网络安全态势感知体`系初探.doc

网络安全态势感知体系初探 　　[摘要]随着接入互联网的设备数量的急剧增加，带来了便利高效，节约了时间和成本，但是网络复杂度增加，风险更加凸显。为了保证信息安全，适应更严格的网络安全管理，出现了网络安全态势感知技术 [关键词]网络安全态势;模型;感知 引言 目前应用最为广泛的IDS系统只是运用Agent获取数据再经过融合分析后检测到相关攻击行为，当网络带宽提高后，IDS很难检测到攻击内容，同时误报率也较高。而网络安全态势感知技术综合了多种技术更加突出了整体特征，如IDS，杀毒软件以及防火墙等，对网络进行实时检测和快速预警。网络安全态势感知评估运行网络的安全情况并且可以做出未来一段时间的变化趋势，提高处理安全威胁的能力 1、网络安全态势感知概述 1.1网络态势感知定义 1988年，endsley率先提出针对航空领域人为因素的态势感知的定义，态势感知是指“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”。直到1999年，bass等指出，“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知。常见的网络态势主要有安全态势、拓扑态势和传输态势等，但目前学者主要研究网络的安全态势感知的 1.2网络安全态势概念 所谓网络安全态势就是对在多种网络设备处于工作状态、网络变化以及用户的动作等安全态势出现变化的状态信息进行理解，分析处理及评估，从而对发展趋势进行预测。网络安全态势强调的是一个整体的概念，包含了当前的状态，历史的状态和对未来的状态预测。根据研究重点的不同，给出的概念也不尽一致 1.3网络安全态势感知体系构成 （1）网络安全态势要素的提取。要素的提取主要通过杀毒软件、防火墙、入侵检测系统、流量控制、日志审计等收集整理数据信息，经筛选后提出特征信息 （2）网络安全态势的评估。根据选择的指标体系定性和定量分析，搜素其中的关系，得出安全态势图，找到薄弱环节并制定出解决方案 （3）网络安全态势的预测。根据已有的安全态势图，分析原始的数据信息，预测未来一段时间的运行状态和趋势，给出预警方案，达到最终的网络安全的目的 2、网络安全态势要素提取技术 由于网络的庞大、复杂以及动态的变化，要素的提取面临很大的困难，根据要素信息来源的不同进行分类提取，可以分为网络环境、网络漏洞和网络攻击等，生成网路安全态势感知指标体系，并根据指标体系来获取网络的信息可以有效的保证信息的全面性、准确性和模型化 安全态势要素提取技术是态势感知的第一步，意义重大。TimBasst首先提出了多传感器数据融合的网络态势感知框架，进行数据精炼、对象精炼以及态势精炼三个步骤的抽象获取态势感知要素。卡内基梅隆大学开发了SILK系统，将数据转化为高效的二进制数据用分析软件来发现其中的攻击行为。国内此项研究起步晚，只是在聚类分析和分类分析上取得了一点进展。在提取要素过程中，属性约简和分类识别是这一过程中的最基础的步骤。使用粗糙集等理论对数据进行属性约简，并形成了算法。针对神经网络的收敛慢，易入局部最小值等特点设计了遗传算法来进行分类识别 3、网络安全态势的评估技术 影响网络网络安全的评价有许多因素，各因素的作用不同且具有时变性，相互之间也不具有线性的关系，因此不能用精确的数学模型来表示。分析获取的要素，必须要对其融合，以便得到整体的安全态势，需要宏观上把握网络安全状态，获得有效的综合评价达到帮助网络管理人员的目的。从上可以看出融合技术是关键。目前常用的数据融合技术有以下几种： （1）基于逻辑关系的融合方法根据信息的内在逻辑，对信息进行融和。优点是可以直观地反映网络的安全态势。缺点有确定逻辑难度大，不少如单一来源的数据 （2）基于数学模型的融合方法综合考虑影响态势的各项因素，构造评估函数，建立态势因素集合到态势空间映射关系。优点是可以轻松的确定各种态势因素之间的数值比重关系，但是比重没有标准。而且获取的各个态势因素可能还存在矛盾，无法处理 （3）基于概率统计的融合方法根据经验数据的概率特性，结合信息的不确定性，建立的模型然后通过模型评估网络的安全态势，贝叶斯网络、隐马尔可夫模型最常见。优点是可以融合必威体育精装版的证据信息和经验数据，推理过程清晰。但是该模型需要的数据量大易产生维数爆炸进而影响实时性，而且特征的提取及经验数据的获取都存在一定的困难 （4）基于规则推理的融合方法对多类别多属性信息的不确定性进行量化，再根据已有的规则进行逻辑推理，达到评估目的。目前d-s证据组合方法和模糊逻辑是研究热点。当经验数据难以获取而且不要精准的解概率分布，可以使用，但是需要复杂的计算 4、网络安全态势的预测 预测是根据当前的网络状况，找出大量的网