李勝軍

(吉林省經濟管理干部學院 數(shù)字出版學院,吉林 長春 130021)

網絡安全事件關聯(lián)分析與態(tài)勢評測技術研究

李勝軍

(吉林省經濟管理干部學院 數(shù)字出版學院,吉林 長春 130021)

如何保障網絡正常運行,是當代社會最為關注的問題之一.防止惡意入侵、保護信息安全成為管理人員面臨的首要問題,因此需要及時了解行業(yè)狀態(tài),把握未來安全趨勢.這樣才能防患于未然,及時發(fā)現(xiàn)危害信息,并采取合理的應對策略,保障網絡的安全運行.文章對網絡安全事件關聯(lián)分析與態(tài)勢評測技術進行研究.

網絡安全;關聯(lián)分析;態(tài)勢評測

互聯(lián)網信息極為復雜,網絡設備多種多樣,安全事件頻頻發(fā)生.因為網絡共享、開放的原則,使得網絡上的數(shù)據(jù)也越來越多,而且各不相同,想要對他們統(tǒng)一管理很難實現(xiàn).因此就需要根據(jù)相應的規(guī)則來獲取網絡安全事件特征,找出最能反映安全態(tài)勢的指標,對網絡安全態(tài)勢進行評估和預測.

1 網絡安全事件關聯(lián)與態(tài)勢評測技術國內外發(fā)展現(xiàn)狀

網絡安全態(tài)勢評估與態(tài)勢評測技術的研究在國外發(fā)展較早,最早的態(tài)勢感知的定義是在1988年由Endley提出的.它最初是指在特定的時間、空間范圍內,對周邊的環(huán)境進行感知,從而對事物的發(fā)展方向進行評測.

我國對于網絡安全事件關聯(lián)細分與態(tài)勢評測技術起步較晚,但是國內的高校和科研機構都積極參與,并取得了不錯的成果.哈爾濱工業(yè)大學的教授建立了基于異質多傳感器融合的網絡安全態(tài)勢感知模型,并采用灰色理論,對各個關鍵性能指標的變化進行關聯(lián)分析,從而對網絡系統(tǒng)態(tài)勢變化進行綜合評估.中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態(tài)勢評估模型,國防科技大學也提出大規(guī)模網絡安全態(tài)勢評估模型.這些都預示著,我國的網絡安全事件關聯(lián)分析與態(tài)勢評測技術研究有了一個新的進步,無論是大規(guī)模網絡還是態(tài)勢感知,都可以做到快速反應,提高網絡防御能力與應急響應處理能力,有著極高的實用價值[1].

2 網絡安全事件關聯(lián)分析技術概述

近年來,網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅,嚴重影響著網絡的運行安全.社會各界也對其極為重視,并采用相應技術來保障網絡系統(tǒng)的安全運行.比如Firewall,IDS,漏洞掃描,安全審計等.這些設備功能單一,是獨立的個體,不能協(xié)同工作.這樣直接導致安全事件中的事件冗余,系統(tǒng)反應慢,重復報警等情況越來越嚴重.加上網絡規(guī)模的逐漸增加,數(shù)據(jù)報警信息又多,管理員很難一一進行處理,這樣就導致報警的真實有效性受到影響,信息中隱藏的攻擊意圖更難發(fā)現(xiàn).在實際操作中,安全事件是存在關聯(lián)關系,不是孤立產生的.網絡安全事件關聯(lián)分析就是通過對各個事件之間進行有效的關聯(lián),從而將原來的網絡安全事件數(shù)據(jù)進行處理,通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關聯(lián)關系,才能為網絡管理人員提供更為可靠、有價值的數(shù)據(jù)信息.近年來,社會各界對于網絡安全事件的關聯(lián)分析更為重視,已經成為網絡安全研究中必要的一部分,并取得了相應的成果.在一定程度上,縮減網絡安全事件的數(shù)量,為網絡安全態(tài)勢評估提供有效的數(shù)據(jù)支持.

