网络安全态势感知系统结构研究.docxVIP

网络安全态势感知系统结构研究

ComputerEngineeringand2008,44(1)Applications计算机工程与应用

◎网络、通信与安全◎

摘要:网络安全态势感知是实现网络安全监测和预警的一种新技术,融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究后,建立了一个网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定理论的基础。

关键词:网络态势感知;安全评估;安全预警

随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价,实时监测和预警的一种新的安全技术。

论文研究工作主要是围绕网络安全态势感知系统模型,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定了理论的基础。

1相关研究工作

网络安全态势感知是应网络安全监控需求而出现的一种新技术,目前正处于起步阶段。态势感知源于航天飞行的相关研究,目前广泛应用于航天飞机、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控,因此迫切需要一项新方法来完成该项任务,于是提出了网络安全态势感知系统研究。1999年,Bass等人首次提出了网络态势感知概念[1],即网络安全态势感知,并将网络态势感知和空中交通监管(ATC)态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去,随后提出了基于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出了基于模块化的技术无关框架结构。美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“SpinningCubeofPotentialDoom”系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI领导的CERT/NetSA开发了SILK[2],旨在对大规模网络安全态势感知状况进行实时监控,在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警,给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分析,并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT欲通过开发一个安全事件融合工具的集成框架,为Internet提供安全可视化。目前该机构已开发的Internet安全态势感知系统有NVisionIP,VisFlowConnect-IP等。NVisionIP通过系统状态可视化来获取Internet的安全态势;Vis-FlowConnect-IP通过连接分析可视化来获取Internet的安全态势。美国2006年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防高级规划署(DARPA)等军方机构也正投资开展安全态势感知的研究[3]。在国内方面,关于网络安全态势感知的研究还限于科研院校的研究阶段,目前的工作主要集中在组织架构和业务体系的建立,离实际的应用距离还很远。

2网络安全态势感知系统模型

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究,建立网络安全态势感知概念模型,如图1。该模型将安全态势感知分为四层:特征提取、安全评估、态势感知、预警。特征提取是态势感知的前提,该层主要采用已有成熟技术从海量数据信息中提取网络安全态势信息。安全评估是态势感知的核心,通过漏洞扫描,安全审计等获得安全信息后,同时和已有的网络安全机制相结合,对已安装的入侵检测系统、防火墙、漏洞扫描等