◆彭 毅

（天津市電子計算機研究所 天津 300060）

基于多傳感的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)

◆彭 毅

（天津市電子計算機研究所 天津 300060）

本文提出了多源異構(gòu)傳感器的NSSAS框架結(jié)構(gòu)，并給出了相應(yīng)的系統(tǒng)物理概念模型，描述了框架結(jié)構(gòu)設(shè)計的思路，為深入研究相關(guān)技術(shù)提供了科學(xué)的指導(dǎo)，對工作人員了解網(wǎng)絡(luò)情況、及時做出反應(yīng)提供了有效的依據(jù)。

多傳感；網(wǎng)絡(luò)安全；感知系統(tǒng)；框架結(jié)構(gòu)

0 引言

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)是一個開放的、可擴展的環(huán)形結(jié)構(gòu)，可以降低系統(tǒng)的復(fù)雜性，防止出現(xiàn)單點失效問題，同時，從整體上明確了組件與組件和層次與層次的關(guān)系，以指導(dǎo)各項關(guān)鍵技術(shù)的進行。

1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)

1.1 總體框架結(jié)構(gòu)的概述

如圖1為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)圖。該結(jié)構(gòu)是分布式開放型結(jié)構(gòu)，共分為三個層次，即：獲取信息層、提取要素層、決策態(tài)勢層。獲取信息層在布設(shè)所涉及的服務(wù)傳感器、物類傳感器等異構(gòu)信息；提取要素層依據(jù)所獲取的異構(gòu)信息，應(yīng)用融合方法對異構(gòu)信息進行精簡數(shù)據(jù)和提取安全事件；決策態(tài)勢層應(yīng)用層次評估思想和非在線時間序列預(yù)測方法理解和預(yù)測多源信息。這三個層次的實現(xiàn)都需要與對應(yīng)的數(shù)據(jù)庫實施交互。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)

此系統(tǒng)框架結(jié)構(gòu)形成由安全監(jiān)控、安全分析、安全決策組合而成的感知環(huán)。由多種傳感器實現(xiàn)全程監(jiān)控，每個傳感器獲取每個設(shè)備的安全狀態(tài)數(shù)據(jù)，實現(xiàn)監(jiān)控整個網(wǎng)絡(luò)運行動態(tài)；安全分析通過過濾、驗證來分析數(shù)據(jù)信息；安全決策通過預(yù)測和評估整個網(wǎng)絡(luò)的安全態(tài)勢。

1.2 系統(tǒng)的概念結(jié)構(gòu)

結(jié)合實際的網(wǎng)絡(luò)安全態(tài)勢框架結(jié)構(gòu)，并依據(jù)與之相應(yīng)的概念結(jié)構(gòu)，其應(yīng)用在反映不同感知層次的數(shù)據(jù)流向。感知層次中的提取網(wǎng)絡(luò)安全態(tài)勢對于整個網(wǎng)絡(luò)而言是非常重要的，如果沒有提取出相應(yīng)的態(tài)勢要素信息，那么就不能生成合理的安全態(tài)勢圖。評估和預(yù)測態(tài)勢作為感知網(wǎng)絡(luò)安全態(tài)勢的中心，是在綜合理解整個網(wǎng)絡(luò)的態(tài)勢。在識別態(tài)勢信息安全事件后，結(jié)合各個事件的關(guān)系，計算和掌握服務(wù)、網(wǎng)絡(luò)、主機所受的威脅，并且生成正確的安全態(tài)勢圖。

1.3 系統(tǒng)的物理結(jié)構(gòu)

在系統(tǒng)物理結(jié)構(gòu)中包括分析器、決策器、傳感器等。每個安全域內(nèi)都有一個分析器和很多個傳感器。傳感器負責(zé)對本地網(wǎng)絡(luò)和主機進行監(jiān)控，如果發(fā)現(xiàn)有可疑的行為，及時向分析器發(fā)送。待分析器接收報告后，在綜合分析后將分析結(jié)果傳輸?shù)饺謹?shù)據(jù)庫中。決策器根據(jù)各個安全域的分析結(jié)果實施高級綜合處理，明確整個網(wǎng)絡(luò)系統(tǒng)的安全情況，并存儲至數(shù)據(jù)庫中。傳感器和傳感器間使用環(huán)形進行連接，這樣做的主要目的在于通過傳感器互補信息來加強各個傳感器的分析水平，對數(shù)據(jù)進行進一步的精簡，分析器間也可以進行相似的連接。分析器和傳感器間使用雙向交互的方式，這樣傳感器可以將提取的信息主動的提交給分析器，并且分析器也能夠下發(fā)指令對傳感器進行重新配置。同時系統(tǒng)物理結(jié)構(gòu)可以動態(tài)配置和動態(tài)裁剪系統(tǒng)，進而適應(yīng)多種分布式應(yīng)用環(huán)境的需求。