2.1 網絡安全數(shù)據(jù)的預處理

由于網絡復雜多樣,在進行安全數(shù)據(jù)的采集中,采集到的數(shù)據(jù)形式也是多種多樣,格式復雜,并且存在大量的冗余信息.使用這樣的數(shù)據(jù)進行網絡安全態(tài)勢的分析,自然不會取得很有價值的結果.為了提高數(shù)據(jù)分析的準確性,就必須提高數(shù)據(jù)質量,因此就要求對采集到的原始數(shù)據(jù)進行預處理.常用的數(shù)據(jù)預處理方式分為3種:(1)數(shù)據(jù)清洗.將殘缺的數(shù)據(jù)進行填充,對噪聲數(shù)據(jù)進行降噪處理,當數(shù)據(jù)不一致的時候,要進行糾錯.(2)數(shù)據(jù)集成.網絡結構復雜,安全信息的來源也復雜,這就需要對采集到的數(shù)據(jù)進行集成處理,使它們的結構保持一致,并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中.(3)將數(shù)據(jù)進行規(guī)范變化.

2.2 網絡安全態(tài)勢指標提取

構建合理的安全態(tài)勢指標體系是對網絡安全態(tài)勢進行合理評估和預測的必要條件.采用不同的算法和模型,對權值評估可以產生不同的評估結果.網絡的復雜性,使得數(shù)據(jù)采集復雜多變,而且存在大量冗余和噪音,如果不對其進行處理,就會導致在關聯(lián)分析時,耗時耗力,而且得不出理想的結果.這就需要一個合理的指標體系對網絡狀態(tài)進行分析處理,發(fā)現(xiàn)真正的攻擊,提高評估和預測的準確性.想要提高對網絡安全狀態(tài)的評估和預測,就需要對數(shù)據(jù)信息進行充分了解,剔除冗余,找出所需要的信息,提高態(tài)勢分析效率,減輕系統(tǒng)負擔.在進行網絡安全要素指標的提取時要統(tǒng)籌考慮,數(shù)據(jù)指標要全面而非單一,指標的提取要遵循4個原則:危險性、可靠性、脆弱性和可用性[2].

2.3 網絡安全事件關聯(lián)分析

網絡數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點,就導致事件的冗余,不利于事件關聯(lián)分析,而且數(shù)據(jù)量極大,事件繁多,網絡管理人員對其處理也極為不便.為了對其進行更好的分析和處理,就需要對其進行數(shù)據(jù)預處理.在進行數(shù)據(jù)預處理時要統(tǒng)籌考慮,分析網絡安全事件的關聯(lián)性,并對其類似的進行合并,減少重復報警概率,從而提高網絡安全狀態(tài)評估的有效性.常見的關聯(lián)辦法有因果關聯(lián)、屬性關聯(lián)等.

3 網絡安全態(tài)勢評測技術概述

網絡安全態(tài)勢是一個全局的概念,是指在網絡運行中,對引起網絡安全態(tài)勢發(fā)生變化的網絡狀態(tài)信息進行采集,并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢.網絡安全態(tài)勢是網絡運行狀態(tài)的一個折射,根據(jù)網絡的歷史狀態(tài)等可以預測網絡的未來狀態(tài).網絡態(tài)勢分析的數(shù)據(jù)有網絡設備、日志文件、監(jiān)控軟件等.通過這些信息對其關聯(lián)分析,可以及時了解網絡的運行狀態(tài).網絡安全態(tài)勢技術分析首先要對網絡環(huán)境進行檢測,然而影響網絡安全的環(huán)境很是復雜,時間、空間都存在,因此對信息進行采集之后,要對其進行分類、合并.然后對處理后的信息進行關聯(lián)分析和態(tài)勢評測,從而對未來的網絡安全態(tài)勢進行預測.

3.1 網絡安全態(tài)勢分析

網絡安全態(tài)勢技術研究分為態(tài)勢獲取、理解、評估、預測.態(tài)勢的獲取是指收集網絡環(huán)境中的信息,這些數(shù)據(jù)信息是態(tài)勢預測的前提.并且將采集到的數(shù)據(jù)進行分析,理解他們之間的相關性,并依據(jù)確定的指標體系,進行定量分析,尋找其中的問題,提出相應的解決辦法.態(tài)勢預測就是根據(jù)獲取的信息進行整理、分析、理解,從而來預測事物的未來發(fā)展趨勢,這也是網絡態(tài)勢評測技術的最終目的.只有充分了解網絡安全事件關聯(lián)與未來的發(fā)展趨勢,才能對復雜的網絡環(huán)境存在的安全問題進行預防,最大程度保證網絡的安全運行.

