獲取都存在一定的困難。
(4)基于規(guī)則推理的融合方法對多類別多屬性信息的不確定性進行量化,再根據(jù)已有的規(guī)則進行邏輯推理,達到評估目的。目前d-s證據(jù)組合方法和模糊邏輯是研究熱點。當經(jīng)驗數(shù)據(jù)難以獲取而且不要精準的解概率分布,可以使用,但是需要復雜的計算。
預測是根據(jù)當前的網(wǎng)絡狀況,找出大量的網(wǎng)絡安全隱患,進行分析,對未來一定時間內(nèi)的安全趨勢進行判斷,給出相應的解決方法。網(wǎng)絡預測技術目前也取得了重要的進展,主要有神經(jīng)網(wǎng)絡、時間序列預測法和支持向量機等方法。神經(jīng)網(wǎng)絡算法參數(shù)的選擇缺乏理論基礎,預測精度也不高。時間序列預測法由于網(wǎng)絡狀態(tài)的變化不是線性的,而且難以描述當前狀態(tài)和未來狀態(tài)的關系,導致預測精度不理想。支持向量機基于結構風險最小化原則,解決了小樣本、非線性、高維度問題,絕對誤差小,保證了預測的正確趨勢率,能準確預測網(wǎng)絡態(tài)勢的發(fā)展趨勢。
本文介紹了網(wǎng)絡安全態(tài)勢感知的概念,并分別就要素的獲取、態(tài)勢的評估和網(wǎng)絡安全態(tài)勢的預測所使用的技術進行了探討,引導網(wǎng)絡安全管理員研究和使用各種新技術關注網(wǎng)絡安全隱患,保證網(wǎng)絡安全運營。
[1]席榮榮,云曉春,金舒原,張永錚.網(wǎng)絡安全態(tài)勢感知研究綜述.計算機應用,2012年1期.
[2]郭劍.網(wǎng)絡安全態(tài)勢感知中態(tài)勢要素獲取技術的研究[學位論文]計算機軟件與理論.東北大學,2011.
[3]韋勇,連一峰,馮登國.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型.計算機研究與發(fā)展,2009,46(3).
[4]肖漢杰,桑秀麗.相關向量機超參數(shù)優(yōu)化的網(wǎng)絡安全態(tài)勢預測.計算機應用,2015,35(7).