2 提取要素層

2.1 聚合多源異構(gòu)安全信息

要素提取層對多源異構(gòu)安全信息進行聚合操作，安全信息讀取模塊將數(shù)據(jù)庫中已經(jīng)格式化的信息輸入至相異度計算模塊中。結(jié)合每一條標(biāo)準化安全信息的屬性與分類模塊結(jié)果綜合對比，將在聚合判決模塊中輸入結(jié)果，將與閾值條件相符的安全信息規(guī)劃為同種類別。支持數(shù)據(jù)庫包括標(biāo)準化安全信息庫、權(quán)值庫、閾值庫和分類模板庫四種。

2.2 融合多源異構(gòu)安全信息

在聚合安全信息執(zhí)行后，應(yīng)用指數(shù)加權(quán)DS證據(jù)理論融合分析結(jié)果，目的在于有效的識別攻擊行為。在分類信息庫中獲取安全事件信息后，并根據(jù)各個傳感器的檢測率相對應(yīng)的布設(shè)置信度；傳感器權(quán)重分配模塊結(jié)合實際攻擊狀況，獲取出傳感器中各個權(quán)值；DS推理模塊結(jié)合每個傳感器的重要性的差異，對行為發(fā)生率進行理解，在給出推理結(jié)果后提交至融合判決模塊中，判決模塊結(jié)合閾值要求得出具體的結(jié)果，并存儲到數(shù)據(jù)庫中，這個過程就是完成了安全要素的提取。

3 獲取信息層

3.1 選擇數(shù)據(jù)源

因為網(wǎng)絡(luò)系統(tǒng)過于復(fù)雜，在實際運行中會出現(xiàn)很多的多源異構(gòu)數(shù)據(jù)，系統(tǒng)在多種因素的限制，不能準確的、全面的獲取數(shù)據(jù)。所以，只能選取出信息量豐富、可靠性很高、冗余度較低的數(shù)據(jù)作為系統(tǒng)數(shù)據(jù)源。在數(shù)據(jù)源選取中，還需要考慮到各個數(shù)據(jù)源間的互補性和交叉性，在不斷擴大覆蓋面的基礎(chǔ)上，防止出現(xiàn)過度重復(fù)的情況。

3.2 NetFlow傳感器的應(yīng)用

NetFlow傳感器負責(zé)采集和分析NetFlow數(shù)據(jù)。因為這類傳感器不需要分析網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容，減少了預(yù)算和處理傳感器的工作量，所以很適宜在全局上進行對高速網(wǎng)絡(luò)的監(jiān)測。同時此傳感器可以實時的提供出很多流量信息和網(wǎng)絡(luò)連接信息，具備信息量大、視角度廣泛等優(yōu)勢。

3.3 日志類傳感器的應(yīng)用

日志類傳感器可以采集出多源日志并對其進行分析，最終形成格式統(tǒng)一的安全事件格式。日常采集器在日志采集代理、安全設(shè)備日志輸出接口、專用日志訪問協(xié)議等方式方法采集安全設(shè)備和關(guān)鍵主機等。采集器具有自動的完成采集信息的功能。但日志文件很容易被損壞，在入侵者入侵后會對日志進行修改或者刪除，所以在采集器中加入檢測日志完整性模塊，在設(shè)備日志系統(tǒng)中融入檢測日志完整性的方法，檢測日志的有效性和完整性。