3.2 網絡安全態(tài)勢評測模型

網絡安全態(tài)勢評測離不開網絡安全態(tài)勢評測模型,不同的需求會有不同的結果.網絡安全態(tài)勢評測技術具備較強的主觀性,而且復雜多樣.對于網絡管理員來說,他們注意的是網絡的運行狀態(tài),因此在評測的時候,主要針對網絡入侵和漏洞識別.對于銀行系統(tǒng)來說,數(shù)據(jù)是最重要的,對于軍事部門,保密是第一位的.因此網絡安全狀態(tài)不能采用單一的模型,要根據(jù)用戶的需求來選取合適的需求.現(xiàn)在也有多種態(tài)勢評測模型,比如應用在入侵檢測的Bass.

3.3 網絡安全態(tài)勢評估與預測

網絡安全態(tài)勢評估主要是對網絡的安全狀態(tài)進行綜合評估,使網絡管理者可以根據(jù)評估數(shù)據(jù)有目標地進行預防和保護操作,最常用的態(tài)勢評估方法是神經網絡、模糊推理等.網絡安全態(tài)勢預測的主要問題是主動防護,對危害信息進行阻攔,預測將來可能受到的網絡危害,并提出相應對策.目前常用的預測技術有很多,比如時間序列和Kalman算法等,大概有40余種.他們根據(jù)自身的拓撲結構,又可以分為兩類:沒有反饋的前饋網絡和變換狀態(tài)進行信息處理的反饋網絡.其中BP網絡就屬于前者,而Elman神經網絡屬于后者[3].

4 網絡安全事件特征提取和關聯(lián)分析研究

在構建網絡安全態(tài)勢指標體系時,要遵循全面、客觀和易操作的原則.在對網絡安全事件特征提取時,要找出最能反映安全態(tài)勢的指標,對網絡安全態(tài)勢進行分析預測.網絡安全事件可以從網絡威脅性信息中選取,通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集.并利用現(xiàn)有的軟件進行掃描,采集網絡流量信息,找出流量的異常變化,從而發(fā)現(xiàn)網絡潛在的威脅.其次就是利用簡單網絡管理協(xié)議(Simple Network Management Protocol ,SNMP)來進行網絡和主機狀態(tài)信息的采集,查看帶寬和CPU的利用率,從而找出問題所在.除了這些,還有服務狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4].

5 結語

近年來,隨著科技的快速發(fā)展,互聯(lián)網技術得到了一個質的飛躍.互聯(lián)網滲透到人們的生活中,成為人們工作、生活不可或缺的一部分,而且隨著個人計算機的普及應用,使得網絡的規(guī)模也逐漸增大,互聯(lián)網進入了大數(shù)據(jù)時代.數(shù)據(jù)信息的重要性與日俱增,同時網絡安全問題越來越嚴重.黑客攻擊、病毒感染等一些惡意入侵破壞網絡的正常運行,威脅信息的安全,從而影響著社會的和諧穩(wěn)定.因此,網絡管理人員對當前技術進行深入的研究,及時掌控技術的局面,并對未來的發(fā)展作出正確的預測是非常有必要的.

[1]趙國生,王慧強,王健.基于灰色關聯(lián)分析的網絡可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng),2006(10):1861-1864.

[2]劉效武,王慧強.基于異質多傳感器融合的網絡安全態(tài)勢感知模型[J].計算機科學,2008(8):69-73.

[3]李彤巖.基于數(shù)據(jù)挖掘的通信網告警相關性分析研究[D].成都:電子科技大學,2010.

[4]司加權.網絡安全態(tài)勢感知技術研究[D].哈爾濱:哈爾濱工程大學,2010.

Study on network security event correlation analysis and situation evaluation technology

Li Shengjun
(Digital Publishing Institute of Jilin Province Economic Management Cadre College, Changchun 130021, China)

How to ensure the normal operation of the network is one of the most concerned of contemporary society. Preventing malicious intrusion and protecting information security becomes the primary problem faced by management personnel. So they need to keep abreast of industry status and grasp future security trends. So as to take preventive measures, and timely detection of harmful information, and take a reasonable response strategy to ensure the safe operation of the network. This paper studies the network security event correlation analysis and situation evaluation technology.

network security; correlation analysis; situation evaluation

李勝軍(1982- ),男,吉林長春人,講師,學士;研究方向:網絡應用.