网络安全可视化系列谈(一)：西电捷通基于安全协议分析的可视化.docx

网络安全可视化系列谈：西电捷通基于安全协议分析的可视化导读：刚刚过去的2016年国家网络安全宣传周，以“网络安全为人民，网络安全靠人民”的主题吸引了近百家企业参与，盛况空前。万物互联时代，安全是制约其良性、可持续发展的重要因素之一。而在网络安全可视化领域，一些专业人士已不再满足于“地图炮”为内部安全管理提供的直观感受，转而探索公众更易理解的方式，《首席安全技术官》开辟“网络安全可视化系列谈”栏目，请到西电捷通安全可视化团队专家解读：基于安全协议分析的网络安全可视化的原理和工程实现。西电捷通安全可视化工具研究在解决网络安全问题的过程中，“人”的认知和判断能力始终处于主导地位，俗话说，一图胜万言，一个能帮助人们更好地分析网络安全数据的实用办法就是将数据以图形图像的方式表现出来，并配合友好的交互手段，建立人与数据之间的图像通信，甚至借助情景体验或者安全问题复现，帮助人们提高视觉处理能力，洞察网络安全数据中隐含的信息，提高感知分析和理解问题的能力，这就是网络安全可视化。网络安全可视化是一个新兴的、尚处在发展阶段的研究方向，面对越来越复杂的网络环境、庞大的网络数据和出其不意的攻击手段，在关键技术和基础理论的研究上还有很多问题亟待解决，如理论研究、数据处理、应用多样化、概念延伸等。本文仅从概念延伸这一方面分析网络安全可视化面临的挑战，并探讨未来研究趋势。网络安全可视化外延探析：让普通用户感知网络威胁在数据驱动安全概念深入人心的今天，网络安全领域盛行的安全可视化一般都是将威胁与攻击数据用图表来呈现，将积累的大量数据分析归类，形成一张张“地图炮”，而这些数据及视觉效果往往只便于少数业内人士或企业内部运维人员理解操作，无法在大众传播上形成直观、丰富的体验。因此，网络安全可视化的概念需要延伸到可感知的网络安全——既为网络安全分析人员进行相关数据的图形展示，协助其分析网络，又能使普通用户感知到自己所处的网络面临什么样的威胁。与此同时，我们也看到业界对可视化的最大期待是在网络安全基础协议分析上：通过分析安全基础协议，确定安全隐患的症结所在，根据症结对症下药，让受众知其然并知其所以然，这与西电捷通的网络安全可视化观念不谋而合——“网络安全最本质的可视化是进行最基础、最底层的安全协议分析，安全的最终本质应该是信任”。基于基础安全协议分析的可视化原理，以Wi-Fi密码破解为例笔者曾在某信息安全技术机构从事安全协议及技术的研究及检测，由于一些契机了解并加入了西电捷通，这两家机构虽然性质不同，但都对网络安全有着很深的见地与研究，后者一直从事网络安全基础技术研发。2004年IEEE举办了首次网络安全可视化研讨会(The international symposium on visualization for cyber security，VizSec)，标志着该研究领域开始受到重视。当时，西电捷通便已洞察该领域的价值并着手研究，希望通过可视化方式，让数据更好地被使用，为用户产生价值。工欲善其事，必先利其器，长期的深耕研究才能拥有行业前瞻性的眼光，做出成绩的前提条件是具备领先的技术积淀。针对一个网络安全事件，比如Wi-Fi密码破解，市场上强烈推崇的破解神器是Wi-Fi万能钥匙，细究其原理，就会明白，万能钥匙声称免费破解密码，使得大量手机用户下载使用，其实只是通过用户上传分享的热点（主动或“被动”）到后台服务器的方式收集、积累数据。后台服务器维护热点数据库，其中包含热点名称（或者用来唯一标识的MAC地址）以及与其对应的密码字符串。查询密码时，用户将周围扫描到的陌生热点信息上传，服务器后台查询到对应的密码（如果分享过的话）后返回给APP供用户选择使用，这就是为什么使用万能钥匙时首先确保手机联网了，整个过程就是基于大数据的筛选和处理过程。对于同样的问题，基于安全协议分析的网络安全可视化不同于以上“破解”方式，思路是这样的：首先，WPA（Wi-Fi Protected Access）是Wi-Fi联盟针对WEP被发现存在严重安全漏洞后推出的一个过渡标准，这是目前常用的一种加密方式，它针对WEP的安全漏洞做了很多改进：初始向量（IV）由原来的24bit变为48bit；密钥长度增加到128bit；采用复杂的临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）数据加密和消息完整性检查（Message Integrity Check，MIC）来检测消息的完整性。为了提高安全性，Wi-Fi联盟推出的第二代标准WPA2，相对于之前的WPA没有特别大的区别，主要是WPA2用CCMP和AES取代了WPA的MIC和TKIP，使得算法更加安全可靠。简单概括WPA和WPA2的加密方式如下：WPA=Preshared Key + TKIP + MIC；WP