3.4 SNMP傳感器的應(yīng)用

SNMP傳感器依據(jù)SNMP協(xié)議及時的、有效的采集可控設(shè)備MIB庫中的數(shù)據(jù)信息，并分析數(shù)據(jù)信息，這樣可獲得網(wǎng)絡(luò)拓撲信息、安全事件信息等，并以統(tǒng)一的格式上交給網(wǎng)絡(luò)管理員。SNMP數(shù)據(jù)采集模塊主要對MIB庫的數(shù)據(jù)進行采集，獲取MIB中態(tài)勢數(shù)據(jù)，并將數(shù)據(jù)傳遞給數(shù)據(jù)分析模塊。

3.5 多源安全信息的格式化

每一種傳感器獲取到的數(shù)據(jù)和初步分析得到的安全信息，這兩種信息格式差異很大，如果將其直接進行提交，那么會給上層應(yīng)用數(shù)據(jù)統(tǒng)一存儲帶來很多困難。所以應(yīng)使用統(tǒng)一的、合理的態(tài)勢信息模型，這種模型的建立具有如下幾點優(yōu)勢：一是，提供出統(tǒng)一的、完善的數(shù)據(jù)結(jié)構(gòu)，降低系統(tǒng)處理難度；二是，確定多源異構(gòu)傳感器的提交數(shù)據(jù)需求，指導(dǎo)傳感器的設(shè)計；三是，為應(yīng)用上層程序提供出完整的數(shù)據(jù)格式。

3.6 服務(wù)類傳感器的應(yīng)用

此傳感器負責(zé)采集安全狀態(tài)的一系列數(shù)據(jù)。在服務(wù)出現(xiàn)失效時，以事件形式上報給網(wǎng)絡(luò)管理員。服務(wù)傳感器作為系統(tǒng)中最關(guān)鍵的信息獲取部件，可以向上層管理人員提供出關(guān)服務(wù)的運行情況，同時還能為分析其他傳感器數(shù)據(jù)作參考依據(jù)。

4 分析態(tài)勢決策層

4.1 動態(tài)預(yù)測模塊

此模塊通常用于預(yù)測整個網(wǎng)絡(luò)的安全態(tài)勢，獲取模塊從態(tài)勢庫中讀取歷史態(tài)勢數(shù)據(jù)、網(wǎng)絡(luò)安全數(shù)據(jù)；歷史數(shù)據(jù)負責(zé)提交給態(tài)勢預(yù)測訓(xùn)練模塊；評價優(yōu)化模塊根據(jù)訓(xùn)練與測試評價結(jié)果，應(yīng)用改進遺傳算法，直到滿足訓(xùn)練結(jié)果的誤差要求，才能明確態(tài)勢預(yù)測模型，將模型的預(yù)測結(jié)果提供給安全管理工作者，用于決策分析中。

4.2 評估安全態(tài)勢量化

安全態(tài)勢量化評估模塊主要評估整個網(wǎng)絡(luò)安全態(tài)勢，安全威脅統(tǒng)計模塊根據(jù)在某段時間內(nèi)提取出的安全事件分析威脅度，得出各個主機服務(wù)在各個時間段中所受到的安全事件數(shù)量。服務(wù)安全態(tài)勢評估模塊結(jié)合各個時間間隔的情況，計算出相對應(yīng)的服務(wù)安全態(tài)勢，并將實際情況存儲在態(tài)勢庫中。網(wǎng)絡(luò)安全態(tài)勢評估模塊結(jié)合權(quán)值，對整個網(wǎng)絡(luò)安全態(tài)勢狀況進行計算，并將最終結(jié)果提交到態(tài)勢中呈現(xiàn)模塊，將評估結(jié)果提交給決策者。

5 結(jié)語

總而言之，在網(wǎng)絡(luò)技術(shù)的快速發(fā)展下，隨之而來的網(wǎng)絡(luò)安全問題越來越多，為了解決網(wǎng)絡(luò)安全問題，提高網(wǎng)絡(luò)系統(tǒng)的反擊能力，基于多傳感的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架結(jié)構(gòu)能夠很好的解決網(wǎng)絡(luò)安全問題，進一步保證網(wǎng)絡(luò)系統(tǒng)和計算機隱私信息的安全。

[1]馬龍，孫江輝，杜程.基于流量分析的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究[J].信息技術(shù)，2016.

[2]劉尚東，龔儉，楊望.態(tài)勢感知技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].中國教育網(wǎng)絡(luò)，2013.